Doanh nghiệp lộ “lỗ hổng” bảo vệ dữ liệu cá nhân
Tại phiên tọa đàm của Hội thảo "Tuân thủ luật bảo vệ dữ liệu cá nhân - Những thách thức, rủi ro và giải pháp công nghệ" diễn ra ngày 20/3, ông Nguyễn Hùng Sơn, Phó Chủ tịch HĐQT FSI, nói thách thức lớn nhất trong tuân thủ quy định bảo vệ dữ liệu cá nhân không nằm ở công nghệ, mà xuất phát từ nhận thức của lãnh đạo.
"Khi cấp quản lý cao nhất hiểu đúng và đầy đủ, việc lựa chọn giải pháp cũng như tổ chức triển khai sẽ trở nên rõ ràng, đồng thời tạo sự tuân thủ đồng bộ trong toàn bộ hệ thống. Ngược lại, nếu thiếu định hướng từ lãnh đạo, các chính sách bảo vệ dữ liệu khó đi vào thực tế", ông Sơn nói.
Một rủi ro đáng lưu ý khác đến từ chính quá trình vận hành, khi nhiều doanh nghiệp đang ứng dụng trí tuệ nhân tạo nhưng chưa kiểm soát chặt chẽ dữ liệu đầu vào. Theo ông Sơn, trong quá trình sử dụng AI, doanh nghiệp có thể vô tình đưa vào các thông tin nhạy cảm mà chưa nhận diện hết nguy cơ.
Trong bối cảnh đó, ông khuyến nghị các tổ chức cần nâng cao nhận thức cho lãnh đạo, đồng thời tăng cường đào tạo nhân sự để xây dựng và vận hành hiệu quả các chính sách bảo vệ dữ liệu. Bên cạnh đó, cần tận dụng các quy định cho phép xử lý, ẩn danh hoặc khử dữ liệu cá nhân nhằm giảm thiểu nguy cơ rò rỉ thông tin.
Từ góc độ đơn vị cung cấp giải pháp, ông Sơn cho rằng doanh nghiệp hiện có nhiều điều kiện thuận lợi hơn để triển khai các hệ thống bảo vệ dữ liệu. Sự phát triển nhanh của công nghệ, đặc biệt là AI, đã giúp chi phí giảm đáng kể.
Nếu trước đây cần đầu tư hàng tỷ đồng cho các giải pháp an toàn thông tin, thì nay chỉ với vài trăm triệu đồng, doanh nghiệp đã có thể tiếp cận các công cụ phù hợp. Điều này mở ra cơ hội cho cả doanh nghiệp vừa và nhỏ từng bước xây dựng hệ thống bảo vệ dữ liệu mà không còn chịu áp lực lớn về tài chính.
Tuy nhiên, để thị trường giải pháp phát triển bền vững, ông Sơn cho rằng cần có vai trò rõ ràng hơn từ cơ quan quản lý nhà nước, đặc biệt trong việc ban hành các quy chuẩn, tiêu chuẩn kỹ thuật đối với thiết bị và giải pháp an toàn thông tin. Đây là nhóm sản phẩm nhạy cảm, liên quan trực tiếp đến dữ liệu cá nhân nên cần được kiểm định chặt chẽ nhằm bảo đảm chất lượng và độ tin cậy.
Đồng thời, ông Sơn lưu ý cần tăng cường sự phối hợp giữa cơ quan quản lý, doanh nghiệp và các hiệp hội nghề nghiệp để xây dựng hệ sinh thái bảo vệ dữ liệu. Theo ông Sơn, chỉ khi có sự liên kết và chia sẻ giữa các bên, các giải pháp bảo vệ dữ liệu mới có thể đáp ứng hiệu quả yêu cầu của quá trình chuyển đổi số.
Thiếu kiểm soát dữ liệu, doanh nghiệp đứng trước rủi ro
Dưới góc độ pháp lý và thực tiễn doanh nghiệp, Luật sư Lưu Xuân Vĩnh, Giám đốc điều hành Asia Legal, cho rằng các quy định xử phạt trong lĩnh vực bảo vệ dữ liệu cá nhân tại Việt Nam đang dần tiệm cận thông lệ quốc tế, tạo sức ép đáng kể buộc doanh nghiệp phải điều chỉnh cách tiếp cận.
Theo ông Vĩnh, mức phạt có thể lên tới 5% doanh thu là tương đồng với chuẩn quốc tế khoảng 4%, đặc biệt trong bối cảnh hoạt động xử lý dữ liệu ngày càng mang tính xuyên biên giới. Điều này đồng nghĩa doanh nghiệp không còn có thể xem nhẹ các yêu cầu về bảo vệ dữ liệu cá nhân.
Tuy vậy, thực tế cho thấy nhiều doanh nghiệp vẫn chưa nắm rõ bức tranh tổng thể về dữ liệu mình đang quản lý. Không ít đơn vị không xác định được đang sở hữu những loại dữ liệu nào, lưu trữ ở đâu, ai có quyền truy cập hay quy trình xử lý ra sao.
Một vấn đề đáng chú ý khác là sự thiếu hụt nhân sự chuyên trách trong quản trị và kiểm soát dữ liệu. Khi không có bộ phận phụ trách, dữ liệu dễ bị phân tán, thiếu kiểm soát và kéo theo rủi ro pháp lý.
Theo ông Vĩnh, để đáp ứng yêu cầu pháp luật, doanh nghiệp cần chuyển từ tư duy vận hành sang tư duy quản trị dữ liệu mang tính chiến lược. Trước hết, cần rà soát toàn bộ nguồn dữ liệu, làm rõ quy trình thu thập, lưu trữ, xử lý và đặc biệt là việc chia sẻ dữ liệu với bên thứ ba đã bảo đảm an toàn hay chưa.
Chỉ khi hiểu rõ hiện trạng, doanh nghiệp mới có thể xây dựng quy trình bảo mật phù hợp. Trong điều kiện nguồn lực hạn chế, doanh nghiệp có thể hoàn thiện quy trình nội bộ hoặc tìm đến đơn vị tư vấn chuyên nghiệp để hỗ trợ thiết lập hệ thống quản trị dữ liệu.
Luật sư cũng nhấn mạnh vai trò của đào tạo nhân sự. Việc xây dựng quy trình chỉ là bước khởi đầu, quan trọng hơn là bảo đảm các quy trình đó được thực thi đúng trong thực tế.
Bên cạnh đó, doanh nghiệp cần hoàn thiện các hồ sơ pháp lý liên quan, trong đó có đánh giá tác động xử lý dữ liệu, nhất là với các trường hợp chuyển dữ liệu ra bên ngoài hoặc ra nước ngoài. Dù quy định yêu cầu rà soát định kỳ 6 tháng, doanh nghiệp nên chủ động kiểm tra, cập nhật thường xuyên hơn khi có thay đổi về hệ thống, công nghệ hoặc mô hình kinh doanh.
Về giải pháp, ông Vĩnh cho rằng doanh nghiệp cần chú trọng yếu tố công nghệ nhưng không nên coi đây là rào cản. Pháp luật không bắt buộc áp dụng một công nghệ cụ thể, doanh nghiệp có thể lựa chọn giải pháp phù hợp với quy mô và khả năng tài chính. Quan trọng nhất là công nghệ phải phục vụ hiệu quả việc kiểm soát dữ liệu, bảo đảm minh bạch, an toàn và tuân thủ quy định.
