2/3 doanh nghiệp đã có bộ phận bảo vệ dữ liệu, nhưng "điểm nghẽn" nằm ở kỹ thuật

Ông Ngô Tuấn Anh, Phó ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân, Hiệp hội An ninh mạng Quốc gia.

Chia sẻ tại Tọa đàm “Bảo vệ dữ liệu cá nhân - quyền và trách nhiệm”, ông Ngô Tuấn Anh, Phó ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân, Hiệp hội An ninh mạng Quốc gia, cho biết các số liệu được tổng hợp từ hoạt động đào tạo chuyên gia bảo vệ dữ liệu cá nhân (khóa VN-DPO) do Hiệp hội tổ chức.

Theo kết quả khảo sát, khoảng 67% doanh nghiệp tương đương gần 2/3 số đơn vị tham gia, đã có quyết định hoặc đang trong giai đoạn hình thành bộ phận, cá nhân phụ trách công tác bảo vệ dữ liệu cá nhân. Mô hình triển khai khá đa dạng, có thể là bộ phận chuyên trách độc lập hoặc kết hợp giữa pháp chế, tuân thủ và công nghệ thông tin. Tuy nhiên, vẫn còn hơn 30% doanh nghiệp chưa triển khai nội dung này, một con số được đánh giá là đáng lưu ý trong bối cảnh yêu cầu tuân thủ pháp luật về bảo vệ dữ liệu cá nhân ngày càng rõ ràng.

Về lĩnh vực, khối tài chính - ngân hàng là nhóm triển khai nhiều nhất, tiếp theo là công nghệ và viễn thông. Đây đều là những ngành thu thập, xử lý khối lượng lớn dữ liệu cá nhân với mức độ nhạy cảm cao.

Trong giai đoạn chuyển tiếp hiện nay, các doanh nghiệp đang áp dụng Nghị định 13/2023/NĐ-CP. Nghị định này quy định hai nhóm biện pháp chính: biện pháp quản lý và biện pháp kỹ thuật.

Ở nhóm biện pháp quản lý, doanh nghiệp phải xây dựng chính sách, quy trình, quy định nội bộ liên quan đến xử lý dữ liệu cá nhân và công bố cho chủ thể dữ liệu biết. Khảo sát cho thấy khoảng 64% doanh nghiệp ở vai trò bên kiểm soát hoặc kiểm soát – xử lý dữ liệu cá nhân được đánh giá là tuân thủ. Trong khi đó, với các doanh nghiệp ở vai trò bên xử lý dữ liệu cá nhân, tỷ lệ tuân thủ thấp hơn, chỉ khoảng 56%.

Điểm yếu lớn nhất, theo ông Ngô Tuấn Anh, nằm ở biện pháp kỹ thuật. Thực tế, phần lớn doanh nghiệp mới chỉ dừng ở việc lập báo cáo đánh giá tác động xử lý dữ liệu cá nhân và gửi cơ quan quản lý. Báo cáo này mang tính chất như một bản “tự khai”, trong khi pháp luật không chỉ yêu cầu hồ sơ trên giấy mà còn đòi hỏi hệ thống kỹ thuật đủ năng lực để bảo đảm thực thi quyền của chủ thể dữ liệu.

Ông dẫn ví dụ: khi một khách hàng của công ty chứng khoán yêu cầu hủy tài khoản và xóa toàn bộ dữ liệu cá nhân, doanh nghiệp phải hoàn thành việc xóa dữ liệu trong vòng 72 giờ kể từ khi tiếp nhận yêu cầu. Quan trọng hơn, toàn bộ quá trình này phải được ghi nhận đầy đủ: thời điểm tiếp nhận yêu cầu, các bước xử lý trung gian và kết quả cuối cùng. Khi cơ quan chức năng kiểm tra, doanh nghiệp phải chứng minh được dữ liệu đã được xóa đúng quy định. “Đây không còn là câu chuyện quy trình trên giấy, mà là yêu cầu về hệ thống kỹ thuật, bảng điều khiển, cơ chế ghi log và truy vết”, ông Ngô Tuấn Anh nhấn mạnh.

Đơn giản hóa tuân thủ: con người - quy trình - hệ sinh thái công nghệ

Ông Ngô Tuấn Anh, Phó ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân, Hiệp hội An ninh mạng quốc gia chia sẻ tại tọa đảm về vai trò của Hiệp hội trong việc hỗ trợ người dân và doanh nghiệp trong việc tuân thủ Luật Bảo vệ dữ liệu cá nhân.

Chia sẻ Tại tọa đàm, ông Ngô Tuấn Anh nhận định theo góc độ của Hiệp hội, Luật Bảo vệ dữ liệu cá nhân mới có nhiều điều chỉnh theo hướng thuận lợi hơn cho doanh nghiệp. Nếu trước đây chủ thể dữ liệu có 11 quyền và doanh nghiệp phải tuân thủ đầy đủ, thì trong Luật mới, các quyền này được rút gọn còn 6 quyền. Cách tiếp cận này giúp việc triển khai thực tế khả thi hơn và tiệm cận thông lệ quốc tế.

Dù vậy, tuân thủ pháp luật về bảo vệ dữ liệu cá nhân chắc chắn làm phát sinh chi phí. Bài toán đặt ra là tuân thủ đúng quy định nhưng với chi phí hợp lý. Từ thực tiễn đào tạo và hỗ trợ doanh nghiệp, Hiệp hội cho rằng việc triển khai cần được chia thành ba nhóm hoạt động chính.

Thứ nhất, nâng cao nhận thức và năng lực con người. Không có một hệ thống bảo vệ dữ liệu cá nhân nào vận hành hiệu quả nếu thiếu con người hiểu luật, hiểu rủi ro và hiểu trách nhiệm của mình. Đào tạo, tập huấn không chỉ dành cho cán bộ kỹ thuật, mà còn cho lãnh đạo, bộ phận pháp chế, nhân sự và các đơn vị trực tiếp xử lý dữ liệu.

Thứ hai, chuẩn hóa hoạt động triển khai trong doanh nghiệp. Mỗi tổ chức cần rà soát toàn bộ vòng đời dữ liệu cá nhân - từ thu thập, lưu trữ, sử dụng, chia sẻ cho đến hủy bỏ - để xây dựng chương trình bảo vệ dữ liệu cá nhân phù hợp với quy mô và lĩnh vực hoạt động của mình. Đây không phải là một dự án ngắn hạn, mà là một quá trình liên tục, có đánh giá, có cải tiến và có kiểm soát.

Thứ ba, phát triển hệ sinh thái công nghệ bảo vệ dữ liệu cá nhân. Thực tiễn cho thấy, bảo vệ dữ liệu cá nhân không thể dựa vào một giải pháp đơn lẻ, mà cần sự kết hợp của nhiều lớp công nghệ - từ giám sát, phòng ngừa, kiểm soát truy cập cho đến quản trị rủi ro và quản lý vòng đời dữ liệu. Việc hình thành hệ sinh thái giải pháp phù hợp với điều kiện Việt Nam là yếu tố then chốt để giảm chi phí tuân thủ cho doanh nghiệp.

Ở góc độ Hiệp hội, ông Ngô Tuấn Anh cho biết định hướng hỗ trợ trong thời gian tới là đơn giản hóa việc tuân thủ cho người dân và doanh nghiệp. Theo đó, Hiệp hội sẽ sớm xây dựng và ban hành bộ tiêu chuẩn cơ sở về các biện pháp kỹ thuật bảo vệ dữ liệu và dữ liệu cá nhân.

Bộ tiêu chuẩn này được kỳ vọng trở thành tài liệu hướng dẫn tham chiếu, giúp doanh nghiệp có căn cứ rõ ràng để triển khai các biện pháp kỹ thuật theo cách đơn giản nhất nhưng vẫn đúng quy định pháp luật. Trước khi ban hành, Văn phòng Hiệp hội và Ban An ninh dữ liệu, Bảo vệ dữ liệu cá nhân sẽ phối hợp tổ chức các tọa đàm, lấy ý kiến rộng rãi để bảo đảm tiêu chuẩn có giá trị thực tiễn cao và phù hợp với luật.

Theo ông Ngô Tuấn Anh, bảo vệ dữ liệu cá nhân không phải câu chuyện riêng của Việt Nam. Hiện nay, khoảng 80% dân số thế giới đang sinh sống tại các quốc gia đã ban hành quy định về bảo vệ dữ liệu cá nhân. “Đây là xu thế tất yếu. Vấn đề không phải là có làm hay không, mà là làm thế nào để triển khai đơn giản, thuận tiện, nhưng vẫn bảo đảm tuân thủ pháp luật”, ông nhấn mạnh.

Thu Uyên