Tuân thủ Luật Bảo vệ dữ liệu cá nhân: Doanh nghiệp không thể đứng ngoài cuộc chơi mới

Khi Luật Bảo vệ dữ liệu cá nhân bước vào giai đoạn thực thi, câu chuyện bảo vệ quyền riêng tư không còn dừng ở khẩu hiệu hay khuyến nghị. Bảo vệ dữ liệu cá nhân đang trở thành phép thử năng lực quản trị, mức độ tuân thủ và cả sức cạnh tranh của tổ chức, doanh nghiệp trong nền kinh tế số.

Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân đã chính thức có hiệu lực từ đầu năm 2026, sáng 20/3, tại Trung tâm Hội nghị Quốc tế, Hà Nội, hội thảo “Tuân thủ luật bảo vệ dữ liệu cá nhân - Những thách thức, rủi ro và giải pháp công nghệ” được tổ chức như một diễn đàn đối thoại chính sách - công nghệ quy mô lớn, quy tụ khoảng 300 đại biểu đến từ cơ quan quản lý, giới chuyên gia, doanh nghiệp và báo chí.

Theo ban tổ chức, đây là một trong những diễn đàn đầu tiên tập trung phân tích những yêu cầu mới của luật, các rủi ro phát sinh trong thực tế và những công cụ công nghệ có thể hỗ trợ doanh nghiệp tuân thủ hiệu quả hơn.

Điểm chung nổi lên trong các ý kiến tại hội thảo là nhận định: dữ liệu cá nhân đã trở thành một loại tài sản đặc biệt quan trọng của thời đại số. Nhưng càng có giá trị, dữ liệu càng trở thành mục tiêu của tội phạm mạng, của các hành vi thu thập tùy tiện, mua bán trái phép hoặc khai thác vượt quá giới hạn cho phép. Vì vậy, việc luật hóa vấn đề bảo vệ dữ liệu cá nhân không chỉ nhằm bịt lỗ hổng pháp lý, mà còn để thiết lập một chuẩn mực phát triển mới cho nền kinh tế số Việt Nam.

Từ “dầu mỏ mới” đến bài toán bảo vệ quyền riêng tư

Phát biểu tại hội thảo, TS Trần Văn Tùng, Chủ tịch Hội Thông tin Khoa học và Công nghệ Việt Nam, nhấn mạnh rằng trong kỷ nguyên số, dữ liệu không còn chỉ là những con số hay văn bản lưu trữ đơn thuần, mà đã trở thành “nguồn dầu mỏ mới” của thế kỷ 21, trong đó dữ liệu cá nhân là phần hạt nhân cốt lõi. Theo ông, cùng với sự bùng nổ của AI, Big Data, IoT, những vụ rò rỉ dữ liệu quy mô lớn, tình trạng mua bán trái phép thông tin cá nhân, lừa đảo trực tuyến hay thao túng hành vi số đang đặt ra các thách thức xuyên biên giới về quyền riêng tư và an ninh thông tin.

Ông Tùng cho rằng Việt Nam đang sở hữu một kho dữ liệu số rất lớn nhờ quy mô dân số hơn 100 triệu người và tỷ lệ sử dụng Internet cao. Nhưng từ hành lang pháp lý đến thực tiễn triển khai luôn là một chặng đường khó khăn. Theo ông, các doanh nghiệp đang lúng túng trong việc xác định ranh giới giữa khai thác dữ liệu hợp pháp để đổi mới sáng tạo với hành vi vi phạm quyền riêng tư; trong khi đó, việc tuân thủ các quy định mới đòi hỏi một cuộc nâng cấp lớn về hạ tầng công nghệ, quy trình quản trị và nguồn nhân lực chuyên trách. Ông cũng nhấn mạnh, dữ liệu không thể được bảo vệ chỉ bằng văn bản trên giấy, mà phải bằng các giải pháp như mã hóa, ẩn danh hóa, quản trị phân quyền tiên tiến và hệ thống thông tin minh bạch.

Cùng chung quan điểm, ông Nguyễn Khắc Lịch, Cục trưởng Cục Công nghiệp Công nghệ thông tin (Bộ Khoa học và Công nghệ) nhìn nhận dữ liệu hiện đã trở thành yếu tố sản xuất cốt lõi, quyết định năng lực cạnh tranh của quốc gia và doanh nghiệp. Dẫn lại nhấn mạnh của Tổng Bí thư Tô Lâm rằng dữ liệu là “không khí và ánh sáng” của kỷ nguyên mới, ông Lịch cho rằng bảo vệ dữ liệu cá nhân không chỉ là yêu cầu pháp lý, mà là điều kiện tiên quyết để phát triển bền vững nền kinh tế số.

Theo ông Nguyễn Khắc Lịch, việc tuân thủ pháp luật về dữ liệu không nên bị nhìn như một gánh nặng hay rào cản. Trái lại, đó có thể trở thành động lực phát triển mới trên ít nhất bốn phương diện: góp phần hình thành thị trường dữ liệu số minh bạch, an toàn; thúc đẩy chuẩn hóa năng lực quản trị doanh nghiệp theo chuẩn quốc tế; mở ra cơ hội cho thị trường công nghệ tuân thủ (RegTech); và tạo dựng niềm tin số để thúc đẩy chuyển đổi số sâu rộng hơn trong xã hội. Đây là một cách tiếp cận cho thấy bảo vệ dữ liệu cá nhân không chỉ là “phòng thủ”, mà còn là “đầu tư” cho tương lai.

Bức tranh nền mà hội thảo đặt ra cũng khá rõ nét. Theo tài liệu bối cảnh an ninh dữ liệu Việt Nam, năm 2025 các hệ thống thông tin trong nước phải đối mặt với khoảng 552.000 cuộc tấn công mạng. Dù số lượng giảm so với năm 2024, tỷ lệ cơ quan, tổ chức, doanh nghiệp chịu thiệt hại lại tăng lên 52,3%, cho thấy các cuộc tấn công đang chuyển từ dàn trải sang có mục tiêu, tập trung vào đánh cắp dữ liệu giá trị. Thiệt hại từ các hình thức lừa đảo trực tuyến liên quan đến khai thác dữ liệu cá nhân cũng được ước tính vượt 6.000 tỷ đồng trong năm 2025.

Điểm nghẽn lớn nhất: nhận thức, năng lực và chi phí tuân thủ

Một trong những chủ đề được thảo luận nhiều tại hội thảo là khoảng cách giữa quy định pháp luật và khả năng thực thi trong thực tế. Đại diện A05, Thượng tá Nguyễn Đình Đỗ Thi, cho biết dữ liệu cá nhân đã trở thành tài sản quan trọng, song tình trạng mua bán, chia sẻ trái phép vẫn diễn ra phức tạp với quy mô lên đến hàng triệu bản ghi. Theo ông, Luật Bảo vệ dữ liệu cá nhân đã bổ sung nhiều điểm mới quan trọng như quy định rõ hơn quyền, nghĩa vụ của các bên, yêu cầu tăng cường nhân sự chuyên trách, siết lại quy trình xử lý dữ liệu và đặt ra chế tài xử phạt nghiêm khắc. Ông lưu ý các cơ quan, doanh nghiệp cần nhanh chóng rà soát hiện trạng, xây dựng kế hoạch triển khai, chuẩn hóa quy trình và đặc biệt chú trọng đến các kho dữ liệu quan trọng, có giá trị cao.

Ở góc độ nghiên cứu chính sách, ông Nguyễn Quang Đồng, Viện trưởng Viện Nghiên cứu chính sách và Phát triển truyền thông (IPS), chỉ ra một thực tế đáng chú ý: khoảng 80% người dân chưa biết về các quy định pháp luật liên quan đến bảo vệ dữ liệu cá nhân, dù họ vẫn nhận thức được tầm quan trọng của vấn đề này đối với bản thân. Theo ông, các cơ quan nhà nước cũng chưa chuẩn bị đầy đủ về chính sách, quy trình và nguồn lực để triển khai quy định mới; còn nhiều cơ quan chưa công khai các biện pháp bảo vệ dữ liệu công dân. Trong khi đó, doanh nghiệp, đặc biệt là nhóm vừa và nhỏ, gặp khó vì thiếu nguồn lực và kiến thức chuyên sâu để tuân thủ đầy đủ.

Ông Đồng cho rằng muốn luật đi vào đời sống, không thể thiếu các hoạt động truyền thông, phổ biến pháp luật, nâng cao nhận thức và cơ chế phối hợp đồng bộ giữa Nhà nước, doanh nghiệp và người dân.

Nhìn từ thực tiễn pháp lý, ông Lưu Xuân Vĩnh, luật sư điều hành Asia Legal, đánh giá Luật Bảo vệ dữ liệu cá nhân 2025 đã tạo ra bước tiến rõ rệt khi mở rộng phạm vi điều chỉnh, phân loại dữ liệu cơ bản và dữ liệu nhạy cảm, quy định chặt hơn về sự đồng ý của chủ thể dữ liệu, thời hạn xử lý yêu cầu và điều kiện chuyển dữ liệu cá nhân. Tuy vậy, ông cũng chỉ ra những thách thức không nhỏ trong khâu triển khai. Nhiều doanh nghiệp, nhất là doanh nghiệp vừa và nhỏ, chưa có đủ kiến thức và quy trình xử lý phù hợp; một số quy định về quyền chỉnh sửa, xóa dữ liệu có thể gây khó khăn cho những lĩnh vực đặc thù như tài chính - ngân hàng; còn chế tài xử phạt nếu chưa được hướng dẫn rõ hơn thì sẽ tạo ra lúng túng khi áp dụng trên thực tế.

Trung tá Phạm Bảo Nguyên, Phó trưởng phòng 5, Trung tâm dữ liệu quốc gia, tiếp tục làm rõ áp lực mà doanh nghiệp đang đối diện. Theo ông, việc Việt Nam có một đạo luật chuyên biệt về bảo vệ dữ liệu cá nhân đánh dấu sự chuyển dịch từ quản lý hành chính sang quản lý pháp lý đầy đủ, đồng thời mở rộng đối tượng áp dụng tới cả các tổ chức, cá nhân nước ngoài xử lý dữ liệu của công dân Việt Nam. Luật cũng tăng cường kiểm soát việc chuyển dữ liệu ra nước ngoài, mở rộng nhóm dữ liệu được bảo vệ như dữ liệu sinh trắc học, dữ liệu vị trí, dữ liệu trên mạng xã hội. Nhưng chính điều đó cũng buộc doanh nghiệp phải rà soát lại lượng dữ liệu cũ khổng lồ, tổ chức lại quy trình tuân thủ mà không làm chậm nhịp vận hành kinh doanh.

Công nghệ không thể thay thế pháp luật, nhưng là chìa khóa để luật đi vào thực tế

Một điểm gặp nhau giữa các tham luận là: tuân thủ pháp luật về dữ liệu cá nhân sẽ rất khó khả thi nếu doanh nghiệp chỉ tiếp cận bằng tư duy giấy tờ, đối phó hoặc làm thủ công. Các chuyên gia nêu rõ nhiều doanh nghiệp hiện vẫn gặp khó trong việc hiểu đúng phạm vi điều chỉnh của luật, chuẩn hóa việc phân loại dữ liệu và xác định các biện pháp kỹ thuật phù hợp. Trong bối cảnh rủi ro gia tăng và yêu cầu pháp lý chặt chẽ hơn, xây dựng một cơ chế quản trị dữ liệu bài bản đã trở thành nhu cầu cấp thiết đối với cả cơ quan nhà nước lẫn doanh nghiệp.

Ở đây, công nghệ được nhiều diễn giả xem như một phần lời giải. TS Trần Văn Tùng nhấn mạnh đến các giải pháp mã hóa, ẩn danh hóa và quản trị phân quyền. Ông Nguyễn Khắc Lịch đề cập tới công nghệ phi cá nhân hóa dữ liệu như một cách để vừa khai thác giá trị dữ liệu vừa bảo đảm quyền riêng tư. Trung tá Phạm Bảo Nguyên cũng cho rằng các công cụ tự động phát hiện, ngăn chặn hành vi xâm nhập dữ liệu với chi phí hợp lý có thể hỗ trợ đáng kể cho doanh nghiệp trong quá trình tuân thủ.

Các diễn giả tham dự hội thảo không chỉ tập trung vào việc “giải thích luật”, mà còn muốn định hình một hệ sinh thái công nghệ tuân thủ dữ liệu tại Việt Nam, nơi các công cụ quản trị dữ liệu, lưu trữ điện tử, kiểm soát rò rỉ và bảo vệ dữ liệu có thể hỗ trợ doanh nghiệp chuyển từ bị động sang chủ động.

Nhà báo Lưu Quang Định, Tổng biên tập Tạp chí Một Thế Giới - một trong các đơn vị đồng chủ trì hội thảo đã nhấn mạnh thông điệp mà hội thảo muốn gửi tới cộng đồng: cần nâng cao nhận thức về bảo vệ dữ liệu cá nhân không chỉ vì từng cá nhân, mà vì đó là “nguồn sống của nền kinh tế số”. Thông điệp này phần nào cho thấy câu chuyện dữ liệu cá nhân giờ đây không còn là việc riêng của bộ phận pháp chế, CNTT hay an toàn thông tin, mà đã trở thành vấn đề chiến lược của tổ chức.

Việt Nam đã bước qua giai đoạn “thiếu luật” để bước vào giai đoạn khó hơn nhiều: đưa luật vào vận hành thực chất. Chặng đường phía trước sẽ còn không ít điểm nghẽn, từ nhận thức xã hội, năng lực quản trị, chi phí đầu tư đến cơ chế hướng dẫn cụ thể. Nhưng cũng chính trong quá trình ấy, dữ liệu cá nhân đang được đặt đúng vị trí của nó: không chỉ là tài nguyên, mà là tài sản cần được bảo vệ bằng cả pháp luật, công nghệ và trách nhiệm xã hội.

Đăng Khoa