Thiết lập hệ thống quản lý bảo vệ dữ liệu trong toàn bộ vòng đời xử lý

Theo quy định tại Điều 17 Nghị định 165/2025/NĐ-CP, chủ quản dữ liệu phải thiết lập hệ thống quản lý việc bảo vệ dữ liệu trong toàn bộ quá trình xử lý dữ liệu. Đây là yêu cầu mang tính nền tảng nhằm bảo đảm dữ liệu được kiểm soát chặt chẽ từ khi được hình thành cho đến khi kết thúc vòng đời sử dụng.

Ảnh minh họa. Nguồn Internet.

Trước hết, chủ quản dữ liệu phải thực hiện các biện pháp bảo vệ dữ liệu ngay từ giai đoạn thu thập và tạo lập dữ liệu. Đối với các loại dữ liệu có mức độ nhạy cảm cao như dữ liệu cốt lõi và dữ liệu quan trọng, tổ chức quản lý dữ liệu cần xây dựng quy trình thu thập, tạo lập dữ liệu cụ thể, đồng thời đánh giá và áp dụng các biện pháp bảo vệ dữ liệu trước khi tiến hành thu thập hoặc tạo lập dữ liệu.

Bên cạnh đó, chủ quản dữ liệu phải tiến hành kiểm tra tính xác thực của dữ liệu, giám sát chất lượng dữ liệu và bảo đảm khả năng truy xuất nguồn gốc dữ liệu trong suốt quá trình quản lý và khai thác. Việc kiểm soát nguồn gốc và độ tin cậy của dữ liệu có ý nghĩa quan trọng nhằm hạn chế nguy cơ dữ liệu sai lệch, dữ liệu giả mạo hoặc dữ liệu bị thay đổi trái phép.

Trong giai đoạn lưu trữ dữ liệu, Nghị định yêu cầu chủ quản dữ liệu thực hiện việc lưu trữ theo đúng phương pháp và thời hạn được quy định trong pháp luật. Đối với dữ liệu cốt lõi và dữ liệu quan trọng, chủ quản dữ liệu phải xây dựng quy trình lưu trữ dữ liệu rõ ràng, trong đó quy định cụ thể các nội dung như quy trình sao lưu dữ liệu, phục hồi dữ liệu, ghi nhật ký lưu trữ, sao lưu và phục hồi dữ liệu.

Ngoài việc xây dựng quy trình, các tổ chức còn phải thiết lập hệ thống quản lý lưu trữ dữ liệu và áp dụng các công cụ, biện pháp kỹ thuật nhằm bảo vệ dữ liệu trong suốt quá trình lưu trữ. Hệ thống này phải bảo đảm khả năng tự động sao lưu và phục hồi dữ liệu, góp phần giảm thiểu nguy cơ mất mát dữ liệu khi xảy ra sự cố hệ thống hoặc sự cố an toàn thông tin.

Một nội dung quan trọng khác là việc xóa hoặc hủy dữ liệu. Theo quy định, chủ quản dữ liệu phải thực hiện xóa hoặc hủy dữ liệu khi đã hết thời hạn lưu trữ theo quy định của pháp luật hoặc khi dữ liệu không còn cần thiết cho mục đích xử lý. Điều này nhằm tránh tình trạng lưu trữ dữ liệu quá lâu gây phát sinh rủi ro về an toàn thông tin.

Đối với việc xóa, hủy dữ liệu, chủ sở hữu dữ liệu và chủ quản dữ liệu phải xây dựng phương án xóa, hủy dữ liệu, trong đó làm rõ mục tiêu, quy tắc, quy trình và kỹ thuật xóa, hủy dữ liệu. Các hoạt động xóa, hủy dữ liệu phải được ghi nhận và lưu giữ hồ sơ. Riêng đối với dữ liệu cốt lõi và dữ liệu quan trọng, việc xóa, hủy dữ liệu phải có tài liệu chứng minh dữ liệu đã được xóa hoặc hủy và không thể khôi phục.

Kểm soát truy cập dữ liệu, chia sẻ dữ liệu và tăng cường đánh giá rủi ro

Nghị định 165/2025/NĐ-CP cũng quy định rõ các yêu cầu đối với việc xử lý, sử dụng và chia sẻ dữ liệu, đặc biệt là đối với các loại dữ liệu quan trọng.

Theo đó, khi xử lý và sử dụng dữ liệu cốt lõi hoặc dữ liệu quan trọng, chủ quản dữ liệu phải xây dựng và triển khai quy chế truy cập và truy xuất dữ liệu. Quy chế này phải bảo đảm tuân thủ nguyên tắc đặc quyền tối thiểu, tức là mỗi cá nhân, bộ phận hoặc hệ thống chỉ được cấp quyền truy cập ở mức tối thiểu cần thiết để thực hiện nhiệm vụ.

Ngoài việc ban hành quy chế truy cập dữ liệu, các tổ chức phải xây dựng hệ thống kiểm soát truy cập dữ liệu, trong đó thiết lập nền tảng quản lý truy cập và nhận dạng thống nhất. Đồng thời, phải áp dụng các biện pháp kỹ thuật để bảo vệ dữ liệu và kiểm soát việc truy cập, truy xuất dữ liệu trong suốt quá trình xử lý và sử dụng.

Đối với trường hợp cung cấp dữ liệu ra bên ngoài, chủ quản dữ liệu có trách nhiệm làm rõ phạm vi, mục đích và quy trình cung cấp dữ liệu. Đồng thời, tổ chức phải xây dựng quy chế bảo vệ dữ liệu và áp dụng các biện pháp bảo vệ phù hợp với mức độ phân loại, mục đích sử dụng và trường hợp ứng dụng của dữ liệu.

Trong trường hợp công khai dữ liệu, chủ sở hữu dữ liệu phải tiến hành phân tích và đánh giá tác động của việc công khai dữ liệu đối với nhiều yếu tố quan trọng như quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội cũng như sức khỏe và an toàn của cộng đồng. Quy định này nhằm bảo đảm việc công khai dữ liệu không gây ảnh hưởng tiêu cực đến lợi ích quốc gia hoặc trật tự xã hội.

Ngoài ra, Nghị định cũng quy định rõ trách nhiệm của chủ quản dữ liệu trong các trường hợp chuyển giao dữ liệu do tổ chức lại, giải thể hoặc phá sản. Khi có nhu cầu chuyển dữ liệu, chủ quản dữ liệu phải xây dựng kế hoạch chuyển dữ liệu và thông báo cho các cơ quan, tổ chức, cá nhân bị ảnh hưởng.

Trong trường hợp tổ chức quản lý dữ liệu cốt lõi hoặc dữ liệu quan trọng thực hiện việc tổ chức lại hoặc giải thể, chủ quản dữ liệu phải áp dụng các biện pháp bảo đảm an toàn dữ liệu và báo cáo phương án xử lý dữ liệu, thông tin của bên tiếp nhận dữ liệu cho cơ quan có thẩm quyền.

Bên cạnh đó, nếu chủ quản dữ liệu ủy thác cho tổ chức hoặc cá nhân khác thực hiện hoạt động xử lý dữ liệu, thì trách nhiệm bảo mật dữ liệu của bên ủy thác và bên được ủy thác phải được làm rõ thông qua hợp đồng hoặc thỏa thuận ủy thác. Trường hợp ủy thác xử lý dữ liệu quan trọng hoặc dữ liệu cốt lõi, bên ủy thác phải thực hiện việc xác minh năng lực và trình độ bảo vệ dữ liệu của bên được ủy thác.

Một điểm đáng chú ý trong Nghị định 165/2025/NĐ-CP là quy định về ghi nhật ký xử lý dữ liệu. Theo đó, đối với dữ liệu cốt lõi và dữ liệu quan trọng, chủ quản dữ liệu phải ghi nhật ký xử lý dữ liệu trong toàn bộ quá trình xử lý và lưu giữ nhật ký trong thời gian ít nhất 6 tháng. Việc ghi nhật ký giúp tăng cường khả năng kiểm soát, truy vết các hoạt động liên quan đến dữ liệu khi cần thiết.

Ngoài ra, các chủ quản dữ liệu cốt lõi và dữ liệu quan trọng phải thực hiện đánh giá rủi ro hằng năm đối với hoạt động xử lý dữ liệu trong phạm vi quản lý của mình. Báo cáo đánh giá rủi ro phải được lập và lưu trữ theo mẫu quy định tại Nghị định, đồng thời phải luôn sẵn sàng phục vụ hoạt động kiểm tra, đánh giá của cơ quan có thẩm quyền.

Báo cáo đánh giá rủi ro phải bao gồm các nội dung như: thông tin cơ bản về chủ quản dữ liệu và bộ phận có chức năng bảo vệ an toàn dữ liệu; thông tin liên hệ của người chịu trách nhiệm bảo vệ dữ liệu; mục đích, loại dữ liệu, số lượng dữ liệu, phương pháp xử lý dữ liệu; phạm vi và thời gian lưu trữ dữ liệu; hệ thống quản lý bảo vệ dữ liệu; các biện pháp kỹ thuật bảo vệ dữ liệu như mã hóa, sao lưu, dán nhãn, kiểm soát truy cập và xác thực.

Bên cạnh đó, báo cáo cũng phải nêu rõ các rủi ro an toàn dữ liệu đã phát hiện, các sự cố an toàn dữ liệu đã xảy ra và biện pháp xử lý. Ngoài các nội dung trên, báo cáo đánh giá rủi ro còn phải bao gồm các nội dung khác theo quy định của cơ quan có thẩm quyền.

Có thể thấy, các quy định tại Điều 17 Nghị định 165/2025/NĐ-CP đã thiết lập một khung quản trị dữ liệu toàn diện, bao phủ toàn bộ vòng đời dữ liệu từ thu thập, xử lý, lưu trữ đến xóa, hủy dữ liệu. Đây được xem là cơ sở pháp lý quan trọng nhằm tăng cường trách nhiệm của các cơ quan, tổ chức trong việc quản lý và bảo vệ dữ liệu, góp phần bảo đảm an toàn thông tin và nâng cao hiệu quả quản trị dữ liệu trong bối cảnh chuyển đổi số đang diễn ra mạnh mẽ.

Thu Uyên