Dữ liệu cá nhân: Tài sản chiến lược và rủi ro tài chính lớn cho doanh nghiệp
Dữ liệu cá nhân đang trở thành tài sản chiến lược trong kỷ nguyên số, nhưng đồng thời cũng là nguồn rủi ro lớn nếu không được kiểm soát chặt chẽ. Theo báo cáo từ IBM Security, chi phí trung bình cho một vụ vi phạm dữ liệu đã lên tới 4,45 triệu USD, phản ánh mức độ nghiêm trọng của vấn đề này trên toàn cầu.
Áp lực tuân thủ và mức phạt cao tại Việt Nam
Tại Việt Nam, từ năm 2026, các doanh nghiệp vi phạm quy định bảo vệ dữ liệu cá nhân có thể đối mặt với mức phạt lên tới 5% doanh thu, kèm theo nguy cơ bị đình chỉ hoạt động. Điều này được quy định trong Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP có hiệu lực từ ngày 01/01/2026. Cụ thể, vi phạm thông thường có thể bị phạt tới 3 tỷ đồng, trong khi hành vi chuyển dữ liệu xuyên biên giới sai quy định có thể bị phạt 5% doanh thu năm, và việc mua bán dữ liệu cá nhân bất hợp pháp có thể bị phạt gấp 10 lần khoản thu.
Bốn nội dung cốt lõi doanh nghiệp cần lưu ý
Tại hội thảo “Hướng thực thi pháp luật” do NCA tổ chức ngày 26/3, các chuyên gia nhận định dữ liệu ngày nay không chỉ là “tài sản số” mà còn là mục tiêu bị khai thác trước mỗi cuộc tấn công mạng. Trong bối cảnh chuyển đổi số, dữ liệu ngày càng phân tán trên nhiều hệ thống, khiến việc kiểm soát trở nên khó khăn hơn. Điều này đặt ra yêu cầu bảo vệ dữ liệu không còn là lựa chọn, mà là yếu tố bắt buộc trong vận hành doanh nghiệp.
Khối An toàn Thông tin của CMC Telecom đã đưa ra 4 nội dung doanh nghiệp cần đặc biệt lưu ý liên quan đến việc lưu trữ và bảo vệ dữ liệu cá nhân:
- Quyền dữ liệu phải được thực hiện trên thực tế: Pháp luật quy định rõ người dùng có quyền truy cập, chỉnh sửa hoặc yêu cầu xóa dữ liệu cá nhân. Tuy nhiên, nhiều doanh nghiệp mới chỉ dừng ở việc ban hành chính sách, mà chưa thể thực hiện đầy đủ trong thực tế. Khi khách hàng yêu cầu xóa dữ liệu, doanh nghiệp cần xóa toàn bộ thông tin trên tất cả hệ thống liên quan, không chỉ ở một phần. Điều này đòi hỏi phải biết dữ liệu đang nằm ở đâu và được sử dụng ra sao.
- Vi phạm dữ liệu là rủi ro tài chính, không chỉ là kỹ thuật: Các sự cố rò rỉ dữ liệu không chỉ gây gián đoạn vận hành, mất uy tín mà còn phát sinh chi phí xử lý khủng hoảng. Bảo vệ dữ liệu không chỉ là vấn đề kỹ thuật mà ảnh hưởng trực tiếp đến hiệu quả kinh doanh.
- Doanh nghiệp cần biết dữ liệu đang ở đâu và đi đâu: Để tuân thủ quy định và xử lý hiệu quả các yêu cầu liên quan đến dữ liệu, doanh nghiệp cần hiểu rõ toàn bộ dòng chảy dữ liệu trong hệ thống. Điều này đồng nghĩa với việc phải xác định được dữ liệu đang được lưu trữ ở đâu, ai đang truy cập và sử dụng, cũng như dữ liệu di chuyển qua những hệ thống nào trong quá trình vận hành.
- Kiểm soát rủi ro cần được thực hiện thường xuyên: Rủi ro dữ liệu không chỉ đến từ các cuộc tấn công bên ngoài mà còn xuất phát từ chính nội bộ doanh nghiệp, như phân quyền chưa hợp lý hoặc chia sẻ dữ liệu thiếu kiểm soát. Doanh nghiệp cần chủ động nhận diện các điểm có nguy cơ rò rỉ, đánh giá mức độ ảnh hưởng nếu xảy ra sự cố, đồng thời áp dụng các biện pháp bảo vệ phù hợp như phân quyền truy cập, mã hóa và thiết lập cơ chế giám sát liên tục.
Thách thức và giải pháp cho doanh nghiệp
Theo đại diện khối An toàn Thông tin của CMC Telecom, thách thức lớn nhất hiện nay không nằm ở việc thiếu giải pháp, mà là thiếu khả năng kiểm soát dữ liệu một cách tổng thể và xuyên suốt. Nhiều doanh nghiệp vẫn chưa hình thành tư duy bảo vệ dữ liệu ở cấp hệ thống, thiếu cơ chế đảm bảo quyền của chủ thể dữ liệu, gặp khó khăn trong việc hoàn thiện hồ sơ đánh giá tác động đối với hoạt động chuyển dữ liệu xuyên biên giới, cũng như thiếu nguồn nhân lực chuyên môn phù hợp.
Do đó, doanh nghiệp cần sớm chỉ định bộ phận hoặc nhân sự phụ trách bảo vệ dữ liệu, đồng thời đẩy mạnh đào tạo để nâng cao nhận thức trong toàn tổ chức. Trong kỷ nguyên số, dữ liệu không chỉ là tài sản mà còn là trách nhiệm. Việc kiểm soát hiệu quả dữ liệu không chỉ giúp doanh nghiệp tuân thủ quy định mà còn tạo dựng niềm tin với khách hàng, từ đó hướng tới phát triển bền vững.
