Nhiều doanh nghiệp vẫn mơ hồ sau 3 tháng áp dụng Luật Bảo vệ dữ liệu cá nhân

Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực từ ngày 1/1/2026, đánh dấu bước tiến quan trọng trong việc bảo vệ quyền riêng tư và xây dựng nền tảng cho kinh tế số. Tuy vậy, theo đánh giá tại hội thảo, phần lớn các doanh nghiệp Việt Nam, đặc biệt là khối doanh nghiệp vừa và nhỏ (SME), hiện vẫn đang lúng túng và vấp phải 3 rào cản lớn trong thực thi Luật này, gồm nhận diện rủi ro mơ hồ, quản trị dữ liệu thiếu chuẩn hóa và áp lực về chi phí, công nghệ.

Rất nhiều đơn vị vẫn chưa phân biệt rõ ranh giới giữa dữ liệu cá nhân cơ bản và dữ liệu nhạy cảm, dẫn đến thói quen thu thập dữ liệu tràn lan nhưng quy trình bảo mật lại vô cùng lỏng lẻo. Việc đầu tư hệ thống công nghệ để tuân thủ luật pháp thường bị coi là "chi phí phát sinh" thay vì là khoản đầu tư cho sự bền vững.

Dưới góc độ pháp lý, luật sư Lưu Xuân Vĩnh - Giám đốc điều hành Công ty Luật TNHH Asia Legal, thẳng thắn nhìn nhận phần lớn doanh nghiệp hiện nay chưa có cái nhìn đầy đủ về chính kho dữ liệu cá nhân mà mình đang nắm giữ. Không ít tổ chức đang hoàn toàn "mù mờ", không biết doanh nghiệp mình đang có những loại dữ liệu nào, được lưu trữ ở đâu, quy trình xử lý ra sao hay ai là người có quyền truy cập. Việc thiếu vắng các bộ phận chuyên trách về kiểm soát dữ liệu khiến thông tin bị phân tán, tiềm ẩn rủi ro lộ lọt rất cao.

Đáng chú ý, hệ thống công nghệ chưa hẳn là nguyên nhân gốc rễ của mọi sự cố. Theo thống kê được đưa ra, có tới 32,6% nguyên nhân dẫn đến các vụ rò rỉ dữ liệu xuất phát từ yếu tố con người, đặc biệt là thói quen bảo mật kém và sự thiếu kiểm soát nội bộ.

Sự lơ là và lúng túng này đang đặt các tổ chức trước "gọng kìm" rủi ro khổng lồ. Luật sư Lưu Xuân Vĩnh cảnh báo, quy định xử phạt trong lĩnh vực bảo vệ dữ liệu theo luật hiện nay của Việt Nam đã tiệm cận chuẩn mực quốc tế và cực kỳ nghiêm khắc.

Các vi phạm liên quan đến chuyển dữ liệu xuyên biên giới có thể phải đối mặt với mức phạt lên tới 5% doanh thu của năm liền kề, hoặc phạt tới 3 tỷ đồng đối với các hành vi vi phạm khác của tổ chức.

Đây là lời cảnh tỉnh mạnh mẽ rằng các doanh nghiệp không thể tiếp tục xem nhẹ việc bảo mật hay duy trì tư duy "xài chùa" dữ liệu người dùng.

Gỡ khó từ tư duy lãnh đạo và công nghệ "bình dân hóa"

Để thoát khỏi vòng luẩn quẩn này, ông Nguyễn Hùng Sơn, Phó Chủ tịch Hội đồng quản trị Công ty FSI, nhấn mạnh, thách thức lớn nhất cần tháo gỡ chính là nhận thức của người lãnh đạo. Chỉ khi ban lãnh đạo có định hướng chiến lược đúng đắn, chính sách bảo vệ dữ liệu mới được triển khai xuyên suốt và hiệu quả trong toàn bộ đội ngũ. Doanh nghiệp bắt buộc phải chuyển từ tư duy vận hành sang tư duy quản trị dữ liệu mang tính chiến lược, bắt đầu bằng việc rà soát lại toàn bộ nguồn dữ liệu đang sở hữu, xác định rõ quy trình thu thập, lưu trữ, xử lý và đặc biệt là các hoạt động chia sẻ dữ liệu với bên thứ ba đã bảo đảm an toàn hay chưa.

Nếu nguồn lực hạn chế, doanh nghiệp cần hoàn thiện quy trình nội bộ và tìm đơn vị tư vấn để hỗ trợ thiết lập hệ thống quản trị dữ liệu. Ngoài ra, quan trọng không kém là công tác đào tạo nhân sự, tránh để dữ liệu thất thoát từ đây.

Đồng thời, rào cản về chi phí công nghệ - vốn luôn bị coi là "chi phí phát sinh" - nay đã có lời giải. Thị trường hiện đang chuyển dịch mạnh mẽ theo xu hướng "bình dân hóa" an toàn thông tin. Nếu như trước đây doanh nghiệp phải tốn hàng tỷ đồng cho bảo mật, thì nay chỉ với vài trăm triệu đồng, họ đã có thể trang bị các công cụ hiệu quả. Điển hình như hệ thống Phòng chống thất thoát dữ liệu (DLP) của Tập đoàn MK hay giải pháp DDHbox Công ty FSI, cho phép tự động cấu hình chỉ trong 10 - 15 phút, giúp các tổ chức dù không có kỹ sư bảo mật chuyên trách vẫn có thể ngăn chặn hiệu quả dòng dữ liệu trái phép chảy ra ngoài.

Sự ra đời của Luật Bảo vệ dữ liệu cá nhân không phải để gây khó dễ cho hoạt động kinh doanh. Như nhà báo Lưu Quang Định, Tổng Biên tập Tạp chí Một Thế Giới đã nhận định: "Bảo vệ dữ liệu chính là bảo vệ nguồn sống của nền kinh tế số. Tuân thủ luật không phải là rào cản, mà là tấm vé thông hành để doanh nghiệp tiến ra biển lớn và phát triển bền vững". Đã đến lúc các doanh nghiệp cần chấm dứt sự "mù mờ", lập tức thay đổi nhận thức để tự bảo vệ tài sản cũng như xây dựng "niềm tin số" vững chắc đối với khách hàng của mình.