Không để tình trạng doanh nghiệp “nợ” tuân thủ quy định an toàn thông tin

Ông Ngô Tuấn Anh, Trưởng Ban An ninh Dữ liệu, Hiệp hội Dữ liệu Quốc gia, thông tin tại hội thảo “Thúc đẩy cách mạng số trong doanh nghiệp Bảo hiểm và Chứng khoán với AI và Dữ liệu thông minh” do GreenNode (thuộc VNG) phối hợp cùng NVIDIA, TechData và F5, tổ chức ngày 17/10.

SIẾT CHẶT QUẢN LÝ HOẠT ĐỘNG TUÂN THỦ AN TOÀN THÔNG TIN

Theo ông Ngô Tuấn Anh, dưới góc độ của cơ quan quản lý, việc kiểm tra, đánh giá mức độ tuân thủ các quy định về an toàn thông tin ở nhiều đơn vị thực tế vẫn còn đang được “nương tay”. Chẳng hạn, một đơn vị thiếu một số giải pháp kỹ thuật hoặc biện pháp bảo mật, thì… có thể vẫn được “châm trước”. 

Tuy nhiên, sắp tới cơ quan quản lý sẽ không cho phép “nợ” tuân thủ quy định an toàn hệ thống thông tin. Mọi hệ thống trước khi vận hành phải đáp ứng đầy đủ yêu cầu theo quy định pháp luật. 

Tương tự như trong lĩnh vực phòng cháy chữa cháy, nếu công trình nghiệm thu không đảm bảo quy định, thì chắc chắn không thể đưa vào sử dụng.

Trong Thông báo số 552/TB-VPCP của Văn phòng Chính phủ: Kết luận Phiên họp lần thứ tư của Ban Chỉ đạo của Chính phủ về phát triển khoa học, công nghệ, đổi mới sáng tạo, chuyển đổi số và Đề án 06, đã nhấn mạnh một thông điệp quan trọng: các dự án công nghệ thông tin phải dành tối thiểu 15% tổng kinh phí cho an toàn, an ninh mạng. 

"Điều đó có nghĩa việc bảo đảm an toàn thông tin không còn là lựa chọn, mà là một nghĩa vụ pháp lý bắt buộc", đại diện Hiệp hội Dữ liệu Quốc gia nhấn mạnh. 

Tuy nhiên, câu hỏi đặt ra là: Nếu đã triển khai đầy đủ các giải pháp bảo đảm an ninh, vậy hệ thống có hoàn toàn an toàn, không bị tấn công hay không? 

Ông Tuấn Anh cho hay không có an ninh mạng tuyệt đối. Khi đã tuân thủ và áp dụng đúng quy định, nếu vẫn xảy ra sự cố, thì đó được xem là rủi ro. Ngược lại, nếu không triển khai đầy đủ các biện pháp bảo đảm an toàn thông tin mà để xảy ra sự cố, thì người đứng đầu và những cá nhân có liên quan sẽ bị xem là vi phạm quy định, và chịu trách nhiệm pháp lý tương ứng. 

Bên cạnh đó, Thông báo số 552/TB-VPCP còn đưa ra kết luận xây dựng tài liệu hướng dẫn kỹ thuật để thực thi tiêu chuẩn TCVN 14423:2025.

Tiêu chuẩn TCVN 14423 vừa được ban hành trong năm nay có cách tiếp cận khác so với khung “an toàn thông tin theo cấp độ” đang áp dụng hiện nay, đó là phân tích và quản lý rủi ro an ninh mạng. 

Cách tiếp cận này tương đồng với chuẩn quốc tế ISO 27001, tức là thay vì chỉ định mức bảo vệ dựa trên “cấp độ”, doanh nghiệp sẽ đánh giá rủi ro cụ thể đối với từng tài sản, từng hệ thống, từ đó xác định biện pháp kiểm soát phù hợp.

Điểm khác biệt của hướng tiếp cận này là ở tính thực chất và linh hoạt. Hai hệ thống cùng cấp độ ba có thể có nguy cơ rủi ro rất khác nhau, nên việc áp dụng biện pháp bảo vệ cũng phải tương xứng với rủi ro thực tế, thay vì cứng nhắc theo khung cấp độ.

Với những doanh nghiệp đã triển khai ISO 27001, quy trình này không xa lạ: xác định tài sản thông tin, đánh giá rủi ro, lựa chọn và thực thi biện pháp kiểm soát. Cuối cùng, lãnh đạo sẽ quyết định rủi ro nào chấp nhận được, bởi trong một số trường hợp, chi phí kiểm soát có thể lớn hơn đáng kể so với thiệt hại tiềm ẩn.

MỘT SỐ ĐIỂM MỚI CỦA LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN

Liên quan đến nghị định hướng dẫn của Luật Bảo vệ dữ liệu cá nhân (có hiệu lực từ ngày 1/1/2026), ông Tuấn Anh cũng chia sẻ với các doanh nghiệp chứng khoán - bảo hiểm có mặt tại hội thảo một số khái niệm và cách tiếp cận hoàn toàn mới.

Cụ thể, dữ liệu cá nhân được phân loại thành hai nhóm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Tùy theo từng loại dữ liệu, mức độ và biện pháp kiểm soát sẽ khác nhau.

Trước đây, Nghị định 13 chỉ đưa ra khái niệm chung “dữ liệu cá nhân”. Tuy nhiên, thực tế triển khai cho thấy cần tách bạch giữa dữ liệu cơ bản và dữ liệu nhạy cảm để có cơ chế bảo vệ phù hợp hơn.

Ví dụ, trong lĩnh vực chứng khoán hoặc bảo hiểm, “chủ thể dữ liệu” có thể là nhà đầu tư, khách hàng, hoặc nhân viên của doanh nghiệp. Trước đây, quy định yêu cầu đơn vị xử lý dữ liệu phải thực hiện mọi yêu cầu của chủ thể trong vòng 72 giờ. Tuy nhiên, điều này khi triển khai thực tế đã tạo ra áp lực lớn và khó khả thi với nhiều doanh nghiệp.

Do đó, trong dự thảo nghị định mới, sẽ chỉ có nghĩa vụ liên quan đến vấn đề vi phạm dữ liệu cá nhân mới giữ nguyên thời hạn 72 giờ, còn các yêu cầu khác được kéo dài tối đa 10 ngày làm việc.

Quy định này giúp doanh nghiệp giảm áp lực tuân thủ, đồng thời vẫn bảo đảm quyền lợi hợp pháp của chủ thể dữ liệu.

Nội dung quan trọng khác trong Luật Bảo vệ dữ liệu cá nhân là yêu cầu có sự đồng ý lưu trữ dữ liệu từ chủ thể dữ liệu. Đây hiện là vấn đề mà nhiều doanh nghiệp vẫn đang vi phạm. 

Theo quy định mới, khi cơ quan chức năng tiến hành kiểm tra, doanh nghiệp phải chứng minh được dữ liệu cá nhân mình đang nắm giữ được thu thập hợp pháp, tức là đã có sự đồng ý rõ ràng của chủ thể dữ liệu.

Ví dụ, khi doanh nghiệp lưu trữ thông tin khách hàng, cần có bằng chứng chứng minh chủ thể dữ liệu đồng ý. Nếu không, dữ liệu sẽ bị xem là thu thập trái phép. Các bằng chứng có thể ở nhiều hình thức khác như văn bản, giọng nói,...

Ông Tuấn Anh cho rằng các doanh nghiệp, đặc biệt là trong lĩnh vực tài chính – chứng khoán, nên rà soát lại toàn bộ hệ thống phần mềm và quy trình nội bộ, đảm bảo ghi nhận và lưu trữ bằng chứng rõ ràng về sự đồng ý của chủ thể dữ liệu. 

Đánh giá với VnEconomy về tác động của Luật Bảo vệ dữ liệu cá nhân đối với các doanh nghiệp, ông Nghiêm Xuân Huy, Nhà sáng lập kiêm CEO của Công ty Cổ phần Finhay, cho rằng: “Chắn các doanh nghiệp sẽ phải điều chỉnh quy trình vận hành và nâng cấp hệ thống để bảo vệ dữ liệu, bảo đảm an toàn thông tin. Nhưng luật được ban hành sẽ không chỉ mang tính bắt buộc, mà còn góp phần hình thành tư duy và văn hoá bảo vệ dữ liệu cá nhân trong doanh nghiệp. Đây là bước đi cần thiết cho sự phát triển bền vững. Và chuyện doanh nghiệp tuân thủ, nâng cấp quy trình để đảm bảo an toàn dữ liệu cá nhân là điều hiển nhiên, không chỉ riêng Việt Nam mà toàn thế giới cũng đều đang làm như vậy”.