"Nút thắt" nhân lực quản trị dữ liệu với các doanh nghiệp Việt

Hệ thống pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam đang được hoàn thiện nhanh chóng, nhưng khoảng cách giữa quy định và thực tiễn triển khai vẫn còn rất lớn. Theo các chuyên gia, thay vì lo ngại về chế tài, doanh nghiệp cần tiếp cận bài toán này theo hướng từng bước xây dựng năng lực tuân thủ, bắt đầu từ những việc căn bản nhất.

KHOẢNG CÁCH QUY ĐỊNH VÀ MỨC ĐỘ SẴN SÀNG CỦA DOANH NGHIỆP

Th.S/ Luật sư Lưu Xuân Vĩnh, Luật sư Điều hành Công ty Luật Asia Legal, cho biết theo một khảo sát được công bố trên trang của Hiệp hội Dữ liệu Quốc gia, chỉ khoảng 16,3% doanh nghiệp được hỏi cho biết đã áp dụng đầy đủ các biện pháp kỹ thuật và quản lý để bảo vệ dữ liệu. Trong khi đó, tới 83,7% doanh nghiệp còn lại gần như chưa triển khai bất kỳ biện pháp nào. Theo Luật sư, đây là con số đáng chú ý và phản ánh mức độ sẵn sàng còn rất thấp của doanh nghiệp Việt Nam.

Bức tranh này diễn ra trong bối cảnh năm 2025 chứng kiến hàng loạt luật, nghị định, thông tư liên quan đến dữ liệu được ban hành. Từ Luật Bảo vệ dữ liệu cá nhân, Nghị định 356/2025/NĐ-CP, đến các quy định ở tầng cao hơn như Luật An ninh mạng (có hiệu lực từ 1/7/2026) và Luật Dữ liệu – tất cả đang tạo nên một khung pháp lý tương đối đầy đủ.

“Có thể thấy Việt Nam đang xây dựng một hệ thống pháp lý rất nhanh và tương đối đầy đủ về bảo vệ dữ liệu cá nhân. Tuy nhiên, thách thức lớn nhất hiện nay không nằm ở việc thiếu luật, mà là khoảng cách rất lớn về nhận thức và khả năng tuân thủ giữa các nhóm đối tượng trong xã hội”, Luật sư Lưu Xuân Vĩnh nói.

Theo chuyên gia, việc nhấn mạnh vào chế tài không phải là cách tiếp cận hiệu quả. Điều doanh nghiệp cần là hiểu đúng bản chất: dữ liệu không chỉ là nghĩa vụ pháp lý, mà còn là tài sản chiến lược trong nền kinh tế số.

“NÚT THẮT” NHÂN LỰC

Một trong những khó khăn lớn với các doanh nghiệp là hoàn thiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, cũng như hồ sơ liên quan đến chuyển dữ liệu xuyên biên giới. Trên thực tế, nhiều doanh nghiệp đã gặp khó ngay từ bước đầu tiên.

“Có doanh nghiệp khi nhận danh sách đánh giá hiện trạng còn không biết điền như thế nào, phải tổ chức họp trực tuyến để hướng dẫn từng mục”, luật sư Vĩnh chia sẻ. Điều này cho thấy mức độ sơ khai trong việc quản lý và bảo vệ dữ liệu tại nhiều doanh nghiệp hiện nay.

Nguyên nhân nằm ở chỗ, để hoàn thiện các hồ sơ này, doanh nghiệp phải thực hiện một quá trình rà soát toàn diện: từ luồng dữ liệu nội bộ, vị trí lưu trữ, phân loại dữ liệu, đến các biện pháp bảo mật và kịch bản ứng phó sự cố. Đây là công việc đòi hỏi sự phối hợp giữa nhiều bộ phận như pháp chế, công nghệ thông tin và các phòng ban nghiệp vụ.

Ngay cả với những doanh nghiệp đã có bộ phận tuân thủ, đây vẫn là một lĩnh vực tương đối mới. Những người có kinh nghiệm thực tế trong lĩnh vực này hiện nay cũng chỉ khoảng 2–3 năm, tính từ khi Nghị định 13/2023 bắt đầu được áp dụng. “Nhân lực là một “nút thắt” của doanh nghiệp”, chuyên gia cho biết. “Vị trí phụ trách bảo vệ dữ liệu cá nhân không chỉ cần kiến thức pháp lý mà còn phải hiểu về công nghệ thông tin, an ninh mạng và quản trị dữ liệu. Tuy nhiên, do lĩnh vực này còn quá mới tại Việt Nam, nguồn nhân lực đáp ứng được yêu cầu đang thiếu hụt nghiêm trọng”.

Luật Bảo vệ dữ liệu cá nhân có quy định “miễn trừ” trong một khoảng thời gian nhất định đối với doanh nghiệp nhỏ, siêu nhỏ và hộ kinh doanh. Cụ thể, các đối tượng này, bao gồm cả startup công nghệ, được miễn thực hiện hồ sơ đánh giá tác động trong vòng 5 năm. Tuy nhiên, quy định đi kèm một ngoại lệ quan trọng: nếu doanh nghiệp trực tiếp xử lý dữ liệu cá nhân nhạy cảm thì vẫn bắt buộc phải thực hiện đầy đủ nghĩa vụ. Vì thế, nhiều doanh nghiệp dù thuộc diện miễn trừ trên lý thuyết nhưng trong thực tế vẫn phải tuân thủ, tùy thuộc vào loại dữ liệu mà họ xử lý.

“Chỉ cần doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm – ví dụ như khi ký hợp đồng lao động thì bắt buộc phải thu thập hồ sơ cá nhân, trong đó luôn có các thông tin liên quan đến sức khỏe và lịch sử khám chữa bệnh. Đây là dữ liệu cá nhân nhạy cảm. Một khi đã xử lý dữ liệu nhạy cảm, doanh nghiệp sẽ không còn thuộc diện được miễn trừ nữa” luật sư Vĩnh phân tích.

Ngoài ra, doanh nghiệp cần duy trì tuân thủ, cập nhật hồ sơ định kỳ, đặc biệt khi có thay đổi về mục đích xử lý hoặc đối tác liên quan. Đồng thời, đảm bảo các yêu cầu về an toàn hệ thống thông tin, vốn được phân loại theo 5 cấp độ với nhiều tiêu chí kỹ thuật khác nhau.

ÁP LỰC TUÂN THỦ CHỈ LÀ GÁNH NẶNG NGẮN HẠN

Dù đối mặt với nhiều thách thức, chuyên gia cho rằng doanh nghiệp không nên tiếp cận vấn đề bảo vệ dữ liệu cá nhân theo hướng “đối phó”, mà cần xem đây là một quá trình xây dựng năng lực lâu dài. Theo đó, doanh nghiệp có thể bắt đầu từ các bước cơ bản.

Thứ nhất, nâng cao nhận thức nội bộ. Người đứng đầu doanh nghiệp cần hiểu rõ vai trò của dữ liệu và trách nhiệm pháp lý đi kèm. Đây là yếu tố quyết định để phân bổ nguồn lực và thiết lập ưu tiên đúng đắn.

Thứ hai, doanh nghiệp nên rà soát và “vẽ lại” dòng chảy dữ liệu trong tổ chức, trả lời được những câu hỏi căn bản, dữ liệu đang được thu thập ở đâu, lưu trữ ở đâu, ai có quyền truy cập, được sử dụng vào mục đích gì. Đây là nền tảng để xây dựng các biện pháp bảo vệ phù hợp.

Thứ ba, việc triển khai nên được tiến hành từng bước các biện pháp kỹ thuật và quản lý, thay vì cố gắng làm tất cả cùng lúc. Doanh nghiệp có thể ưu tiên những dữ liệu quan trọng hoặc nhạy cảm trước, sau đó mở rộng dần phạm vi.

Ngoài ra, việc tận dụng các giải pháp công nghệ hoặc dịch vụ tư vấn bên ngoài cũng là một hướng đi khả thi, đặc biệt với những doanh nghiệp không có đội ngũ chuyên sâu. “Không nhất thiết phải đầu tư lớn ngay từ đầu. Quan trọng là có lộ trình rõ ràng và phù hợp với quy mô của mình”, luật sư Vĩnh nhấn mạnh.

Ở góc độ rộng hơn, việc tuân thủ các quy định về dữ liệu cũng mang lại lợi ích lâu dài. Khi dữ liệu trở thành tài sản cốt lõi của nền kinh tế số, những doanh nghiệp có khả năng quản trị và bảo vệ dữ liệu tốt sẽ có lợi thế cạnh tranh rõ rệt.

Chuyên gia nhấn mạnh trong bối cảnh kinh tế và địa chính trị còn nhiều biến động, áp lực tuân thủ có thể là một gánh nặng ngắn hạn. Nhưng về dài hạn, đây là một phần tất yếu của quá trình chuyển đổi số – nơi dữ liệu không chỉ cần được khai thác hiệu quả, mà còn phải được bảo vệ một cách có trách nhiệm.