Vì sao có sự "lệch pha" trong tuân thủ dữ liệu giữa doanh nghiệp FDI và SME Việt Nam?

Dưới góc nhìn của một người tư vấn pháp lý và thường xuyên làm việc trực tiếp với doanh nghiệp, Luật sư Lưu Xuân Vĩnh, Giám đốc kiêm Luật sư điều hành Asia Legal, cho biết hiện nay vẫn có không ít doanh nghiệp cho rằng các sự cố liên quan đến dữ liệu cá nhân chỉ đơn thuần là rủi ro, có thể xảy ra một cách “vô tình”, và bản thân họ không có lỗi cố ý.

Tuy nhiên, theo Luật sư, khi các quy định đã được đặt ra trong khuôn khổ pháp luật, thì việc không tuân thủ các quy định, dù vô tình hay không, đều có thể bị xem là vi phạm pháp lý, chứ không chỉ dừng lại ở mức độ rủi ro.

ĐẦU TƯ VÀO VIỆT NAM, DOANH NGHIỆP FDI RẤT CHÚ TRỌNG TUÂN THỦ PHÁP LÝ

“Trong quá trình tư vấn cho doanh nghiệp, chúng tôi nhận thấy một đặc điểm chung của 100% khách hàng doanh nghiệp FDI. Ưu tiên hàng đầu của họ là đảm bảo tuân thủ các quy định pháp lý. Các doanh nghiệp này đến từ các quốc gia phát triển, nơi đã hình thành sẵn tư duy tuân thủ pháp luật. Vì vậy, khi đầu tư vào Việt Nam, họ rất chú trọng vấn đề này”, Luật sư Lưu Xuân Vĩnh chia sẻ.

“Trong khi đó, đối với doanh nghiệp nhỏ và vừa, tình hình lại rất khác. Có những doanh nghiệp đã nắm được thông tin về các quy định mới liên quan đến bảo vệ dữ liệu cá nhân, nhưng cũng có không ít doanh nghiệp hoàn toàn chưa tiếp cận được”.

Đáng chú ý, nguồn lực là yếu tố đóng vai trò rất quan trọng. Các doanh nghiệp FDI thường có đủ tài chính và nhân sự để triển khai các yêu cầu tuân thủ. Nhưng doanh nghiệp vừa và nhỏ hầu hết đang phải đối mặt với rất nhiều áp lực khác, từ biến động kinh tế, chính trị toàn cầu cho đến những vấn đề về chuỗi cung ứng, thị trường và sản phẩm.

Vì vậy, ưu tiên hàng đầu của nhóm doanh nghiệp vừa và nhỏ thường là câu chuyện “sống còn” của doanh nghiệp, những vấn đề nội tại như bảo vệ dữ liệu cá nhân thường “bị xếp sau”. Chưa kể, theo Luật sư, riêng trong năm 2025, số lượng văn bản pháp luật được ban hành rất lớn, nên việc doanh nghiệp gặp khó khăn trong việc cập nhật và tuân thủ là điều dễ hiểu.

“Con số 16% doanh nghiệp thực sự nhận thức và triển khai các biện pháp bảo vệ dữ liệu có nghĩa là trong sáu doanh nghiệp thì chưa đến một doanh nghiệp quan tâm đúng mức, còn phần lớn vẫn coi đây là vấn đề của người khác, không phải của mình. Đây là một thực trạng đáng suy nghĩ”, chuyên gia cho biết.

KHẢ NĂNG PHÒNG VỆ TRÊN KHÔNG GIAN SỐ BỊ “BỎ TRỐNG”

Theo bà Mai Thị Diệu Huyền, Phó Chủ tịch phụ trách Hội đồng Doanh nhân nữ Việt Nam, nguy cơ rò rỉ thông tin, không chỉ là dữ liệu cá nhân mà còn là thông tin doanh nghiệp, thông tin khách hàng. Khi những dữ liệu này bị lộ, hệ quả không chỉ dừng lại ở thiệt hại kinh doanh mà còn ảnh hưởng trực tiếp đến uy tín của doanh nghiệp và hình ảnh của người lãnh đạo. Mặc dù vậy, các doanh nghiệp vẫn còn tâm lý chủ quan.

“Nhiều doanh nghiệp nhỏ, siêu nhỏ hoặc hộ kinh doanh cho rằng quy mô của mình quá nhỏ để trở thành mục tiêu của các cuộc tấn công mạng, nên không chủ động trang bị kiến thức hay kỹ năng bảo vệ. Điều này dẫn đến việc họ gần như “bỏ trống” khả năng phòng vệ trên không gian số”, bà Mai Thị Diệu Huyền nói.

Bà Huyền cho biết tại các vùng sâu, vùng xa, nữ doanh nhân còn thiếu rất nhiều thông tin và chủ yếu tập trung vào hoạt động kinh doanh mà chưa quan tâm đầy đủ đến các yếu tố môi trường xung quanh, trong đó có an ninh mạng. Trong khi đó, dù đã có nhiều hệ sinh thái hỗ trợ doanh nghiệp nhỏ và hộ kinh doanh, nhưng không phải ai cũng biết để tận dụng.

Về rào cản khách quan, đại diện Hội đồng Doanh nhân nữ Việt Nam cho biết khó khăn lớn nhất là sự thiếu hụt nguồn lực, đặc biệt là tài chính và nhân sự chuyên trách về công nghệ trong doanh nghiệp. Với quy mô nhỏ, các doanh nghiệp do phụ nữ làm chủ thường không có điều kiện đầu tư bài bản cho hệ thống an ninh mạng hay đội ngũ kỹ thuật.

Một điểm nghẽn quan trọng khác là thiếu sự dẫn dắt và hỗ trợ kịp thời. Ngay cả khi nhận ra mình đang gặp rủi ro, ví dụ như hệ thống có dấu hiệu bị xâm nhập hoặc dữ liệu có nguy cơ bị lộ, nhiều doanh nghiệp không biết phải tìm đến ai để được hỗ trợ.

KHÔNG PHẢI CHUYỆN RIÊNG CỦA DOANH NGHIỆP, ĐÂY LÀ VẤN ĐỀ MANG TÍNH HỆ THỐNG

“Tôi cho rằng tình trạng này không chỉ riêng các nữ doanh nhân mà còn phổ biến ở nhiều doanh nghiệp nhỏ và siêu nhỏ nói chung”, bà Mai Thị Diệu Huyền nhận định. “Chính vì vậy, chúng tôi rất mong muốn có thể phối hợp với các đối tác và các bên liên quan để xây dựng một lộ trình hỗ trợ cụ thể, trong đó có những cơ chế thiết thực như một “đường dây nóng” để doanh nghiệp có thể liên hệ ngay khi gặp sự cố an ninh mạng, biết rõ mình cần gọi cho ai và phải làm gì tiếp theo”.

Theo các chuyên gia, những thực tế trên phần nào lý giải về khoảng cách tuân thủ giữa các doanh nghiệp FDI và doanh nghiệp vừa và nhỏ, siêu nhỏ nội địa. Đây không chỉ là câu chuyện riêng của từng doanh nghiệp, mà còn là vấn đề mang tính hệ thống. Khi phần lớn doanh nghiệp “bỏ trống phòng thủ”, rủi ro không còn là cá biệt, mà có thể lan rộng và ảnh hưởng đến toàn bộ môi trường kinh doanh.

Trách nhiệm của doanh nghiệp đã không chỉ dừng ở việc “không để xảy ra sự cố”, mà còn bao gồm nghĩa vụ chứng minh đã áp dụng đầy đủ các biện pháp quản lý và kỹ thuật cần thiết. Khi xảy ra rò rỉ dữ liệu, doanh nghiệp buộc phải thực hiện hàng loạt nghĩa vụ pháp lý: thông báo cho cơ quan chức năng, thông báo cho chủ thể dữ liệu bị ảnh hưởng. Song song với đó là việc rà soát hệ thống, khoanh vùng sự cố và triển khai các biện pháp khắc phục.

Đáng chú ý, nghĩa vụ giải trình trở thành “điểm then chốt”. Nếu không chứng minh được mình đã tuân thủ, doanh nghiệp rất dễ bị xác định là có sai phạm.

Từ ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân 2025 (Luật số 91/2025/QH15) chính thức có hiệu lực thi hành, cùng với Nghị định 356/2025/NĐ-CP. Doanh nghiệp phải hoàn thiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ chuyển dữ liệu ra nước ngoài trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu. Đây được xem là một “bài kiểm tra” năng lực tuân thủ mà không phải doanh nghiệp nào cũng sẵn sàng vượt qua.