Rủi ro pháp lý trong bảo vệ dữ liệu cá nhân: Doanh nghiệp đang sai ở đâu?

2 giờ trướcBài gốc

Ngày 1.1.2026 đánh dấu một cột mốc lịch sử trong tiến trình xây dựng nền kinh tế số tại Việt Nam: Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực. Tuy nhiên, đằng sau những nỗ lực hoàn thiện khung pháp lý là một thực tế đầy thách thức: phần lớn doanh nghiệp vẫn đang loay hoay ở giai đoạn giữa hiểu luật và thực thi luật.

Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực từ ngày 1.1.2026, đánh dấu một cột mốc lịch sử trong tiến trình xây dựng nền kinh tế số tại Việt Nam.

Luật Bảo vệ dữ liệu cá nhân ra đời không chỉ để bảo vệ quyền riêng tư của công dân mà còn là "tấm hộ chiếu" để doanh nghiệp Việt bước ra thế giới. Tuy nhiên, tính đến đầu năm 2026 - thời điểm Luật bắt đầu có hiệu lực - các con số thống kê cho thấy một sự lệch pha đáng báo động: 70% doanh nghiệp có nghe tên Luật nhưng chỉ có 15% đã hoàn thiện quy trình kiểm soát dữ liệu nội bộ.

Việc khai thác nguồn “dầu mỏ” của nền kinh tế số vẫn diễn ra một cách khá tự phát và thiếu kiểm soát. Tỷ lệ doanh nghiệp thực hiện đầy đủ các thủ tục hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) vẫn còn rất khiêm tốn.

Phần lớn vi phạm của doanh nghiệp được cho là không phải vì cố ý, mà vì chưa hiểu đúng và đủ về ranh giới của quyền riêng tư. Dưới đây là 5 lỗi phổ biến mà doanh nghiệp thường mắc phải.

Thứ nhất là thu thập dữ liệu vượt quá mục đích ban đầu. Đây là lỗi phổ biến nhất. Một ứng dụng bán hàng yêu cầu quyền truy cập danh bạ, vị trí GPS khi không cần thiết, hoặc một trang web yêu cầu số Căn cước chỉ để đăng ký nhận tin khuyến mãi đều là hành vi vi phạm nguyên tắc "tối thiểu hóa dữ liệu". Khi xảy ra sự cố rò rỉ, lượng dữ liệu dư thừa này sẽ làm tăng mức độ nghiêm trọng của hậu quả pháp lý.

Thứ hai là sự mập mờ trong “sự đồng ý”. Nhiều doanh nghiệp sử dụng các điều khoản mặc định hoặc gộp chung việc đồng ý bảo mật với điều khoản dịch vụ. Sự đồng ý phải được thể hiện ở định dạng có thể in, sao chép bằng văn bản, và phải cụ thể cho từng mục đích xử lý. Việc ép buộc người dùng "đồng ý tất cả hoặc không dùng dịch vụ" là một hành vi có rủi ro vi phạm cao.

Thứ ba là chuyển giao dữ liệu ra nước ngoài không đúng quy định. Các doanh nghiệp sử dụng dịch vụ lưu trữ đám mây quốc tế hoặc các công cụ marketing của bên thứ ba thường xuyên "vô tình" chuyển dữ liệu cá nhân của công dân Việt Nam ra khỏi lãnh thổ mà chưa hoàn thiện hồ sơ báo cáo với Bộ Công an.

Thứ tư là bỏ quên quyền "được quên" của khách hàng. Khi khách hàng yêu cầu xóa dữ liệu hoặc rút lại sự đồng ý, nhiều hệ thống của doanh nghiệp không có cơ chế kỹ thuật để thực hiện triệt để trên toàn bộ các lớp cơ sở dữ liệu và các bên đối tác liên kết.

Thứ năm là thiếu hụt vai trò của nhân sự bảo vệ dữ liệu (DPO). Nhiều đơn vị vẫn xem việc bảo vệ dữ liệu là nhiệm vụ của bộ phận IT. Tuy nhiên, bảo vệ dữ liệu cá nhân là sự kết hợp giữa Pháp lý - Quản trị - Công nghệ. Việc thiếu một DPO chuyên trách khiến doanh nghiệp lúng túng khi có yêu cầu thanh kiểm tra.

Năng lực hay gánh nặng?

Luật sư Nguyễn Văn Hải (Đoàn Luật sư TP. Hà Nội) cho biết: "Doanh nghiệp không nên nhìn nhận Luật Bảo vệ dữ liệu cá nhân như một gánh nặng chi phí. Hãy xem đó là bộ tiêu chuẩn quốc tế để nâng cao năng lực cạnh tranh. Trong tương lai gần, các đối tác từ EU hay Mỹ sẽ chỉ làm việc với những doanh nghiệp chứng minh được sự tuân thủ về bảo mật dữ liệu".

Thách thức lớn nhất là di sản dữ liệu. Nhiều doanh nghiệp sở hữu khối lượng dữ liệu khổng lồ tích lũy qua hàng thập kỷ mà không có "nhãn" (tag) cụ thể. Việc phân loại lại dữ liệu theo mức độ nhạy cảm để áp dụng các biện pháp bảo vệ tương ứng là một khối lượng công việc khổng lồ.

Bảo vệ dữ liệu cá nhân không chỉ là câu chuyện của các dòng mã hay các bản hợp đồng pháp lý. Đó là sự thay đổi về tư duy kinh doanh: Tôn trọng dữ liệu của khách hàng chính là tôn trọng khách hàng.

"Chúng ta đang bước vào kỷ nguyên mà uy tín của doanh nghiệp được đo bằng khả năng bảo mật thông tin. Một vụ rò rỉ dữ liệu có thể thổi bay 30-40% giá trị vốn hóa của một công ty niêm yết chỉ trong một tuần. Các lỗi 'vô tình' sẽ không còn được châm chước khi khung hình phạt mới được áp dụng", Luật sư Hải cho hay.

Tuyết Nhung

Nguồn Một Thế Giới : https://1thegioi.vn/rui-ro-phap-ly-trong-bao-ve-du-lieu-ca-nhan-doanh-nghiep-dang-sai-o-dau-247343.html