Kỷ nguyên của những lỗ hổng số
Chúng ta đang sống trong một thời đại mà dữ liệu trở thành tài sản quý nhất, nhưng cũng dễ tổn thương nhất. Những vụ rò rỉ thông tin không còn bắt đầu bằng những cuộc tấn công ồn ào, mà âm thầm diễn ra từ bên trong qua những tài khoản yếu, những cấu hình sai, hay một cú nhấp chuột vô tình. Theo Báo cáo Fortinet Global Threat Landscape 2025, số lượng thông tin đăng nhập bị đánh cắp và rao bán trên dark web đã tăng 42% chỉ trong vòng một năm. Điều này cho thấy tội phạm mạng đã thay đổi chiến thuật: thay vì tấn công trực diện vào tường lửa, chúng tìm cách “lách” qua những cánh cửa vô tình mở sẵn lỗi con người, hệ thống chưa được cập nhật, hoặc quy trình bảo mật bị bỏ ngỏ. Trước thực tế đó, các cơ quan quản lý trên toàn cầu đang phản ứng bằng những quy định chặt chẽ hơn về bảo mật dữ liệu cá nhân.
Trong đó, Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu là một trong những bộ luật toàn diện và có ảnh hưởng lớn nhất, định hình lại cách tổ chức trên toàn thế giới thu thập, lưu trữ và bảo vệ dữ liệu.
Hiện nay, Việt Nam đang tiến một bước quan trọng trong việc bảo vệ dữ liệu cá nhân với Luật Bảo Vệ Dữ Liệu Cá Nhân (PDPL), có hiệu lực từ ngày 1 tháng 1 năm 2026. Đây là một bước ngoặt cho tất cả các doanh nghiệp hoạt động tại Việt Nam hoặc xử lý dữ liệu từ Việt Nam. Tuân thủ quy định không chỉ là để tránh bị phạt mà còn là minh chứng cho uy tín và năng lực quản trị của doanh nghiệp trong kỷ nguyên số. Việc này đòi hỏi sự cảnh giác liên tục, khả năng phản ứng nhanh với sự cố và khả năng kiểm soát mọi thông tin cá nhân.
Hiểu đúng về GDPR và tầm quan trọng của nó
GDPR, có hiệu lực từ tháng 5 năm 2018, được thiết kế nhằm bảo vệ dữ liệu cá nhân của công dân Liên minh Châu Âu. Nó đã thay đổi căn bản cách doanh nghiệp tiếp cận vấn đề an ninh thông tin, yêu cầu tổ chức phải chủ động đánh giá rủi ro, duy trì quy trình bảo vệ liên tục, và áp dụng công nghệ hiện đại để ngăn ngừa vi phạm.
Tuân thủ GDPR không phải là hành động “một lần cho xong” mà là một quá trình liên tục. Doanh nghiệp cần định kỳ đánh giá, giám sát, cập nhật biện pháp an toàn, đồng thời chuẩn bị sẵn kịch bản phản ứng nhanh khi xảy ra sự cố rò rỉ dữ liệu.
Mục tiêu chính của GDPR bao gồm:
- Bảo vệ quyền riêng tư của cá nhân.
- Cung cấp cho người dùng quyền kiểm soát cách thức dữ liệu cá nhân của họ được thu thập, sử dụng và chia sẻ.
- Đảm bảo các tổ chức chịu trách nhiệm về an ninh và tính minh bạch trong các hoạt động liên quan đến dữ liệu.
Nguyên tắc cốt lõi của GDPR
-
- Tính hợp pháp: Mọi hoạt động xử lý dữ liệu phải có cơ sở pháp lý rõ ràng, chẳng hạn như sự đồng ý của người dùng, thực hiện hợp đồng, nghĩa vụ pháp lý hoặc lợi ích hợp pháp.
- Tính công bằng: Dữ liệu phải được xử lý một cách công bằng, không gây hiểu lầm hoặc tổn hại đến chủ thể dữ liệu.
- Tính minh bạch: Cá nhân phải được thông báo rõ ràng về cách thức và lý do dữ liệu của họ được sử dụng. Điều này bao gồm thông tin về đơn vị kiểm soát dữ liệu, mục đích xử lý, thời gian lưu trữ dữ liệu và các quyền của họ.
Dữ liệu cá nhân phải được thu thập vì những mục đích cụ thể, rõ ràng và hợp pháp. Dữ liệu không được sử dụng theo cách không phù hợp với các mục đích ban đầu đã xác định. Chỉ thu thập những dữ liệu cần thiết và liên quan đến mục đích đã nêu. Tránh việc thu thập hoặc lưu trữ nhiều dữ liệu hơn mức cần thiết.
Dữ liệu chỉ nên được lưu trữ trong thời gian cần thiết để phục vụ mục đích đã định. Việc lưu trữ lâu hơn chỉ được phép khi phục vụ lợi ích công cộng, nghiên cứu khoa học hoặc lịch sử, hoặc mục đích thống kê với các biện pháp bảo vệ phù hợp.
Dữ liệu cá nhân phải chính xác và được cập nhật thường xuyên. Cần thực hiện các bước hợp lý để chỉnh sửa hoặc xóa dữ liệu không chính xác một cách kịp thời.
Dữ liệu phải được xử lý một cách an toàn để ngăn chặn truy cập trái phép, mất mát hoặc hư hại. Điều này bao gồm việc áp dụng các biện pháp kỹ thuật và tổ chức phù hợp, được gọi là “bảo mật theo thiết kế và mặc định”.
Đơn vị kiểm soát dữ liệu có trách nhiệm tuân thủ đầy đủ sáu nguyên tắc nêu trên và phải có khả năng chứng minh việc tuân thủ đó. Điều này bao gồm:
-
- Ghi chép lại các hoạt động xử lý dữ liệu
- Triển khai các chính sách bảo vệ dữ liệu
- Đào tạo nhân viên về quyền riêng tư dữ liệu
- Đánh giá rủi ro: Thường xuyên đánh giá các rủi ro liên quan đến dữ liệu cá nhân và thực hiện các biện pháp giảm thiểu rủi ro.
Biện pháp bảo mật doanh nghiệp cần áp dụng theo GDPR
Để đáp ứng yêu cầu của GDPR, các tổ chức cần triển khai các biện pháp kỹ thuật và quy trình quản trị phù hợp, bao gồm:
-
- Mã hóa dữ liệu cá nhân (Encryption) nhằm ngăn truy cập trái phép.
- Phân quyền truy cập (Access Control) theo vai trò và chức năng.
- Ẩn danh hoặc che thông tin nhạy cảm (Data Masking) khi chia sẻ.
- Kiểm toán định kỳ (Audit) để đảm bảo tính tuân thủ.
- Thông báo vi phạm (Breach Notification) trong vòng 72 giờ kể từ khi phát hiện sự cố.
Bài học thực tế: khi dữ liệu không còn là chuyện nội bộ GDPR đã dẫn đến nhiều án phạt kỷ lục trên toàn cầu, khiến ngay cả các tập đoàn công nghệ lớn nhất cũng phải thay đổi. Và thông điệp rất rõ ràng: Mất dữ liệu không chỉ gây thiệt hại tài chính mà còn đánh mất niềm tin và danh tiếng.
Khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam
Từ ngày 1/1/2026, Luật Bảo vệ Dữ liệu Cá nhân (PDPL) chính thức có hiệu lực, thay thế Nghị định 13/2023/NĐ-CP.
Đây là bộ luật đầu tiên của Việt Nam được xây dựng riêng cho việc bảo vệ dữ liệu cá nhân, đánh dấu bước tiến quan trọng trong việc bảo vệ quyền riêng tư và tăng cường an ninh mạng quốc gia. Luật PDPL không chỉ tham chiếu nhiều nguyên tắc của GDPR châu Âu, mà còn được điều chỉnh để phù hợp với thực tiễn quản trị, pháp lý và an ninh tại Việt Nam.
Điểm đáng chú ý đặc biệt: Không giống như cách tiếp cận trung lập về công nghệ của GDPR và các khung pháp lý quốc tế khác, PDPL giới thiệu các quy định cụ thể theo từng ngành – có lẽ nhằm tạo điều kiện thuận lợi cho việc tuân thủ trong các ngành sử dụng dữ liệu nhiều. Cách tiếp cận này rất hợp lý trong bối cảnh Việt Nam, nơi khái niệm quyền riêng tư dữ liệu vẫn còn tương đối mới, và nhiều ngành đã bày tỏ lo ngại về thách thức khi áp dụng Nghị định 13 vào thực tiễn hoạt động cụ thể của họ.
Một bước phát triển quan trọng là việc giới thiệu các miễn trừ dành cho doanh nghiệp vừa và nhỏ (SME), thể hiện sự chuyển đổi thực tế hơn so với cách áp dụng rộng rãi và đồng đều của Nghị định 13. Yêu cầu thông báo vi phạm dữ liệu cũng được thu hẹp chỉ áp dụng cho các trường hợp gây thiệt hại nghiêm trọng, phù hợp hơn với GDPR.
Quan trọng hơn, luật miễn trừ các tổ chức đã phải thực hiện Đánh giá Tác động Xử lý Dữ liệu Cá nhân và Đánh giá Tác động Chuyển giao Dữ liệu Xuyên biên giới theo PDPL khỏi các nghĩa vụ trùng lặp theo Luật Dữ liệu – một quy định khác do Bộ Công an quản lý. Việc miễn trừ này thể hiện sự phản hồi của chính phủ đối với ý kiến từ doanh nghiệp và nỗ lực giảm bớt gánh nặng hành chính.
Dù có những linh hoạt này, PDPL vẫn áp dụng một tư thế tổng thể nghiêm ngặt hơn.
Những điểm nổi bật của PDPL:
-
- Phạm vi điều chỉnh rộng, bao gồm cả lĩnh vực việc làm, trí tuệ nhân tạo (AI) và dữ liệu sinh trắc học.
- Doanh nghiệp nhỏ và vừa (SME) được gia hạn tối đa 5 năm cho các nghĩa vụ như đánh giá tác động dữ liệu hoặc bổ nhiệm Nhân sự Bảo vệ Dữ liệu (DPO).
- Báo cáo sự cố cho Bộ Công an (MPS) trong vòng 72 giờ nếu xảy ra rò rỉ hoặc nguy cơ gây thiệt hại.
- Phạm vi áp dụng ngoài lãnh thổ, bao gồm cả các tổ chức nước ngoài xử lý dữ liệu của công dân Việt Nam.
- Sự đồng ý vẫn là cơ sở pháp lý chính cho việc xử lý dữ liệu và được nhấn mạnh trong các hoạt động theo ngành cụ thể và hoạt động rủi ro cao.
- Đánh giá tác động dữ liệu (DPIA) là bắt buộc với mọi hoạt động xử lý và chuyển dữ liệu xuyên biên giới, phải gửi báo cáo cho MPS trong 60 ngày.
- Việc xử lý dựa trên các cơ sở pháp lý khác phải chịu cơ chế giám sát.
- Việc xử lý dựa trên “lợi ích hợp pháp” (legitimate interest)không được phép theo khung pháp lý hiện tại.
- Việc mua bán dữ liệu cá nhân vẫn bị cấm nghiêm ngặt, với mức phạt lên đến 10 lần doanh thu thu được từ hoạt động đó.
- Các vi phạm khác có thể dẫn đến phạt tiền lên đến 5% doanh thu đối với vi phạm chuyển giao dữ liệu xuyên biên giới, hoặc lên đến 3 tỷ VND đối với các trường hợp không tuân thủ chung
Các biện pháp an ninh mạng trọng yếu để tuân thủ PDPL
- Xác định loại dữ liệu cá nhân mà doanh nghiệp đang thu thập, lưu trữ, và xử lý.
- Phân loại dữ liệu theo mức độ nhạy cảm và xác định mục đích sử dụng.
- Thiết lập và thực hiện chính sách bảo mật rõ ràng, minh bạch để đảm bảo quyền riêng tư của người dùng.
- Đảm bảo nhân viên hiểu và tuân thủ chính sách này.
- Tổ chức đào tạo về GDPR và PDPL để tăng cường ý thức và hiểu biết về cách xử lý dữ liệu cá nhân.
- Cung cấp thông tin đầy đủ và rõ ràng cho người dùng trước khi thu thập dữ liệu.
- Đảm bảo có được sự đồng ý rõ ràng và lưu trữ bằng chứng về sự đồng ý.
Triển khai hệ thống DLP (Data Loss Prevention) để tự động kiểm soát và chặn các hành vi nguy hiểm với dữ liệu nhạy cảm, bao gồm:
-
- Chặn sao chép: Không cho phép copy thông tin khách hàng, hồ sơ nhân sự, dữ liệu tài chính vào USB, email cá nhân, hoặc tải lên các nền tảng không chính thống (được cho phép sử dụng trong công việc)
- Chặn chia sẻ: Cấm gửi file chứa dữ liệu sinh trắc học, số CMND/CCCD, tài khoản ngân hàng qua Zalo, Messenger, hoặc email không mã hóa.
- Chặn rò rỉ ra ngoài: Phát hiện và ngăn chặn khi dữ liệu được tải lên website lạ, cloud công cộng (Dropbox, WeTransfer), hoặc bị mã độc đánh cắp.
Mã hóa dữ liệu (Encryption)
-
- Mã hóa dữ liệu tĩnh (toàn bộ ổ cứng, cơ sở dữ liệu, file lưu trữ. Ví dụ: Số điện thoại khách hàng, CMND/CCCD, thông tin ngân hàng không thể đọc được nếu không có khóa giải mã.
- Mã hóa dữ liệu truyền tải (data in transit) website, email, API. Dùng VPN khi nhân viên truy cập từ xa
Kiểm soát truy cập
- Phân quyền theo vai trò (RBAC – Role-Based Access Control):
- Bộ phận nhân sự → chỉ xem hồ sơ nhân viên.
- Bộ phận tài chính → chỉ xem dữ liệu thanh toán.
- Không ai được quyền “toàn bộ hệ thống”.
- Xác thực đa yếu tố (MFA – Multi-Factor Authentication): Bắt buộc mật khẩu + mã OTP hoặc vân tay khi đăng nhập vào hệ thống chứa dữ liệu nhạy cảm.
- Nguyên tắc ít quyền nhất (Least Privilege): Chỉ cấp quyền đúng và đủ cho công việc, tự động thu hồi khi không còn cần thiết.
Giám sát 24/7 mọi thiết bị kết nối mạng công ty, với các tính năng:
- Phát hiện tức thì: Nhận diện hành vi bất thường như:
- Mã độc ransomware mã hóa dữ liệu.
- Tài khoản bị đánh cắp đăng nhập từ nước ngoài.
- Phần mềm lạ truy cập cơ sở dữ liệu khách hàng.
- Cách ly tự động: Khi phát hiện, hệ thống ngay lập tức ngắt kết nối thiết bị khỏi mạng, chặn truy cập dữ liệu, và gửi cảnh báo cho đội IT.
- Ngăn lan rộng: Tránh tình trạng một máy bị hack → lây nhiễm toàn bộ hệ thống. Và đáp ứng yêu cầu ứng phó sự cố trong 72 giờ.
Xây dựng một quy trình ứng phó sự cố (Incident Response Plan) với các quy định cụ thể về:
- Vai trò trách nhiệm: Ai là người phát hiện? Ai là người ra quyết định? Ai thông báo cho MPS (Bộ Công an) hoặc khách hàng?
- Thời hạn xử lý: Phát hiện → cách ly trong 1 giờ; báo cáo nội bộ trong 4 giờ; báo MPS trong 72 giờ (nếu gây thiệt hại nghiêm trọng).
- Luồng thông tin minh bạch: Ai được thông báo? Dùng kênh nào (email nội bộ, hệ thống ticketing, họp khẩn)?
Đảm bảo ngăn chặn vi phạm lan rộng và đáp ứng yêu cầu pháp lý
Triển khai hệ thống ghi nhận và giám sát truy cập:
-
- Ghi lại chi tiết: Ai (tên tài khoản), truy cập dữ liệu gì (tệp khách hàng, hồ sơ nhân sự…), khi nào (thời gian chính xác), bằng cách nào (từ máy nội bộ, VPN, cloud?).
- Phát hiện bất thường tự động: Ví dụ: Nhân viên hành chính tải 10.000 hồ sơ khách hàng lúc 2h sáng → cảnh báo ngay.
- Ngăn chặn trước khi rò rỉ: Tự động khóa tài khoản, cách ly thiết bị, hoặc chặn tải xuống. → Mục tiêu: Tuân thủ nguyên tắc “bảo mật” (PDPL Điều 21, GDPR Điều 32) và phát hiện sớm mối đe dọa nội bộ/ngoại vi.
Tuân Thủ Không Chỉ Là Về Việc Tránh Phạt
Trong quá khứ, việc tuân thủ chủ yếu chỉ liên quan đến việc tránh các hình phạt. Nhưng ngày nay, nó đã trở thành việc minh chứng cho độ tin cậy và khả năng kiểm soát. Khách hàng, đối tác và các nhà quản lý kỳ vọng các công ty phải chứng minh rằng họ có khả năng bảo vệ dữ liệu, phản ứng kịp thời với các sự cố và duy trì tính minh bạch.
Cả GDPR và PDPL đều có cùng nền tảng:
-
- Tính minh bạch – Cá nhân phải biết cách thức dữ liệu của họ được thu thập và sử dụng.
- Đồng ý – Dữ liệu cá nhân không được xử lý nếu không có sự cho phép rõ ràng.
- Trách nhiệm – Doanh nghiệp phải bảo vệ, quản lý và xóa dữ liệu một cách có trách nhiệm.
- Trách nhiệm giải trình – Các tổ chức phải chứng minh rằng họ có hệ thống và quản trị cần thiết để bảo mật dữ liệu.
Tóm lại, tuân thủ không còn là một dự án một lần — mà là một cam kết liên tục cần được xây dựng vào mọi tầng lớp trong chiến lược an ninh mạng của bạn. Những doanh nghiệp thể hiện được sự quản lý dữ liệu mạnh mẽ sẽ có lợi thế cạnh tranh, thu hút nhiều khách hàng hơn và tăng cường khả năng chống chọi trước các rủi ro mạng ngày càng gia tăng.
Biến tuân thủ thành lợi thế cạnh tranh
Các chương trình Tuân thủ và Bảo vệ Dữ liệu của ITM giúp doanh nghiệp hiểu và thực thi các quy định phức tạp như GDPR và PDPL Việt Nam thông qua giải pháp thực tế, rõ ràng và hiệu quả.
ITM đồng hành cùng doanh nghiệp để:
-
- Phát hiện sớm rủi ro qua giám sát theo thời gian thực.
- Ngăn ngừa và kiểm soát rò rỉ dữ liệu trước khi thành vi phạm.
- Nâng cao năng lực quản trị dữ liệu minh bạch, sẵn sàng kiểm toán.
- Trang bị kỹ năng cho đội ngũ trong quản lý và xử lý dữ liệu nhạy cảm.
- Xây dựng năng lực phục hồi số bền vững qua đào tạo và phòng ngừa chủ động.
- Bảo vệ dữ liệu cá nhân không chỉ là tuân thủ pháp luật mà là bảo vệ niềm tin và uy tín doanh nghiệp.
Hãy hợp tác cùng ITM để kiến tạo một tổ chức an toàn, chủ động và sẵn sàng cho tương lai số.
