Hôm nay (20/3/2026), hội thảo “Tuân thủ Luật Bảo vệ dữ liệu cá nhân: Thách thức, rủi ro và giải pháp công nghệ” đã diễn ra tại Hà Nội. Sự kiện do Bộ Khoa học và Công nghệ, Bộ Công an và Liên hiệp các Hội Khoa học và Kỹ thuật Việt Nam chỉ đạo, với sự phối hợp tổ chức của Sở KH-CN Hà Nội, Tạp chí Một Thế Giới và Công ty CP Đầu tư Thương mại và Phát triển Công nghệ FSI.

Bảo vệ dữ liệu cá nhân: Còn nhiều "khoảng trống" về nhận thức và năng lực triển khai

Đề cập đến bối cảnh thời sự trong lĩnh vực này, đại diện Ban tổ chức cho biết: Luật Bảo vệ dữ liệu cá nhân ra đời, chính thức có hiệu lực từ ngày 1.1.2026 không chỉ để bảo vệ quyền riêng tư của công dân mà còn là nền móng để xây dựng niềm tin số - tài sản quý giá nhất của mọi doanh nghiệp hiện đại. Tuy nhiên, sau 3 tháng thực thi, thực tế cho thấy đang có một "khoảng trống" lớn giữa quy định pháp lý và năng lực triển khai của doanh nghiệp.

Theo các chuyên gia, ba rào cản lớn nhất hiện nay gồm: Nhận diện rủi ro mơ hồ; Quản trị dữ liệu thiếu chuẩn hóa và Sự hạn chế về nguồn lực (chi phí, công nghệ, nhân sự)...

Phát biểu khai mạc Hội thảo, TS. Trần Văn Tùng - Chủ tịch Hội Thông tin Khoa học và Công nghệ Việt Nam - đã chỉ ra một số thực trạng cụ thể: Cộng đồng doanh nghiệp - từ các tập đoàn công nghệ lớn đến các doanh nghiệp vừa và nhỏ - đang đối mặt với sự lúng túng trong việc xác định ranh giới giữa khai thác dữ liệu hợp pháp để đổi mới sáng tạo và hành vi vi phạm quyền riêng tư. Việc tuân thủ các quy định về thu thập, lưu trữ, xử lý và chuyển giao dữ liệu cá nhân đòi hỏi sự nâng cấp khổng lồ về hạ tầng công nghệ, quy trình quản trị, cũng như nguồn nhân lực chuyên trách. Nhiều doanh nghiệp chưa nắm bắt đầy đủ các yêu cầu pháp lý, trong khi các giải pháp kỹ thuật bảo mật vẫn còn nhiều hạn chế. Ở góc độ quản lý nhà nước, việc thanh tra, kiểm tra và xử lý vi phạm trong một môi trường số không biên giới cũng đặt ra vô vàn áp lực cho các cơ quan chức năng...

"Chúng ta không thể bảo vệ dữ liệu chỉ bằng các văn bản luật nằm trên giấy; chúng ta cần các giải pháp công nghệ mã hóa, ẩn danh hóa dữ liệu, quản trị phân quyền tiên tiến, và một hệ thống thông tin khoa học minh bạch", TS. Trần Văn Tùng nhấn mạnh.

Từ góc nhìn về việc truyền thông chính sách, ông Nguyễn Quang Đồng - Viện trưởng Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) - cho rằng, trong bối cảnh dữ liệu cá nhân ngày càng trở thành tài sản chiến lược của nền kinh tế số, việc thực thi các quy định bảo vệ dữ liệu trong khu vực công đang bộc lộ nhiều hạn chế. Cụ thể, khu vực công hiện là nơi lưu trữ khối lượng dữ liệu cá nhân rất lớn, bao gồm cả dữ liệu nhạy cảm, đặc biệt trong các lĩnh vực như y tế, nơi hệ thống công lập chiếm tới khoảng 80% quy mô giường bệnh. Tuy nhiên, năng lực thực thi lại chưa tương xứng với quy mô dữ liệu đang nắm giữ.

Các hạn chế chủ yếu được chỉ ra gồm: nhận thức và hiểu biết về quy định còn hạn chế; thiếu hệ thống chính sách và quy trình nội bộ; chưa bảo đảm minh bạch và trách nhiệm giải trình với người dân; cũng như năng lực kỹ thuật trong bảo vệ dữ liệu còn yếu. Đây được xem là những “điểm nghẽn” lớn nhất cản trở hiệu quả thực thi luật trong khu vực công hiện nay.

Cần những giải pháp căn cơ và đồng bộ

Đề cập đến các yếu tố pháp lý của vấn đề, Trung tá Phạm Bảo Nguyên - Phó trưởng Phòng 5, Trung tâm Dữ liệu Quốc gia - khẳng định: "Việc thu thập, khai thác và xử lý dữ liệu cá nhân không chỉ phục vụ phát triển kinh tế số, chính phủ số, mà còn đặt ra yêu cầu cấp thiết về bảo đảm an ninh, an toàn dữ liệu và bảo vệ quyền riêng tư..."

Theo đó, Luật Bảo vệ dữ liệu cá nhân quy định rõ dữ liệu cá nhân chỉ được thu thập trong phạm vi cần thiết, phục vụ mục đích cụ thể và không được sử dụng sai mục đích. Việc xử lý dữ liệu phải dựa trên cơ sở pháp lý hợp lệ, trong đó sự đồng ý của chủ thể dữ liệu là nguyên tắc cốt lõi. Đồng thời, chủ thể dữ liệu có đầy đủ quyền như được biết, truy cập, chỉnh sửa, hạn chế xử lý hoặc khiếu nại khi quyền lợi bị xâm phạm. Bên cạnh đó, các yêu cầu về bảo đảm an toàn, an ninh dữ liệu cũng được đặt ra nghiêm ngặt.

Theo Trung tá Phạm Bảo Nguyên, việc bảo vệ dữ liệu không chỉ dừng ở yếu tố kỹ thuật, mà phải được triển khai đồng bộ cả về con người, quy trình và hệ thống quản trị nội bộ. Tuy nhiên, thực tế cho thấy, dữ liệu cá nhân đang được thu thập, lưu trữ và xử lý trên nhiều nền tảng khác nhau, trong khi nhiều hệ thống chưa được thiết kế theo nguyên tắc bảo vệ dữ liệu ngay từ đầu. Điều này khiến việc kiểm soát mục đích sử dụng, quản lý vòng đời dữ liệu trở nên phức tạp.

Cùng đó, một trong những thách thức lớn là việc thu thập và quản lý sự đồng ý của chủ thể dữ liệu. Theo quy định, sự đồng ý phải được ghi nhận rõ ràng, có thể kiểm chứng và cho phép rút lại bất cứ lúc nào. Tuy nhiên, nếu không có hệ thống quản lý minh bạch, có khả năng truy vết, các tổ chức rất dễ vi phạm mà không kiểm soát được.

Ngoài ra, dữ liệu phân tán trên nhiều hệ thống cũng gây khó khăn trong việc bảo đảm quyền của chủ thể dữ liệu, như quyền truy cập, chỉnh sửa hay xóa dữ liệu. Nếu thiếu cơ chế quản lý tập trung, các yêu cầu này có thể bị xử lý chậm trễ hoặc không chính xác, làm phát sinh rủi ro pháp lý.

Trước những thách thức đó, Trung tá Phạm Bảo Nguyên đề xuất một số nhóm giải pháp trọng tâm. Trước hết, cần xây dựng kiến trúc hệ thống theo nguyên tắc “bảo mật ngay từ thiết kế”, bảo đảm các yêu cầu về an toàn dữ liệu và quyền riêng tư được tích hợp xuyên suốt từ khâu phát triển đến vận hành. Cùng với đó, cần triển khai các nền tảng quản lý dữ liệu tập trung, cho phép phân loại dữ liệu theo mức độ nhạy cảm, kiểm soát vòng đời dữ liệu và quản lý sự đồng ý của chủ thể một cách minh bạch, có khả năng truy vết.

Một giải pháp quan trọng khác là xây dựng các nền tảng hỗ trợ thực thi quyền của chủ thể dữ liệu, giúp cá nhân có thể dễ dàng truy cập, kiểm soát và giám sát việc sử dụng dữ liệu của mình.

Về mặt kỹ thuật, cần áp dụng đồng bộ các giải pháp bảo mật hiện đại như mã hóa dữ liệu, kiểm soát truy cập theo mô hình “không tin cậy” (zero trust), giám sát liên tục và phát hiện sớm các nguy cơ rủi ro. Đối với hoạt động chia sẻ và chuyển dữ liệu, đặc biệt là dữ liệu xuyên biên giới, cần thiết lập cơ chế kiểm soát chặt chẽ, bảo đảm dữ liệu không bị khai thác trái phép.

Giải pháp "bình dân hóa" an toàn thông tin

Liên quan đến chủ đề này, ông Nguyễn Hùng Sơn - Phó Chủ tịch HĐQT Công ty FSI - đã chia sẻ về giải pháp công nghệ mới nhằm giải quyết bài toán bảo mật thông tin cho các cơ quan và doanh nghiệp một cách hiệu quả và tiết kiệm.

Dẫn số liệu thống kê cho thấy chỉ khoảng 11% tổ chức tại Việt Nam đủ năng lực phòng chống tấn công mạng, trong khi có tới 56% đơn vị chưa có cán bộ chuyên trách về an toàn thông tin, ông Hùng Sơn nhận định: "Đối với khối cơ quan hay doanh nghiệp vừa và nhỏ, thậm chí cán bộ chuyên trách về công nghệ thông tin nói chung còn thiếu, chưa nói đến chuyên gia bảo mật".

Để giải quyết bài toán này, đại diện FSI đã giới thiệu giải pháp DDHbox với triết lý "bình dân hóa" an toàn thông tin. Khác với các lớp bảo mật đầu vào như tường lửa (firewall) hay các giải pháp chống lây lan trong mạng nội bộ, DDHbox tập trung vào nhóm giải pháp thứ ba: ngăn chặn thất thoát dữ liệu ở đầu ra (Egress).

Theo đó, thiết bị DDHbox được lắp đặt tại đường ra từ mạng LAN đi Internet với ba chức năng cốt lõi: phát hiện các hành vi bất thường khi mã độc kết nối tới máy chủ điều khiển (C2) để nhận lệnh hoặc gửi dữ liệu ra ngoài; lập tức ngăn chặn các kết nối này dựa trên danh sách đen (Blacklist) được cập nhật liên tục; và cảnh báo theo thời gian thực để người dùng kịp thời khoanh vùng, loại bỏ mã độc.

Điểm đột phá của DDHbox nằm ở tư duy "Plug and Play" (cắm là chạy). Quá trình triển khai và cấu hình tự động chỉ mất từ 10 đến 15 phút, giúp các đơn vị không có kỹ sư bảo mật chuyên trách vẫn có thể vận hành hiệu quả. Toàn bộ cơ sở dữ liệu về mã độc được cập nhật 24/7 từ trung tâm giám sát an ninh mạng độc quyền tại Nhật Bản, đảm bảo hệ thống không bị lạc hậu trước các chủng mã độc mới.

"Một trong những ưu thế lớn nhất của DDHbox là tính kinh tế", ông Hùng Sơn cho biết. Giải pháp này hướng tới phân khúc các cơ quan, doanh nghiệp vừa và nhỏ có từ vài chục đến vài trăm máy tính – những đơn vị thường gặp khó khăn về kinh phí đầu tư an ninh mạng. Mô hình triển khai linh hoạt cho phép lắp đặt sau Router, Wifi hoặc Firewall, thậm chí có thể tách riêng các phòng ban quan trọng để bảo vệ cục bộ nhằm tối ưu chi phí.

Đặc biệt, FSI dự kiến sẽ tích hợp thêm gói dịch vụ bảo hiểm an ninh mạng vào giải pháp này. Trong trường hợp hệ thống đã trang bị DDHbox nhưng vẫn bị tấn công, khách hàng sẽ nhận được hỗ trợ tài chính để điều tra truy vết, khôi phục dữ liệu và xử lý sự cố, giúp bảo vệ ngân sách của đơn vị trước các rủi ro kinh tế.

Theo đại diện FSI, Giải pháp DDHbox hiện đã được triển khai thành công tại gần 10.000 cơ quan, tổ chức tại Nhật Bản và hiện đang được FSI phân phối độc quyền tại thị trường Việt Nam. Với 19 năm kinh nghiệm và vị thế trong Top 10 đơn vị cung cấp giải pháp chuyển đổi số tổng thể, FSI khẳng định cam kết đồng hành cùng các đơn vị trong việc xây dựng hệ sinh thái dữ liệu an toàn.