An toàn dữ liệu và tuân thủ: Góc nhìn từ Luật Dữ liệu 2024 cho doanh nghiệp Việt

An toàn dữ liệu và tuân thủ: Góc nhìn từ Luật Dữ liệu 2024 cho doanh nghiệp Việt

Trong bối cảnh chuyển đổi số mạnh mẽ, dữ liệu đã trở thành tài sản chiến lược. Việt Nam đã ban hành Luật Dữ liệu 2024, có hiệu lực từ ngày 01/7/2025, thiết lập khung pháp lý toàn diện cho hoạt động dữ liệu số. Tài liệu tập huấn “Công tác quản lý nhà nước về dữ liệu áp dụng đối với tổ chức, doanh nghiệp” do Trung Tâm Dữ Liệu Quốc Gia cung cấp hướng dẫn chi tiết giúp doanh nghiệp đảm bảo an toàn dữ liệu và tuân thủ pháp luật.

Tổng quan về Luật Dữ liệu 2024 và văn bản hướng dẫn

Luật Dữ liệu 2024 (Luật số 60/2024/QH15) là đạo luật gốc đầu tiên điều chỉnh toàn diện các hoạt động dữ liệu số tại Việt Nam. Luật nhằm thúc đẩy Chính phủ số, kinh tế số, xã hội số, và xác định rõ quyền, trách nhiệm các bên trong việc bảo vệ, quản trị, quản lý dữ liệu. Luật Dữ liệu 2024 gồm 05 chương và 46 Điều.

Quốc hội biểu quyết thông qua Luật Dữ liệu cuối năm 2024
Quốc hội biểu quyết thông qua Luật Dữ liệu cuối năm 2024

Để triển khai, Chính phủ ban hành đồng thời ba nghị định và một quyết định quan trọng, có hiệu lực từ 01/7/2025: Nghị định 165/2025/NĐ-CP (chi tiết thi hành Luật); Nghị định 160/2025/NĐ-CP (về Quỹ Phát triển dữ liệu quốc gia); Nghị định 169/2025/NĐ-CP (về hoạt động khoa học, công nghệ, đổi mới sáng tạo và sản phẩm, dịch vụ về dữ liệu); và Quyết định 20/2025/QĐ-TTg (danh mục dữ liệu cốt lõi, quan trọng). Nghị định 165 là văn bản chủ yếu quy định nghĩa vụ tuân thủ cho doanh nghiệp.

Các nghĩa vụ tuân thủ trọng yếu của doanh nghiệp

Luật Dữ liệu và văn bản hướng dẫn yêu cầu doanh nghiệp tuân thủ nhiều nghĩa vụ để bảo đảm an toàn dữ liệu suốt vòng đời xử lý, theo cấp độ dữ liệu (cốt lõi, quan trọng, và khác).

  1. Phân loại dữ liệu: Doanh nghiệp phải phân loại dữ liệu theo mức độ quan trọng (cốt lõi, quan trọng, khác) dựa trên tác động của chúng đến quốc phòng, an ninh, kinh tế, xã hội khi bị sử dụng trái phép (căn cứ Quyết định 20/2025/QĐ-TTg).
  2. Thu thập, tạo lập dữ liệu: Doanh nghiệp chịu trách nhiệm và áp dụng biện pháp bảo vệ từ giai đoạn này. Dữ liệu cốt lõi/quan trọng cần có quy trình, đánh giá rủi ro, kiểm tra xác thực và truy xuất nguồn gốc.
  3. Lưu trữ dữ liệu: Quy định thời hạn và phương pháp lưu trữ. Dữ liệu quan trọng/cốt lõi cần có quy trình sao lưu, phục hồi, ghi nhật ký, hệ thống quản lý lưu trữ, công cụ bảo vệ. Dữ liệu phải được xóa/hủy khi hết thời hạn.
  4. Truy cập, truy xuất dữ liệu: Tuân thủ quy trình kỹ thuật, đảm bảo an ninh, đúng mục đích, theo nguyên tắc “đặc quyền tối thiểu”. Dữ liệu cốt lõi/quan trọng cần có quy chế, hệ thống kiểm soát truy cập và nhận dạng thống nhất.
  5. Kết nối, chia sẻ, điều phối dữ liệu: Tuân thủ pháp luật hoặc thỏa thuận. Chia sẻ với Cơ sở dữ liệu tổng hợp quốc gia qua Nền tảng chia sẻ, điều phối dữ liệu. Cung cấp dữ liệu cho cơ quan nhà nước khi có yêu cầu khẩn cấp hoặc vì lợi ích chung (có sự đồng ý của chủ thể dữ liệu).
  6. Mã hóa, giải mã dữ liệu: Áp dụng giải pháp mã hóa khi truyền tải, lưu trữ. Quy trình giải mã cần xác thực định danh và ghi lại hoạt động.
  7. Chuyển, xử lý dữ liệu xuyên biên giới: Đảm bảo quốc phòng, an ninh, lợi ích quốc gia và quyền lợi hợp pháp. Cần có văn bản giao kết rõ ràng. Dữ liệu cốt lõi/quan trọng phải thực hiện đánh giá tác động thông qua Hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới. Hoạt động này phải dừng nếu dữ liệu bị sử dụng sai mục đích.
Tầm quan trọng của bảo mật dữ liệu
Tầm quan trọng của bảo mật dữ liệu

Đề xuất triển khai và ứng dụng cho IT doanh nghiệp

Để tuân thủ Luật Dữ liệu và tối ưu hóa giá trị, doanh nghiệp cần lộ trình bài bản:

Kế hoạch triển khai tuân thủ:

Giai đoạn 1: Đánh giá hiện trạng dữ liệu, xác định sự khác biệt của hiện trạng với yêu cầu tuân thủ, xây dựng kế hoạch chi tiết (ưu tiên dữ liệu cốt lõi/quan trọng), phân công người chịu trách nhiệm.

Giai đoạn 2: Xây dựng/cập nhật chính sách nội bộ; triển khai các biện pháp kỹ thuật như phân loại dữ liệu tự động, mã hóa, kiểm soát truy cập (đặc quyền tối thiểu), ghi nhật ký xử lý (ít nhất 6 tháng); xây dựng quy chế bảo vệ dữ liệu và kế hoạch ứng phó sự cố.

Giai đoạn 3: Đào tạo nhân viên; kiểm tra, đánh giá định kỳ và rủi ro hàng năm; cập nhật quy định và công nghệ; thực hiện đánh giá tác động chuyển dữ liệu xuyên biên giới (nếu có); quản lý đối tác.

Bộ phận IT đóng vai trò trung tâm:

Hiện đại hóa hạ tầng dữ liệu: Đầu tư trung tâm dữ liệu an toàn hoặc dịch vụ đám mây uy tín tại Việt Nam.

Kiến trúc dữ liệu đồng bộ: Xây dựng kiến trúc tích hợp để liên thông nội bộ và quốc gia.

Công nghệ bảo mật tiên tiến: Triển khai giải pháp đa lớp (tường lửa, IDS/IPS, SIEM, AI).

Phát triển sản phẩm/dịch vụ dữ liệu: Phát triển nền tảng/dịch vụ kết nối và chia sẻ dữ liệu an toàn; công cụ phân tích, tổng hợp dữ liệu ứng dụng AI (trợ lý ảo, AI tạo sinh); đảm bảo các điều kiện để doanh nghiệp được tham gia vào sàn dữ liệu (sản phẩm, dịch vụ về dữ liệu phải thực hiện thông qua sàn dữ liệu trừ các trường hợp pháp luật có quy định khác).

Chuyển đổi số nội bộ: Tận dụng dữ liệu để tự động hóa quy trình, tối ưu hóa hoạt động.

Hợp tác: Tham gia diễn đàn, hiệp hội để chia sẻ kiến thức.

Thầy Linh tham gia tạo đàm về Niềm tin số trong Diễn đàn Cấp cao Chuyển đổi số Việt Nam – Châu Á 2024
Thầy Linh tham gia tạo đàm về Niềm tin số trong Diễn đàn Cấp cao Chuyển đổi số Việt Nam – Châu Á 2024

Luật Dữ liệu 2024 là thách thức và cơ hội. Doanh nghiệp Việt, đặc biệt bộ phận IT, cần chủ động tìm hiểu, đầu tư công nghệ và nhân lực, xây dựng quy trình để quản lý dữ liệu hiệu quả, phát triển bền vững trong kỷ nguyên số.

Giảng viên Nguyễn Hoài Linh