Ứng phó với sự cố dữ liệu cá nhân bắt đầu từ đâu?

Khi DLCN được xem như “tài sản” chiến lược, mỗi sự cố bảo mật, dù là vô ý hay xuất phát từ tấn công mạng, đều có thể lập tức gây nên khủng hoảng pháp lý và truyền thông cho doanh nghiệp. Bài viết này đề cập đến việc doanh nghiệp sẽ ứng phó với sự cố dữ liệu cá nhân như thế nào và bắt đầu từ đâu?

Tin vui là doanh nghiệp vẫn có thể tận dụng tối đa dữ liệu cá nhân thu thập được mà vẫn bảo đảm ứng phó được khi có sự cố phát sinh nếu như ngay từ bây giờ doanh nghiệp biêt xây dựng chiến lược phù hợp cho đặc thù của doanh nghiệp.

Chiến lược quản trị DLCN chủ động dựa trên đánh giá rủi ro

Một chiến lược quản trị DLCN hiệu quả bắt đầu từ việc nhận diện được toàn bộ dòng chảy của DLCN trong doanh nghiệp. Khi doanh nghiệp hiểu chính xác mình đang thu thập dữ liệu gì, vì mục đích nào, ai được truy cập, DLCN đi qua những hệ thống nào và được lưu trữ trong bao lâu, lúc này doanh nghiệp mới có thể đánh giá đúng rủi ro và thiết lập biện pháp phòng ngừa phù hợp. Việc đánh giá rủi ro thường xuyên là nền tảng giúp doanh nghiệp chuyển từ tư duy “xử lý sự cố khi phát sinh” sang tư duy “ngăn ngừa từ gốc”.

Tham khảo trường hợp của HMI Institute of Health Sciences tại Singapore⁽¹⁾. Tổ chức này đã ngừng vận hành hệ thống đào tạo trực tuyến nhưng không đánh giá lại tình trạng DLCN sau khi đóng cổng hệ thống, dẫn đến một tệp Excel chứa thông tin của 761 cá nhân vẫn tồn tại trong thư mục web công khai và bị công cụ tìm kiếm lập chỉ mục. Điều đáng nói là tệp DLCN không bị tấn công mạng mà chỉ bị bỏ sót trong quy trình nội bộ, minh chứng cho rủi ro phát sinh khi doanh nghiệp thiếu đánh giá rủi ro toàn diện. HMI sau đó bị phạt 10.000 SGD và buộc phải tái cấu trúc hệ thống quản trị dữ liệu.

Đây cũng là điểm hạn chế phổ biến của doanh nghiệp Việt Nam khi DLCN hết mục đích sử dụng nhưng vẫn được lưu trữ đâu đó trong các hệ thống tạm thời, dữ liệu nhân sự được sao chép qua nhiều phòng ban mà không kiểm soát mức truy cập… đều tiềm ẩn rủi ro. Doanh nghiệp không có chiến lược đánh giá định kỳ, nên không thể biết dữ liệu đang nằm ở đâu và liệu nó có đang tạo ra nguy cơ pháp lý. Do đó, việc thiết lập bộ phận chịu trách nhiệm bảo vệ DLCN, triển khai đánh giá tác động xử lý DLCN và xây dựng chính sách toàn diện (đây đều là các nghĩa vụ của doanh nghiệp theo quy định của Luật Bảo vệ dữ liệu cá nhân 2025) sẽ giúp doanh nghiệp chủ động tuân thủ, phòng ngừa những sự cố về DLCN, đồng thời sẽ là công cụ hữu hiệu khi doanh nghiệp cần chứng minh tuân thủ trước cơ quan quản lý trong các tình huống phát sinh.

Kiểm soát “chuỗi cung ứng” DLCN với nhà cung cấp và đối tác

Trong môi trường kinh doanh hiện đại, DLCN hiếm khi chỉ nằm trong hệ thống của một doanh nghiệp. Dịch vụ đám mây, nền tảng marketing, giải pháp CRM, phần mềm nhân sự, ứng dụng đối tác và cả nhà thầu công nghệ đều có thể tiếp cận DLCN ở mức độ nhất định. Chính vì vậy, rủi ro không chỉ phát sinh từ nội bộ mà còn đến từ đối tác trong chuỗi cung ứng.

Một trong những minh chứng điển hình nhất cho rủi ro chuỗi cung ứng là vụ việc của Target, một tập đoàn bán lẻ lớn tại Mỹ⁽²⁾. Cuộc tấn công mạng năm 2013 gây rò rỉ thông tin của hơn 40 triệu khách hàng không bắt đầu từ hệ thống của Target, mà xuất phát từ bên thứ ba (Fazio Mechanical Services), là nhà thầu quản lý hệ thống điều hòa không khí. Tin tặc tấn công vào tài khoản ít quan trọng này, sau đó tiếp tục xâm nhập vào hệ thống thanh toán của Target. Hậu quả kéo dài nhiều năm, bao gồm thiệt hại tài chính, kiện tụng và sụt giảm niềm tin người dùng.

Sự cố DLCN vẫn có thể xảy ra ngay cả khi doanh nghiệp đã xây dựng hệ thống quản trị tốt và kiểm soát chặt chẽ đối tác. Khi điều đó xảy ra, điều quyết định mức độ thiệt hại không phải là bản thân sự cố, mà là cách doanh nghiệp ứng phó. Nếu doanh nghiệp xử lý chậm, thiếu minh bạch hoặc không đáp ứng nghĩa vụ pháp lý, sự cố có thể nhanh chóng bị biến thành khủng hoảng.

Trường hợp này cho thấy không có đối tác nào là “không hoặc ít quan trọng” khi họ có quyền truy cập vào bất kỳ phần nào của hệ thống. Một sơ suất nhỏ ở bên ngoài có thể tạo ra hậu quả khổng lồ cho doanh nghiệp ở trung tâm dữ liệu. Đối với doanh nghiệp Việt Nam, nơi mô hình thuê ngoài dịch vụ công nghệ, nhân sự và hợp tác marketing qua bên thứ ba đang gia tăng mạnh, rủi ro này càng trở nên đáng chú ý. Để giải quyết bài toán này, doanh nghiệp cần xây dựng cơ chế lựa chọn và đánh giá đối tác dựa trên tiêu chuẩn rõ ràng về bảo mật, đồng thời yêu cầu các cam kết pháp lý cụ thể liên quan đến phạm vi xử lý, mục đích, thời hạn lưu trữ và biện pháp bảo vệ DLCN. Một hợp đồng dịch vụ thông thường sẽ không đủ để bảo đảm an toàn DLCN, doanh nghiệp cần thiết lập các điều khoản chuyên biệt về bảo vệ DLCN, bao gồm trách nhiệm thông báo, nghĩa vụ hỗ trợ trong trường hợp sự cố và cơ chế bồi thường.

Tuy nhiên, hợp đồng chỉ là một phần của chiến lược. Yếu tố quan trọng hơn là khả năng giám sát và kiểm tra thường xuyên trong suốt thời gian hợp tác, thay vì kỳ vọng rằng đối tác sẽ tự giác tuân thủ nếu không có cơ chế kiểm soát tương ứng. Các cuộc đánh giá định kỳ, báo cáo bảo mật dữ liệu và việc rà soát DLCN khi kết thúc hợp đồng là những công cụ giúp doanh nghiệp đảm bảo rằng DLCN không bị sử dụng sai mục đích hoặc tồn tại ngoài phạm vi kiểm soát.

Chiến lược ứng phó khi phát sinh sự cố

Trên thực tế, sự cố DLCN vẫn có thể xảy ra ngay cả khi doanh nghiệp đã xây dựng hệ thống quản trị tốt và kiểm soát chặt chẽ đối tác. Khi điều đó xảy ra, điều quyết định mức độ thiệt hại không phải là bản thân sự cố, mà là cách doanh nghiệp phản ứng. Nếu doanh nghiệp xử lý chậm, thiếu minh bạch hoặc không đáp ứng nghĩa vụ pháp lý, sự cố có thể nhanh chóng bị biến thành khủng hoảng.

Còn nhớ sự cố dữ liệu của Equifax năm 2017, một trong những công ty xếp hạng tín dụng lớn nhất thế giới(³⁾ khi đó bị tấn công dữ liệu khiến thông tin của hơn 147 triệu người bị rò rỉ. Điều khiến Equifax chịu chỉ trích nặng nề không chỉ là lỗ hổng bảo mật, mà còn là cách họ phản ứng, khi chậm trễ công bố sự cố, thiếu minh bạch và đưa ra các thông báo mâu thuẫn khiến người dùng mất niềm tin. Hệ quả là khoản phạt và chi phí khắc phục lên tới 700 triệu đô la Mỹ đã được áp dụng với doanh nghiệp này.

Một ví dụ khác đến từ Uber năm 2016. Khi bị tấn công và mất dữ liệu của 57 triệu người dùng, Uber đã chọn cách trả tiền để tin tặc xóa dữ liệu, đồng thời cố tình che giấu sự cố⁽⁴⁾. Khi vụ việc bị phát giác, phản ứng này đã khiến Uber chịu thiệt hại pháp lý nặng nề, bao gồm án phạt của nhiều quốc gia và sự suy giảm mạnh niềm tin của khách hàng lẫn nhà đầu tư. Trường hợp của Uber cho thấy rằng che giấu sự cố không chỉ không giải quyết được vấn đề mà còn khiến doanh nghiệp tổn hại sâu sắc hơn về uy tín.

Các dẫn chứng trên phản ánh bài học quan trọng cho các doanh nghiệp, cho thấy việc phản ứng tức thời, minh bạch có kiểm soát và tuân thủ nghĩa vụ pháp lý là yếu tố then chốt để hạn chế thiệt hại. Nếu doanh nghiệp có quy trình ứng phó rõ ràng, phân công trách nhiệm, chuẩn bị sẵn kịch bản truyền thông và cơ chế báo cáo cho cơ quan quản lý, họ có thể giảm đến mức thấp nhất hậu quả pháp lý và truyền thông. Không những vậy, chiến lược ứng phó toàn diện không chỉ tập trung vào thời điểm xảy ra sự cố, mà còn bao gồm giai đoạn phục hồi, đánh giá nguyên nhân, khắc phục lỗ hổng và chứng minh sự cải thiện. Đây là giai đoạn giúp doanh nghiệp thể hiện tinh thần cầu thị và năng lực quản trị, yếu tố quan trọng để khôi phục uy tín trong mắt người dùng.

Như vậy, có thể thấy, ba chiến lược gồm quản trị chủ động, kiểm soát chuỗi cung ứng và ứng phó sự cố toàn diện không chỉ là biện pháp để doanh nghiệp bảo vệ DLCN mà còn là nền tảng đảm bảo sự bền vững của doanh nghiệp trong bối cảnh các quy định pháp lý ngày càng chặt chẽ. Những vụ việc từ Singapore hay Mỹ sẽ là những bài học lớn và đắt giá cho các doanh nghiệp Việt. Khi doanh nghiệp Việt chuẩn bị bước vào giai đoạn thực thi Luật Bảo vệ dữ liệu cá nhân, việc đầu tư nghiêm túc vào ba chiến lược này sẽ quyết định mức độ rủi ro pháp lý, niềm tin của khách hàng/đối tác và năng lực cạnh tranh dài hạn của doanh nghiệp.

^(*) Công ty Luật TNHH HM&P

⁽¹⁾ https://www.pdpc.gov.sg/all-commissions-decisions/2024/11/breach-of-the-protection-obligation-by-hmi-institute-of-health-science, truy cập lần cuối ngày 19/11/2025.

⁽²⁾ https://www.portnox.com/blog/cyber-attacks/throwback-to-the-target-hack/, truy cập lần cuối ngày 19/11/2025.

⁽³⁾ ftc.gov/news-events/news/press-releases/2019/07/equifax-pay-575-million-part-settlement-ftc-cfpb-states-related-2017-data-breach?src_trk=em6755b2c96c4054.928494461458559432&utm_source=chatgpt.com, truy cập lần cuối ngày 19/11/2025.

⁽⁴⁾ https://vtv.vn/the-gioi/che-giau-vu-bi-tin-tac-danh-cap-thong-tin-nga-re-sai-lam-cua-uber-20171122170713375.htm?utm_source=chatgpt.com, truy cập lần cuối ngày 19/11/2025.