6,5 triệu tài khoản/thông tin cá nhân bị đánh cắp tại Việt Nam, liên hệ đến trách nhiệm của từng doanh nghiệp trong việc bảo vệ dữ liệu cá nhân

Bản tin pháp luật

6,5 triệu tài khoản/thông tin cá nhân bị đánh cắp tại Việt Nam, liên hệ đến trách nhiệm của từng doanh nghiệp trong việc bảo vệ dữ liệu cá nhân

LexNovum Lawyers

LexNovum Lawyers

29/10/2025

Tham khảo Báo cáo tình hình nguy cơ an toàn thông tin tại Việt Nam tính đến Quý III năm 2025 của Viettel Security (“Báo cáo”)1, Báo cáo ghi nhận, tại Việt Nam, gần 6.5 triệu bản ghi thông tin tài khoản cá nhân lộ lọt, tăng 64% so với quý 2 năm 2025. Nguyên nhân chủ yếu được xác định là do tội phạm mạng sử dụng mã độc đánh cắp thông tin (stealer malware). Đặc biệt, mô hình kinh doanh bất hợp pháp “Stealer-as-a-Service” – cho phép tin tặc đánh cắp dữ liệu mà không cần kỹ năng kỹ thuật cao – đã góp phần đáng kể vào việc gia tăng số lượng tài khoản bị xâm phạm.  

Trước bối cảnh nêu trên, dưới góc nhìn quản lý và tuân thủ, LexNovum Lawyers dự đoán rằng trong tương lai gần, vấn đề bảo vệ dữ liệu cá nhân của từng doanh nghiệp nên và sẽ được giám sát chặt chẽ hơn. Vậy, trong giai đoạn này, doanh nghiệp nên chuẩn bị những gì?  

1. Dữ liệu cá nhân là gì và doanh nghiệp có phải tuân thủ trách nhiệm pháp lý về bảo vệ dữ liệu cá nhân?  

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”) đã có hiệu lực áp dụng từ ngày 01/7/2023 và Luật Bảo vệ dữ liệu cá nhân 2025 sẽ có hiệu lực áp dụng từ ngày 01/01/2026.  

Theo quy định của các văn bản nêu trên, nhìn chung dữ liệu cá nhân (“DLCN”) được chia làm hai loại là dữ liệu cơ bản và dữ liệu nhạy cảm, chi tiết bình luận về loại DLCN, vui lòng tham khảo bài viết tại link https://lexnovum.com.vn/du-lieu-ca-nhan-la-gi/  

Thực tế, để vận hành hoạt động kinh doanh, doanh nghiệp khó tránh khỏi việc phải thu thập và xử lý DLCN, đơn cử như thu thập thông tin người lao động khi tuyển dụng và quản lý lao động. Và theo đó, doanh nghiệp được pháp luật ấn định là bên phải tuân thủ các trách nhiệm về bảo vệ DLCN với tư cách được xác định tương ứng với luồng dữ liệu được xử lý.  

2. Trách nhiệm pháp lý của doanh nghiệp là gì?  

Với tư cách là bên kiểm soát/bên kiểm soát và xử lý DLCN, doanh nghiệp sẽ có những trách nhiệm cơ bản như sau:  

i. Chỉ định bộ phận có chức năng bảo vệ DLCN, chỉ định nhân sự phụ trách bảo vệ DLCN và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ DLCN với Cơ quan chuyên trách bảo vệ

ii. Xây dựng cơ chế thu thập và tiếp nhận sự đồng ý của chủ thể DLCN.

iii. Thông báo việc xử lý DLCN. 

iv. Xác lập thỏa thuận với bên xử lý DLCN (trường hợp doanh nghiệp yêu cầu một bên thứ ba tham gia xử lý DLCN cho doanh nghiệp).

v. Nộp hồ sơ đánh giá tác động xử lý DLCN và hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài.

vi. Các trách nhiệm liên quan khác (khi có sự kiện làm phát sinh) như: thông báo khi phát sinh vi phạm về bảo vệ DLCN, áp dụng các biện pháp bảo vệ DLCN theo quy định của pháp luật, … 

Trong đó, trách nhiệm đáng lưu ý nhất trong bài viết này mà Nghị định 13 cũng như Luật bảo vệ DLCN đặt ra cho bên kiểm soát và xử lý/bên kiểm soát là trách nhiệm (i) áp dụng các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp (theo Điều 38.1 Nghị định 13) hay (ii) thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ DLCN (theo Điều 37.1.c Luật bảo vệ DLCN).  

Trong bối cảnh tình hình lộ lọt và mất cắp DLCN tăng cao hiện nay, trách nhiệm này càng nên được lưu ý. Trường hợp doanh nghiệp không tuân thủ, doanh nghiệp có thể sẽ vi phạm trách nhiệm về bảo vệ DLCN và có thể phải đối mặt với các chế tài xử phạt vi phạm hành chính (được xác định theo quy định xử phạt tại thời điểm xảy ra hành vi vi phạm) và chịu trách nhiệm pháp lý trước chủ thể DLCN như bồi thường thiệt hại (Điều 38.6 Nghị định 13 và Điều 37.1.g Luật bảo vệ DLCN).  

Việc doanh nghiệp tuân thủ trách nhiệm này sẽ tạo cơ sở cho doanh nghiệp chứng minh doanh nghiệp đã tuân thủ trách nhiệm này trong trường hợp phát sinh các sự cố lộ lọt/mất cắp dữ liệu. Vậy, việc chứng minh này sẽ được thể hiện dưới những hình thức như thế nào?  

Nhìn chung, hiện nay, việc chứng minh doanh nghiệp đã tuân thủ trách nhiệm nêu trên sẽ thông qua các phương thức:  

(i) Lưu trữ các tài liệu/hồ sơ để thể hiện việc doanh nghiệp đã đầu tư vào việc trang bị, áp dụng các biện pháp kỹ thuật/quản lý để bảo vệ DLCN như hợp đồng, tiêu chuẩn và/hoặc quy trình về bảo vệ DLCN đã ban hành/đang áp dụng tại doanh nghiệp;  

(ii) Thể hiện tại các mục giải trình và mô tả tại hồ sơ đánh giá tác động nộp cho Cục An ninh mạng (kèm tài liệu chứng minh, nếu có);  

(iii) Thỏa thuận và làm rõ với chủ thể DLCN trước khi xử lý DLCN các về trách nhiệm áp dụng các biện pháp bảo vệ DLCN kèm theo điều khoản về miễn trừ trách nhiệm khi sự cố phát sinh nằm ngoài khả năng kiểm soát của doanh nghiệp.   

3. Biện pháp kỹ thuật/quản lý trong công tác bảo vệ DLCN.  

Về vấn đề kỹ thuật, LexNovum Lawyers khuyến nghị các doanh nghiệp cần tham vấn cụ thể với chuyên gia về kỹ thuật, công nghệ thông tin để có những phương án xây dựng và thiết lập phù hợp với đặc thù của từng doanh nghiệp.  

Tham khảo các khuyến nghị về mặt kỹ thuật tại Báo cáo của Viettel Security, LexNovum Lawyers trích dẫn một số biện pháp về quản lý/kỹ thuật tại đây để doanh nghiệp có nhu cầu tham khảo khi xây dựng cho doanh nghiệp mình các biện pháp quản lý/kỹ thuật cụ thể (chi tiết vui lòng tham khảo Báo cáo đính kèm tại phần đầu của bài viết này).  

Trên đây là cập nhật pháp lý của LexNovum Lawyers liên quan đến trách nhiệm bảo vệ DLCN của doanh nghiệp, Quý Độc giả có thể tham khảo thêm các bài viết của LexNovum Lawyers về chủ đề bảo vệ DLCN tại các đường link cụ thể sau: 

  1. Những nội dung đáng chú ý của Luật BVDLCN – phần 1: https://lexnovum.com.vn/nhung-noi-dung-dang-chu-y-cua-luat-bao-ve-du-lieu-ca-nhan-phan-1/
  2. Dữ liệu cá nhân là gì?: https://lexnovum.com.vn/du-lieu-ca-nhan-la-gi/
  3. Toàn văn Luật bảo vệ DLCN: https://lexnovum.com.vn/da-co-toan-van-luat-bao-ve-du-lieu-ca-nhan/
  4. Bảng so sánh Nghị định 13/2023/NĐ-CP và Luật bảo vệ DLCN: https://lexnovum.com.vn/bang-so-sanh-nghi-dinh-13-2023-nd-cp-va-luat-bao-ve-du-lieu-ca-nhan/  
  5. Các công việc mà LexNovum Lawyers có thể hỗ trợ doanh nghiệp: https://drive.google.com/file/d/1o7OMximC3xC6gw7uuLTSdzY811XeX1tm/view?usp=sharing

Người thực hiện: Cộng sự Bình An 

Lưu ý: 

Bài viết này được thực hiện dựa trên quy định của pháp luật Việt Nam (hiện hành) và kinh nghiệm thực tế. Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi. 

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu. 

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage