Từ sự cố tấn công mạng của CIC, doanh nghiệp cần lưu ý gì trong bảo vệ dữ liệu cá nhân?

Bàn luận pháp luật

Từ sự cố tấn công mạng của CIC, doanh nghiệp cần lưu ý gì trong bảo vệ dữ liệu cá nhân?

LexNovum Lawyers

LexNovum Lawyers

16/09/2025

Vừa qua, vào ngày 11/9/2025, VNCERT (Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam) phát đi thông tin về việc Trung tâm Thông tin tín dụng quốc gia CIC xảy sự cố tấn công, xâm nhập đánh cắp dữ liệu cá nhân (“DLCN”) tại CIC. Sự việc này hiện đang được VNCERT triển khai các biện pháp nghiệp vụ, kĩ thuật ứng phó sự cố, tăng cường các giải pháp bảo đảm an ninh mạng, thu thập dữ liệu, chứng cứ để xử lý theo quy định của pháp luật.

Từ sự cố nêu trên của CIC, dưới góc độ tuân thủ, vấn đề được quan tâm phổ biến là các doanh nghiệp với tư cách là bên kiểm soát và xử lý DLCN có trách nhiệm thế nào để tuân thủ các quy định về bảo vệ DLCN cũng như ứng phó các trường hợp tương tự xảy ra với CIC?   

Qua bài viết này, LexNovum Lawyers gửi đến quý độc giả là doanh nghiệp một bản tóm tắt ngắn gọn các trách nhiệm cơ bản của doanh nghiệp trong bảo vệ DLCN trên cả phương diện pháp lý và kỹ thuật ứng phó sự cố tấn công mạng, cụ thể như sau:

1. Trách nhiệm của doanh nghiệp

Về trách nhiệm một doanh nghiệp cần tuân thủ căn cứ theo quy định của pháp luật hiện hành, cụ thể là Nghị định 13/2023/NĐ-CP, bao gồm những trách nhiệm như sau:

i. Chỉ định bộ phận có chức năng bảo vệ DLCN, chỉ định nhân sự phụ trách bảo vệ DLCN và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ DLCN với Cơ quan chuyên trách bảo vệ DLCN.

ii. Xây dựng cơ chế thu thập và tiếp nhận sự đồng ý của chủ thể DLCN.

iii. Thông báo việc xử lý DLCN.

iv. Xác lập thỏa thuận với bên xử lý DLCN (trường hợp doanh nghiệp yêu cầu một bên thứ ba tham gia xử lý DLCN cho doanh nghiệp).

v. Nộp hồ sơ đánh giá tác động xử lý DLCN và hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài.

vi. Các trách nhiệm liên quan khác (khi có sự kiện làm phát sinh) như: thông báo khi phát sinh vi phạm về bảo vệ DLCN,…

Trong đó, trách nhiệm lập và nộp hồ sơ đánh giá tác động đến Cơ quan quản lý là trách nhiệm được nhiều doanh nghiệp quan tâm và thực hiện hiện nay. Với việc đánh giá tác động hoạt động xử lý DCLN/chuyển DLCN ra nước ngoài, doanh nghiệp có cơ hội kiểm tra và rà soát lại tình trạng hoạt động xử lý DLCN từ đó sớm có các biện pháp can thiệp và khắc phục để đảm bảo việc tuân thủ.

2. Cơ sở xây dựng biện pháp kỹ thuật ứng phó các sự cố tấn công mạng

Không doanh nghiệp nào mong muốn sự cố tấn công mạng xảy ra với doanh nghiệp mình, đặc biệt là các doanh nghiệp đang quản lý và xử lý một khối lượng lớn DLCN (như ngân hàng, công ty tài chính, bệnh viện,…). Song, sự cố, rủi ro bị tấn công luôn là vấn đề không thể tuyệt đối tránh né, nhất là trong giai đoạn tội phạm trên không gian mạng ngày một diễn biến phức tạp như hiện nay. Một trong những biện pháp mà doanh nghiệp có thể áp dụng để phòng ngừa và hạn chế việc tấn công mạng là xây dựng và áp dụng các biện pháp kỹ thuật trong hoạt động bảo vệ DCLN.

Căn cứ Điều 38 Nghị định 13/2023/NĐ-CP, việc xây dựng và áp dụng các biện pháp kỹ thuật trong hoạt động bảo vệ DCLN cũng là một trong các trách nhiệm doanh nghiệp cần thực hiện. Vậy, để xây dựng biện pháp kỹ thuật bảo vệ DLCN, doanh nghiệp có thể dựa vào cơ sở nào để xây dựng?

Về mặt quy định pháp luật, hiện nay cơ sở rõ ràng nhất mà doanh nghiệp có thể dựa vào để xây biện pháp kỹ thuật để bảo vệ DLCN bao gồm các cơ sở sở sau:

i. Văn bản quy phạm pháp luật: Nghị định 13/2023/NĐ-CP, Luật Bảo vệ DLCN 2025 (dự kiến sẽ có hiệu lực vào ngày 01/01/2026) và Luật An ninh mạng 2018.

ii. Tiêu chuẩn và quy chuẩn kỹ thuật:

Căn cứ Luật Tiêu chuẩn và quy chuẩn kỹ thuật 2006 (sửa đổi, bổ sung năm 2018), tiêu chuẩn và quy chuẩn kỹ thuật được phân thành 02 dạng tiêu chuẩn và quy chuẩn kỹ thuật, trong đó:

Tiêu chuẩn được phân làm hai loại:

  • Tiêu chuẩn quốc gia sẽ do cơ quan nhà nước có thẩm quyền xây dựng và đề nghị thẩm định, công bố. Đối tượng áp dụng sẽ dựa vào phạm vi áp dụng tại từng tiêu chuẩn cụ thể.
  • Tiêu chuẩn cơ sở sẽ do tổ chức (ví dụ: doanh nghiệp) tự xây dựng và công bố để áp dụng trong phạm vi của tổ chức đó.

Quy chuẩn kỹ thuật do cơ quan nhà nước có thẩm quyền ban hành dưới dạng văn bản để bắt buộc áp dụng.

Thực tế, Việt Nam chưa có một tiêu chuẩn hoặc quy chuẩn kỹ thuật nào dành riêng cho hoạt động bảo vệ DLCN. Tuy nhiên, dựa theo các tiêu chuẩn được công bố hiện nay, một số tiêu chuẩn sau mà doanh nghiệp có thể dựa vào khi xây dựng hệ thống kỹ thuật bảo vệ DLCN là: (i) Tiêu chuẩn Việt Nam số TCVN 9801-1:2013 – Công nghệ thông tin – Kỹ thuật an ninh – An ninh mạng – Phần 1: Tổng quan và khái niệm; (ii) Tiêu chuẩn Việt Nam số TCVN 8051 – 1: 2009 – Công nghệ thông tin – Kỹ thuật an ninh – An ninh mạng IT – Phần 1: Quản lý an ninh mạng; hoặc (iii) các tiêu chuẩn quốc tế khác như Tiêu chuẩn ISO/IEC 27001:2022 – Nền tảng của an toàn hoặc Thông tin Tiêu chuẩn ISO/IEC 27701:2019 – Chuyên sâu về Quản lý Quyền riêng tư. Song, cũng cần lưu ý rằng việc áp dụng các tiêu chuẩn này cần được xác định cụ thể cho từng trường hợp. Do đó, khi trao đổi với các đơn vị cung ứng hệ thống, LNV khuyến nghị các doanh nghiệp trao đổi rõ ràng về thực trạng, nhu cầu của doanh nghiệp để tham vấn chuẩn quy tắc phù hợp.

Trên đây là một số lưu ý của LexNovum Lawyers liên quan đến trách nhiệm bảo vệ DLCN của doanh nghiệp, Quý độc giả có thể tham khảo thêm các bài viết của LexNovum Lawyers về chủ đề bảo vệ DLCN tại các đường link cụ thể sau:

i. Những nội dung đáng chú ý của Luật BVDLCN – phần 1: https://lexnovum.com.vn/nhung-noi-dung-dang-chu-y-cua-luat-bao-ve-du-lieu-ca-nhan-phan-1/

ii. Dữ liệu cá nhân là gì? https://lexnovum.com.vn/du-lieu-ca-nhan-la-gi/

iii. Toàn văn Luật bảo vệ DLCN, link: https://lexnovum.com.vn/da-co-toan-van-luat-bao-ve-du-lieu-ca-nhan/

iv. Bảng so sánh Nghị định 13/2023/NĐ-CP và Luật bảo vệ DLCN, link: https://lexnovum.com.vn/bang-so-sanh-nghi-dinh-13-2023-nd-cp-va-luat-bao-ve-du-lieu-ca-nhan/

v. Các công việc mà LexNovum Lawyers có thể hỗ trợ doanh nghiệp: https://drive.google.com/file/d/1o7OMximC3xC6gw7uuLTSdzY811XeX1tm/view?usp=sharing

Người thực hiện: Cộng sự Bình An

Tham vấn: Luật sư Phan Nhi

Lưu ý:

Bài viết này được thực hiện dựa trên quy định của pháp luật Việt Nam (hiện hành) và kinh nghiệm thực tế. Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage