Hỏng dữ liệu, mất dữ liệu: Hành vi bị cấm và biện pháp tránh rủi ro

Rủi ro an ninh mạng như mất, hư hỏng dữ liệu có thể xảy ra khi không áp dụng biện pháp cần thiết để bảo vệ. Ảnh: ITN

Đáp:

Luật sư Hoàng Việt Hùng (Công ty Luật Uplaw, Đoàn Luật sư TP Hà Nội) cho biết, từ ngày 1/7/2025, Luật Dữ liệu và Nghị định số 165/2025/NĐ-CP của Chính phủ quy định chi tiết một số điều và biện pháp thi hành đã có hiệu lực.

Theo đó, Luật Dữ liệu quy định, Bộ Công an là cơ quan đầu mối chịu trách nhiệm trước Chính phủ thực hiện quản lý Nhà nước về dữ liệu, bao gồm, thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo và xử lý vi phạm.

Xử lý dữ liệu là quá trình tiếp nhận, chuyển đổi, tổ chức và các hoạt động khác về dữ liệu để phục vụ hoạt động của cơ quan, tổ chức, cá nhân.

Luật cũng liệt kê một số hành vi bị cấm như: Giả mạo, cố ý làm sai lệch, làm mất, làm hư hỏng dữ liệu trong cơ sở dữ liệu của cơ quan Nhà nước; cản trở hoặc ngăn chặn trái pháp luật quá trình xử lý dữ liệu, quản trị dữ liệu hoặc tấn công, chiếm đoạt, phá hoại cơ sở dữ liệu, hệ thống thông tin phục vụ quản lý, xử lý, quản trị, bảo vệ dữ liệu…

Điều 15 Nghị định 165 quy định các loại rủi ro phát sinh trong xử lý dữ liệu gồm:

1. Rủi ro quyền riêng tư xảy ra do không tuân thủ quy định của pháp luật về quyền riêng tư của chủ thể dữ liệu trong quá trình xử lý và chuyển dữ liệu;

2. Rủi ro an ninh mạng xảy ra do không áp dụng các biện pháp cần thiết để bảo vệ dữ liệu không được công khai khỏi những truy cập trái phép từ các đối tượng bên ngoài hoặc dữ liệu bị rò rỉ ra bên ngoài;

3. Rủi ro nhận dạng và quản lý truy cập xảy ra do không bảo đảm việc bảo vệ dữ liệu không được công khai khỏi những truy cập trái phép;

4. Rủi ro khác trong xử lý dữ liệu bao gồm rủi ro chia sẻ dữ liệu xảy ra khi không có khả năng duy trì quyền kiểm soát đối với dữ liệu đã chia sẻ, rủi ro quản lý dữ liệu xảy ra do chất lượng của dữ liệu không đảm bảo.

Hội nghị phổ biến, hướng dẫn bảo vệ dữ liệu cá nhân do Bộ Công an tổ chức. Ảnh: BCA

Cũng theo luật sư Hoàng Việt Hùng, để phòng ngừa rủi ro phát sinh trong xử lý dữ liệu, cần thực hiện một số biện pháp sau:

Thứ nhất, thực hiện sao lưu dữ liệu thường xuyên và bảo đảm an toàn;

Thứ hai, định kỳ bảo trì, bảo dưỡng, nâng cấp hệ thống nhằm duy trì và cải thiện hiệu suất, tính năng, tính bảo mật và tính nhất quán của hệ thống cơ sở dữ liệu; có biện pháp ứng phó khôi phục hệ thống để bảo đảm tính liên tục của hệ thống;

Thứ ba, phân cấp chặt chẽ quyền truy cập đối với từng loại dữ liệu để phòng ngừa việc truy cập dữ liệu trái phép;

Thứ tư, sử dụng các hệ thống giám sát và phát hiện xâm nhập để theo dõi hoạt động mạng và phát hiện các hành vi bất thường hoặc truy cập trái phép;

Thứ năm, cài đặt và duy trì các phần mềm bảo mật;

Thứ sáu, thực hiện đánh giá rủi ro định kỳ hàng năm để xác định các lỗ hổng trong hệ thống và áp dụng các biện pháp phòng ngừa rủi ro tương ứng;

Thứ bảy, xây dựng phương án, kế hoạch xử lý sự cố để chủ động, kịp thời ứng phó, khắc phục sự cố;

Thứ tám, đào tạo, bồi dưỡng, tập huấn kỹ năng bảo vệ dữ liệu, cách nhận biết các mối đe dọa, cách xử lý khi phát hiện rủi ro bảo mật; thường xuyên diễn tập phòng ngừa sự cố, giám sát, phát hiện, bảo đảm kịp thời ứng phó, khắc phục sự cố;

Thứ chín, thực hiện các biện pháp bảo vệ dữ liệu như:

1. Xây dựng chính sách, quy chế, tiêu chí đánh giá an toàn, an ninh dữ liệu để bảo đảm tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật, quy định về bảo vệ dữ liệu;

2. Bảo đảm an ninh vật lý, kiểm soát truy cập, kiểm tra an ninh mạng;

3. Xây dựng quy chế quản lý con người, đào tạo nhân lực bảo vệ dữ liệu…