Doanh nghiệp cần làm gì khi phát hiện vi phạm dữ liệu cá nhân?

Doanh nghiệp cần làm gì khi phát hiện vi phạm dữ liệu cá nhân là câu hỏi cấp bách đòi hỏi một kế hoạch ứng phó sự cố bài bản để giảm thiểu thiệt hại và tuân thủ pháp luật. DPO.VN cung cấp giải pháp toàn diện giúp doanh nghiệp xử lý khủng hoảng thông tin và bảo vệ uy tín thương hiệu. Kế hoạch phản ứng sự cố, quy trình báo cáo, đánh giá tác động.

Kế hoạch phản ứng sự cố vi phạm dữ liệu cá nhân gồm những bước ưu tiên nào?

Doanh nghiệp cần ngay lập tức kích hoạt đội phản ứng sự cố, thực hiện các biện pháp ngăn chặn và cô lập hệ thống bị ảnh hưởng, bảo vệ bằng chứng kỹ thuật số và tiến hành điều tra sơ bộ để xác định phạm vi vi phạm.

Khi một sự cố vi phạm dữ liệu xảy ra, mỗi giây đều quý giá. Một kế hoạch phản ứng được chuẩn bị kỹ lưỡng là yếu tố quyết định giúp doanh nghiệp kiểm soát tình hình, giảm thiểu thiệt hại và thể hiện trách nhiệm trước pháp luật cũng như khách hàng. Phản ứng chậm trễ hoặc sai lầm không chỉ làm trầm trọng thêm hậu quả về tài chính mà còn phá hủy niềm tin mà khách hàng đã gây dựng. Dưới đây là 4 bước hành động ưu tiên mà mọi doanh nghiệp cần triển khai ngay lập tức.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một trong những sai lầm chí mạng mà chúng tôi thường thấy là doanh nghiệp trì hoãn hành động vì sợ ảnh hưởng uy tín hoặc chưa đánh giá hết mức độ nghiêm trọng. Tuy nhiên, việc kích hoạt quy trình ứng phó ngay lập tức không chỉ là nghĩa vụ pháp lý mà còn thể hiện sự chuyên nghiệp, giúp cơ quan chức năng và các bên liên quan có thể hỗ trợ ngăn chặn thiệt hại lan rộng.

• Bước 1: Kích hoạt Đội Phản ứng Sự cố (Incident Response Team): Ngay khi phát hiện dấu hiệu vi phạm, người đứng đầu doanh nghiệp hoặc bộ phận được ủy quyền phải triệu tập ngay đội phản ứng sự cố. Đội này thường bao gồm đại diện từ các bộ phận chủ chốt: Công nghệ thông tin (IT/An ninh mạng), Pháp chế, Ban lãnh đạo, Nhân sự và Truyền thông.
• Bước 2: Ngăn chặn và Cô lập (Containment & Isolation): Đội ngũ kỹ thuật phải nhanh chóng hành động để ngăn chặn sự lây lan của vi phạm. Các hành động có thể bao gồm: ngắt kết nối các hệ thống bị ảnh hưởng khỏi mạng, vô hiệu hóa các tài khoản bị xâm nhập, vá các lỗ hổng bảo mật đã xác định. Mục tiêu là giới hạn thiệt hại ở mức thấp nhất có thể.
• Bước 3: Bảo vệ Bằng chứng (Preservation of Evidence): Song song với việc ngăn chặn, việc bảo vệ hiện trường kỹ thuật số là cực kỳ quan trọng. Doanh nghiệp cần sao lưu nhật ký hệ thống (system logs), ảnh chụp hệ thống (system images) và mọi dữ liệu liên quan khác có thể phục vụ cho quá trình điều tra sau này. Việc thay đổi hoặc xóa bỏ bằng chứng có thể cản trở điều tra và bị coi là hành vi vi phạm.
• Bước 4: Điều tra và Đánh giá Sơ bộ (Preliminary Investigation & Assessment): Đội phản ứng cần nhanh chóng xác định các thông tin cơ bản: chuyện gì đã xảy ra, hệ thống nào bị ảnh hưởng, loại dữ liệu nào có nguy cơ bị lộ (dữ liệu cá nhân cơ bản hay nhạy cảm), và ước tính sơ bộ số lượng chủ thể dữ liệu bị ảnh hưởng. Kết quả này là cơ sở quan trọng để thực hiện nghĩa vụ thông báo cho cơ quan chức năng.

Quy trình và nghĩa vụ thông báo cho cơ quan nhà nước được thực hiện như thế nào?

Doanh nghiệp phải thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an trong vòng 72 giờ kể từ khi xảy ra vi phạm, sử dụng Mẫu số 03a (đối với tổ chức) hoặc Mẫu số 03b (đối với cá nhân) theo quy định tại Nghị định 13/2023/NĐ-CP.

Đây là một trong những nghĩa vụ pháp lý quan trọng và có thời hạn nghiêm ngặt nhất mà doanh nghiệp phải tuân thủ. Việc chậm trễ hoặc không thông báo có thể dẫn đến các chế tài xử phạt nặng. Cả Điều 23 của Nghị định 13/2023/NĐ-CP và Điều 23 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đều nhấn mạnh trách nhiệm này.

Thời hạn thông báo cho Cục An ninh mạng là bao lâu?

Theo Khoản 1, Điều 23 Nghị định 13/2023/NĐ-CP, thời hạn thông báo là chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm. Trường hợp thông báo sau 72 giờ, doanh nghiệp phải giải trình lý do chậm, muộn.

Khung thời gian 72 giờ là một thách thức lớn, đòi hỏi doanh nghiệp phải có sẵn quy trình để nhanh chóng phát hiện, đánh giá và báo cáo sự cố. Thời điểm 72 giờ được tính từ lúc doanh nghiệp nhận thức được về hành vi vi phạm, không phải từ lúc vi phạm kết thúc. Điều này nhấn mạnh tầm quan trọng của hệ thống giám sát an ninh mạng hiệu quả để phát hiện sự cố sớm.

Cần chuẩn bị những thông tin gì để điền vào Mẫu số 03?

Doanh nghiệp cần chuẩn bị thông tin chi tiết về vụ việc, bao gồm: thời gian, địa điểm, mô tả hành vi vi phạm, loại dữ liệu và số lượng bị ảnh hưởng, hậu quả có thể xảy ra, và các biện pháp đã hoặc sẽ áp dụng để khắc phục.

Mẫu số 03a ban hành kèm theo Nghị định 13/2023/NĐ-CP yêu cầu cung cấp các thông tin rất cụ thể. Doanh nghiệp cần đảm bảo thu thập đầy đủ và chính xác các nội dung sau:

Trường hợp chưa thể cung cấp đầy đủ thông tin trong lần đầu, doanh nghiệp có thể thông báo theo từng đợt, nhưng phải đảm bảo thông báo ban đầu được gửi đi trong vòng 72 giờ.

Thủ tục gửi thông báo vi phạm được thực hiện ra sao?

Doanh nghiệp có thể nộp thông báo qua ba hình thức: Trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, nộp trực tiếp tại trụ sở Cục A05, hoặc gửi qua đường bưu chính.

Theo hướng dẫn thủ tục hành chính, doanh nghiệp có các lựa chọn linh hoạt để thực hiện nghĩa vụ báo cáo:

• Trực tuyến: Đây là phương thức được khuyến khích nhất để đảm bảo tốc độ và tính chính xác. Doanh nghiệp sẽ truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khi được Bộ Công an chính thức công bố và vận hành), điền thông tin và tải lên các tài liệu cần thiết.
• Trực tiếp: Nộp hồ sơ bản cứng tại bộ phận tiếp nhận của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
• Bưu chính: Gửi hồ sơ qua dịch vụ bưu chính đến địa chỉ của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao. Doanh nghiệp nên sử dụng dịch vụ chuyển phát có bảo đảm để theo dõi và xác nhận việc giao nhận hồ sơ.

Làm thế nào để điều tra nội bộ, đánh giá tác động và khoanh vùng thiệt hại một cách hiệu quả?

Doanh nghiệp cần tiến hành điều tra kỹ thuật số để xác định nguyên nhân và vectơ tấn công, phân tích cơ sở dữ liệu để xác định chính xác loại và số lượng dữ liệu bị rò rỉ, đồng thời đánh giá các rủi ro tiềm ẩn đối với chủ thể dữ liệu bị ảnh hưởng.

Quá trình điều tra nội bộ là nền tảng để doanh nghiệp có thể báo cáo chính xác cho cơ quan chức năng và đưa ra các biện pháp khắc phục phù hợp. Một cuộc điều tra hiệu quả cần kết hợp giữa chuyên môn kỹ thuật, pháp lý và quản trị rủi ro.

Việc phân tích chuyên sâu về kỹ thuật số là cực kỳ cần thiết. Báo cáo Chi phí Vi phạm Dữ liệu 2023 của IBM chỉ ra rằng các tổ chức sử dụng rộng rãi Trí tuệ nhân tạo (AI) và tự động hóa trong an ninh mạng đã xác định và ngăn chặn vi phạm nhanh hơn 108 ngày so với các tổ chức không sử dụng. Điều này cho thấy việc đầu tư vào công nghệ điều tra hiện đại có thể mang lại lợi ích to lớn.

• Điều tra nguyên nhân: Sử dụng các công cụ phân tích nhật ký (log analysis), điều tra kỹ thuật số (digital forensics) để xác định điểm yếu đã bị khai thác (ví dụ: phần mềm chưa được vá, lỗi cấu hình, tấn công lừa đảo – phishing). Việc xác định được vectơ tấn công giúp ngăn chặn các sự cố tương tự trong tương lai.
• Khoanh vùng dữ liệu bị ảnh hưởng: Đây là bước quan trọng để điền vào Mẫu số 03. Đội ngũ kỹ thuật cần rà soát các máy chủ, cơ sở dữ liệu bị xâm nhập để lập danh sách chính xác các loại dữ liệu đã bị truy cập hoặc đánh cắp (ví dụ: họ tên, số điện thoại, số CCCD, thông tin tài khoản ngân hàng…).
• Đánh giá mức độ ảnh hưởng: Dựa trên loại dữ liệu bị lộ, doanh nghiệp cần đánh giá các rủi ro mà chủ thể dữ liệu có thể gặp phải. Ví dụ, nếu thông tin thẻ tín dụng bị lộ, nguy cơ cao nhất là gian lận tài chính. Nếu thông tin sức khỏe bị lộ, rủi ro liên quan đến sự riêng tư và phân biệt đối xử. Việc này giúp doanh nghiệp quyết định mức độ và nội dung cần thông báo cho các nạn nhân.

Khi nào và làm thế nào để thông báo cho chủ thể dữ liệu bị ảnh hưởng?

Doanh nghiệp nên thông báo cho chủ thể dữ liệu ngay khi đã có đủ thông tin về phạm vi và rủi ro của vụ việc, sau khi đã báo cáo cơ quan chức năng. Thông báo cần rõ ràng, minh bạch, không gây hoang mang và cung cấp hướng dẫn cụ thể để họ tự bảo vệ.

Mặc dù Nghị định 13/2023/NĐ-CP tập trung vào nghĩa vụ thông báo cho cơ quan nhà nước, việc chủ động và minh bạch thông báo cho các chủ thể dữ liệu bị ảnh hưởng là một thông lệ tốt nhất trên toàn cầu và là yếu tố quan trọng để duy trì niềm tin.

• Thời điểm thông báo: Thời điểm lý tưởng là ngay sau khi doanh nghiệp đã khoanh vùng được sự cố và có đủ thông tin để đưa ra khuyến nghị hữu ích. Việc thông báo quá sớm khi chưa rõ thông tin có thể gây hoang mang, nhưng quá muộn lại làm mất cơ hội để khách hàng tự bảo vệ.
• Nội dung thông báo: Một thông báo hiệu quả cần bao gồm:
  – Mô tả ngắn gọn về sự cố.
  – Loại dữ liệu cá nhân bị ảnh hưởng.
  – Những rủi ro tiềm tàng.
  – Các biện pháp doanh nghiệp đang thực hiện.
  – Hướng dẫn rõ ràng các bước mà chủ thể dữ liệu nên làm (ví dụ: thay đổi mật khẩu, theo dõi tài khoản ngân hàng).
  – Thông tin liên hệ để được hỗ trợ.
• Kênh thông báo: Lựa chọn kênh phù hợp với đối tượng và mức độ nghiêm trọng của vụ việc, có thể là email trực tiếp, tin nhắn SMS, thông báo trên website chính thức hoặc thông cáo báo chí.

Cần triển khai các biện pháp khắc phục, phòng ngừa và hoàn thiện hồ sơ vụ việc như thế nào?

Doanh nghiệp phải tiến hành các biện pháp khắc phục kỹ thuật để vá lỗ hổng, lập Biên bản xác nhận vi phạm theo quy định, rà soát và cập nhật các chính sách bảo vệ dữ liệu, đồng thời tổ chức đào tạo lại cho nhân viên để ngăn ngừa sự cố tái diễn.

Phản ứng với một sự cố không chỉ dừng lại ở việc báo cáo. Giai đoạn quan trọng nhất là khắc phục và phòng ngừa để đảm bảo sự việc không lặp lại. Đây cũng là một phần của trách nhiệm giải trình trước cơ quan pháp luật.

• Khắc phục và Cải thiện Bảo mật: Dựa trên kết quả điều tra, đội ngũ IT cần triển khai ngay các biện pháp bảo vệ dữ liệu cá nhân: vá các lỗ hổng phần mềm, tăng cường tường lửa, rà soát lại quyền truy cập của nhân viên, triển khai xác thực đa yếu tố.
• Hoàn thiện Hồ sơ Vụ việc: Khoản 5, Điều 23 Nghị định 13/2023/NĐ-CP yêu cầu Bên Kiểm soát dữ liệu cá nhân phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm. Hồ sơ này, cùng với thông báo đã gửi cho A05 và các tài liệu điều tra, cần được lưu trữ cẩn thận để phục vụ cho các hoạt động kiểm tra, thanh tra sau này.
• Rà soát và Cập nhật Chính sách: Vụ việc là cơ hội để rà soát lại toàn bộ chính sách bảo vệ dữ liệu cá nhân cho doanh nghiệp. Có thể doanh nghiệp cần cập nhật lại hồ sơ đánh giá tác động xử lý dữ liệu cá nhân hoặc chính sách ứng phó sự cố.
• Đào tạo và Nâng cao Nhận thức: Con người thường là mắt xích yếu nhất trong chuỗi bảo mật. Doanh nghiệp cần tổ chức các buổi đào tạo lại cho toàn bộ nhân viên về các mối đe dọa an ninh mạng, cách nhận biết email lừa đảo và tầm quan trọng của việc tuân thủ các quy định bảo vệ dữ liệu.

Các Câu Hỏi Thường Gặp Khi Xảy Ra Vi Phạm Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Luật An ninh mạng 24/2018/QH14.
• Báo cáo Chi phí Vi phạm Dữ liệu 2023 của IBM (Cost of a Data Breach Report 2023).
• Cổng Dịch vụ công Bộ Công an (đối với các thủ tục hành chính liên quan).