Phân Biệt Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân Và Rủi Ro An Toàn Thông Tin

Phân biệt đánh giá tác động xử lý dữ liệu cá nhân và rủi ro an toàn thông tin giúp doanh nghiệp áp dụng đúng quy trình, đảm bảo tuân thủ kép cả về quyền riêng tư và an ninh hệ thống. DPO.VN cung cấp giải pháp tích hợp hiệu quả, giúp doanh nghiệp tối ưu nguồn lực và giảm thiểu rủi ro pháp lý toàn diện. DPIA, ISRA, tuân thủ.

Sự khác biệt cốt lõi giữa Đánh giá tác động xử lý dữ liệu cá nhân (DPIA) và Đánh giá rủi ro an toàn thông tin (ISRA) là gì?

Sự khác biệt cốt lõi nằm ở mục tiêu và đối tượng bảo vệ: Đánh giá tác động xử lý dữ liệu cá nhân (DPIA) tập trung bảo vệ quyền và lợi ích của chủ thể dữ liệu (con người), trong khi Đánh giá rủi ro an toàn thông tin (ISRA) tập trung bảo vệ tài sản thông tin và hệ thống của chính doanh nghiệp.

Đối với các cấp quản lý và chuyên viên pháp chế, công nghệ thông tin, việc hiểu rõ hai khái niệm này là bước đầu tiên để xây dựng một chiến lược tuân thủ vững chắc. Mặc dù cả hai đều là quy trình quản lý rủi ro, chúng có mục tiêu, phạm vi và cơ sở pháp lý hoàn toàn khác biệt.

💡 Luật sư Nguyễn Tiến Hảo, chuyên gia tại DPO.VN, chia sẻ: “Nhiều doanh nghiệp nhầm lẫn rằng chỉ cần thực hiện đánh giá an toàn thông tin là đủ. Đây là một sai lầm nghiêm trọng. DPIA là một nghĩa vụ pháp lý riêng biệt theo Nghị định 13/2023/NĐ-CP, tập trung vào ‘rủi ro đối với quyền và tự do của chủ thể dữ liệu’, một khái niệm pháp lý rộng hơn nhiều so với rủi ro kỹ thuật đơn thuần.”

Doanh nghiệp có thể tích hợp hai quy trình đánh giá này để tối ưu hóa nguồn lực không?

Hoàn toàn có thể. Doanh nghiệp nên tích hợp hai quy trình này, trong đó kết quả của ISRA (đánh giá rủi ro kỹ thuật) sẽ là một đầu vào quan trọng để thực hiện DPIA (đánh giá tác động pháp lý), giúp tiết kiệm thời gian, chi phí và đảm bảo cái nhìn toàn diện về rủi ro.

Việc thực hiện hai quy trình riêng biệt có thể gây lãng phí nguồn lực và tạo ra sự chồng chéo. Một cách tiếp cận thông minh là xem chúng như hai phần bổ trợ cho nhau trong một khung quản trị rủi ro tổng thể.

Trong quá trình tư vấn, DPO.VN thường hướng dẫn khách hàng theo mô hình tích hợp:

• Bước 1: Khởi tạo quy trình đánh giá chung. Khi có một dự án mới liên quan đến xử lý dữ liệu cá nhân (ví dụ: ra mắt ứng dụng di động mới, triển khai hệ thống CRM), ban lãnh đạo quyết định thực hiện một quy trình đánh giá rủi ro tổng hợp.
• Bước 2: Bộ phận IT chủ trì thực hiện ISRA. Đội ngũ IT/An ninh thông tin sẽ xác định các tài sản (máy chủ, cơ sở dữ liệu), phân tích các mối đe dọa (tấn công mạng, lỗi hệ thống) và lỗ hổng bảo mật, từ đó đưa ra mức độ rủi ro đối với tổ chức.
• Bước 3: Bộ phận Pháp chế/DPO chủ trì thực hiện DPIA. Dựa trên kết quả từ ISRA, bộ phận pháp chế sẽ phân tích sâu hơn: Các rủi ro kỹ thuật này ảnh hưởng như thế nào đến quyền của chủ thể dữ liệu? Ví dụ, rủi ro “lộ cơ sở dữ liệu khách hàng” từ ISRA sẽ được phân tích trong DPIA thành các tác động như “nguy cơ lừa đảo tài chính”, “xâm phạm đời tư”, “phân biệt đối xử”.
• Bước 4: Xây dựng biện pháp giảm thiểu rủi ro tích hợp. Các biện pháp kỹ thuật từ ISRA (ví dụ: mã hóa dữ liệu) và các biện pháp phi kỹ thuật từ DPIA (ví dụ: sửa đổi chính sách quyền riêng tư, cung cấp cơ chế rút lại sự đồng ý) được kết hợp để tạo ra một kế hoạch hành động toàn diện.

Khi nào doanh nghiệp bắt buộc phải thực hiện từng loại đánh giá theo pháp luật Việt Nam?

Doanh nghiệp bắt buộc phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) ngay từ khi bắt đầu xử lý dữ liệu. Trong khi đó, việc đánh giá rủi ro an toàn thông tin (ISRA) là bắt buộc đối với các hệ thống thông tin được phân loại theo cấp độ từ 1 đến 5.

Việc xác định đúng thời điểm và trường hợp bắt buộc thực hiện mỗi loại đánh giá là yếu tố sống còn để tránh các rủi ro pháp lý.

Các trường hợp nào bắt buộc phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Theo Nghị định 13/2023/NĐ-CP, mọi Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân đều phải lập và lưu giữ Hồ sơ này, không phụ thuộc vào quy mô hay loại hình hoạt động, trừ một số trường hợp được miễn trừ cụ thể.

Điều 24 Nghị định số 13/2023/NĐ-CP và Điều 21 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định rất rõ:

• Nghĩa vụ lập hồ sơ: Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân kể từ thời điểm bắt đầu xử lý dữ liệu.
• Nghĩa vụ nộp hồ sơ: Phải gửi 01 bản chính cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu.
• Miễn trừ: Các doanh nghiệp siêu nhỏ, nhỏ, và khởi nghiệp có thể được miễn trừ nghĩa vụ này trong một khoảng thời gian nhất định, trừ khi họ kinh doanh dịch vụ xử lý dữ liệu, xử lý dữ liệu nhạy cảm hoặc xử lý dữ liệu quy mô lớn (Điều 43 Nghị định 13 và Điều 38 Luật 91/2025).

Khi nào hệ thống thông tin phải được đánh giá rủi ro an toàn thông tin?

Việc đánh giá rủi ro an toàn thông tin gắn liền với quy trình xác định và phê duyệt cấp độ an toàn hệ thống thông tin theo quy định của Luật An toàn thông tin mạng và Nghị định 85/2016/NĐ-CP.

Theo quy định của Luật An toàn thông tin mạng, chủ quản hệ thống thông tin có trách nhiệm xác định cấp độ an toàn (từ cấp 1 đến cấp 5) dựa trên tầm quan trọng của hệ thống và hậu quả nếu hệ thống bị xâm phạm. Quy trình này đòi hỏi phải thực hiện đánh giá rủi ro để làm cơ sở cho việc lựa chọn các biện pháp bảo vệ phù hợp với cấp độ đã xác định. Do đó, việc đánh giá rủi ro là một phần không thể thiếu trong nghĩa vụ đảm bảo an toàn thông tin theo cấp độ.

Cấu trúc và nội dung của một báo cáo DPIA và báo cáo ISRA khác nhau như thế nào?

Báo cáo DPIA có cấu trúc theo Mẫu Đ24-DLCN-01/02/03, tập trung vào các yếu tố pháp lý và quyền của cá nhân, trong khi báo cáo ISRA thường theo các tiêu chuẩn kỹ thuật (như ISO 27005), tập trung vào tài sản, mối đe dọa và lỗ hổng.

Hiểu rõ cấu trúc của mỗi loại báo cáo giúp các bộ phận liên quan chuẩn bị hồ sơ một cách chính xác và đầy đủ.

Nội dung chính của Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) gồm những gì?

Hồ sơ này yêu cầu thông tin chi tiết về các bên liên quan, mục đích và loại dữ liệu xử lý, các biện pháp bảo vệ, và một phần phân tích sâu về tác động đến quyền của chủ thể dữ liệu.

Dựa trên Điều 24 của Nghị định 13/2023/NĐ-CP và các mẫu biểu đi kèm (như Mẫu Đ24-DLCN-01), thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm:

• Thông tin chi tiết về Bên Kiểm soát/Xử lý dữ liệu: Tên, địa chỉ, người đại diện, thông tin bộ phận bảo vệ dữ liệu.
• Mô tả hoạt động xử lý dữ liệu: Mục đích xử lý, các loại dữ liệu được xử lý (phân biệt cơ bản và nhạy cảm), thời gian xử lý và lưu trữ.
• Thông tin về các bên liên quan: Bao gồm Bên Xử lý dữ liệu và Bên thứ ba (nếu có).
• Thông tin về việc chuyển dữ liệu cá nhân ra nước ngoài (nếu có).
• Mô tả các biện pháp bảo vệ dữ liệu: Bao gồm biện pháp quản lý và biện pháp kỹ thuật.
• Đánh giá tác động: Phần quan trọng nhất, phân tích mức độ ảnh hưởng, hậu quả, thiệt hại không mong muốn có thể xảy ra đối với chủ thể dữ liệu và các biện pháp giảm thiểu.

Nội dung chính của một báo cáo đánh giá rủi ro an toàn thông tin (ISRA) bao gồm những gì?

Báo cáo ISRA thường bao gồm việc xác định tài sản, phân tích mối đe dọa và lỗ hổng, đánh giá tác động đến hoạt động kinh doanh và đề xuất các biện pháp kiểm soát kỹ thuật.

Mặc dù không có một mẫu báo cáo ISRA duy nhất do pháp luật Việt Nam quy định, các báo cáo này thường tuân theo các tiêu chuẩn quốc tế như ISO/IEC 27005 và bao gồm các phần chính sau:

• Xác định bối cảnh: Mô tả phạm vi hệ thống, mục tiêu kinh doanh và các yêu cầu pháp lý, hợp đồng liên quan.
• Nhận dạng rủi ro:
  • Nhận dạng tài sản thông tin: Liệt kê cơ sở dữ liệu, phần mềm, phần cứng, nhân sự…
  • Nhận dạng mối đe dọa: Các sự kiện có thể gây hại (ví dụ: mã độc, tấn công từ chối dịch vụ, lỗi con người).
  • Nhận dạng lỗ hổng: Những điểm yếu của hệ thống có thể bị khai thác.
• Phân tích rủi ro: Đánh giá khả năng xảy ra của mối đe dọa và mức độ tác động (thiệt hại tài chính, gián đoạn hoạt động) để xác định mức độ rủi ro.
• Đánh giá và xử lý rủi ro: Quyết định chấp nhận, giảm thiểu, chuyển giao hay né tránh rủi ro, và đề xuất các biện pháp kiểm soát an ninh cụ thể.

Vai trò và trách nhiệm của các bộ phận trong doanh nghiệp được phân công như thế nào cho từng quy trình đánh giá?

Việc phân công rõ ràng vai trò là chìa khóa thành công: Bộ phận Pháp chế/Tuân thủ thường chủ trì DPIA, trong khi bộ phận IT/An ninh thông tin chủ trì ISRA, với sự phối hợp chặt chẽ từ các phòng ban kinh doanh và nhân sự.

Để thực hiện hiệu quả cả hai quy trình, việc phân định rõ trách nhiệm là vô cùng cần thiết.

Tóm lại, DPIA và ISRA là hai công cụ quản lý rủi ro riêng biệt nhưng có mối liên hệ mật thiết. DPIA là yêu cầu pháp lý bắt buộc để bảo vệ quyền riêng tư của cá nhân, trong khi ISRA là nền tảng kỹ thuật để bảo vệ tài sản thông tin của doanh nghiệp. Việc hiểu rõ sự khác biệt, đồng thời biết cách tích hợp chúng một cách thông minh, sẽ giúp doanh nghiệp không chỉ tuân thủ pháp luật một cách hiệu quả mà còn xây dựng được một hệ thống phòng thủ an ninh mạng vững chắc và toàn diện.

Các Câu Hỏi Thường Gặp

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ quy định về bảo vệ dữ liệu cá nhân.
• Luật An toàn thông tin mạng số 86/2015/QH13.
• Information Commissioner’s Office (UK): Data protection impact assessments
• NIST Special Publication 800-30 – Guide for Conducting Risk Assessments
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15