Vừa qua, Cơ quan bảo vệ dữ liệu tại Pháp (CNIL) đã áp mức phạt tổng cộng 42 triệu Euro đối với hai công ty viễn thông là Free Mobile và công ty mẹ Free vì đã không bảo đảm an toàn đầy đủ cho dữ liệu khách hàng trước các mối đe dọa mạng. Công ty này là nhà cung cấp dịch vụ Internet lớn thứ hai tại Pháp và đã bị rò rỉ dữ liệu vào tháng 10 năm 2024, đã làm lộ thông tin của gần 23 triệu thuê bao di động và cố định.
CNIL cho biết họ đã nhận được hơn 2.500 đơn khiếu nại từ những người bị ảnh hưởng bởi vụ rò rỉ này và cuộc kiểm tra đã phát hiện ra nhiều vi phạm thuộc trách nhiệm của cả Free Mobile và Free với tư cách là các đơn vị “kiểm soát dữ liệu”.
Theo kết quả điều tra, hệ thống nội bộ của Free Mobile đã bị tin tặc xâm nhập trái phép, dẫn đến việc dữ liệu cá nhân của hàng chục triệu thuê bao bị lộ. Dữ liệu này sau đó bị rao bán và trao đổi trên các diễn đàn ngầm, làm dấy lên lo ngại nghiêm trọng về nguy cơ lừa đảo, chiếm đoạt tài sản và xâm phạm quyền riêng tư của người dùng.
Cơ quan chức năng Pháp xác định rằng, dù Free Mobile đã triển khai các biện pháp khắc phục sau sự cố, nhưng những thiếu sót trong hệ thống bảo mật trước thời điểm bị tấn công mới là nguyên nhân cốt lõi dẫn đến vi phạm. Doanh nghiệp này bị kết luận không đáp ứng đầy đủ nghĩa vụ bảo vệ dữ liệu cá nhân theo quy định, bao gồm việc triển khai các biện pháp an ninh phù hợp, quản lý truy cập chưa chặt chẽ và chưa đảm bảo khả năng phát hiện sớm hành vi xâm nhập bất thường.
Bảo vệ dữ liệu không còn là lựa chọn, mà là yêu cầu bắt buộc
Tại Việt Nam, Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định hướng dẫn chính thức có hiệu lực từ ngày 1/1/2026. Luật này đặt ra khung pháp lý rõ ràng, xác định trách nhiệm của tổ chức, cá nhân trong việc thu thập, lưu trữ, xử lý và bảo vệ dữ liệu cá nhân, đồng thời đưa ra các mức xử phạt có tính răn đe cao.
Theo Điều 8 của Luật, tổ chức, cá nhân có hành vi vi phạm các quy định về bảo vệ dữ liệu cá nhân, tùy theo tính chất, mức độ và hậu quả, có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự. Trường hợp gây thiệt hại còn phải bồi thường theo quy định của pháp luật.
Đáng chú ý, với hành vi mua, bán dữ liệu cá nhân, mức phạt hành chính có thể lên tới tối đa 10 lần khoản thu có được từ hành vi vi phạm. Trường hợp không xác định được khoản thu hoặc mức phạt tính theo khoản thu thấp hơn 3 tỷ đồng, cơ quan chức năng sẽ áp dụng mức phạt tiền tối đa là 3 tỷ đồng. Đối với hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, mức phạt được xác định ở ngưỡng tối đa 5% doanh thu của năm trước liền kề của tổ chức vi phạm. Nếu doanh nghiệp không có doanh thu hoặc mức phạt tính theo doanh thu thấp hơn 3 tỷ đồng, thì mức phạt 3 tỷ đồng vẫn được áp dụng. Ngoài ra, các hành vi vi phạm hành chính khác trong lĩnh vực bảo vệ dữ liệu cá nhân cũng có thể bị xử phạt với mức tiền tối đa 3 tỷ đồng.
Trong bối cảnh hiện nay, dữ liệu là tài sản giá trị của các tổ chức, doanh nghiệp đồng thời cũng là mục tiêu tấn công hàng đầu của tin tặc. Việc đầu tư vào hệ thống an ninh mạng và bảo vệ dữ liệu là yếu tố then chốt giúp doanh nghiệp giảm thiểu rủi ro pháp lý.
