Lời tòa soạn: Nghị định bảo vệ dữ liệu cá nhân mới được Chính phủ ban hành và sẽ có hiệu lực từ ngày 1/7 tới, là một văn bản quan trọng góp phần hoàn thiện thể chế cho tiến trình chuyển đổi số, phát triển Chính phủ số, kinh tế số và xã hội số. VietNamNet giới thiệu bài phân tích của chuyên gia Vũ Ngọc Sơn, Giám đốc Kỹ thuật, Công ty Công nghệ an ninh mạng quốc gia Việt Nam - NCS, về những ảnh hưởng, tác động của Nghị định mới đối với các tổ chức, doanh nghiệp và người dân.
Quy định mới giúp hạn chế lộ lọt dữ liệu người dùng
Tôi cho rằng, việc có một nghị định riêng về bảo vệ dữ liệu cá nhân là rất cần thiết và phù hợp với tình hình thực tế hiện nay tại Việt Nam.
Trước hết, cần hiểu dữ liệu cá nhân theo nghị định chia ra thành 2 loại: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Trong đó, dữ liệu cá nhân cơ bản gồm họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế…
Dữ liệu cá nhân nhạy cảm gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của người đó. Ví dụ như quan điểm chính trị, tôn giáo, tình trạng sức khỏe, nguồn gốc chủng tộc, đặc điểm di truyền, dữ liệu vị trí, thông tin khách hàng của tổ chức tín dụng…
Một điểm mới quan trọng của Nghị định bảo vệ dữ liệu cá nhân so với các văn bản trước đó là bản thân người dùng - những chủ thể dữ liệu, giữ vai trò quan trọng trong việc bảo vệ dữ liệu cá nhân của mình. Người dùng cần phải có trách nhiệm trong việc tự bảo vệ dữ liệu cá nhân của mình, cũng như tham gia vào việc phát hiện, yêu cầu các tổ chức, cá nhân khác bảo vệ dữ liệu cá nhân liên quan đến mình.
Cụ thể, người dùng có thể yêu cầu các đơn vị, tổ chức để được truy cập, xem, sửa, xóa các thông tin liên quan đến mình. Đây là một quyền lợi chính đáng và giúp hạn chế rất nhiều việc lộ lọt thông tin. Thực tế cho thấy, rất nhiều dịch vụ dùng 1 lần như mua bán, booking trên mạng, khi giao dịch xong, người dùng rất muốn thu hồi, hoặc yêu cầu không khai thác trong tương lai các thông tin cá nhân đã cung cấp trước đó.
Điều này là cần thiết bởi giao dịch đã kết thúc và người dùng có thể chưa có kế hoạch sử dụng lại dịch vụ trong tương lai. Việc thu hồi hoặc yêu cầu không khai thác trong tương lai sẽ giúp người dùng tránh việc thông tin bị khai thác không mong muốn, thậm chí bị lộ lọt ra ngoài.
Tuy nhiên hiện nay, các hệ thống thu thập thông tin chưa cung cấp công cụ để người dùng thực hiện quyền của mình. Với Nghị định mới, tất cả hệ thống thông tin đều phải cung cấp cơ chế kỹ thuật hoặc bố trí đầu mối tiếp nhận, xử lý các yêu cầu liên quan đến dữ liệu từ phía người dùng.
Doanh nghiệp cần cẩn trọng khi chia sẻ thông tin
Theo tôi, Nghị định bảo vệ dữ liệu cá nhân khi chính thức có hiệu lực thi hành, sẽ có tác động đến tất cả doanh nghiệp có thu thập, kiểm soát và xử lý dữ liệu cá nhân. Nếu như trước đây, việc thu thập thông tin phục vụ các mục đích về nội bộ như quản trị doanh nghiệp, hoặc chia sẻ thông tin giữa các doanh nghiệp có hợp tác kinh doanh khá thoải mái và phổ biến. Với Nghị định mới, các doanh nghiệp cần hết sức cẩn trọng nếu không có thể vi phạm mà không biết.
Với những doanh nghiệp có hệ thống quản trị nội bộ, các dữ liệu của cá nhân trong tổ chức được thu thập, lưu trữ trên hệ thống như quản lý nhân sự - HRM, quản lý tiền lương – Salary sẽ phải thực hiện các giải pháp từ quy trình đến kỹ thuật để bảo vệ dữ liệu cá nhân cho các nhân sự của mình theo quy định. Ngoài ra, nếu công ty bị hacker tấn công, dữ liệu nội bộ bị rò rỉ thì doanh nghiệp cũng phải chịu trách nhiệm và thực hiện báo cáo cho các bên liên quan.
Đối với các doanh nghiệp tham gia kinh doanh, khai thác dịch vụ có thu thập, kiểm soát và xử lý dữ liệu cá nhân, ngoài việc đảm bảo an toàn cho dữ liệu cá nhân, còn cần chú ý đến việc xây dựng giải pháp kỹ thuật để cho phép người dùng có thể truy cập, xem, sửa, xoá các dữ liệu họ đã cung cấp.
Trường hợp chưa có giải pháp kỹ thuật, doanh nghiệp cần bố trí đầu mối tiếp nhận và chuẩn hoá quy trình cung cấp, sửa đổi, xoá bỏ dữ liệu theo yêu cầu của người dùng.
Một điểm cần lưu ý của những doanh nghiệp có hợp tác với bên thứ ba để khai thác dữ liệu khách hàng, đó là phải thông báo cho khách hàng biết những dữ liệu nào sẽ được chia sẻ và mục đích chia sẻ dữ liệu. Doanh nghiệp chỉ được chuyển giao khi khách hàng đồng ý. Đồng thời, phải có cơ chế để thu hồi các dữ liệu từ bên thứ ba, nếu người dùng thay đổi ý định và không tiếp tục cho phép sử dụng, khai thác thông tin cá nhân của họ.
Như vậy, ngoài thỏa thuận pháp lý hợp tác với nhau, các công ty khi hợp tác cũng cần tính toán sẵn về phương án kỹ thuật để thực hiện đáp ứng yêu cầu này theo Nghị định bảo vệ dữ liệu cá nhân.