Chính phủ vừa ban hành nghị định để cụ thể hóa mục tiêu bảo vệ dữ liệu cá nhân trên thế giới mạng. Những thông tin cá nhân nào được bảo vệ? Quy định đã đủ bao quát chưa, các chuyên gia đánh giá thế nào?
Chính phủ vừa ban hành nghị định bảo vệ dữ liệu cá nhân, với nhiều quy định chặt chẽ về bảo vệ dữ liệu và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
Dữ liệu cá nhân gồm những gì?
Theo nghị định, dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Dữ liệu cá nhân cơ bản bao gồm: họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế…
Dữ liệu cá nhân nhạy cảm gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của người đó. Ví dụ như quan điểm chính trị, tôn giáo, tình trạng sức khỏe, nguồn gốc chủng tộc, đặc điểm di truyền, đời sống tình dục, dữ liệu vị trí, thông tin khách hàng của tổ chức tín dụng…
Dữ liệu cá nhân sẽ được xử lý theo quy định pháp luật. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình. Các cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc xử lý hình sự theo quy định.
Theo nghị định, các hành vi bị cấm bao gồm việc xử lý dữ liệu cá nhân trái quy định pháp luật, xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
Nghị định cũng cấm các hành vi xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác…
Các bên liên quan đều phải có trách nhiệm với dữ liệu cá nhân
Ngày 19-4, nhiều chuyên gia trong lĩnh vực an toàn thông tin đánh giá việc có một nghị định riêng về bảo vệ dữ liệu cá nhân là rất cần thiết với tình hình hiện nay khi lừa đảo trực tuyến bùng phát, các cuộc gọi rác tràn lan.
Do dữ liệu cá nhân bị lộ lọt, mua bán tcông khai, các đối tượng lừa đảo có thể xây dựng các kịch bản tinh vi như lừa vi phạm giao thông, nợ thuế, con bị tai nạn… nhằm chiếm đoạt tiền.
Ông Vũ Ngọc Sơn, giám đốc công nghệ Công ty an ninh mạng NCS, cho rằng: “Nghị định đã bao phủ được các đối tượng, tổ chức liên quan đến dữ liệu cá nhân, bao gồm từ chủ thể dữ liệu, bên kiểm soát dữ liệu, bên xử lý dữ liệu đến cả các bên thứ ba có liên quan đến dữ liệu”. Tất cả các bên phải cùng có trách nhiệm thay vì chỉ tập trung trách nhiệm vào các bên kiểm soát và xử lý dữ liệu.
“Nghị định sẽ giúp tạo ra hành lang pháp lý để các cơ quan quản lý nhà nước có thể rà soát, đánh giá, thanh tra, kiểm tra về việc tuân thủ các quy định bảo vệ dữ liệu cá nhân với các cơ quan, tổ chức. Đây là một điều rất quan trọng khi nguồn lộ lọt dữ liệu cá nhân phần lớn đến từ nguyên nhân các cơ quan, tổ chức lưu trữ, xử lý dữ liệu cá nhân không đảm bảo an ninh, an toàn”, ông Sơn nhận xét.
Doanh nghiệp, cơ quan chức năng cần tăng kiểm soát
Tuy nhiên, cũng theo ông Sơn, sẽ có nhiều khó khăn, thách thức cho tất cả các bên khi áp dụng, triển khai nghị định này. Từ phía người dùng sẽ phải nâng cao nhận thức để chủ động trong việc bảo vệ dữ liệu cá nhân và góp phần phát hiện sai phạm của các bên khác để khiếu nại, tố cáo.
Từ phía các bên kiểm soát dữ liệu, xử lý dữ liệu, ông Sơn cho rằng cũng cần rà soát lại toàn bộ hệ thống, quy trình để đáp ứng yêu cầu, trong đó bao gồm cả phương án kỹ thuật để người dùng có thể truy cập, xem, sửa, xoá các dữ liệu của họ đang lưu trên hệ thống. Việc này hiện tại nhiều hệ thống chưa có phương án kỹ thuật, hoặc có nhưng chưa đủ, đòi hỏi cần đầu tư, nâng cấp thêm.
Đặc biêt, các cơ quan quản lý nhà nước cũng sẽ cần phải đưa vào các ứng dụng công nghệ mới, các công cụ rà soát, kiểm tra, đánh giá, theo dõi tự động nhằm phát hiện sớm các vi phạm về bảo vệ dữ liệu cá nhân, nhất là khi hiện nay có rất nhiều các hệ thống có thu thập, xử lý dữ liệu cá nhân.