Với gần 78 triệu người sử dụng internet (chiếm hơn 79% dân số), Việt Nam hiện đang xếp thứ 12 trên thế giới về số lượng người sử dụng internet. Đi cùng sự phát triển mạnh mẽ của công nghệ và hạ tầng không gian mạng, việc bảo vệ dữ liệu cá nhân đang ngày càng trở nên đặc biệt quan trọng.
Nguy cơ xâm phạm dữ liệu cá nhân đang trong tình trạng đáng báo động
Trong thời đại công nghệ thông tin bùng nổ như hiện nay, dữ liệu cá nhân được xem là tài sản quý giá của mọi lĩnh vực. Cụ thể, dữ liệu được ứng dụng rộng rãi trong các lĩnh vực như trí tuệ nhân tạo AI, truyền thông, công nghệ thông tin, nghiên cứu khoa học, giáo dục,... Khi nguồn dữ liệu được sử dụng đúng cách, đây được xem là nền tảng tạo ra giá trị lớn cho cả cá nhân, tổ chức và xã hội, giúp cải thiện hiệu suất kinh doanh, dự báo xu hướng tương lai, phát triển khoa học,...
Tuy nhiên, đi cùng tầm quan trọng của nguồn dữ liệu, việc sử dụng dữ liệu cũng đặt ra nhiều thách thức, bao gồm bảo vệ quyền riêng tư, đảm bảo nguồn dữ liệu được quản lý chặt chẽ và được khai thác một cách đúng đắn, an toàn.
Thực tế hiện nay, tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai. Việc dữ liệu cá nhân bị xâm phạm được xem là yếu tố hỗ trợ cho các hoạt động lừa đảo, chiếm đoạt tài sản trên không gian mạng.
Trước thực trạng trên, việc siết chặt những quy định về bảo vệ dữ liệu cá nhân là hành động cần thiết, giúp giảm thiểu những nguy cơ và hệ lụy của các hành vi xâm phạm dữ liệu cá nhân.
Tăng cường hoạt động bảo vệ dữ liệu cá nhân với Nghị định 13/2023/NĐ-CP
Ngày 01/07/2023 Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân đã chính thức có hiệu lực. Đây là văn bản pháp lý được ban hành trong kế hoạch của Chính Phủ, hướng đến mục đích tăng cường khung pháp lý điều chỉnh các hoạt động trên không gian mạng.
Nghị định 13/2023/NĐ-CP được xem là công cụ hữu hiệu nhằm bảo vệ người dùng, đồng thời tạo hành lang pháp lý đủ mạnh, đầy đủ để hỗ trợ cá nhân, tổ chức khai thác, sử dụng dữ liệu cá nhân đúng luật, an toàn và lành mạnh.
Theo Nghị định 13/2023/NĐ-CP:
Dữ liệu cá nhân
Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Trong đó, tại khoản 3, khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP:
“3. Dữ liệu cá nhân cơ bản bao gồm:
a) Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c) Giới tính;
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
đ) Quốc tịch;
e) Hình ảnh của cá nhân;
g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h) Tình trạng hôn nhân;
i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
l) Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.
4. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
a) Quan điểm chính trị, quan điểm tôn giáo;
b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết."
Nguyên tắc bảo vệ dữ liệu cá nhân
Nguyên tắc bảo vệ dữ liệu cá nhân được quy định cụ thể tại Điều 3 Nghị định 13/2023/NĐ-CP như sau:
“Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân
1. Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
2. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
3. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
4. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
5. Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.”
Trách nhiệm của các bên kiểm soát và xử lý dữ liệu cá nhân
Trách nhiệm của các bên kiểm soát và xử lý dữ liệu cá nhân như Viettel IDC cơ bản bao gồm: bảo đảm quyền của chủ thể dữ liệu; thực hiện các biện pháp an toàn, bảo mật phù hợp để bảo vệ dữ liệu; ghi lại và lưu trữ nhật ký xử lý dữ liệu; xử lý dữ liệu cá nhân theo hợp đồng ký kết; chịu trách nhiệm trước chủ thể dữ liệu; xóa, trả lại toàn bộ dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu; phối hợp với Bộ Công an bảo vệ dữ liệu cá nhân.
Trong đó, Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân được quy định cụ thể tại Điều 38 Nghị định 13/2023/NĐ-CP; Trách nhiệm của Bên Xử lý dữ liệu cá nhân được quy định cụ thể tại Điều 39 Nghị định 13/2023/NĐ-CP.
"Điều 38. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân
1. Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
2. Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
3. Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23 Nghị định này.
4. Lựa chọn Bên Xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với Bên Xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
5. Bảo đảm các quyền của chủ thể dữ liệu theo quy định tại Điều 9 Nghị định này.
6. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
7. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Điều 39. Trách nhiệm của Bên Xử lý dữ liệu cá nhân
1. Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.
2. Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.
3. Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan.
4. Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
5. Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.
6. Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.”
Nghị định 13/2023/NĐ-CP được ban hành và áp dụng cho mọi tổ chức, cá nhân trong nước hoặc nước ngoài có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam, kể cả khi việc xử lý dữ liệu cá nhân được thực hiện bên ngoài Việt Nam.
Như vậy, với việc Nghị định 13/2023/NĐ-CP có hiệu lực, các doanh nghiệp, bao gồm cả Viettel IDC cần rà soát lại các chính sách nội bộ, thực hiện quản lý quyền riêng tư về dữ liệu để lên kế hoạch triển khai, hành động tương xứng.
Viettel IDC đáp ứng Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân
Ngay từ trước khi
Nghị định 13/2023/NĐ-CP ra đời, Viettel IDC đã xác định ATTT, đảm bảo an toàn dữ liệu cá nhân là một trong những nhiệm vụ quan trọng hàng đầu.
Chúng tôi đã triển khai hàng loạt giải pháp kỹ thuật, công nghệ về bảo mật và mới đây là
chính sách sách bảo vệ dữ liệu cá nhân của Viettel IDC. Chính sách này được thiết kế, xây dựng và cập nhật thường xuyên để khách hàng hiểu được chi tiết về hoạt động xử lý dữ liệu cá nhân của khách hàng tại Viettel IDC căn cứ theo Nghị định 13/2023/NĐ-CP, bao gồm những nội dung cơ bản sau:
- Loại dữ liệu cá nhân được xử lý;
- Mục đích xử lý dữ liệu cá nhân;
- Cách thức xử lý dữ liệu cá nhân;
- Nguyên tắc bảo mật dữ liệu cá nhân;
- Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
- Thời gian bắt đầu và thời gian kết thúc xử lý dữ liệu cá nhân;
- Tổ chức, cá nhân tham gia quá trình xử lý dữ liệu cá nhân; và
- Quyền và nghĩa vụ của khách hàng.
Bên cạnh việc tuân thủ các quy định của Pháp luật Việt Nam, hệ thống hạ tầng CNTT của Viettel IDC cũng đáp ứng được các tiêu chuẩn quốc tế nghiêm ngặt nhất về ATTT. Viettel IDC là một trong những đơn vị cung cấp dịch vụ trung tâm dữ liệu và điện toán đám mây đầu tiên tại Việt Nam đạt chứng chỉ ISO 27018:2019 về bảo vệ thông tin cá nhân trong lưu trữ đám mây, đáp ứng Nghị định 13/2023 của Chính phủ.
Ngoài ra, để đáp ứng yêu cầu về thông báo xử lý dữ liệu cá nhân, triển khai hệ thống xử lý yêu cầu của chủ thể dữ liệu cũng như bảo vệ dữ liệu và thông báo/ báo cáo vi phạm quy định về bảo vệ dữ liệu, Viettel IDC cũng triển khai các gói giải pháp hỗ trợ đến khách hàng:
- Dịch vụ Tư vấn Cấp độ ATTT
- Dịch vụ Giám sát ATTT VSOC
- Dịch vụ Chống thất thoát dữ liệu DLP (Data Loss Prevent)
- Dịch vụ Bảo vệ Firewall Database
Như vậy, với
Viettel IDC, doanh nghiệp có thể yên tâm về việc dữ liệu doanh nghiệp và dữ liệu cá nhân sẽ được lưu trữ theo đúng quy định của Chính Phủ. Từ đó, quý khách hàng có thể tập trung vào hoạt động cốt lõi để phát triển bền vững.
