Chính phủ vừa ban hành nghị định bảo vệ dữ liệu cá nhân, với nhiều quy định chặt chẽ về bảo vệ dữ liệu và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
Dữ liệu cá nhân gồm những gì?
Theo nghị định, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể, hoặc giúp xác định một con người cụ thể.
Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Dữ liệu cá nhân cơ bản bao gồm: họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế…
Dữ liệu cá nhân nhạy cảm gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của người đó. Ví dụ như quan điểm chính trị, tôn giáo, tình trạng sức khỏe, nguồn gốc chủng tộc, đặc điểm di truyền, đời sống tình dục, dữ liệu vị trí, thông tin khách hàng của tổ chức tín dụng…
Dữ liệu cá nhân sẽ được xử lý theo quy định pháp luật. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình. Các cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc xử lý hình sự theo quy định.
Theo nghị định, các hành vi bị cấm bao gồm việc xử lý dữ liệu cá nhân trái quy định pháp luật, xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
Nghị định cũng cấm các hành vi xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác…
Các bên liên quan đều phải có trách nhiệm với dữ liệu cá nhân
Ngày 19-4, trao đổi với Tuổi Trẻ Online, nhiều chuyên gia trong lĩnh vực an toàn thông tin đánh giá việc có một nghị định riêng về bảo vệ dữ liệu cá nhân là rất cần thiết và phù hợp với tình hình thực tế hiện nay.
Theo nhiều chuyên gia, tình trạng lừa đảo trực tuyến bùng phát, các cuộc gọi quảng cáo, spam tràn lan có nguyên nhân chính đến từ việc các dữ liệu cá nhân bị lộ lọt, mua bán trao đổi công khai. Theo đó, từ các thông tin cá nhân thu thập được, các đối tượng lừa đảo có thể xây dựng các kịch bản tinh vi như lừa vi phạm giao thông, nợ thuế, con bị tai nạn… nhằm chiếm đoạt tiền của người dùng.
Ông Vũ Ngọc Sơn, giám đốc công nghệ Công ty an ninh mạng NCS, cho rằng: "Nghị định đã bao phủ được các đối tượng, tổ chức liên quan đến dữ liệu cá nhân, bao gồm từ chủ thể dữ liệu, bên kiểm soát dữ liệu, bên xử lý dữ liệu đến cả các bên thứ ba có liên quan đến dữ liệu". Theo đó, nghị định quy định rõ quyền và trách nhiệm của các bên trong việc bảo vệ dữ liệu cá nhân. Tất cả các bên phải cùng có trách nhiệm thay vì chỉ tập trung trách nhiệm vào các bên kiểm soát và xử lý dữ liệu.
"Nghị định sẽ giúp tạo ra hành lang pháp lý để các cơ quan quản lý nhà nước có thể rà soát, đánh giá, thanh tra, kiểm tra về việc tuân thủ các quy định bảo vệ dữ liệu cá nhân với các cơ quan, tổ chức. Đây là một điều rất quan trọng khi nguồn lộ lọt dữ liệu cá nhân phần lớn đến từ nguyên nhân các cơ quan, tổ chức lưu trữ, xử lý dữ liệu cá nhân không đảm bảo an ninh, an toàn cho các cơ sở dữ liệu người dùng", ông Sơn nhận xét.
Nhiều chuyên gia kỳ vọng với việc bước đầu bao phủ đầy đủ các đối tượng, tổ chức liên quan đến dữ liệu cá nhân, nghị định sẽ là cơ sở để giải quyết triệt để vấn nạn thu thập, mua bán thông tin đang tràn lan hiện nay.
Doanh nghiệp, cơ quan chức năng cần tăng kiểm soát
Tuy nhiên, cũng theo ông Sơn, sẽ có nhiều khó khăn, thách thức cho tất cả các bên khi áp dụng, triển khai nghị định này. Từ phía người dùng sẽ phải nâng cao nhận thức để chủ động trong việc bảo vệ dữ liệu cá nhân và góp phần phát hiện sai phạm của các bên khác để khiếu nại, tố cáo.
Từ phía các bên kiểm soát dữ liệu, xử lý dữ liệu, ông Sơn cho rằng cũng cần rà soát lại toàn bộ hệ thống, quy trình để đáp ứng yêu cầu, trong đó bao gồm cả phương án kỹ thuật để người dùng có thể truy cập, xem, sửa, xoá các dữ liệu của họ đang lưu trên hệ thống. Việc này hiện tại nhiều hệ thống chưa có phương án kỹ thuật, hoặc có nhưng chưa đủ, đòi hỏi cần đầu tư, nâng cấp thêm.
Đặc biêt, các cơ quan quản lý nhà nước cũng sẽ cần phải đưa vào các ứng dụng công nghệ mới, các công cụ rà soát, kiểm tra, đánh giá, theo dõi tự động nhằm phát hiện sớm các vi phạm về bảo vệ dữ liệu cá nhân, nhất là khi hiện nay có rất nhiều các hệ thống có thu thập, xử lý dữ liệu cá nhân.
Chủ tịch Quốc hội Vương Đình Huệ nêu rõ dự thảo nghị định bảo vệ dữ liệu cá nhân là "nghị định không có đầu", khó và mới nên cần xem xét về sự cần thiết, tính cấp bách.