Đã hết thời doanh nghiệp sử dụng dữ liệu cá nhân thoải mái và "ngây thơ"

Admin
Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã có hiệu lực thi hành từ ngày 1/7. Tuy nhiên, đến nay vẫn chưa có nhiều doanh nghiệp Việt Nam ý thức được tầm quan trọng của việc thực thi nên có thể đang vi phạm nghiêm trọng nghị định này.

Doanh nghiệp dữ liệu chịu tác động mạnh nhất

Với gần 78 triệu người Việt Nam sử dụng Internet (chiếm hơn 79% dân số), xếp thứ 12 trên thế giới về tỷ lệ người sử dụng Internet, công tác bảo vệ dữ liệu cá nhân đang đứng trước nhiều khó khăn, thách thức.

Tình trạng lộ, mất dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Ngoài ra, người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân dẫn tới đăng tải công khai hoặc lộ, mất, bị chiếm đoạt trong quá trình chuyển giao, lưu trữ, trao đổi.

Thời gian qua, Bộ Công an đã phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý.

Nguyên nhân của thực trạng dữ liệu cá nhân đang bị mua bán, lộ, mất, công khai trên không gian mạng diễn ra tràn lan là do thiếu quy định của pháp luật để xử lý, chưa có văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân.

Công tác bảo vệ dữ liệu cá nhân đứng trước nhiều thách thức.

Do đó, ngày 17/4, việc Chính phủ ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan được coi là bước đi hết sức cần thiết. Qua đó đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân, ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của các cá nhân, tổ chức.

Đồng thời nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân, mà trước hết là của bên xử lý dữ liệu đối với việc xử lý dữ liệu cá nhân. Nghị định cũng là tiền đề quan trọng để triển khai, đúc rút và nghiên cứu, xây dựng thành Luật Bảo vệ dữ liệu cá nhân.

Chính thức có hiệu lực thi hành từ ngày 1/7/2023, nghị định được coi là văn bản pháp lý đầu tiên quy định đầy đủ về quyền và nghĩa vụ của các bên liên quan đến hoạt động xử lý, bảo vệ dữ liệu cá nhân tại Việt Nam. Trong đó, đối tượng doanh nghiệp có hoạt động kinh doanh gắn với dữ liệu cá nhân sẽ chịu điều chỉnh mạnh mẽ nhất từ Nghị định số 13/2023/NĐ-CP.

Không thể tiếp tục sử dụng dữ liệu thoải mái

Tại tọa đàm "Rủi ro đạo đức với AI" ngày 28/7, khi đánh giá về việc thực thi nghị định này, ông Lê Công Thành - Giám đốc Công ty CP Công nghệ Chọn lọc Thông tin (InfoRe) cho biết, kể từ khi nghị định được ban hành vào tháng 4/2023, InfoRe đã quan tâm và ngay lập tức đầu tư công sức rất nhiều để nâng cấp, thay đổi hệ thống cho phù hợp với những yêu cầu của nghị định.

Theo đó, tất cả những dữ liệu mà công ty đã thu thập, lấy mẫu từ năm 2011 đến nay phải xóa bỏ hoàn toàn, không lưu lại trên hệ thống. Những gì liên quan đến định danh của người dùng lấy từ mạng xã hội phải xóa bỏ khỏi hệ thống hoặc mã hóa một chiều để không ai biết người đó là ai trên mạng.

Ông Lê Công Thành - Giám đốc Công ty CP Công nghệ Chọn lọc Thông tin (InfoRe).

"Nói chung, chúng tôi phải nâng cấp 1 hệ thống tương đối lớn trong khoảng thời gian ngắn, thậm chí chúng tôi phải ngừng cung cấp dịch vụ cho khách hàng để nâng cấp hệ thống", ông Thành chia sẻ.

Theo quan sát của ông Thành, chưa có nhiều doanh nghiệp Việt Nam ý thức được việc làm này. Các doanh nghiệp vẫn tiếp tục làm theo cách cũ và có thể đang vi phạm nghiêm trọng Nghị định 13. Tính đến thời điểm hiện tại, cũng chưa có một trường hợp nào vi phạm Nghị định 13 bị cơ quan chức năng xử lý. Tuy nhiên, trong khoảng thời gian ngắn sắp tới DN sẽ thấy rõ hơn về vấn đề này và buộc phải tuân thủ.

"Từ trước đến nay, Việt Nam sử dụng dữ liệu một cách thoải mái và "ngây thơ". Mọi người ám ảnh về việc lâu lâu có người gọi điện mời chào dùng dịch vụ, sản phẩm. Thậm chí vừa xuống máy bay đã bị mời đi taxi. Tại Việt Nam, dữ liệu cá nhân trên không gian mạng từ trước đến nay chưa có quy định rõ ràng để kiểm soát", Giám đốc InfoRe nhìn nhận.

Việt Nam thuộc top 15 thế giới về số lượng người dân sử dụng Internet. Tuy vậy, từ lúc internet bùng nổ ở Việt Nam thì vấn đề bảo vệ dữ liệu vẫn chưa thực sự được quan tâm.

Nghị định 13 ra đời thực sự là bước tiến lớn về bảo vệ dữ liệu cá nhân. Tuy nhiên, tác dụng của Nghị định này đến đâu thì cần phải tiếp tục quan sát, rất nhiều DN sẽ phải đọc kỹ các quy định, tìm cách chuyển biến sản phẩm, dịch vụ phù hợp với điều kiện, quy định mới.

Nghị định 13 tương tự như GDPR của EU

Liên hệ với châu Âu, bà Phạm Thanh Long - Nghiên cứu viên cấp cao của Trung tâm Phân tích Dữ liệu Insight (Đại học Tổng hợp Cork - Ireland) đánh giá, Nghị định 13 của Việt Nam cũng có nội dung tương đồng với Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu (EU).

Trong bối cảnh Internet bùng nổ, năm 2016, Nghị viện châu Âu đã thông qua GDPR do Ủy ban châu Âu xây dựng, nhằm vạch ra kế hoạch cải cách bảo vệ dữ liệu cá nhân trên toàn liên minh. Từ ngày 25/5/2018, các điều khoản của GDPR được áp dụng trực tiếp ở tất cả quốc gia thành viên EU.

Theo bà Thanh Long, với GDPR, quyền của chủ thể dữ liệu được nêu rất cụ thể và được pháp luật bảo vệ. Những người thu thập, xử lý dữ liệu phải có trách nhiệm với chủ thể dữ liệu. GDPR quy định việc người thu thập dữ liệu có quyền gì trong việc xử lý dữ liệu?

GDPR định nghĩa dữ liệu cá nhân là tài sản của công dân. Do đó, công dân có quyền kiểm soát dữ liệu cá nhân mà mình đã khai báo và có thể tự tra cứu, sửa đổi thông tin của mình, thậm chí là xóa bỏ hẳn. Khi có sự kiện liên quan như sử dụng, chia sẻ, lộ lọt dữ liệu cá nhân thì tổ chức, doanh nghiệp lưu trữ dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân đó biết.

Ở chiều ngược lại, tổ chức, doanh nghiệp lưu trữ dữ liệu phải cung cấp biện pháp để chủ thể dữ liệu cá nhân tra cứu, truy cập dữ liệu của cá nhân mình.

Nghị định 13 về bảo vệ dữ liệu cá nhân của Việt Nam cũng tương tự như GDPR của EU. Các doanh nghiệp Việt Nam cần nhanh chóng có những bước chuyển đổi để tuân thủ quy định. Qua đó giúp cơ quan quản lý quản lý hiệu quả giữa sử dụng và bảo vệ dữ liệu cá nhân.