Bảo vệ dữ liệu cá nhân tại doanh nghiệp: Lo 'mất bò', 'làm chuồng' không dễ?

Trong trung tâm dữ liệu của Dell Technologies. Các con chip AI tiêu thụ nhiều năng lượng hơn, vì thế tỏa nhiệt nhiều hơn. Làn sóng AI toàn cầu cũng tạo cơ hội phát triển mới cho công nghệ làm mát bằng nước và chất lỏng. Ảnh: Dell Technologies

Đừng để “mất bò mới lo làm chuồng”

Trong bối cảnh phát triển kinh tế số hiện nay, dữ liệu có vai trò tối quan trọng với cả nền kinh tế nói chung và từng doanh nghiệp nói riêng. Trước tình hình đó, Nhà nước đã và đang gấp rút hoàn thiện khung pháp lý về dữ liệu nói chung và dữ liệu cá nhân nói riêng, hướng đến việc bảo vệ hiệu quả hơn nguồn tài nguyên quý giá này. Hiện nay, Nhà nước đã ban hành gần 70 văn bản quy phạm pháp luật có liên quan tới vấn đề này như Luật An ninh mạng 2018, Luật An toàn thông tin mạng 2015, Luật Bảo vệ quyền lợi người tiêu dùng 2023 và đặc biệt là Nghị định 13/2023 trực tiếp quy định về bảo vệ dữ liệu cá nhân.

Tuy nhiên, nhiều doanh nghiệp dường như vẫn chưa nhận thức được tầm quan trọng của việc bảo vệ dữ liệu nói chung và dữ liệu cá nhân nói riêng. Đừng để “mất bò mới lo làm chuồng”, việc tuân thủ các quy định trên là hoạt động sớm muộn cũng phải thực hiện và nên sớm thực hiện vì ba cái lợi. Việc thực hiện từ sớm với lộ trình, nguồn lực phù hợp giúp doanh nghiệp bớt bị động và tự tin trong quá trình thanh, kiểm tra việc tuân thủ của cơ quan chức năng.

Tương tự việc mua bảo hiểm, doanh nghiệp thực hiện đầy đủ soát xét tuân thủ bảo vệ dữ liệu sẽ giảm thiểu rủi ro bị tấn công mạng (hack). Vụ một công ty chứng khoán lớn bị tấn công mạng gần đây với những thiệt hại to lớn đi kèm đã một lần nữa nhấn mạnh tầm quan trọng của việc phòng tránh rủi ro này. Trong trường hợp thực sự bị tấn công, việc doanh nghiệp đã tiến hành soát xét, tuân thủ bảo mật đầy đủ có thể là căn cứ giảm nhẹ trách nhiệm bồi thường (nếu có) do sự bất cẩn hoặc nhầm lẫn khi bảo mật hệ thống dữ liệu theo quy định luật chuyên ngành.

Tự xây “chuồng” hay nhờ ai xây hộ?

Dù vậy, không dễ để các doanh nghiệp tự mình soát xét tuân thủ – một hoạt động yêu cầu nhiều nguồn lực, kinh nghiệm và chuyên môn đặc thù.

Về cơ bản, khung pháp lý hiện nay đã tương đối đầy đủ nhưng vẫn còn một số điểm hạn chế. Chẳng hạn, Nghị định 13/2023 mới chỉ đưa ra những nghĩa vụ buộc phải làm, nhưng chưa làm rõ các thủ tục cụ thể cần thực hiện. Doanh nghiệp phải tự xác định vai trò của mình khi thu thập, xử lý dữ liệu, phải tự phân loại dữ liệu, tự xác định mức độ bảo mật tương ứng, gia giảm quyền truy cập của các phòng ban trong nội bộ hoặc của các đối tác bên ngoài.

Chưa hết, phải phân bổ nhân sự chuyên trách theo luật định, xây dựng quy trình rà soát, điều chỉnh hệ thống tài liệu, áp dụng và duy trì biện pháp kỹ thuật chống tấn công mạng, kiểm tra liên tục đảm bảo hoạt động, đáp ứng các tiêu chuẩn bảo mật mà các tổ chức có uy tín chứng nhận. Nếu việc hợp tác với các đối tác làm phát sinh hoạt động thu thập, xử lý dữ liệu cá nhân, doanh nghiệp còn phải có minh chứng rằng đã có thỏa thuận xử lý dữ liệu với họ trước khi tiến hành hợp tác kinh doanh.

Cần lưu ý rằng, bản chất việc tuân thủ này không chỉ dừng ở việc chống tấn công mạng, hoặc nộp một bộ hồ sơ tuân thủ cho Nhà nước là xong. Việc tuân thủ cần bao gồm cả hai mặt pháp lý (legal) và kỹ thuật (technical) với sự liên kết, thống nhất cao.

Chẳng hạn, để tuân thủ được một quy định của luật buộc doanh nghiệp phải đảm bảo quyền xóa dữ liệu cá nhân, doanh nghiệp phải đầu tư hệ thống kỹ thuật cho phép khách hàng truy cập, tìm kiếm, xóa được dữ liệu về mình mà không ảnh hưởng tới kho dữ liệu khác trong doanh nghiệp. Việc cài đặt, sử dụng, cải thiện hệ thống này bị chi phối bởi thực tế thu thập, lưu trữ văn bản, tài liệu pháp lý nội bộ, tiềm lực tài chính cũng như tiềm năng của nền tảng công nghệ mà doanh nghiệp đang sử dụng.

Tất cả những khó khăn kể trên hiện khiến nhiều doanh nghiệp đành trì hoãn do lúng túng không biết phải bắt đầu từ đâu, như thế nào, gặp ai và làm gì để tuân thủ, nhất là tại các doanh nghiệp nhỏ và vừa, khi tuân thủ là một gánh nặng đáng kể. Biết được điều này, trên thị trường hiện nay xuất hiện một số dịch vụ hỗ trợ tuân thủ pháp luật về bảo vệ dữ liệu cá nhân, với đa dạng hình thức cung cấp, mức giá, và cũng đa dạng cả… chất lượng. Để lựa chọn đơn vị “làm hộ” có đủ năng lực, kinh nghiệm, có thể tin tưởng nhưng với chi phí phù hợp vẫn là bài toán nan giải.

Giải pháp

Để nâng cao nhận thức tuân thủ, bên cạnh việc trông chờ các doanh nghiệp tự giác, cần sớm hoàn thiện khung pháp lý về chế tài đủ sức răn đe hơn. Có lẽ, phải chờ đến khi Nghị định xử lý vi phạm hành chính về an ninh mạng được ban hành (với mức phạt từ 80-100 triệu đồng đến 5% doanh thu trong năm) mới đủ sức thay đổi nhận thức trên. Cùng với đó, khi các cơ quan chức năng thuộc Bộ Công an bước đầu tiến hành kiểm tra tuân thủ tại một số doanh nghiệp, với đủ các ngành, nghề từ tài chính, bán lẻ, giáo dục, sức khỏe, giải trí, bất động sản, nhận thức này chắc hẳn sẽ sớm được cải thiện.

Từ phía doanh nghiệp, do hoạt động soát xét tuân thủ này sớm muộn gì cũng phải thực hiện, doanh nghiệp cần lưu tâm từ sớm và có những tính toán chi tiết về nguồn lực thực hiện, tiến hành lựa chọn chuyên gia hoặc đối tác cung cấp dịch vụ phù hợp, để hoạt động thực sự có hiệu quả và đúng luật.

Đồng thời, để đảm bảo chất lượng, khi chưa có những hướng dẫn chi tiết hơn về tiêu chuẩn bảo vệ dữ liệu cá nhân từ cơ quan có thẩm quyền, các tiêu chuẩn theo thông lệ quốc tế, thực hành tốt (chẳng hạn như ISO/IEC 27001, 27002 an ninh mạng và bảo vệ quyền riêng tư, ISO/IEC 27701 quản lý hệ thống quyền riêng tư) là nguồn tham khảo hữu ích, giúp doanh nghiệp và đơn vị cung cấp dịch vụ bảo mật có thêm căn cứ hoàn thiện hệ thống pháp lý – kỹ thuật, tránh thay đổi hoặc tái đầu tư nhiều lần.

Có xây “chuồng chắc như vậy, doanh nghiệp mới có thể tự tin giữ “bò” trong thời đại của dữ liệu số, kinh tế số đầy biến động hiện nay.

(*) ThS. NCS, giảng viên khoa Luật Dân sự, trường Đại học Luật, Đại học Quốc gia Hà Nội
(**) Luật sư thành viên, Công ty Luật TNHH VTN và Cộng sự.
(***) Trợ lý luật sư, Công ty Luật TNHH VTN và Cộng sự

Đào Trọng Khôi (*) - Nguyễn Thanh Nghiệp (**) - Nguyễn Kiên Cường (***)