Quy định thông báo vi phạm dữ liệu cá nhân: Cảnh báo cú chạm của vua Midas

Trong bối cảnh công nghệ đột phá ngày càng phát triển vượt bậc và dữ liệu được ví như “mỏ vàng” đầy tiềm năng khai thác, mong muốn của các công ty công nghệ về việc thu thập và sử dụng dữ liệu không giới hạn có thể so sánh với khao khát của vua Midas.

Tưởng chừng đây là một phép màu, nhưng Midas sớm nhận ra mình đã bị nguyền rủa khi mọi thứ ông ta chạm vào đều biến thành vàng, kể cả thức ăn và cô con gái mà ông ta yêu thương. Trước hậu quả bi thảm từ sự ham mê giàu có của mình, Midas cầu xin thần Dionysus hóa giải điều ước của mình. Vị thần mủi lòng và hướng dẫn ông ta tắm trong dòng sông Pactolus để rửa sạch ma thuật.

Trong bối cảnh công nghệ đột phá ngày càng phát triển vượt bậc và dữ liệu được ví như “mỏ vàng” đầy tiềm năng khai thác, mong muốn của các công ty công nghệ về việc thu thập và sử dụng dữ liệu không giới hạn có thể so sánh với khao khát của vua Midas. Ban đầu, khả năng thu thập và phân tích một lượng lớn dữ liệu cá nhân có vẻ như là một cơ hội quý báu cho các doanh nghiệp, hứa hẹn sự tăng trưởng vô song từ hiểu biết sâu sắc về hành vi của người tiêu dùng. Tuy nhiên, nếu không xem xét cẩn trọng đến quyền riêng tư, việc sở hữu một khối lượng dữ liệu lớn của người dùng lại trở thành mối đe dọa cho không chỉ với chính công ty mà còn cả với xã hội và khả năng quản trị số của nhà nước. 

Các khung pháp lý về bảo vệ dữ liệu cá nhân, giống như dòng sông Pactolus,“hóa giải” và phòng ngừa các hành vi sử dụng dữ liệu cá nhân bừa bãi bằng cách đặt ra những quy tắc, bao gồm yêu cầu thông báo về vi phạm dữ liệu cá nhân, nhằm bảo vệ doanh nghiệp và các cá nhân, duy trì niềm tin của người tiêu dùng và thực thi bảo mật dữ liệu. Mà một trong những khung pháp lí đáng quan tâm là quy định thông báo vi phạm dữ liệu cá nhân. Theo đó, các công ty buộc phải công khai ngay lập tức về các sự cố bảo mật với công chúng. 

Ảnh minh họa: Getty

Sự ra đời của Quy định Thông báo Vi phạm dữ liệu cá nhân

Trong câu chuyện thần thoại, những người xung quanh vua Midas không biết về khả năng đặc biệt của ông, dẫn đến việc họ vô tình bị hóa thành vàng khi tiếp xúc dù chỉ qua một cú chạm tay. Điều này tượng trưng cho sự bất cân xứng thông tin nghiêm trọng, nơi mà một bên hoàn toàn không biết về rủi ro đang hiện diện. Trên thực tế, trong bối cảnh bảo mật dữ liệu, các doanh nghiệp thường có kiến thức sâu rộng về các biện pháp bảo vệ, lỗ hổng an ninh, và các rủi ro liên quan đến dữ liệu cá nhân. Ngược lại, người tiêu dùng thường thiếu thông tin về việc dữ liệu của họ được bảo vệ như thế nào, hiệu quả ra sao, cũng như các nguy cơ bị lộ lọt dữ liệu. Điều này có thể dẫn đến sự thiếu tin tưởng của người tiêu dùng vào khả năng quản lý dữ liệu của doanh nghiệp và làm giảm hiệu quả của các giao dịch thương mại. Ngoài ra, ngay cả khi doanh nghiệp công bố các phương pháp bảo mật và liệt kê các nguy cơ thiếu an toàn dữ liệu, do rào cản về hiểu biết kỹ thuật chuyên ngành, người tiêu dùng có thể cũng không đánh giá đúng mức độ rủi ro và vì thế không thực hiện các biện pháp bảo vệ cần thiết cho dữ liệu cá nhân của mình. 

Tuy nhiên, vẫn có trường hợp chính bản thân doanh nghiệp cũng không ý thức đúng đắn về mức độ cần thiết phải có cơ chế bảo mật dữ liệu và thông tin về vi phạm dữ liệu đến người tiêu dùng. Dù các doanh nghiệp thường sở hữu nhiều thông tin và công cụ về bảo mật dữ liệu hơn so với người tiêu dùng, việc không cập nhật và chia sẻ đầy đủ thông tin về các rủi ro bảo mật có thể dẫn đến những hậu quả nghiêm trọng, giống như việc vua Midas không hiểu được nguy cơ tiềm ẩn trong món quà của mình.

Để giảm thiểu sự bất cân xứng này, cần có các biện pháp tăng cường minh bạch thông tin, nâng cao nhận thức của người tiêu dùng về bảo mật dữ liệu và áp dụng các quy định pháp lý yêu cầu doanh nghiệp công khai thông tin về chính sách bảo mật và các sự cố an ninh. Thông qua quy định thông báo vi phạm dữ liệu bắt buộc (data breach notification) và yêu cầu doanh nghiệp chịu trách nhiệm về việc thông báo các sự cố bảo mật, sự minh bạch và việc chia sẻ thông tin kịp thời có thể giúp giảm thiểu các rủi ro và hậu quả tiêu cực cho người tiêu dùng và chính bản thân các doanh nghiệp khi nghiêm túc thi hành.

Trong bối cảnh kỹ thuật số tiếp tục phát triển, nhiều nhà bình luận pháp luật và chính sách cho rằng có thể cần phải điều chỉnh quy định bảo vệ dữ liệu chung để cân bằng tốt hơn các mục tiêu bảo vệ dữ liệu với thực tiễn của các doanh nghiệp hiện nay.

GDPR của Liên minh Châu Âu – Thiết lập Tiêu chuẩn Toàn cầu về bảo mật dữ liệu

Mối quan tâm về yêu cầu thông báo vi phạm dữ liệu ở Liên minh châu Âu (EU) đã dấy lên từ cuối những năm 2000, từ đó Chỉ thị 2009/136/EC được ban hành để giải quyết các quan ngại về vi phạm dữ liệu mà người tiêu dùng không được cung cấp thông tin đầy đủ. Chỉ thị này, thường được gọi là “Chỉ thị về quyền riêng tư điện tử” (“ePrivacy”), bao gồm các điều khoản quy định thông báo vi phạm dữ liệu bắt buộc đối với các công ty viễn thông. Yêu cầu này cũng được tuân thủ tốt từ phía cộng đồng doanh nghiệp. Tiêu biểu, vào tháng 1/2012, Công ty Viễn thông KPN có trụ sở tại Hà Lan đã bị tin tặc tấn công vào hệ thống và truy cập trái phép vào dữ liệu cá nhân của hơn 2 triệu khách hàng. Dữ liệu bị xâm phạm quyền riêng tư này bao gồm tên, địa chỉ và thông tin cá nhân khác. KPN đã nhanh chóng thông báo cho Cơ quan Bảo vệ Dữ liệu Hà Lan (Autoriteit Persoonsgegevens) và các khách hàng bị ảnh hưởng trong vụ tấn công trên. Đây là một trong những trường hợp đầu tiên tuân thủ hiệu quả các yêu cầu thông báo vi phạm dữ liệu bắt buộc theo Chỉ thị về quyền riêng tư điện tử.

Sau sự thành công của các chỉ thị về bảo vệ dữ liệu cá nhân, Quy định bảo vệ dữ liệu chung (GDPR) là một luật đột phá hài hòa các yêu cầu bảo vệ dữ liệu trên tất cả các quốc gia thành viên EU, cung cấp một khuôn khổ nghiêm ngặt cho các thông báo vi phạm dữ liệu. Tại Điều 33 của GDPR, các chủ thể xử lý dữ liệu cá nhân phải thông báo cho cơ quan bảo vệ dữ liệu có liên quan trong vòng 72 giờ kể từ khi biết về vi phạm dữ liệu gây rủi ro cho các quyền riêng tư. Khi rủi ro được đánh giá là cao, việc thông báo cho các cá nhân bị ảnh hưởng trở thành bắt buộc. GDPR còn chi tiết hóa yêu cầu về các nội dung tối thiểu của thông báo về dữ liệu, bao gồm: (i) các loại dữ liệu và số lượng ước tính các chủ thể dữ liệu bị ảnh hưởng cũng như các loại và số lượng xấp xỉ các bản ghi chép dữ liệu cá nhân bị ảnh hưởng; (ii) tên và thông tin liên lạc của nhân viên bảo vệ dữ liệu hoặc điểm liên hệ khác nơi có thể thu thập thêm thông tin về bảo vệ dữ liệu; (iii) mô tả các hậu quả có thể xảy ra từ hành vi vi phạm dữ liệu cá nhân; (iv) mô tả các biện pháp đã được thực hiện hoặc đề xuất thực hiện bởi bên kiểm soát để giải quyết vi phạm dữ liệu cá nhân, cũng như các biện pháp giảm thiểu các tác động bất lợi có thể xảy ra. Do đó, có thể nói GDPR là minh chứng cho cam kết của EU đối với các tiêu chuẩn bảo vệ dữ liệu nghiêm ngặt, minh chứng bằng các yêu cầu thông báo vi phạm dữ liệu chặt chẽ. Tác động của quy định có thể được minh họa qua ba vụ xử lý hành vi không tuân thủ yêu cầu trên với những chế tài đặc biệt khắt khe, bất kể tầm vóc toàn cầu của các doanh nghiệp có liên quan.

Năm 2018, làm lọt dữ liệu của 500.000 khách hàng, mặc dù đáp ứng yêu cầu thông báo trong vòng 72 giờ của GDPR, British Airways phải đối mặt với khoản tiền phạt đề xuất là 183 triệu bảng. Ảnh: website của British Airways

Yêu cầu thông báo vi phạm dữ liệu cá nhân được xem là thể hiện sự thiện chí của doanh nghiệp trong việc tuân thủ GDPR. Nếu chủ thể lưu trữ và xử lý dữ liệu khi phát hiện hành vi vi phạm bảo mật dữ liệu nhưng không thực hiện thông báo theo quy định tại Điều 33 GDPR hoặc không có lý do chính đáng giải thích cho việc thông báo chậm trễ, cơ quan có thẩm quyền sẽ xác định đây là vi phạm dữ liệu cá nhân ở mức rủi ro cao căn cứ theo khoản 4 Điều 34, vì thế chế tài pháp lý sẽ được xem xét khắt khe hơn, có thể lên đến 20 triệu Euro hoặc 4% tổng doanh thu hằng năm của doanh nghiệp. Nếu chủ thể này tuân thủ nghĩa vụ thông báo theo yêu cầu tại Điều 33 GDPR, cơ quam có thẩm quyền sẽ ghi nhận sự thiện chí thực hiện quy định pháp luật của doanh nghiệp trong việc thông báo nhưng vẫn tiếp tục điều tra khả năng thực hiện hiệu quả, đầy đủ cơ chế bảo mật của doanh nghiệp. Cụ thể, vào tháng 10/2018, Google đã thông báo một lỗ hổng bảo mật trong nền tảng Google+ của mình có khả năng làm lộ dữ liệu của 500.000 người dùng. Do Google đã chứng minh mình tuân thủ thời hạn và nội dung thông báo vi phạm dữ liệu theo Điều 33 GDPT, cơ quan có thẩm quyền đã không xem xét chế tài liên quan đến việc thực hiện nghĩa vụ thông báo, nhưng đánh giá xem doanh nghiệp này có thực hiện nghiêm túc việc bảo mật dữ liệu trước, trong và sau khi có sự cố bảo mật xảy ra hay không. 

Nhưng các doanh nghiệp không chỉ thông báo là xong, một trong những trường hợp đáng chú ý nhất liên quan tới hãng hàng không British Airways (BA). Vào tháng 9/2018, BA đã báo cáo một vụ vi phạm dữ liệu đáng kể làm tổn hại đến dữ liệu cá nhân và tài chính của khoảng 500.000 khách hàng. Mặc dù đáp ứng yêu cầu thông báo trong vòng 72 giờ của GDPR, BA phải đối mặt với khoản tiền phạt đề xuất là 183 triệu bảng của Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) do chỉ phát hiện sự vụ này qua thông báo của một bên thứ ba, không có biện pháp bảo vệ dữ liệu chặt chẽ ngay từ đầu, cũng như giải quyết sự cố chậm trễ và không hiệu quả. Trường hợp này nhấn mạnh tầm quan trọng của việc không chỉ thông báo cho chính quyền mà còn thực hiện các biện pháp phòng ngừa mạnh mẽ để bảo vệ dữ liệu người tiêu dùng ngay từ ban đầu. Đặc biệt, vụ việc này cho thấy không phải việc gửi thông báo đúng hạn là được miễn trách nhiệm, mà phải đi kèm chứng minh doanh nghiệp đã thực hiện đầy đủ và hiệu quả các bước bảo vệ dữ liệu cá nhân trước, trong và sau khi sự cố bảo mật xảy ra. Tương tự, Tập đoàn Marriott International đã trải qua một vụ vi phạm dữ liệu lớn ảnh hưởng đến 339 triệu khách hàng bắt nguồn từ lỗi hệ thống của Tập đoàn Khách sạn Starwood đã được Marriott mua lại để kinh doanh trước khi GDPR có hiệu lực. Mặc dù Marriott đã báo cáo vi phạm ngay lập tức khi phát hiện, ICO vẫn áp dụng mức phạt 18,4 triệu bảng do trong quá trình mua bán, sáp nhập, Marriott đã không thẩm định kỹ lưỡng và toàn diện đối tượng được mua lại. 

Với bối cảnh bảo mật dữ liệu cá nhân vẫn còn là vấn đề rất mới mẻ với số đông người dân Việt Nam, nhưng việc tập trung quá trình xử lý vào một cơ quan chuyên trách có khả năng gây nên sự chậm trễ, trong khi với loại vi phạm bảo mật dữ liệu, thời gian khắc phục là rất quan trọng.

Những ví dụ này thể hiện các quy định chặt chẽ của GDPR đã tạo thêm động lực cho doanh nghiệp thực thi tích cực, nhấn mạnh tầm quan trọng quan trọng của việc tuân thủ các yêu cầu thông báo vi phạm dữ liệu kèm theo việc xây dựng cơ chế bảo mật đầy đủ, hiệu quả, liên tục. Thông qua những trường hợp này, GDPR đã đặt ra một tiêu chuẩn toàn cầu về bảo vệ dữ liệu và thông báo vi phạm bảo mật dữ liệu. Cách tiếp cận mạnh mẽ này đối với quy định bảo vệ dữ liệu đóng vai trò là mô hình tham khảo lý tưởng cho các quốc gia trong và ngoài EU, nhấn mạnh sự cần thiết của các chính sách bảo vệ dữ liệu toàn diện và hậu quả nghiêm trọng của việc không tuân thủ.

Tuy nhiên, cách tiếp cận này của GDPR cũng gặp phải nhiều chỉ trích do tính phức tạp và gánh nặng hành chính mà luật này áp đặt, đặc biệt là đối với các doanh nghiệp vừa và nhỏ với nguồn lực tài chính và kỹ thuật hạn chế. Nghĩa vụ báo cáo vi phạm dữ liệu trong vòng 72 giờ trong nhiều trường hợp bị xem là quá khắt khe, chưa kể các yêu cầu về nội dung tại Điều 33 được quy định ở mức “tối thiểu” đòi hỏi tổ chức, doanh nghiệp phải có các quy trình phát hiện và thông báo thật hiệu quả, và vì thế có thể tốn nhiều tài nguyên để thiết lập và duy trì. Đặc biệt, đối với các doanh nghiệp nhỏ, chi phí và nhu cầu hoạt động của báo cáo quá gấp và chi tiết như vậy có thể không tương xứng với quy mô hoạt động, vì vậy GDPR bị xem là không khuyến khích được sự đầu tư vào lĩnh vực khai thác hay kinh doanh những hoạt động liên quan tới thu thập và xử lý dữ liệu.

Hơn nữa, cách áp dụng chung cho mọi lĩnh vực (one-size-fots-all) của GDPR cũng là một điểm gây tranh cãi khác, vì không xem xét các mức độ rủi ro khác nhau liên quan đến nhiều loại dữ liệu hoặc mô hình kinh doanh khác nhau. Điều này dẫn đến tình huống mà các doanh nghiệp xử lý dữ liệu có rủi ro tương đối thấp phải tuân theo các tiêu chuẩn và đối mặt với chế tài xử phạt tương tự như những doanh nghiệp thu thập, xử lý thông tin nhạy cảm với rủi ro cao. Sự bất cân xứng này có thể kìm hãm động lực đổi mới, sáng tạo và đặt gánh nặng không cần thiết lên một số lĩnh vực nhất định, đặc biệt là đối với các công ty khởi nghiệp công nghệ và doanh nghiệp nhỏ chưa được trang bị đầy đủ để quản lý và đáp ứng những nhu cầu khắt khe này. 

Trước những tiếng nói này, khi bối cảnh kỹ thuật số tiếp tục phát triển, nhiều nhà bình luận pháp luật và chính sách  cho rằng có thể cần phải điều chỉnh GDPR để cân bằng tốt hơn các mục tiêu bảo vệ dữ liệu với thực tiễn của các doanh nghiệp hiện nay.

Cách tiếp cận cụ thể theo ngành của Hoa Kỳ

Vào tháng 2/2005, Công ty Thu thập dữ liệu ChoicePoint5 tiết lộ rằng họ đã tiết lộ nhầm thông tin cá nhân của hơn 145.000 cư dân Mỹ cho bên khác. Mặc dù đây không phải là vụ vi phạm dữ liệu đầu tiên được báo cáo, nhưng số lượng lớn các cá nhân bị ảnh hưởng đã đưa sự kiện này trở thành tâm điểm chú ý ở tầm quốc gia. Các cá nhân tại California bị ảnh hưởng đã được thông báo về vi phạm theo luật của bang California. Tuy nhiên, do quy mô người bị ảnh hưởng quá lớn do các cá nhân đều có liên đới với nhau, công ty này đã chọn cách thông báo cho tất cả các nạn nhân bị rủi ro  ảnh hưởng. Trong vòng một tháng sau khi thông báo về vi phạm bảo mật dữ liệu của ChoicePoint được công khai, Bank of America, PayMaxx, DSW và LexisNexis đều lần lượt ban hành các thông báo tương tự, nâng tổng quy mô các chủ thể dữ liệu bị ảnh hưởng lên tới 1.502.000 người. 

Từ đó, có thể thấy Mỹ cũng sớm đặt ra yêu cầu thông báo vi phạm bảo mật dữ liệu cá nhân đối với các doanh nghiệp. So với cách tiếp cận đơn nhất và toàn diện của EU, quốc gia này sử dụng cách tiếp cận độc đáo thông qua sự kết hợp của bốn mươi lăm đạo luật cụ thể của tiểu bang với những quy định theo ngành cụ thể ở cấp độ liên bang. Sự phân cấp này được lý giải bằng môi trường pháp lý và chính trị rộng lớn hơn của Mỹ, nơi các tiểu bang duy trì quyền lực lập pháp về các vấn đề không dành riêng cho chính phủ liên bang, từ đó cho phép họ thử nghiệm, ban hành và điều chỉnh các chính sách pháp luật phù hợp với bối cảnh văn hóa, kinh tế và chính trị cụ thể của từng tiểu bang. Cũng chính vì luật về dữ liệu phát triển ở cấp tiểu bang, điều này dẫn đến sự không thống nhất của các quy định về yêu cầu thông báo, định nghĩa về dữ liệu/ thông tin cá nhân và chế tài cho hành vi không tuân thủ. 

Ví dụ, vào ngày 1/7/2003, California đã ban hành luật thông báo vi phạm dữ liệu đầu tiên của Hoa Kỳ. Luật này yêu cầu các công ty, tổ chức phi lợi nhuận và cơ quan chính phủ thông báo cho người tiêu dùng California nếu thông tin cá nhân của họ bị xâm phạm do truy cập trái phép, từ đó cho phép người tiêu dùng tự bảo vệ mình khỏi hành vi trộm cắp danh tính và giảm thiểu thiệt hại do hành vi truy cập trái phép dữ liệu cá nhân. Lưu ý rằng các tiểu bang như California và Massachusetts là những trung tâm công nghệ và đổi mới, vì vậy việc ban hành và thực thi luật bảo vệ dữ liệu của họ cũng ở mức độ nghiêm ngặt nhất trong cả nước, phản ánh mối quan tâm cao của cử tri đối với quyền riêng tư và bảo mật dữ liệu.Tuy nhiên, các tiểu bang khác có ban hành thêm ngoại lệ và miễn trừ trách nhiệm đối với các dữ liệu đã được công khai, cũng như đối với trường hợp doanh nghiệp chứng minh được rằng vi phạm bảo mật dữ liệu cá nhân không dẫn đến hoặc không có khả năng dẫn đến thiệt hại cho các cá nhân bị xâm phạm quyền riêng tư. Ví dụ, luật của Arizona chỉ yêu cầu thông báo vi phạm bảo mật dữ liệu cá nhân nếu vi phạm đó gây ra hoặc có khả năng gây ra thiệt hại kinh tế ở mức “đáng kể” cho một cá nhân. Vì vậy, việc thiếu sự “chuẩn hóa” ở cấp độ liên bang đặt ra những thách thức đáng kể, đặc biệt là đối với các doanh nghiệp hoạt động trên nhiều tiểu bang, khi mỗi luật có yêu cầu riêng về cách thức và thời điểm báo cáo vi phạm dữ liệu. Điều này không chỉ làm tăng gánh nặng tuân thủ mà còn dẫn đến các biện pháp bảo vệ không nhất quán cho người tiêu dùng tùy thuộc vào nơi họ cư trú.

Bất chấp những lập luận này, những nỗ lực để thông qua luật vi phạm dữ liệu liên bang toàn diện đã nhiều lần bị đình trệ. Lý do bao gồm những bất đồng chính trị về phạm vi ưu tiên của luật pháp tiểu bang, các chi tiết cụ thể của cơ chế thực thi và sự cân bằng giữa bảo vệ quyền riêng tư và áp đặt gánh nặng pháp lý đối với các doanh nghiệp. Ngoài ra, các ngành công nghiệp được quy định chặt chẽ ở cấp liên bang, chẳng hạn như tài chính và chăm sóc sức khỏe, thường vận động hành lang để duy trì các khuôn khổ hiện có thay vì áp dụng các quy tắc mới và có khả năng xung đột với thực tiễn hoạt động kinh doanh truyền thống của họ.

Quan điểm ủng hộ doanh nghiệp có thể lập luận rằng sự chắp vá quy định này hỗ trợ đổi mới bằng cách cho phép các doanh nghiệp điều chỉnh các hoạt động dữ liệu của họ theo những kỳ vọng khác nhau của dân số các tiểu bang khác nhau. Tuy nhiên, cách tiếp cận này có thể làm suy yếu khả năng dự đoán và tính thống nhất để duy trì các chuẩn mực xã hội về quyền riêng tư, có khả năng dẫn đến vi phạm quyền riêng tư đi ngược lại kỳ vọng của xã hội.

Chế độ bảo vệ dữ liệu mới của Việt Nam

Cách tiếp cận của Việt Nam đối với thông báo vi phạm dữ liệu, được lồng ghép trong khuôn khổ bảo vệ dữ liệu rộng lớn đang được phát triển để bắt kịp với quá trình chuyển đổi kỹ thuật số nhanh chóng và hội nhập toàn cầu sâu rộng. Mặc dù có những bước tiến đáng kể trong việc thiết lập các quy định liên quan, cách tiếp cận này đưa ra những thách thức mới trong quá trình tuân thủ và yêu cầu sự giám sát chặt chẽ, hiệu quả hơn.

Nền tảng của khung pháp lý Việt Nam trong lĩnh vực bảo vệ thông tin, dữ liệu cá nhân là Luật An ninh mạng, có hiệu lực từ năm 2019. Luật này yêu cầu các công ty khai thác cơ sở hạ tầng thông tin quan trọng, khai thác viễn thông và cung cấp dịch vụ kỹ thuật số phải lưu trữ dữ liệu cá nhân của người dùng Việt Nam tại địa phương và báo cáo kịp thời các sự cố an ninh mạng cho các cơ quan chức năng thích hợp. Hơn nữa, Nghị định số 13/2023 có hiệu lực từ ngày 1/7/2023 về bảo vệ dữ liệu cá nhân đã củng cố thêm yêu cầu này tại Điều 23. Quy định này tương tự với GDPR của EU khi yêu cầu thông báo vi phạm trong vòng 72 giờ và chi tiết về vi phạm, hậu quả, và biện pháp khắc phục, kèm theo mẫu thông báo để thống nhất tuân thủ. Có thể nói nghị định này đã hướng dẫn rõ ràng, đầy đủ cho các doanh nghiệp lập kế hoạch ứng phó hiệu quả trong trường hợp xảy ra vi phạm dữ liệu, bao gồm việc thông báo vi phạm tới chủ thể dữ liệu và cơ quan chức năng đúng thời hạn và đầy đủ nội dung được yêu cầu. 

Tuy nhiên, cần lưu ý việc quy định này được áp dụng trong bối cảnh pháp luật và thực tiễn của Việt Nam. Trong bối cảnh quá trình số hóa trên mọi lĩnh vực chỉ được thực hiện bước đầu, các doanh nghiệp vừa và nhỏ phải đối mặt với những thách theo các khuôn khổ bảo vệ dữ liệu hiện có. Do đó, kế thừa và phát triển từ những lưu ý đối với cách tiếp cận chặt chẽ của GDPR, Nghị định số 13/2023 cũng đã thể hiện cách tiếp cận mềm dẻo hơn thông qua khoản 4 Điều 23 như sau: “Trường hợp không thể thông báo đầy đủ các nội dung quy định tại khoản 3 Điều này, việc thông báo có thể được thực hiện theo từng đợt, từng giai đoạn.” Đây là một giải pháp rất tinh tế của nhà làm luật khi cân nhắc tới đặc thù của môi trường kinh doanh – thương mại tại Việt Nam. Tuy nhiên, về đối tượng nhận thông báo, nghị định lại nhấn mạnh tầm quan trọng của việc thông báo cho Bộ Công an (Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao) trong vòng 72 giờ nhưng hoàn toàn không có mục quy định thông báo vi phạm dữ liệu có rủi ro cao đối với chủ thể dữ liệu như Điều 34 của GDPR. Điều này cho thấy nghị định chưa trao quyền chủ động ứng biến với vi phạm bảo mật dữ liệu đến phía chủ thể dữ liệu vốn là người bị ảnh hưởng trực tiếp từ những hành vi truy cập trái phép. Có thể có quan điểm cho rằng với bối cảnh bảo mật dữ liệu cá nhân vẫn còn là vấn đề rất mới mẻ với số đông người dân Việt Nam, nhưng việc tập trung quá trình xử lý vào một cơ quan chuyên trách có khả năng gây nên sự chậm trễ, trong khi với loại vi phạm bảo mật dữ liệu, thời gian khắc phục là rất quan trọng. Một lỗ hổng kéo dài trong 1 phút đã có thể thu thập trái phép được từ vài ngàn đến một triệu dữ liệu cá nhân. Trong khi đó, khảo sát của Fortinet vào năm 2023 đã cho thấy  có đến 72% số người được hỏi ở Việt Nam đã trải qua ít nhất gấp đôi số lượng sự cố bảo mật trong thời gian gần đây. Vì vậy, việc yêu cầu doanh nghiệp thu thập, xử lý dữ liệu cũng có nghĩa vụ thông báo cho chủ thể dữ liệu các rủi ro, vi phạm bảo mật liên quan là điều cần được bổ sung cấp thiết.

Trong ba cách tiếp cận được phân tích, EU có hệ thống luật nghiêm ngặt nhất, trong khi Mỹ theo hướng linh hoạt hơn nhưng phân tán theo từng tiểu bang. Việt Nam đang trong quá trình hoàn thiện các quy định của mình, với sự tập trung vào việc thông báo cho cơ quan quản lý nhà nước. Mỗi cách tiếp cận đều có ưu điểm và hạn chế riêng, và việc lựa chọn phương pháp phù hợp cần cân nhắc đến đặc thù pháp lý và thực tiễn của từng quốc gia. Khi Việt Nam tiếp tục phát triển nền kinh tế kỹ thuật số và thu hút đầu tư từ nước ngoài, áp lực tăng cường chế độ bảo vệ dữ liệu có thể sẽ tăng lên. Bằng cách làm rõ nghĩa vụ, hợp lý hóa các quy trình tuân thủ và cải thiện tính minh bạch trong thực thi, Việt Nam có thể tạo ra một môi trường pháp lý bảo vệ dữ liệu cá nhân tốt hơn và hỗ trợ tăng trưởng kinh tế. Việc đạt được sự cân bằng thích hợp giữa bảo vệ dữ liệu người tiêu dùng và thúc đẩy đổi mới sẽ rất quan trọng khi quốc gia này thúc đẩy chương trình nghị sự kỹ thuật số của mình.

Lời kết

Nhìn chung, cũng như vua Midas đáng lẽ phải đánh giá cao những giá trị cốt lõi và ý nghĩa của cộng đồng trước khi khát khao đến của cải vật chất, doanh nghiệp kinh doanh trong bối cảnh kỹ thuật số hiện nay cần phải đặt quyền lợi của khách hàng qua việc nghĩa vụ tuân thủ quy định bảo mật dữ liệu cá nhân lên hàng đầu. Điều này không chỉ giúp bảo vệ cộng đồng mà còn xây dựng niềm tin và sự tín nhiệm từ phía người tiêu dùng. Việc tuân thủ nghiêm ngặt quy định về bảo mật và thông báo vi phạm dữ liệu là minh chứng cho sự cam kết của doanh nghiệp đối với bảo vệ dữ liệu cá nhân và góp phần tạo dựng một môi trường số an toàn và đáng tin cậy.□

—–

Tài liệu tham khảo

– CEBID (2024). Những sự cố bảo mật được ghi nhận nhiều nhất tại Việt Nam. [online] CEBID. Available at: https://cebid.vn/nhung-su-co-bao-mat-duoc-ghi-nhan-nhieu-nhat-tai-viet-nam/ [Accessed 27 Jun. 2024].

– Schwartz, P.M. and Janger, E.J. (2007). Notification of Data Security Breaches. Michigan Law Review, 105, pp.913-984.

– Kesari, A. (2023). Do Data Breach Notification Laws Work?. New York University Journal of Legislation and Public Policy, 26, pp.173-220.

– Maurushat, A. (2009). Data Breach Notification Law Across the World from California to Australia. University of New South Wales Faculty of Law Research Series. Available at: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=1466466 [Accessed 27 Jun. 2024].

– Joerling, J. (2010). Data Breach Notification Laws: An Argument for a Comprehensive Federal Law to Protect Consumer Data. Washington University Journal of Law & Policy, 32, pp.467-497. Available at: https://openscholarship.wustl.edu/law_journal_law_policy/vol32/iss1/14 [Accessed 27 Jun. 2024].

Bài đăng Tia Sáng số 13/2024

Tác giả

(Visited 39 times, 1 visits today)