An toàn dữ liệu cá nhân là thách thức trong kỷ nguyên số

Bản ghi thông tin cá nhân bị lộ lọt (Ảnh: Viettel)

An toàn dữ liệu cá nhân đang bị đe dọa nghiêm trọng

Dữ liệu cá nhân là những thông tin liên quan trực tiếp đến một cá nhân, như tên, số điện thoại, giới tính, e-mail, hay thông tin tài chính. Trong thời đại số, việc bảo vệ những thông tin này không chỉ là vấn đề của quyền riêng tư mà còn là một yếu tố quan trọng để bảo vệ sự an toàn và bảo mật cho mỗi người.

Với sự phát triển mạnh mẽ của công nghệ, dữ liệu cá nhân ngày càng trở nên dễ bị xâm phạm, đặc biệt khi chúng ta chia sẻ thông tin qua mạng xã hội, các dịch vụ trực tuyến, và trong các giao dịch kinh doanh hàng ngày. Chính vì vậy, bảo vệ dữ liệu cá nhân đang là vấn đề cấp bách, không chỉ đối với cá nhân mà còn với các doanh nghiệp đang lưu trữ và xử lý lượng lớn thông tin này. Những cuộc tấn công mạng, lừa đảo trực tuyến và hành vi thu thập dữ liệu không minh bạch đang trở thành mối lo ngại hàng đầu. Người dùng có thể mất quyền kiểm soát thông tin cá nhân, gây ảnh hưởng nghiêm trọng đến tài chính, quyền riêng tư và danh tính.

Theo báo cáo của Công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp được 994TB dữ liệu người dùng trong năm 2024. Trong đó 534.883GB (tương đương 534TB) dữ liệu trong số đó đã được đem ra mua bán.

Việt Nam cũng là nước có tỉ lệ lừa đảo qua mạng nhiều nhất khu vực Đông Nam Á với xu hướng ngày càng phát triển. Liên minh chống lừa đảo toàn cầu (GASA) và dự án xã hội chống lừa đảo qua mạng tại Việt Nam thông tin rằng, theo tính toán giả định của bên này thì ‘‘gần 16 tỉ USD do người Việt Nam bị lừa đảo qua mạng trong tổng số 53 tỉ USD toàn cầu trong năm 2023’’.

Nguồn: http://chongluadao.vn/

Theo báo cáo của các chuyên gia An toàn thông tin, trong năm 2024, Việt Nam đã ghi nhận 1.300 cuộc tấn công mạng lớn, bao gồm các vụ tấn công DDoS, đánh cắp dữ liệu và khai thác các lỗ hổng bảo mật phần mềm. Trong đó, 46,15% doanh nghiệp thừa nhận đã bị tấn công ít nhất một lần, thậm chí 6,77% tổ chức phải đối mặt với các cuộc tấn công liên tục.

Theo Giải pháp quản lý Dữ liệu E-Data, nguyên nhân chính của việc rò rỉ dữ liệu bao gồm:

Nguồn: edata.it-care.vn

Còn theo các chuyên gia an ninh mạng Việt Nam phân loại thì có mấy nguyên sau dẫn đến nguy cơ mất an toàn dữ liệu cá nhân:

Ứng dụng công nghệ mới chưa có biện pháp bảo vệ đầy đủ: AI, IoT, blockchain và các công nghệ mới đang được triển khai nhanh chóng, nhưng hệ thống bảo mật chưa theo kịp.

Thiếu nhận thức về an toàn thông tin: Nhiều cá nhân và doanh nghiệp chưa nhận thức đầy đủ về mối nguy hiểm từ không gian mạng, dẫn đến việc bảo mật lỏng lẻo và rất dễ bị lừa và tấn công qua mạng.

Thiếu hụt nhân lực an ninh mạng: Đội ngũ chuyên gia an ninh mạng không đủ để đáp ứng nhu cầu bảo vệ hệ thống trước các mối đe dọa ngày càng tinh vi.

Sự phát triển của tội phạm mạng có tổ chức: Các nhóm tin tặc hoạt động chuyên nghiệp hơn, có nguồn lực tài chính mạnh và sử dụng công nghệ cao để thực hiện tấn công có chủ đích.

Quy định chưa theo kịp tốc độ phát triển

Trong bối cảnh số hóa ngày càng sâu rộng, bảo vệ dữ liệu cá nhân trở thành thách thức lớn đối với cả cá nhân và đặc biệt là doanh nghiệp tại Việt Nam. Mặc dù có sự phát triển trong hệ thống pháp lý, sự thiếu rõ ràng và thiếu đồng bộ vẫn khiến cho việc tuân thủ của các doanh nghiệp gặp nhiều trở ngại.

Mặc dù quyền bảo vệ dữ liệu cá nhân đã được ghi nhận trong nhận trong Hiến pháp 2013 và các văn bản pháp lý khác như Bộ luật Dân sự 2015, Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018, hay các quy định chuyên ngành như Thông tư 09/2020/TT-NHNN (trong lĩnh vực ngân hàng) và Thông tư 121/2020/TT-BTC (trong lĩnh vực chứng khoán), thực tế triển khai lại không đơn giản. Các quy định hiện nay còn thiếu rõ ràng, đồng bộ và cụ thể riêng biệt về bảo vệ dữ liệu cá nhân, khiến cho cả doanh nghiệp lẫn người dân gặp khó khăn trong việc tự bảo vệ thông tin của mình. Điều này đòi hỏi một hệ thống pháp luật chặt chẽ và toàn diện hơn để giúp mọi đối tượng tham gia vào việc bảo vệ dữ liệu cá nhân dễ dàng hơn.

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân được ban hành và có hiệu lực từ ngày 1-7-2023 (Nghị định 13) đã giải quyết phần yêu cầu của đời sống xã hội. Tuy nhiên, sau hơn hai năm có hiệu lực cho đến nay, một số ý kiến cho rằng nghị định cần điều chỉnh tập trung hướng đến cung cấp một cơ chế đủ rõ ràng, đồng bộ, dễ hiểu để thực thi nhằm hướng đến việc cá nhân được bảo vệ tối ưu và tự kiểm soát tốt nhất đối với dữ liệu của chính họ.

Được biết, hiện nay Bộ Công an đang xây dựng dự thảo Luật Bảo vệ dữ liệu cá nhân. Dự thảo luật được mong đợi tạo ra một hệ thống quy định rõ ràng, đồng bộ hơn về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.

Tuy nhiên hiện tại, vấn đề cấp thiết đặt ra là, thông qua kiểm soát và quản lý nhà nước về dữ liệu cá nhân là cần thiết và được chú trọng hơn hết, thì việc tự bảo vệ quyền riêng tư của công dân về dữ liệu cá nhân sẽ dựa trên các cơ sở pháp lý cụ thể và riêng biệt nào? Điều này khiến cho các doanh nghiệp và cá nhân gặp một số khó khăn nhất định trong việc thực thi các quy định về bảo vệ dữ liệu cá nhân của chính mình và của người khác.

Hướng đi nào cho chủ thể doanh nghiệp bảo vệ dữ liệu cá nhân

Mặc dù các quy định vẫn đang được hoàn thiện, đặc biệt là dự thảo Luật Bảo vệ dữ liệu cá nhân đang được xây dựng, doanh nghiệp cần tiếp tục lưu tâm đến các biện pháp bảo vệ dữ liệu cá nhân phù hợp và đảm bảo tuân thủ các quy định về bảo vệ dữ liệu cá nhân đang có hiệu lực, hiện nay là Nghị định 13, để tránh rủi ro pháp lý.

Thứ nhất, bảo vệ dữ liệu cá nhân của người lao động. Trong môi trường doanh nghiệp, dữ liệu cá nhân liên quan nhiều đến thông tin của người lao động. Để đảm bảo tuân thủ pháp luật và giảm thiểu rủi ro, việc bảo vệ dữ liệu cá nhân cần được triển khai xuyên suốt từ khi tuyển dụng, khi kết thúc hợp đồng lao động và kể cả sau khi đã chấm dứt quan hệ lao động, làm việc. Một trong những bước quan trọng đầu tiên là thông báo rõ cho người lao động về việc thu thập và xử lý dữ liệu của họ, đồng thời yêu cầu sự đồng ý của người lao động một cách minh bạch, có thể bằng văn bản hoặc điện tử về việc đồng ý cho phép thu thập, xử lý dữ liệu của họ.

Sự đồng ý của người lao động không chỉ phải tự nguyện mà còn phải rõ ràng và có thể xác minh được. Đáng chú ý là, Nghị định 13 cho phép người lao động có quyền rút lại sự đồng ý này bất cứ lúc nào mà không ảnh hưởng đến tính hợp pháp của các hành động đã thực hiện trước đó. Doanh nghiệp cần thiết lập quy trình thu thập và xử lý dữ liệu rõ ràng, phân quyền cho các bộ phận có trách nhiệm, và thực hiện các biện pháp kiểm tra thường xuyên để tránh việc lạm dụng dữ liệu.

Bên cạnh đó, để tăng cường hiệu quả bảo vệ dữ liệu cá nhân, doanh nghiệp có thể duy trì mối quan hệ đối thoại định kỳ với tổ chức đại diện người lao động tại cơ sở. Điều này giúp đảm bảo quyền lợi của người lao động và xây dựng một môi trường bảo vệ dữ liệu hợp lý. Thêm vào đó, các quy định kỷ luật lao động cũng cần được tinh chỉnh tương thích với các quy định liên quan đến vi phạm bảo mật dữ liệu. Không chỉ ngăn ngừa vi phạm, các quy định này còn tạo ra cơ sở pháp lý để doanh nghiệp xử lý các vi phạm về dữ liệu cá nhân một cách công bằng và minh bạch.

Thứ hai, tuân thủ Nghị định 13 và hợp tác với cơ quan nhà nước để tránh rủi ro pháp lý và tài chính. Cụ thể, doanh nghiệp cần chỉ định bộ phận phụ trách bảo vệ dữ liệu cá nhân, đặc biệt nếu có xử lý các dữ liệu cá nhân nhạy cảm. Các chính sách bảo vệ dữ liệu cần được rà soát và xây dựng để áp dụng cho nhân sự, khách hàng và đối tác, đồng thời thực hiện các biện pháp kỹ thuật như phần mềm bảo vệ, tường lửa và phân quyền truy cập, quy trình tiếp nhận và xử lý các yêu cầu của các chủ thể này về dữ liệu cá nhân như chỉnh sửa hoặc xóa dữ liệu.

Một điểm không thể thiếu trong quá trình tuân thủ là việc lấy ý kiến đồng ý của khách hàng và đối tác trước khi xử lý dữ liệu cá nhân. Doanh nghiệp phải đảm bảo sự đồng ý được thể hiện rõ ràng và có thể xác minh, chẳng hạn qua văn bản, tin nhắn hoặc thiết lập chức năng trên trang web, phần mềm để họ xác nhận sự đồng ý. Trước khi xử lý, doanh nghiệp cũng cần thông báo cho các chủ thể này về mục đích, loại dữ liệu và các tổ chức liên quan tới việc xử lý.

Khi thực hiện việc xử lý dữ liệu, doanh nghiệp phải đảm bảo chỉ sử dụng dữ liệu trong phạm vi đã thông báo và nhận sự đồng ý từ khách hàng và đối tác. Dữ liệu cần được lưu trữ trong thời gian phù hợp với mục đích sử dụng và phải tuân thủ các yêu cầu hợp pháp từ các chủ thể này. Trường hợp xảy ra bất kỳ vi phạm quy định bảo vệ dữ liệu cá nhân như bị tấn công mạng hay rò rỉ dữ liệu, doanh nghiệp cần thông báo ngay cho Bộ Công an trong vòng 72 giờ

An toàn dữ liệu cá nhân không chỉ là trách nhiệm của doanh nghiệp và chính phủ mà còn đòi hỏi người dùng chủ động bảo vệ thông tin cá nhân. Trong bối cảnh số hóa mạnh mẽ, chỉ có sự phối hợp chặt chẽ giữa tất cả các bên mới đảm bảo một môi trường mạng an toàn và đáng tin cậy.

Khắc Đức - Thanh Mai (Tổng hợp)