Bảo vệ dữ liệu cá nhân, doanh nghiệp trên không gian mạng còn gặp nhiều khó khăn

Trong những năm gần đây, cơ quan công an đã bắt giữ một số vụ mua bán dữ liệu lớn, đặc biệt là nhóm đối tượng tại Hà Tĩnh và Phú Thọ. Nguyên nhân chủ yếu xuất phát từ sự thiếu ý thức bảo vệ dữ liệu; nhân viên chuyển công tác bán dữ liệu; công ty công nghệ trong và ngoài nước khai thác bằng phần mềm chuyên dụng.

Nhằm đối phó với tình trạng trên, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã được ban hành, nhấn mạnh vào việc đảm bảo an ninh mạng và bảo vệ dữ liệu cá nhân, đặc biệt là dữ liệu liên quan đến an ninh quốc gia. Theo đó, Bộ Công an đã tiến hành rà soát các tổ chức và cá nhân dễ liên quan đến mua bán và sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng.

Qua ra soát của Bộ Công an, các tổ chức và cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin dữ liệu cá nhân trên không gian mạng bao gồm các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, và những người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, và nhiều lĩnh vực khác. Điều này gây phiền hà không nhỏ cho người dân, như trường hợp của anh Nguyễn Hồng Quang, một cư dân ở quận Tây Hồ, khi anh nhận được các cuộc gọi không mong muốn từ các doanh nghiệp liên quan.

Giải đáp về tình trạng trên ông Vũ Duy Hiền, Tổng giám đốc Công ty cổ phần An ninh mạng quốc gia Việt Nam (NCS) cho rằng việc sử dụng dữ liệu cá nhân như thế nào là thách thức cho doanh nghiệp nhằm bảo vệ dữ liệu cá nhân của khách hàng đúng pháp luật. Để bảo vệ dữ liệu cá nhân, biện pháp kỹ thuật rất quan trọng.

Tuy nhiên, đưng dưới góc nhìn từ các doanh nghiệp công nghệ đang phải đối mặt với nhiều khó khăn. Ông Robert Trần, Phó Tổng giám đốc Công ty TNHH Dịch vụ an toàn thông tin EY Việt Nam cho biết, một số tổ chức gặp khó khăn trong việc lập các báo cáo đánh giá tác động, liên kết với các bên xử lý dữ liệu và bên thứ ba để thu thập các tài liệu liên quan. Các hướng dẫn cụ thể từ các cơ quan chức năng cũng chưa được đưa ra, khiến cho quá trình tuân thủ Nghị định 13 trở nên phức tạp.

Một trong những khó khăn đáng chú ý là việc bổ nhiệm Nhân viên Bảo vệ Dữ liệu (DPO). "Thị trường nhân sự phụ trách bảo vệ dữ liệu còn mới ở Việt Nam. Các tổ chức, doanh nghiệp thiếu nguồn lực với kĩ năng chuyên môn về bảo vệ dữ liệu cá nhân. Thiếu nguồn chi phí để bổ nhiệm bộ phận và nhân sự bảo vệ dữ liệu cá nhân," ông Robert Trần chia sẻ.

Đồng ý với quan điểm trên, ông Vũ Ngọc Sơn, Giám đốc Công nghệ Công ty Công nghệ An ninh mạng Quốc gia Việt Nam, nhấn mạnh rằng nhiều doanh nghiệp chưa định hình được các biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân theo Nghị định 13. Ông khuyến nghị doanh nghiệp liên hệ với các công ty an ninh mạng để được tư vấn và triển khai các giải pháp phù hợp với quy mô và quy trình của mình.

Để đảm bảo tuân thủ Nghị định 13, bà Nguyễn Thị Thu Quỳnh - Chủ nhiệm Công ty Luật EY Việt Nam đề xuất xây dựng khung bảo vệ dữ liệu cá nhân, hiểu rõ hơn về các khả năng cần thiết để đáp ứng yêu cầu bảo vệ dữ liệu. Cô cũng khuyến cáo các doanh nghiệp lập báo cáo đánh giá tác động và đảm bảo các thỏa thuận về bảo vệ dữ liệu cá nhân trong hợp đồng với các bên xử lý dữ liệu.

Ngoài ra, bà Quỳnh cũng đề xuất sự phối hợp giữa các phòng ban khác nhau, đặc biệt là bộ phận công nghệ thông tin nội bộ, để xây dựng cơ chế lấy và lưu sự đồng ý phù hợp với loại chủ thể và tình huống thu thập dữ liệu. Cô cũng nhấn mạnh rằng việc xử lý và thu thập dữ liệu nên được lập bằng văn bản, nêu rõ quyền và nghĩa vụ, để đảm bảo sự minh bạch và tuân thủ đúng quy trình và chính sách.

Trong việc xây dựng chính sách nội bộ về bảo vệ dữ liệu, nhiều doanh nghiệp đang phải đối mặt với khó khăn, đặc biệt là thiếu nguồn lực và thời gian để rà soát và cập nhật toàn bộ các chính sách nội bộ. Hiện vẫn chưa có một quy chuẩn chung về các quy định nội bộ cần có để quản lý và đảm bảo tuân thủ về bảo vệ dữ liệu. Việc đào tạo và nâng cao nhận thức nội bộ cũng đang gặp nhiều hạn chế.

Để đối phó với tình trạng lộ lọt bí mật Nhà nước trên không gian mạng và mua bán dữ liệu cá nhân, việc thực hiện Nghị định 13 là cực kỳ quan trọng. Các doanh nghiệp cần phải nhanh chóng hiểu rõ và thích ứng với các biện pháp bảo vệ dữ liệu mới, xây dựng chính sách nội bộ mạnh mẽ, và hợp tác chặt chẽ với các đối tác để đảm bảo an toàn cho thông tin cá nhân của người dùng.

Duy Trinh