Ngày 17/4/2023, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân (Nghị định 13), có hiệu lực từ ngày 01/7/2023. Việc ban hành, phổ biến và thực hiện nội dung Nghị định 13 là hết sức cần thiết nhằm đáp ứng yêu cầu quyền bảo vệ dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm đến dữ liệu cá nhân; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân trong và ngoài nước khi trực tiếp tham gia hoặc liên quan đến hoạt động xử lý dữ liệu cá nhân. Cùng với đó, ngày 31/5/2023, Bộ Công an đã công bố Dự thảo (lần 3) Nghị định xử phạt vi phạm hành chính về an ninh mạng, dự kiến sẽ sớm ban hành và có hiệu lực trong thời gian tới.
Đến tham dự Hội thảo về phía Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ (A05), Bộ Công an có Thiếu tướng Nguyễn Văn Giang - Phó Bí thư Đảng ủy, Phó Cục trưởng (Trưởng Ban tổ chức); Thượng tá Cao Việt Hùng - Phó Trưởng phòng Phòng phòng, chống tội phạm sử dụng không gian mạng xâm phạm xâm phạm trật tự quản lý kinh tế (Phó Ban tổ chức); Thiếu tá, ThS. Đào Đức Triệu - Phó Tổng thư ký Hiệp hội An ninh mạng quốc gia, Phó Trưởng bộ phận tiếp nhận và trả lời kết quả về bảo vệ dữ liệu cá nhân cùng các đồng chí là Lãnh đạo các Phòng nghiệp vụ, Trung tâm trực thuộc Cục tại TP.HCM. Về phía các đơn vị đồng hành có ông Robert Trọng Trần - Phó tổng Giám đốc Công ty TNHH Dịch vụ an toàn thông tin EY Việt Nam; ông Micheal Beckman - Phó tổng Giám đốc Công ty Luật TNHH EY Việt Nam; bà Trần Thị Cẩm Thạch - Chủ nhiệm cấp cao Công ty Luật TNHH EY Việt Nam; ông Vũ Duy Hiền - Tổng Giám đốc Công ty cổ phần An ninh mạng Quốc gia Việt Nam; ông Vũ Ngọc Sơn - Giám đốc công nghệ Công ty cổ phần An ninh mạng Quốc gia Việt Nam; ông Tú Nguyễn và ông Bùi Tuấn Cường - đại diện Công ty Trustarc; ông Hoàng Hà - Giám đốc bảo mật dữ liệu cá nhân, Ngân hàng TNHH MTV HSBC Việt Nam; bà Nguyễn Thị Việt Hà - Quyền Chủ tịch Sở Giao dịch chứng khoán TP.HCM; TS. Trịnh Ngọc Minh - Ủy viên BCH Hiệp hội An toàn thông tin Việt Nam (VNISA), Phó Chủ tịch chi hội VNISA phía Nam. Ngoài ra còn có sự có sự hiện diện của Lãnh đạo Cục Cảnh sát Quản lý Hành chính về Trật tự xã hội, Cục Truyền thông Công an Nhân dân, Công an TP.HCM, trường Đại học An ninh Nhân dân, trường Đại học Cảnh sát Nhân dân, Cục thuế TP.HCM, Sở Khoa học và Công nghệ TP.HCM, Ngân hàng Nhà nước chi nhánh TP.HCM và đặc biệt là hơn 200 đại biểu là Giám đốc điều hành, Giám đốc Công nghệ thông tin, Pháp chế, Tuân thủ từ hơn 200 đơn vị đại diện cho gần 300.000 doanh nghiệp có Hội sở tại TP.HCM.
Hội thảo đã thu hút được hơn 200 đại biểu tham dự
Phát biểu khai mạc Hội thảo, Thiếu tướng Nguyễn Văn Giang - Phó Bí thư Đảng ủy, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ (A05), Bộ Công an chia sẻ, chúng ta đang sống trong thời đại cách mạng công nghiệp lần thứ 4, thời đại mà mọi thứ đang dần dịch chuyển lên không gian mạng. Cơ sở hạ tầng không gian mạng phát triển nhanh và ngày càng hoàn thiện, tạo điều kiện thuận lợi cho các ngành, nghề, dịch vụ kinh doanh có liên quan tới dữ liệu cá nhân phát triển. Công nghệ thông tin, truyền thông, trí tuệ nhân tạo, internet vạn vật, điện toán đám mây, dữ liệu lớn, dữ liệu nhanh... được ứng dụng sâu rộng, tạo ra những giá trị to lớn xã hội. Dữ liệu cá nhân từ vị trí chưa thực sự quan trọng, trở thành nguyên liệu chính cho hoạt động của các ngành, nghề, dịch vụ nêu trên và ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân. Điều này đặt ra cho Chính phú các quốc gia bài toán phải quản lý hiệu quả, tương đồng giữa sử dụng và bảo vệ dữ liệu cá nhân, ứng phó, hạn chế nguy cơ, xử lý vi phạm để giữ vững sự phát triển và giá trị do dữ liệu cá nhân tạo ra.
Bên cạnh các yếu tố thuận lợi, sự phát triển nhanh, mạnh của khoa học công nghệ đã và đang đặt ra nhiều khó khăn, thách thức đối với công tác bảo vệ dữ liệu cá nhân. Tình trạng lộ, mất, mua bán dữ liệu cá nhân diễn ra công khai, phổ biến trên không gian mạng, tác động ảnh hưởng nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gây bức xúc trong quần chúng nhân dân. Thậm chí, việc mua bán dữ liệu cá nhân còn được tiền hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng.
“Bộ Công an đã xác định được các hình thức chủ yếu dẫn tới tình trạng trên, gồm: Một là, tấn công mạng chiếm đoạt dữ liệu cá nhân để trục lợi. Các nhóm tội phạm mạng tập trung tấn công vào các hệ thống dữ liệu lớn, quan trọng nhằm chiếm đoạt số lượng lớn dữ liệu cá nhân, trong đó có nhiều loại dữ liệu nhạy cảm để mua bán, trục lợi, lừa đảo và các hành vi vi phạm pháp luật khác. Hai là, nhận thức, ý thức của người dùng chưa cao, đăng tải công khai dữ liệu cá nhân, dẫn tới bị chiếm đoạt. Xuất hiện tâm lý sẵn sàng đánh đổi dữ liệu cá nhân lấy tiện ích về mặt công nghệ. Việc đăng tải quá nhiều thông tin cá nhân trên không gian mạng trở thành “miếng mồi béo bở” cho các tổ chức, cá nhân thực hiện các hành vi vi phạm pháp luật như lừa đảo, chiếm đoạt tài sản, làm nhục, khủng bố, phá hoại, ảnh hưởng tới tinh thần, vật chất của chủ thể dữ liệu. Việc các công ty cho phép các bên thứ ba tiếp cận dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ đã dẫn tới lộ, mất dữ liệu cá nhân. Ba là, xuất hiện tình trạng thiết lập các hệ thống kỹ thuật chuyên biệt thu thập dữ liệu cá nhân. Một số công ty, cá nhân hoạt động trên lĩnh vực công nghệ đã âm thầm thu thập dữ liệu cá nhân từ nhiều nguồn khác nhau, như từ các doanh nghiệp cung cấp dịch vụ viễn thông, Internet, mạng xã hội, tài chính, ngân hàng, bảo hiểm, bất động sản.... xây dựng các giải pháp, phần mềm, dịch vụ công nghệ xử lý dữ liệu cá nhân để mua bán, trục lợi. Đáng chú ý là, việc thu thập này hoàn toàn không có sự đồng ý của chủ thể dữ liệu, khách hàng của các công ty, cá nhân này có quyền truy cập, nắm giữ toàn bộ thông tin của cá nhân, như tài sản, tín dụng, thông tin liên hệ... Điều này đặt các chủ thể dữ liệu trước các mối đe dọa nguy hiểm khôn lường, không chí giới hạn ở mức là các cuộc gọi làm phiền, mời chào sản phẩm, dịch vụ”, Thiếu tướng Nguyễn Văn Giang thông tin.
Thiếu tướng Nguyễn Văn Giang - Phó Bí thư Đảng ủy, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ (A05), Bộ Công an phát biểu khai mạc Hội thảo
Cũng theo Thiếu tướng Nguyễn Văn Giang, qua công tác phòng ngừa, phát hiện, đấu tranh, Bộ Công an trong đó Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao là nòng cốt đã phát hiện hàng trăm tổ chức, cá nhân liên quan mua bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép lớn nhất từng được phát hiện lên tới gần 1.300GB, với hàng tỷ dữ liệu cá nhân, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.
Trước tình hình trên, Bộ Công an xác định việc xây dựng hành lang pháp lý về bảo vệ dữ liệu cá nhân là giải pháp căn bản đề giải quyết thực trạng dữ liệu cá nhân bị mua bán, lộ, mất tràn lan như hiện nay. Tuy nhiên, Bộ Công an cũng thấy rằng:
Thứ nhất, bảo vệ dữ liệu cá nhân là vấn đề mới, khó, cần phải nghiên cứu kỹ lưỡng, khảo sát, đánh giá đúng thực trạng, tình hình, tham khảo kinh nghiệm quốc tế để xây dựng hành lang pháp lý nhằm thực hiện các yêu cầu, mục tiêu đặt ra trong thực tiễn. Trong đó, vấn đề bảo đảm chủ quyền dữ liệu, an ninh con người được Bộ Công an xác định là mục tiêu trọng tâm.
Thứ hai, bảo vệ dữ liệu cá nhân phải song hành với mục tiêu phát triển kinh tế xã hội, là động lực vững chắc cho sự phát triển của doanh nghiệp. Bộ Công an cũng xác định, hành lang pháp lý về bảo vệ dữ liệu cá nhân sẽ tác động tới nhiều chủ thể khác nhau, trong đó có các tổ chức, doanh nghiệp hiện nay đang xử lý dữ liệu cá nhân trên không gian mạng, như: thay đổi về quy trình, biện pháp, nội dung, điều kiện, cách thức hoạt động sao cho phù hợp với quy định về bảo vệ dữ liệu cá nhân.
“Sau khi Nghị định được ban hành, đến nay Bộ Công an đã tiếp nhận hơn 1.000 ý kiến và câu hỏi của các tổ chức, doanh nghiệp trong và ngoài nước liên quan đến triển khai thực hiện Nghị định. Thấu hiểu được sự quan tâm rất lớn của cộng đồng doanh nghiệp trong và ngoài nước, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao khu vực phía Nam đã tham mưu cho Lãnh đạo Bộ Công an tổ chức Hội thảo chuyên đề Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân với sự tham gia của các cơ quan, tổ chức, doanh nghiệp, cá nhân trong và ngoài nước ngày hôm nay. Tại Hội thảo này, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an sẽ phổ biến, hướng dẫn những nội dung, quy định cơ bản, quan trọng, những nội dung mà tổ chức, doanh nghiệp, cá nhân còn chưa rõ, nhấn mạnh những vấn đề cần lưu ý khi triển khai. Bên cạnh đó, Ban Tổ chức đã lựa chọn, tổng hợp, giải đáp một số câu hỏi, thắc mắc của gần 100 đơn vị gửi về Ban tổ chức. Qua đó, giúp các tổ chức, doanh nghiệp, cá nhân hiểu rõ hơn nội dung Nghị định, có nhận thức đúng về chính sách, pháp luật trên lĩnh vực bảo vệ dữ liệu cá nhân của Việt Nam và tổ chức, triển khai một cách có hiệu quả các quy định này trong thực tiễn”, Thiếu tướng Nguyễn Văn Giang kỳ vọng.
Tại Hội thảo, Thiếu tá, ThS. Đào Đức Triệu - Phó Tổng thư ký Hiệp hội An ninh mạng quốc gia, Phó Trưởng bộ phận tiếp nhận và trả lời kết quả về bảo vệ dữ cá nhân (A05) đã giới thiệu và phổ biến nội dung Nghị định 13 và các chế tài khi thực hiện Nghị định 13. Cụ thể, Nghị định 13 quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Nghị định này áp dụng đối với cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
“Hệ thống pháp luật Việt Nam trước khi Nghị định ban hành chưa sử dụng cụm từ dữ liệu cá nhân, chưa có định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân”, Thiếu tá, ThS. Đào Đức Triệu nhận định.
Thiếu tá, ThS. Đào Đức Triệu - Phó Tổng thư ký Hiệp hội An ninh mạng quốc gia, Phó Trưởng bộ phận tiếp nhận và trả lời kết quả về bảo vệ dữ cá nhân (A05) trình bày các nội dung liên quan đến Nghị định 13 tại Hội thảo
Cũng theo Thiếu tá, ThS. Đào Đức Triệu, hoạt động bảo vệ dữ liệu cá nhân theo Nghị định 13 sẽ tập trung vào các nội dung như quyền và nghĩa vụ của chủ thể dữ liệu; bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân; đánh giá tác động và chuyển dữ liệu cá nhân ra nước ngoài; biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân.
“Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Để đảm bảo Nghị định 13 phát huy hiệu quả, ngày 31/5/2023 vừa qua, Bộ Công an đã công bố Dự thảo (lần 3) Nghị định xử phạt vi phạm hành chính về an ninh mạng, dự kiến sẽ sớm ban hành và có hiệu lực trong thời gian tới. Trong đó, dự kiến mức phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam áp dụng đối với hành vi: vi phạm quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo (Điều 23 Nghị định); vi phạm quy định về thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân (Điều 24 Nghị định); vi phạm quy định về đánh giá tác động xử lý dữ liệu cá nhân (Điều 25 Nghị định); vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài (Điều 26 Nghị định). Ngoài các hình phạt khác, dự thảo Nghị định dự kiến quy định về tước quyền sử dụng giấy phép kinh doanh, giấy phép sử dụng dịch vụ, giấy phép thiết lập mạng xã hội, giấy chứng nhận, chứng chỉ hành nghề có thời hạn hoặc đình chỉ hoạt động có thời hạn”, Thiếu tá, ThS. Đào Đức Triệu thông tin thêm.
Cũng tại Hội thảo, ông Robert Trọng Trần - Phó tổng Giám đốc Công ty TNHH Dịch vụ an toàn thông tin EY Việt Nam và bà Trần Thị Cẩm Thạch - Chủ nhiệm cấp cao Công ty Luật TNHH EY Việt Nam đã cùng chia sẻ kinh nghiệm thực tế và giới thiệu một số giải pháp nâng cao hiệu quả chấp hành Nghị định 13. Cụ thể, theo 2 chuyên gia để đảm bảo thực thi hiệu quả Nghị định các đơn vị phải xây dựng được một khung bảo vệ dữ liệu cá nhân để hiểu hơn về các khả năng cần thiết để đáp ứng các yêu cầu về bảo vệ dữ liệu cá nhân theo Nghị định cũng như cần các luật bảo vệ dữ liệu cá nhân khác trên thế giới như Quy định bảo vệ dữ liệu chung (GDPR), Đạo luật quyền bảo mật California (CPRA), Đạo luật bảo vệ dữ liệu cá nhân (PDPA)… Khung bảo mật dữ liệu cá nhân mẫu do EY xây dựng có thể tham khảo như sau: Quản lý và quản trị; Thông báo; Lựa chọn và sự đồng ý; Thu thập; Sử dụng, lưu giữa và loại bỏ; Quyền của chủ thể dữ liệu; Quản lý bên thứ 3; Bảo mật cho dữ liệu cá nhân, Chất lượng; Kiểm tra và thực thi.
Ngoài ra, còn một số lưu ý khác như: Lập báo cáo đánh giá tác động; Thông báo xử lý và thu thập sự đồng ý của chủ thể dữ liệu; Phối hợp với các bên thứ ba trong việc bảo vệ dữ liệu cá nhân; Xây dựng khung chính sách nội bộ về bảo vệ dữ liệu… Tuy nhiên để thực hiện được những điều này yếu tố quan trọng nhất vẫn là con người.
Ông Robert Trọng Trần - Phó tổng Giám đốc Công ty TNHH Dịch vụ an toàn thông tin EY Việt Nam và bà Trần Thị Cẩm Thạch - Chủ nhiệm cấp cao Công ty Luật TNHH EY Việt Nam chia sẻ tại Hội thảo
Hội thảo cũng ghi nhận chia sẻ của ông Hoàng Hà - Giám đốc bảo mật dữ liệu cá nhân, Ngân hàng TNHH MTV HSBC Việt Nam về lộ trình tuân thủ Nghị định 13. Cụ thể, theo ông Hà việc thực hiện Nghị định 13 không chỉ thực hiện trong ngày 1 ngày 2, mà nó phải là cả một quá trình gắn với cả vòng đời của doanh nghiệp. Không thực hiện theo kiểu đối phó để lách luật, mà phải thực hiện theo từng lộ trình nhằm bảo vệ tốt cho chính doanh nghiệp cũng như đối tác và khách hàng.
Ông Hoàng Hà - Giám đốc bảo mật dữ liệu cá nhân, Ngân hàng TNHH MTV HSBC Việt Nam chia sẻ tại Hội thảo
Cũng tại Hội thảo, một số doanh nghiệp chuyên về lĩnh vực bảo mật, an toàn an ninh mạng, dữ liệu cá nhân... đã trình diễn thêm các giải pháp giám sát đảm bảo an ninh dữ liệu cá nhân cũng như các nền tảng công nghệ tối ưu và tự động hóa các hoạt động liên quan đến bảo vệ dữ liệu cá nhân.
Ông Bùi Tuấn Cường, chạy demo quy trình và hệ thống xử lý dữ liệu cá nhân cho ngân hàng
Ông Vũ Ngọc Sơn - Giám đốc công nghệ Công ty cổ phần công nghệ An ninh mạng quốc gia, trình bày các giải pháp giám sát đảm bảo an ninh dữ liệu cá nhân
Cũng trong khuôn khổ của Hội thảo các chuyên gia khách mời đã cùng giải đáp các thắc mắc của cơ quan, tổ chức, cá nhân tham gia Hội thảo về Nghị định 13 cũng như trao đổi và đối thoại với các chuyên gia trong quán triệt, tổ chức thực hiện nội dung Nghị định.
Các chuyên gia khách mời giải đáp những vấn đề thắc mắc mà đại biểu đặt ra
Đại diện các cá nhân, tổ chức, doanh nghiệp đặt câu hỏi cho các chuyên gia
Hội thảo khép lại với phần kết luận của Thượng tá Cao Việt Hùng - Phó Trưởng phòng Phòng phòng, chống tội phạm sử dụng không gian mạng xâm phạm trật tự quản lý kinh tế (Phó Ban tổ chức). Thượng tá Cao Việt Hùng cũng kỳ vọng thông qua sự kiện các doanh nghiệp, các đơn vị tham gia có thêm cơ hội để nắm bắt thông tin, tìm kiếm cơ hội và thành công hơn nữa trong tương lai.
Thượng tá Cao Việt Hùng - Phó Trưởng phòng Phòng phòng, chống tội phạm sử dụng không gian mạng xâm phạm xâm phạm trật tự quản lý kinh tế, phát biểu kết luận Hội thảo
Nhật Linh (CESTI)