Cần khung pháp lý toàn diện bảo vệ dữ liệu

Thông tin cá nhân ngày nay đang trở thành một loại tài sản quan trọng trong kỉ nguyên thông tin hiện đại. Đa số thông tin cá nhân được thu thập và sử dụng đúng pháp luật, nhưng nhiều trường hợp khác lại bị khai thác và giao dịch mua bán bất hợp pháp. Vấn đề đặt ra là làm thế nào để quản lý thông tin cá nhân một cách hiệu quả?

Ngày nay, người dùng hiểu biết về CNTT ngày càng gia tăng dẫn tới việc tăng trưởng nhanh chóng số lượng thông tin cá nhân được thu thập và sở hữu. Và khi các công ty chuyển hướng sang sử dụng những dịch vụ và truyền thông trực tuyến trên Internet thì việc chia sẻ thông tin cá nhân để có thể sử dụng những dịch vụ trực tuyến này trở nên phổ biến. Các cơ quan chính phủ cũng đang triển khai các dịch vụ chính phủ điện tử tích hợp trên hạ tầng công nghệ thông tin. Điều đó đòi hỏi một mặt phải đảm bảo sự thông suốt, chính xác cho các giao dịch giữa các cơ quan, ban ngành liên quan về thông tin cá nhân của một công dân, trong khi vẫn phải đảm bảo bí mật tốt và an toàn với mọi thông tin cá nhân của người dân.

Nói một cách khác thì công nghệ khiến cho thông tin dễ bị lạm dụng. Theo bản Báo cáo về các mối đe dọa Bảo mật mạng (ISTR) lần thứ 13 của Symantec (bản báo cáo cập nhật về hoạt động của các mối đe dọa mạng trong khu vực châu Á – Thái Bình Dương/Nhật Bản giai đoạn nửa cuối năm 2007), các mối đe dọa nhắm tới thông tin nhạy cảm chiếm tới gần 70% trong tổng số 50 loại lây nhiễm mã độc tiềm tàng nguy hiểm nhất được phát hiện.

Cơ chế quản trị tốt là yếu tố quan trọng trong việc quản lý luồng thông tin khổng lồ này, nó cũng giúp bảo vệ an toàn trước bất kỳ sự xâm phạm hoặc sử dụng thông tin cá nhân sai mục đích nào. Việc quản trị chưa đủ mạnh có thể gây ra sự bất ổn và mối quan ngại rất lớn, điều này có thể thấy rõ trong những vụ việc tổn thất về tài chính gần đây. Một mô hình quản trị hợp lý, khi được áp dụng một cách đầy đủ, sẽ giúp người dùng vững tin hơn khi giao tiếp và giao dịch trong môi trường thực tế cũng như trực tuyến trên mạng.

Đối với các cơ quan quản lý, xây dựng một khung pháp lý toàn diện về bảo vệ dữ liệu là một bước tiến quan trọng hướng tới một cơ chế quản trị tốt và hiệu quả. Những bộ luật bảo vệ dữ liệu như vậy đã được xây dựng và áp dụng rất thành công tại nước Mỹ, Liên minh châu Âu. Thông tư số 95/46/EC (năm 1995) của khối Liên minh châu Âu về Bảo vệ các cá nhân, liên quan đến vấn đề Xử lý dữ liệu cá nhân và về sự luân chuyển tự do của những dữ liệu như vậy, là một ví dụ cụ thể về khung pháp lý chặt chẽ mà ta nên tham khảo. Trong khu vực châu Á - Thái Bình Dương, Nhật Bản, Úc và New Zealand có những Bộ luật về quyền cá nhân (Privacy Acts), hay Nhật Bản có Bộ luật về Bảo vệ Thông tin cá nhân. Các nước khác như Thái Lan và Philippines hiện đang xây dựng dự thảo luật, còn Malaysia và Singapore cũng dự kiến xây dựng luật tương tự cho riêng mình.

Khung pháp lý toàn diện bảo vệ dữ liệu rất quan trọng bởi nhiều lý do. Về cơ bản, các cá nhân cần được đảm bảo rằng thông tin cá nhân của họ gửi cho những nhà cung cấp dịch vụ và các cơ quan chính phủ được bảo vệ tốt. Điều này cũng rất quan trọng đối với sự phát triển của các dịch vụ thương mại điện tử, ngân hàng trực tuyến và chính phủ điện tử. Nhiều quốc gia hiện đang rất nỗ lực để trở thành trung tâm outsourcing dịch vụ tài chính và kinh doanh của khu vực, nhưng nếu không có hệ thống luật pháp về bảo vệ dữ liệu đầy đủ thì sẽ khó có thể đáp ứng được những yêu cầu nghiêm ngặt về xử lý dữ liệu của khối Liên minh châu Âu hay Mỹ. Khung pháp lý bảo vệ dữ liệu đầy đủ, hợp lý và thực thi nó hiệu quả cũng sẽ giúp tăng cường nhận thức về bảo mật thông tin trong thế giới mạng cho các doanh nghiệp và người tiêu dùng cá nhân.

Việc khuyến khích xây dựng quy định riêng cho từng lĩnh vực hay cho từng ngành là một bước khởi đầu rất thuận lợi nhưng nó chưa đủ để bảo vệ một cách toàn diện cho tới khi có một hệ thống pháp lý bảo vệ dữ liệu thống nhất, có quy định mức xử phạt hợp lý, khả thi khi áp dụng cho toàn quốc.

Một hệ thống pháp lý bảo vệ dữ liệu đủ mạnh cần đạt được sự cân bằng nhiều yếu tố: quyền được bảo vệ thông tin cá nhân của công dân, lợi ích của tổ chức và lợi ích của quốc gia. Ngoài ra, cũng cần xem xét, tham khảo những phương pháp tốt nhất có trong những bộ luật đã được công nhận rộng rãi như Những Quy định về quyền riêng tư (Privacy Principles) của Tổ chức Hợp tác và phát triển kinh tế (OECD), hay Khung pháp lý về quyền riêng tư (Privacy Framework) của Tổ chức Hợp tác phát triển kinh tế Châu Á – Thái Bình Dương (APEC) có liên quan tới những vấn đề như thu thập, sử dụng, truy nhập, tính toàn vẹn, bảo mật dữ liệu và sự đồng thuận.

Những yếu tố cấu thành thông tin cá nhân cần phải được xác định rõ ràng. Mọi cá nhân cần phải nhận được những thông báo hợp lý về việc những thông tin nào sẽ được quyền thu thập, với mục đích gì, những bên thứ ba nào sẽ được phép tiếp cận những thông tin này, và những ràng buộc để hạn chế sử dụng hay tiết lộ thông tin đó. Việc đồng thuận cho thu thập, sử dụng và tiết lộ những thông tin cá nhân, đặc biệt là khi sử dụng cho một mục đích khác hoặc tiết lộ cho một bên thứ ba khác, cần phải được tiến hành theo nguyên tắc cá nhân quyết định đồng ý hay từ chối (opt-in or opt-out). Những bản ghi thông tin cá nhân cần được lưu giữ chính xác, hoàn chỉnh, cập nhập mới và phù hợp với mục đích. Thông tin cũng cần được bảo vệ trước những rủi ro như mất mát hoặc truy nhập trái phép; sử dụng, chỉnh sửa, tiết lộ, phá hủy hoặc những mục đích sai phạm khác bằng một loạt các biện pháp quản trị, kỹ thuật và thực tiễn.

Bên cạnh việc xây dựng và bảo vệ thông tin riêng tư của mỗi công dân, một bộ luật bảo vệ dữ liệu toàn diện cũng cần phải có những điều khoản quản lý những trường hợp vi phạm dữ liệu cá nhân như là một phần của chu trình quản lý thông tin toàn diện. Cảnh báo các trường hợp vi phạm cũng là một cấu phần quan trọng trong các bộ luật bảo vệ dữ liệu, được áp dụng bởi hơn 30 bang tại nước Mỹ, và cũng đang được Liên minh châu Âu và Úc xem xét thực thi. Những yêu cầu như vậy cũng góp phần thúc đẩy các tổ chức triển khai những hành động cụ thể trong việc bảo vệ dữ liệu cá nhân.

Quy định pháp lý về cảnh báo các trường hợp vi phạm thông tin sẽ thiết lập các thủ tục pháp lý và thực thi rõ ràng, cần thiết nhằm định rõ những cấu phần nào được coi là “vi phạm”, mức độ nghiêm trọng của vấn đề như thế nào thì đưa ra cảnh báo, quy trình cảnh báo đối với người dùng cuối, và những điều khoản về “điều kiện an toàn”. Từ đó các tổ chức có thể so sánh và kiểm định rằng dữ liệu của họ đã được bảo vệ đầy đủ theo quy định, giúp giảm nhẹ trách nhiệm pháp lý cũng như hình phạt cho họ khi có sự cố xảy ra.

Ngày nay khi các nước đang phải đối phó với những vấn đề về khủng hoảng tài chính thì họ cũng cần phải nhìn thấy được “thông tin” chính là vấn đề cốt lõi của nền kinh tế hiện đại, và bảo vệ thông tin là yếu tố hết sức cần thiết. Một nền tảng pháp lý tốt, kết hợp với những công nghệ hiện đại, tiên tiến, những phương pháp ứng dụng tốt nhất trong tổ chức và đào tạo người dùng cá nhân sẽ giúp có một môi trường trực tuyến sôi động nhưng an toàn hơn nhiều.