Liên minh châu Âu trước thời điểm GDPR có hiệu lực

10:37 | 18/09/2017

Ngày 27/4/2016, Quy định về Bảo vệ dữ liệu chung (General Data Protection Regulation - GDPR) đã được Liên minh châu Âu thông qua và sẽ có hiệu lực trên toàn châu Âu từ tháng 5/2018. Trong lộ trình 2 năm để chuẩn bị, các tổ chức/doanh nghiệp vẫn gặp khá nhiều khó khăn trong việc thay đổi cơ chế để đáp ứng các yêu cầu của GDPR.

Đạo luật Bảo vệ dữ liệu cá nhân (DPA) xuất hiện từ năm 1998 và được coi là nền tảng cho các tổ chức/doanh nghiệp (TC/DN)  xử lý dữ liệu cá nhân mà họ thu thập được. Tuy vậy, theo thời gian, cách thức thu thập, lưu trữ cũng như lượng thông tin mà các TC/DN phải xử lý đã thay đổi rất nhiều. Năm 1998, chỉ có 10% hộ gia đình ở Anh có kết nối Internet và lúc đó Google, Facebook hay các dịch vụ thu thập dữ liệu khác vẫn chưa xuất hiện. Ngày nay, chỉ bằng việc thu thập các hoạt động trên mạng của một cá nhân, người thu thập hoàn toàn có thể xây dựng một bộ dữ liệu hoàn chỉnh về người đó. Trong thời đại công nghệ liên kết này, khi người dùng sử dụng các tiện ích có thể dễ dàng đồng ý với các điều khoản sử dụng dữ liệu của nhà cung cấp mà không cần đọc lướt qua chúng. Mỗi ngày, một công dân của châu Âu có thể tạo ra một lượng dữ liệu lớn và nếu chúng không được bảo vệ cẩn thận, thì cá nhân đó có thể gặp nguy hiểm với dữ liệu của mình. Việc GDPR ra đời đã thay thế và nâng cấp cho đạo luật được coi là lỗi thời - DPA, nó có một vài điểm khác biệt so với DPA về phạm vi, mức phạt hay sự cho phép. Với GDPR, khi xảy ra sai phạm, chủ thể chịu trách nhiệm sẽ bao gồm cả bên thu thập lẫn bên sử dụng dữ liệu. Điều đó yêu cầu một quy trình chặt chẽ giữa tất cả các bên để dữ liệu được xử lý một cách phù hợp. Về phía cá nhân cung cấp dữ liệu hoàn toàn có quyền ngừng cung cấp dữ liệu cho bên thu thập theo một phương thức đơn giản, tương tự như khi cá nhân đồng ý cho phép đối tác sử dụng dữ liệu. Các dịch vụ người dùng chung đang ngày càng phổ biến trong tất cả các ngành, cụ thể như: các ngành công nghiệp sản xuất, tài chính, sức khỏe hay thương mại. Dữ liệu được chia sẻ trong các dịch vụ trên mạng ngày càng nhiều và GDPR có thể là một giải pháp để ngăn chặn mất dữ liệu và bảo vệ người dùng khỏi các mối đe dọa.

Theo GDPR, mức phạt quy định cho các TC/DN không tuân thủ các quy định đề ra là 4% tổng doanh thu hàng năm hoặc 20 triệu Euro, tùy theo điều kiện nào tối ưu hơn. Các TC/DN liên quan đến mạng Internet cũng đang tích cực chuẩn bị các quy định và quy chế phù hợp với tiêu chuẩn của GDPR. Tuy nhiên, cho đến nay vẫn đang tồn tại một số vấn đề với các TC/DN. Theo một nghiên cứu đối với 23 nghìn dịch vụ đám mây của người dùng từ tháng 01/2017 đến tháng 3/2017 đã phân tích tình hình chuẩn bị về chính sách, kết quả cho thấy rằng, 67% các dịch vụ đám mây không cho người dùng biết họ là người sở hữu các dữ liệu cá nhân trong điều khoản dịch vụ, 90% dịch vụ không hỗ trợ mã hóa dữ liệu. Một nghiên cứu khác cũng chỉ ra rằng các TC/DN sử dụng dịch vụ dữ liệu người dùng hiện nay chỉ mới đáp ứng được 40% yêu cầu của GDPR. Một nghiên cứu được thực hiện bởi Imperva cũng chỉ ra rằng, chỉ có 43% số TC/DN đang thực sự chuẩn bị cho GDPR. 



Các hình thức tấn công trên mạng đang ngày càng trở nên phức tạp và tinh vi, dẫn đến các TC/DN cần có những biện pháp để đảm bảo an toàn cho dữ liệu người dùng. Với xu hướng IoT hiện nay, khi các thiết bị đều được liên kết với nhau thông qua mạng Internet, thì mỗi một thiết bị trong mạng đều có thể trở thành đối tượng bị tấn công, ví dụ như: USB, thiết bị wifi, điện thoại di động hay một laptop kết nối vào một mạng không có độ bảo mật cao. Một khía cạnh để bảo vệ dữ liệu người dùng chính là bảo vệ các thiết bị chứa dữ liệu đó, hay nói cách khác, trách nhiệm bây giờ thuộc về các nhà cung cấp thiết bị và dịch vụ kết nối. Việc đó yêu cầu sự kết hợp giữa các kỹ sư công nghệ thông tin - truyền thông và các chuyên gia trong lĩnh vực bảo mật để có thể đưa ra biện pháp, hay công nghệ bảo mật phù hợp với yêu cầu. Nhận thức của các TC/DN phát triển trong hai lĩnh vực kể trên hiện nay chưa được đồng đều và GPDR sẽ là động lực để các TC/DN đương đầu với thách thức sắp tới. Mỗi một doanh nghiệp trong chuỗi cung ứng khi đó đều phải tuân thủ theo một tiêu chuẩn về bảo mật và đưa ra sản phẩm phù hợp. 

Ngoài việc là động lực cho các TC/DN phát triển công nghệ bảo mật cho các thiết bị, GDPR cũng bị đánh giá là sẽ kìm hãm việc sử dụng và phát triển của các dịch vụ mạng. Trong sự kiện Infosecurity Europe diễn ra vào tháng 6/2017, trong số 900 TC/DN tham dự, một nửa số người khi được hỏi đã tỏ ra lo ngại về mức tiền phạt khi sử dụng các ứng dụng trên nền dịch vụ đám mây. Mặt khác, GDPR có một quy định yêu cầu các vi phạm phải được báo cáo lại trong 72 giờ đồng hồ, điều này được cho là sẽ dẫn đến việc TC/DN sẽ cố gắng che giấu các vi phạm hơn là báo cáo lại nó. Đối với các TC/DN nhỏ có quỹ chi tiêu hạn chế, mức phạt của GDPR là một số tiền lớn và việc các TC/DN đó tìm cách che giấu vi phạm là hoàn toàn có thể xảy ra. Tuy nhiên, nếu các sai phạm không được phát hiện và tích lũy trong một thời gian dài, lỗi hệ thống hoàn toàn có thể xảy ra và hậu quả là không thể lường trước.