Bảo mật dữ liệu

Quyền riêng tư dữ liệu cá nhân là vấn đề nóng được toàn cầu quan tâm trong nhiều năm trở lại đây. Nguyên nhân xuất phát từ mối lo ngại gia tăng từ phía người dùng khi không nắm được dữ liệu của họ đang được lưu trữ, xử lý ở đâu, như thế nào và sự nâng cao nhận thức của các cơ quan, tổ chức trong việc bảo vệ người dùng của mình.

Báo động đỏ tình trạng xâm phạm dữ liệu cá nhân 

Vào tháng 4/2021, dữ liệu cá nhân bao gồm số điện thoại, tên đầy đủ, ngày sinh, email,… của hơn 533 triệu người dùng Facebook từ 106 quốc gia đã bị công bố MIỄN PHÍ trên một diễn đàn hack cấp thấp, tạo nên sự cố rò rỉ dữ liệu nghiêm trọng đến từ một tổ chức hàng đầu. Cũng trong năm đó, Amazon bị cáo buộc là đã thu thập và sử dụng dữ liệu của người dùng cho hệ thống nhắm mục tiêu quảng cáo mà không có sự đồng ý của họ, dẫn đến nguy cơ chịu mức phạt khổng lồ 887 triệu USD, phá vỡ con số kỷ lục của Google trước đó là 55,7 triệu USD vào năm 2019 do vi phạm GDPR.

Thế nhưng, đây chỉ là 3 cái tên nổi cộm trong số rất nhiều doanh nghiệp có tiếng bị dính vào các vụ vi phạm quyền riêng tư dữ liệu, xâm phạm/rò rỉ dữ liệu (Yahoo, Microsoft, Uber…), chưa tính tới các doanh nghiệp thuộc quy mô nhỏ hơn ngoài kia. Điều này đã phản ánh thực trạng đáng báo động mà người dùng đang phải chịu đựng mỗi ngày: bị thu thập dữ liệu quá đà, đến mức phải dùng từ “theo dõi” và “giám sát”, chia sẻ dữ liệu bừa bãi tự do mà không có sự đồng ý của chủ thể dữ liệu, rao bán thông tin cá nhân trái phép trên mạng như một “món hàng”, dẫn tới chuyện người dùng bị làm phiền bởi đủ thứ tin nhắn, cuộc gọi và quảng cáo không liên quan,…

Tại Việt Nam, tình hình cũng không hề khả quan hơn khi dữ liệu cá nhân của hơn 2/3 dân số đang bị thu thập, chia sẻ trên mạng với với nhiều hình thức và mức độ khác nhau, có đến hàng nghìn GB dữ liệu bị rao bán trái phép trên chợ đen, theo thống kê từ Bộ Công An. 

Thực trạng đáng lo ngại trên đã tác động sâu sắc tới nhận thức và hành vi của người dùng Internet. Họ trở nên nhạy cảm và cảnh giác hơn khi cung cấp thông tin cá nhân cho một cá nhân hoặc tổ chức nào đó, sử dụng các công cụ chặn quảng cáo và vô hiệu hóa cookie bên thứ ba, đọc kỹ chính sách quyền riêng tư trước khi chọn Đồng ý,… 

Hành động quyết liệt hơn để bảo vệ người dùng

Bên cạnh những nỗ lực của người dùng trong việc bảo vệ dữ liệu bản thân, luật pháp cũng cho thấy hành động quyết liệt của mình. 

Vào ngày 25/05/2018, văn bản luật nghiêm khắc nhất thế giới (tính tới thời điểm hiện tại) liên quan đến quyền riêng tư, thu thập và bảo vệ dữ liệu – Quy định bảo vệ dữ liệu chung (GDPR) (EU) chính thức được áp dụng với người dùng và doanh nghiệp thuộc Liên Minh Châu Âu hoặc muốn tiến vào thị trường này. GDPR đảm bảo rằng tất cả dữ liệu cá nhân được thu thập theo quy trình an toàn và hợp pháp, với sự đồng ý từ phía người dùng. Nó trao nhiều quyền lực vào người dùng hơn và thêm trách nhiệm ở phía doanh nghiệp.

Sau GDPR của EU, các quốc gia khác cũng lần lượt ban hành phiên bản luật GDPR của riêng mình: Luật bảo vệ dữ liệu cá nhân (LGPD) của Brazil, Đạo luật bảo vệ thông tin cá nhân (APPI) của Nhật Bản, Đạo luật thực hiện điều lệ kỹ thuật số (DCIA) của Canada,… 

Tại Việt Nam, Chính Phủ cũng có bước phản ứng chính sách kịp thời khi ban hành Nghị định 13/2023/NĐ-CP (Có hiệu lực chính thức từ 01/07/2023), văn bản pháp lý toàn diện đầu tiên nhằm mục đích giải quyết các vấn đề bức xúc liên quan tới dữ liệu cá nhân. 

Tóm tắt nội dung chính của Nghị định 13

Đối tượng hướng tới của Nghị định 13

Đối tượng được bảo vệ

• Chủ thể dữ liệu: khách hàng của doanh nghiệp

Đối tượng chịu trách nhiệm

• (1) Bên Kiểm soát dữ liệu: thường là doanh nghiệp
• (2) Bên Xử lý dữ liệu: là các bên được Bên Kiểm soát dữ liệu thuê, chuyển giao dữ liệu để thực hiện công việc phân tích. 
• (3) Bên Kiểm soát & Xử lý dữ liệu: tức bên doanh nghiệp thực hiện cùng lúc 2 chức năng. (Trong GDPR thì chỉ định nghĩa 2 đối tượng đầu (1) và (2), không có đối tượng (3) này). 

Nội dung chính của Nghị định 13

Hiểu về bản chất, Nghị định 13 không hề cấm các hành vi lưu trữ, khai thác/phân tích và sử dụng dữ liệu của Chủ thể dữ liệu cho mục đích Marketing. 

Nghị định 13 CẤM lưu trữ/khai thác/phân tích/tiếp cận/tiếp thị khi KHÔNG CÓ SỰ ĐỒNG Ý của chủ thể dữ liệu. Nói cách khác, nếu doanh nghiệp có được sự ĐỒNG Ý của khách hàng thì không có vướng mắc gì trong quá trình vận hành/khai thác.

Chủ thể dữ liệu có quyền gì?

Chủ thể dữ liệu được quy định có 11 quyền (được bảo vệ), lần lượt là: 

(1) Quyền được biết *

(2) Quyền đồng ý *

(3) Quyền truy cập 

(4) Quyền rút lại sự đồng ý 

(5) Quyền xoá dữ liệu *

(6) Quyền hạn chế xử lý dữ liệu 

(7) Quyền cung cấp dữ liệu 

(8) Quyền phản đối xử lý dữ liệu

(9) Quyền khiếu nại, tố cáo, khởi kiện

(10) Quyền yêu cầu bồi thường thiệt hại

(11) Quyền tự bảo vệ

Trong đó có 3 quyền được đánh dấu * là những quyền quan trọng đáng chú ý đối với những doanh nghiệp đang triển khai nhiều nền tảng, phần mềm hỗ trợ lưu trữ và xử lý dữ liệu khách hàng, vì doanh nghiệp sẽ cần can thiệp đến tầng hệ thống để đáp ứng các quyền trên của Nghị định 13. Cụ thể 3 quyền này như sau:

1. Quyền được biết: Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình.
2. Quyền đồng ý: Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo, ví dụ chủ thể dữ liệu có thể cho phép doanh nghiệp thu thập và lưu trữ dữ liệu nhưng không cho phép phân tích dữ liệu đó. Quyền này được diễn giải rõ ràng rằng “im lặng không phải là đồng ý”, và bằng chứng của sự đồng ý phải được thể hiện rõ ràng, phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản.
3. Quyền xoá dữ liệu: Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình. Việc xoá dữ liệu cần được thực hiện trong 72 tiếng sau khi có yêu cầu từ chủ thể dữ liệu. 

Mọi việc chứng minh cho sự “ĐỒNG Ý” của việc khai thác dữ liệu thuộc về trách nhiệm của 3 bên “Chịu trách nhiệm”. Nói ngắn gọn là nếu có tranh chấp xảy ra, thì việc đi chứng minh có “sự đồng ý” thuộc về phía doanh nghiệp. 

Mặc dù kế thừa nhiều điều khoản từ GDPR, Nghị định 13 vẫn có một số điểm khác biệt cơ bản, chẳng hạn như:

• Đối tượng chủ thể dữ liệu được bảo vệ: GDPR bảo vệ quyền của công dân thuộc Liên Minh Châu Âu, còn Nghị định 13 bảo vệ quyền của công dân Việt Nam/lãnh thổ Việt Nam. 
• Mức phạt nếu vi phạm: GDPR quy định rõ mức phạt tối đa có thể lên tới 20 triệu Euro hoặc 4% doanh thu của doanh nghiệp, trong khi đó Nghị Định 13 không quy định rõ con số mức phạt vi phạm. 

Tại sao doanh nghiệp cần quan tâm tới Nghị định 13?

Xét về mặt luật pháp, doanh nghiệp là một trong những đối tượng áp dụng của Nghị định 13. Do đó, tuân thủ theo Nghị định 13 cũng chính là tuân thủ theo Pháp luật Việt Nam, điều mà mọi công dân, pháp nhân trên lãnh thổ Việt Nam đều phải làm theo. Nếu không thực hiện, doanh nghiệp sẽ phải chịu các mức phạt lớn nhỏ tùy theo độ nghiêm trọng của hành vi vi phạm. Theo Nghị định 13, trong vòng 60 ngày, doanh nghiệp phải điều chỉnh hệ thống/chính sách để đảm bảo tuân thủ quy định của Nghị định đề ra. 

Xét về mối quan hệ với khách hàng – yếu tố quan trọng ảnh hưởng tới tương lai của doanh nghiệp, việc nghiêm túc tuân thủ Nghị định 13 sẽ làm dịu bớt nỗi lo ngại của khách hàng rằng có thể dữ liệu bản thân đang bị lưu trữ và xử lý trái phép ở đâu đó, đồng thời gia tăng sự tin tưởng, gắn kết mối quan hệ đôi bên thêm bền chặt. Khi uy tín của doanh nghiệp được nâng cao, khách hàng cũng sẽ thoải mái cung cấp dữ liệu cá nhân cho bạn hơn và điều này sẽ tạo điều kiện thuận lợi để bạn xây dựng và triển khai các chiến dịch tiếp thị có tính cá nhân hóa cao, góp phần tối ưu trải nghiệm khách hàng và thúc đẩy doanh thu.

Mobio hỗ trợ doanh nghiệp khách hàng đáp ứng Nghị định 13 như thế nào?

Mobio CDP là phần mềm giúp doanh nghiệp quản lý dữ liệu khách hàng hiệu quả. Do đó, theo như Nghị định 13, Mobio đóng vai trò là Đối tượng chịu trách nhiệm. Quyền hạn và nghĩa vụ cụ thể của Mobio và của doanh nghiệp sẽ tuỳ vào mô hình dịch vụ mà doanh nghiệp sử dụng của Mobio. Cụ thể:

Mô hình (1): Doanh nghiệp sử dụng bản On-Cloud – SaaS có sẵn của Mobio (Hosting tại Việt Nam)

Mô hình (2): Mobio cung cấp bản cài On-Premises trên hạ tầng phần cứng của Doanh nghiệp.

Với mô hình này, Mobio cung cấp công cụ, tính năng để tuân thủ Nghị định 13 như sau:

Quyền đồng ý

Mọi dữ liệu được đưa vào hệ thống (CDP) đều cần phải có sự đồng ý của người truy cập (Chủ thể dữ liệu). Khi người dùng truy cập và phát sinh các hành vi cung cấp thông tin cá nhân như điền form, đăng ký tài khoản,… thì bắt buộc phải chọn “tick” (Đồng ý) hoặc “không tick” (Không đồng ý) vào thỏa thuận cho phép doanh nghiệp khách hàng Lưu trữ/Phân tích/Tiếp thị. 

Nếu người dùng đồng ý, Profiles được hình thành trong Mobio CDP sẽ được tự động cập nhật dữ liệu về sự đồng ý/không đồng ý đó cho từng mục đích Lưu trữ/Phân tích/Tiếp thị, đồng thời hệ thống Mobio cũng ghi lại bằng chứng số cho thỏa thuận này như Device ID, thời gian đồng ý,… để đảm bảo quá trình thu thập và xử lý được minh bạch, đề phòng rủi ro sau này.

Quyền được biết 

Mobio hỗ trợ doanh nghiệp gửi thông điệp chứa nội dung “Thông báo” cho chủ thể dữ liệu biết về việc dữ liệu của họ đã và đang được doanh nghiệp Lưu trữ/Phân tích/Tiếp thị thông qua tính năng Journey Builder. 

Quyền xóa dữ liệu 

Trong trường hợp Chủ thể dữ liệu muốn xóa dữ liệu cá nhân của mình, họ sẽ gửi Yêu cầu (Request) xóa dữ liệu tới cho doanh nghiệp xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình. Doanh nghiệp ghi nhận yêu cầu xoá dữ liệu từ phía khách hàng, tạo ticket và gán ticket cho nhân viên trên Module Ticket của Mobio. 

Kỹ Sư hệ thống/Database của doanh nghiệp sẽ thực hiện chạy script (hoặc giao diện) để xoá dữ liệu theo Lô – gộp lệnh xóa theo cụm vài ngày 1 lần. 

Kết luận

Chính thức có hiệu lực từ 01/07/2023, Nghị định 13/2023/NĐ-CP là văn bản pháp lý quy định về việc bảo vệ dữ liệu cá nhân của cơ quan, tổ chức và cá nhân có liên quan.

Là đối tượng chịu trách nhiệm với vai trò kiểm soát và xử lý dữ liệu, doanh nghiệp cần nắm rõ các quy định trong Nghị định 13 và nghiêm túc thực hiện điều chỉnh hệ thống, chính sách để đáp ứng với các quy định này.

Mobio với vai trò là phần mềm hỗ trợ quản lý dữ liệu khách hàng, sẵn sàng đồng hành cùng doanh nghiệp để tuân thủ và đáp ứng Nghị định. Để hiểu chi tiết hơn về cách Mobio thực hiện Nghị định 13/2023/NĐ-CP, doanh nghiệp có thể xem chi tiết tại Mobio Help Center, hoặc liên hệ qua hotline +84 90 343 9982 để được tư vấn trực tiếp.