| Bài liên quan |
| Mua bán dữ liệu cá nhân có thể bị phạt tới 10 lần khoản thu, tối đa 3 tỷ đồng |
| Cảnh báo phần mềm gián điệp SparkKitty mạo danh TikTok để đánh cắp dữ liệu cá nhân |
Dự thảo Nghị định do Bộ Công an chủ trì xây dựng được xem là bước cụ thể hóa Luật Bảo vệ dữ liệu cá nhân, tạo hành lang pháp lý nhằm siết chặt trách nhiệm của cơ quan, tổ chức, cá nhân trong việc thu thập, khai thác và xử lý dữ liệu cá nhân.
Theo dự thảo, phạm vi điều chỉnh áp dụng đối với cả tổ chức, cá nhân Việt Nam và nước ngoài có hoạt động liên quan đến dữ liệu cá nhân của công dân Việt Nam, cũng như người gốc Việt Nam chưa xác định quốc tịch nhưng đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.
 |
| Đề xuất xếp thông tin tài chính, tín dụng vào nhóm dữ liệu cá nhân nhạy cảm |
Trong đó, dữ liệu cá nhân nhạy cảm được định nghĩa là những thông tin gắn liền với đời tư, quyền riêng tư của mỗi cá nhân, khi bị xâm phạm sẽ tác động trực tiếp đến quyền và lợi ích hợp pháp của chủ thể dữ liệu. Nhóm dữ liệu này bao gồm thông tin về tình trạng sức khỏe, đặc điểm sinh trắc học, nguồn gốc dân tộc, tôn giáo, quan điểm chính trị, dữ liệu về hành vi phạm tội, đời sống tình dục… Đáng chú ý, dự thảo bổ sung thêm dữ liệu tài chính, tín dụng như thông tin thẻ ngân hàng, lịch sử giao dịch, điểm tín dụng, hồ sơ vay vốn, bảo hiểm và chứng khoán vào danh mục dữ liệu nhạy cảm cần bảo mật nghiêm ngặt.
Với quy định mới, các ngân hàng, tổ chức tín dụng, công ty tài chính, chi nhánh ngân hàng nước ngoài, đơn vị cung ứng dịch vụ trung gian thanh toán và các tổ chức được phép khác phải tuân thủ hàng loạt nghĩa vụ: áp dụng tiêu chuẩn bảo mật quốc tế, tuân thủ tiêu chuẩn an ninh mạng của Việt Nam, định kỳ hàng năm đánh giá việc thực hiện bảo vệ dữ liệu cá nhân, đồng thời lưu trữ nhật ký toàn bộ hoạt động xử lý dữ liệu.
Đặc biệt, khi xin sự đồng ý của khách hàng để khai thác, đơn vị phải nêu rõ mục đích xử lý dữ liệu, nguồn thu thập, thời gian lưu giữ, danh sách bên thứ ba được chia sẻ dữ liệu, cũng như cơ chế rút lại sự đồng ý hoặc yêu cầu xóa dữ liệu theo quy định. Việc chấm điểm tín dụng, xếp hạng hay đánh giá mức độ tín nhiệm chỉ được phép thực hiện khi có sự chấp thuận của chủ thể dữ liệu.
Một điểm nhấn quan trọng của dự thảo là yêu cầu các tổ chức, cá nhân có trách nhiệm thông báo cho khách hàng trong vòng 72 giờ kể từ khi phát hiện lộ, mất dữ liệu tài chính, tín dụng, nhằm giảm thiểu rủi ro và bảo vệ quyền lợi của người dân.
Bên cạnh đó, dự thảo cũng đặt ra yêu cầu phân quyền truy cập, thiết lập quy trình xử lý nghiêm ngặt đối với dữ liệu nhạy cảm; đồng thời bổ sung các nhóm dữ liệu cần được bảo vệ chặt chẽ trên không gian mạng như thông tin thuê bao viễn thông, lịch sử sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến.
