Liên minh châu Âu trước thời điểm GDPR có hiệu lực

10:48 | 18/09/2017 | CHÍNH SÁCH - CHIẾN LƯỢC

Ngày 27/4/2016, Quy định về Bảo vệ dữ liệu chung (General Data Protection Regulation - GDPR) đã được Liên minh châu Âu thông qua và sẽ có hiệu lực trên toàn châu Âu từ tháng 5/2018. Trong lộ trình 2 năm để chuẩn bị, các tổ chức/doanh nghiệp vẫn gặp khá nhiều khó khăn trong việc thay đổi cơ chế để đáp ứng các yêu cầu của GDPR.

Đạo luật Bảo vệ dữ liệu cá nhân (DPA) xuất hiện từ năm 1998 và được coi là nền tảng cho các tổ chức/doanh nghiệp (TC/DN) xử lý dữ liệu cá nhân mà họ thu thập được. Tuy vậy, theo thời gian, cách thức thu thập, lưu trữ cũng như lượng thông tin mà các TC/DN phải xử lý đã thay đổi rất nhiều. Năm 1998, chỉ có 10% hộ gia đình ở Anh có kết nối Internet và lúc đó Google, Facebook hay các dịch vụ thu thập dữ liệu khác vẫn chưa xuất hiện. Ngày nay, chỉ bằng việc thu thập các hoạt động trên mạng của một cá nhân, người thu thập hoàn toàn có thể xây dựng một bộ dữ liệu hoàn chỉnh về người đó. Trong thời đại công nghệ liên kết này, khi người dùng sử dụng các tiện ích có thể dễ dàng đồng ý với các điều khoản sử dụng dữ liệu của nhà cung cấp mà không cần đọc lướt qua chúng. Mỗi ngày, một công dân của châu Âu có thể tạo ra một lượng dữ liệu lớn và nếu chúng không được bảo vệ cẩn thận, thì cá nhân đó có thể gặp nguy hiểm với dữ liệu của mình. Việc GDPR ra đời đã thay thế và nâng cấp cho đạo luật được coi là lỗi thời - DPA, nó có một vài điểm khác biệt so với DPA về phạm vi, mức phạt hay sự cho phép. Với GDPR, khi xảy ra sai phạm, chủ thể chịu trách nhiệm sẽ bao gồm cả bên thu thập lẫn bên sử dụng dữ liệu. Điều đó yêu cầu một quy trình chặt chẽ giữa tất cả các bên để dữ liệu được xử lý một cách phù hợp. Về phía cá nhân cung cấp dữ liệu hoàn toàn có quyền ngừng cung cấp dữ liệu cho bên thu thập theo một phương thức đơn giản, tương tự như khi cá nhân đồng ý cho phép đối tác sử dụng dữ liệu. Các dịch vụ người dùng chung đang ngày càng phổ biến trong tất cả các ngành, cụ thể như: các ngành công nghiệp sản xuất, tài chính, sức khỏe hay thương mại. Dữ liệu được chia sẻ trong các dịch vụ trên mạng ngày càng nhiều và GDPR có thể là một giải pháp để ngăn chặn mất dữ liệu và bảo vệ người dùng khỏi các mối đe dọa.

Theo GDPR, mức phạt quy định cho các TC/DN không tuân thủ các quy định đề ra là 4% tổng doanh thu hàng năm hoặc 20 triệu Euro, tùy theo điều kiện nào tối ưu hơn. Các TC/DN liên quan đến mạng Internet cũng đang tích cực chuẩn bị các quy định và quy chế phù hợp với tiêu chuẩn của GDPR. Tuy nhiên, cho đến nay vẫn đang tồn tại một số vấn đề với các TC/DN. Theo một nghiên cứu đối với 23 nghìn dịch vụ đám mây của người dùng từ tháng 01/2017 đến tháng 3/2017 đã phân tích tình hình chuẩn bị về chính sách, kết quả cho thấy rằng, 67% các dịch vụ đám mây không cho người dùng biết họ là người sở hữu các dữ liệu cá nhân trong điều khoản dịch vụ, 90% dịch vụ không hỗ trợ mã hóa dữ liệu. Một nghiên cứu khác cũng chỉ ra rằng các TC/DN sử dụng dịch vụ dữ liệu người dùng hiện nay chỉ mới đáp ứng được 40% yêu cầu của GDPR. Một nghiên cứu được thực hiện bởi Imperva cũng chỉ ra rằng, chỉ có 43% số TC/DN đang thực sự chuẩn bị cho GDPR.

Liên minh châu Âu trước thời điểm GDPR có hiệu lực

Các hình thức tấn công trên mạng đang ngày càng trở nên phức tạp và tinh vi, dẫn đến các TC/DN cần có những biện pháp để đảm bảo an toàn cho dữ liệu người dùng. Với xu hướng IoT hiện nay, khi các thiết bị đều được liên kết với nhau thông qua mạng Internet, thì mỗi một thiết bị trong mạng đều có thể trở thành đối tượng bị tấn công, ví dụ như: USB, thiết bị wifi, điện thoại di động hay một laptop kết nối vào một mạng không có độ bảo mật cao. Một khía cạnh để bảo vệ dữ liệu người dùng chính là bảo vệ các thiết bị chứa dữ liệu đó, hay nói cách khác, trách nhiệm bây giờ thuộc về các nhà cung cấp thiết bị và dịch vụ kết nối. Việc đó yêu cầu sự kết hợp giữa các kỹ sư công nghệ thông tin - truyền thông và các chuyên gia trong lĩnh vực bảo mật để có thể đưa ra biện pháp, hay công nghệ bảo mật phù hợp với yêu cầu. Nhận thức của các TC/DN phát triển trong hai lĩnh vực kể trên hiện nay chưa được đồng đều và GPDR sẽ là động lực để các TC/DN đương đầu với thách thức sắp tới. Mỗi một doanh nghiệp trong chuỗi cung ứng khi đó đều phải tuân thủ theo một tiêu chuẩn về bảo mật và đưa ra sản phẩm phù hợp.

Ngoài việc là động lực cho các TC/DN phát triển công nghệ bảo mật cho các thiết bị, GDPR cũng bị đánh giá là sẽ kìm hãm việc sử dụng và phát triển của các dịch vụ mạng. Trong sự kiện Infosecurity Europe diễn ra vào tháng 6/2017, trong số 900 TC/DN tham dự, một nửa số người khi được hỏi đã tỏ ra lo ngại về mức tiền phạt khi sử dụng các ứng dụng trên nền dịch vụ đám mây. Mặt khác, GDPR có một quy định yêu cầu các vi phạm phải được báo cáo lại trong 72 giờ đồng hồ, điều này được cho là sẽ dẫn đến việc TC/DN sẽ cố gắng che giấu các vi phạm hơn là báo cáo lại nó. Đối với các TC/DN nhỏ có quỹ chi tiêu hạn chế, mức phạt của GDPR là một số tiền lớn và việc các TC/DN đó tìm cách che giấu vi phạm là hoàn toàn có thể xảy ra. Tuy nhiên, nếu các sai phạm không được phát hiện và tích lũy trong một thời gian dài, lỗi hệ thống hoàn toàn có thể xảy ra và hậu quả là không thể lường trước.

‹ › ×

Tin liên quan

Công ty 129 tham gia liên minh phát triển Hệ sinh thái sản phẩm an toàn, an ninh mạng Việt Nam

09:00 | 30/12/2019

Liên minh gồm 21 thành viên là các doanh nghiệp Việt Nam đang hoạt động trong lĩnh vực an ninh mạng, trong đó có Công ty TNHH một thành viên 129 trực thuộc Ban Cơ yếu Chính phủ.

7 giai đoạn tuân thủ GDPR của các tổ chức, doanh nghiệp

10:00 | 13/09/2018

Quy định Bảo vệ Dữ liệu chung (General Data Protection Regulation - GDPR) của Liên minh châu Âu (EU) đã chính thức có hiệu lực kể từ ngày 25/5/2018. Quy định này nhằm đảm bảo lợi ích cho công dân, nhưng lại là một vấn đề nhức nhối đối với các tổ chức/doanh nghiệp (TC/DN) khi phải tuân thủ Quy định ở bất kỳ vị trí nào. Trên thực tế, GDPR có phạm vi ảnh hưởng toàn cầu.

Liên minh Châu Âu công bố hướng dẫn trong việc bảo mật chuỗi cung ứng IoT

16:00 | 11/12/2020

Báo cáo nghiên cứu của Cơ quan An ninh mạng Liên minh Châu Âu (The European Union for Agency Cybersecurity – ENISA) đã định nghĩa các hướng dẫn để bảo mật chuỗi cung ứng IoT, từ đó công bố hướng dẫn bảo mật cho toàn bộ vòng đời của thiết bị IoT.

Triển khai thực hiện quy định chung về bảo mật thông tin ở EU

22:00 | 15/08/2022

Sau nhiều sự cố rò rỉ dữ liệu người dùng của Facebook, việc áp dụng Quy định chung về bảo mật thông tin (General Data Protection Regulation – GDPR) có thể được xem là nỗ lực bảo vệ quyền lợi chủ thể dữ liệu cá nhân của Liên minh Châu Âu (EU). Việc thiết lập một hành lang pháp lý chung để bảo vệ thông tin cá nhân và triển khai thực hiện hiệu quả là yêu cầu cấp bách đặt ra trong thời đại Internet phát triển bùng nổ như hiện nay.

Hành lang pháp lý về đảm bảo an ninh mạng ở Liên minh châu Âu

22:00 | 02/05/2022

Nhận thức rõ về mối đe doạ đối với an ninh mạng, Liên minh châu Âu (EU) đã và đang chú trọng xây dựng hành lang pháp lý để đối phó với những rủi ro xuất phát từ sự phát triển của Internet và mạng xã hội, đặc biệt là những thông tin xấu, độc hại có nguy cơ gây rối an ninh, trật tự xã hội, đe dọa an ninh mạng của các quốc gia châu Âu.

Tình hình lập pháp của các nước liên quan đến công nghệ Deepfake

22:00 | 13/02/2021

Đứng trước ảnh hưởng tiêu cực của công nghệ deepfake, nhiều nước trên thế giới đang thúc đẩy phát triển công nghệ nhằm phát hiện ảnh, video sử dụng deepfake; đồng thời cũng nỗ lực thông qua thể chế luật pháp để phòng ngừa, kiểm tra và quản lý. Bài viết tổng hợp kinh nghiệm lập luật của một số nước liên quan đến lĩnh vực này.

Tin cùng chuyên mục

30 năm Trung Quốc xây dựng hệ thống pháp luật để quản lý Internet (Phần I)

16:00 | 04/08/2023

Trung Quốc coi việc quản lý Internet theo pháp luật là một phần quan trọng trong việc quản lý toàn diện đất nước. 30 năm qua, Trung Quốc đã đạt được nhiều kết quả trong xây dựng hệ thống pháp luật về quản lý Internet thông qua việc không ngừng hoàn thiện hệ thống quy phạm pháp luật, tăng cường thực thi pháp luật, thúc đẩy hệ thống giám sát và bảo vệ pháp luật về Internet. Trong phần I của bài báo, tác giả sẽ giới thiệu về những nguyên tắc quản lý và quá trình hoàn thiện hệ thống pháp luật về quản lý Internet của Trung Quốc.

Chuyển hoạt động giám sát sang chiến lược bảo mật chủ động bằng phân tích video

09:00 | 11/04/2023

Phân tích video có thể phân tích đối tượng và hành vi của con người để xác định các mối đe dọa bảo mật trước khi chúng leo thang, biến hoạt động giám sát thành một công cụ chủ động. Những thách thức về môi trường, sức khỏe và an toàn gần đây đang thúc đẩy nhu cầu về an ninh chủ động. Điều này cho thấy có một sự thay đổi mạnh mẽ trong tư duy khi thiết kế, triển khai và quản lý hệ thống video trên các ứng dụng khác nhau.

Một số nội dung cơ bản của dự thảo Nghị định Bảo vệ dữ liệu cá nhân

09:00 | 16/02/2023

Chính phủ vừa ban hành Nghị quyết số 13/NQ-CP thông qua hồ sơ xây dựng Nghị định Bảo vệ dữ liệu cá nhân trình xin ý kiến Ủy ban Thường vụ Quốc hội. Trước đó, Ủy ban Quốc phòng và An ninh của Quốc hội cũng đã họp phiên toàn thể để thẩm tra dự thảo Nghị định. Dự thảo Nghị định Bảo vệ dữ liệu cá nhân bao gồm 4 chương, 44 điều. Việc xây dựng Nghị định đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân.

Phân tích hệ thống không gian mạng của Israel (Phần I)

07:00 | 11/01/2023

Một loạt các sự cố an ninh mạng thời gian qua đã đưa lĩnh vực này trở thành một trong những mối quan tâm hàng đầu, xu hướng này dự kiến sẽ không giảm trong tương lai. Xung đột vũ trang giữa Nga và Ukraine là ví dụ mới nhất về tầm quan trọng ngày càng tăng của an ninh mạng và mối quan hệ nội tại của nó với cạnh tranh địa chính trị. Bài báo tập trung giới thiệu tới bạn đọc hệ thống không gian mạng của Israel, một quốc gia có lãnh thổ nhỏ nhưng lại có kinh nghiệm phong phú về phòng thủ mạng và duy trì được ưu thế tác chiến mạng.