Luật Bảo vệ dữ liệu cá nhân của Singapore sửa đổi có nhiều điểm mới

Luật sửa đổi mới này vừa được Ủy ban bảo vệ dữ liệu cá nhân (PDPC) của Singapore công bố vào tuần vừa qua. Theo đó, từ 01/9/2019, các tổ chức thu thập, sử dụng hoặc tiết lộ hoặc sao chép số Giấy chứng minh Đăng ký Quốc gia (National Registration Identity Card - NRIC) của cá nhân sẽ là bất hợp pháp.

Được biết trong nhiều năm, những nơi như trung tâm mua sắm đã thu thập các số NRIC khi khách hàng đăng ký để rút thăm may mắn hay trở thành hội viên hoặc thậm chí để theo dõi đổi chỗ đỗ xe. Nhưng với Luật sửa đổi mới, các tổ chức sẽ không còn được phép thực hiện việc này nữa. Các tổ chức đã thu thập số NRIC cũng sẽ phải bỏ các thu thập vào năm tới.

PDPC cho hay: "Trong nền kinh tế số hiện nay, việc tự ý thu thập hoặc xử lý một cách cẩu thả số NRIC có thể làm tăng nguy cơ tiết lộ không mong muốn và có thể dẫn đến số NRIC được sử dụng cho các hoạt động bất hợp pháp như trộm danh tính hoặc gian lận". Ngoài ra, sẽ có những rủi ro phát sinh nữa khi số NRIC là một định danh vĩnh viễn và không thể thay thế.

Các công ty cũng được cảnh báo rằng trừ khi luật pháp yêu cầu, việc lưu giữ NRIC của một cá nhân theo cách thủ công cũng sẽ không được phép cũng kể từ ngày 01/9/2019.

Mặc dù Luật đã cấm thu thập dữ liệu cá nhân của người tiêu dùng một cách tùy tiện và yêu cầu các tổ chức phải tính đến cách sử dụng dữ liệu, nhưng những người ủng hộ quyền riêng tư cho rằng các thông tin NRIC chi tiết vẫn đang được thu thập, đôi khi vì những lý do không mấy quan quan trọng như đặt vé xem phim hqy việc thuê xe đạp.

Luật sửa đổi này cũng có một số ngoại trừ. Các số NRIC hoặc bản sao của NRIC chỉ có thể được lấy hoặc được chia sẻ nếu được luật pháp yêu cầu, chẳng hạn như khi đăng ký một đường dây điện thoại mới, thực hiện cuộc hẹn của bác sĩ hoặc đăng ký (check-in) khách sạn. Chi tiết NRIC cũng có thể được thu thập khi cần xác minh chính xác danh tính của cá nhân "đến một mức độ trung thực cao" như để vào thăm trường mầm non hoặc các giao dịch liên quan đến chăm sóc sức khỏe, tài chính hoặc bất động sản, mà khi không có số NRIC có thể gây nguy cơ an ninh hoặc thiệt hại đáng kể.

"Trường hợp thu thập, sử dụng và tiết lộ số NRIC hoặc lưu giữ NRIC vật lý, các tổ chức được phép phải có các biện pháp tương xứng để bảo vệ dữ liệu cá nhân do mình sở hữu hoặc kiểm soát, tuân thủ các nghĩa vụ của họ theo Luật", PDPC cho biết.

Các tổ chức vi phạm Luật này có thể bị phạt tới 1 triệu USD.

Các quy định mới đối với số NRIC này cũng áp dụng cho các số nhận dạng quốc gia khác, như số giấy khai sinh, số nhận dạng nước ngoài và số giấy phép lao động. Mặc dù hộ chiếu được thay thế định kỳ, Ủy ban cho rằng các tổ chức nên tránh thu thập số hộ chiếu đầy đủ của cá nhân nếu không có lý do.

Được biết một số tổ chức thu thập một phần số NRIC, chữ cái của NRIC sẽ không được coi là số đầy đủ của NRIC. Tuy nhiên, những con số được thu thập một phần này vẫn được coi là dữ liệu cá nhân theo Luật sửa đổi mới, vì nó có thể cho phép một cá nhân được xác định. Các tổ chức thu thập một phần số NRIC được lưu ý vẫn phải tuân thủ các quy định bảo vệ dữ liệu của Luật và phải thực hiện các bước để đảm bảo dữ liệu này được bảo mật và không được tiết lộ.

Cũng theo PDPC, Luật mới không quy định loại định danh (identifier) mà các tổ chức có thể sử dụng thay cho số NRIC, và các tổ chức được khuyến khích xem xét các lựa chọn thay thế dựa trên các nhu cầu riêng của họ. Một số lựa chọn thay thế được đề xuất bao gồm ID tổ chức hoặc ID do người dùng tạo, các số theo dõi (tracking number) hoặc mã QR do tổ chức phát hành.

PDPC cho biết sẽ cùng với Cơ quan Phát triển Truyền thông Infocomm (IMDA), hỗ trợ các tổ chức điều chỉnh theo Luật mới bằng cách xuất bản một hướng dẫn kỹ thuật về việc thay thế số NRIC bằng các số nhận dạng thay thế. Hai tổ chức này cũng sẽ đánh giá các giải pháp công nghệ mà các công ty có thể thực hiện và sẽ xây dựng các thông báo mẫu mà các tổ chức có thể sử dụng để việc quản lý đáp ứng trông đợi của người dùng trong giai đoạn chuyển đổi trước khi Luật có hiệu lực.