Vấn đề bảo vệ dữ liệu và sự riêng tư đang nhận được sự tập trung quan tâm ở châu Á khi Luật mới về bảo vệ dữ liệu cá nhân (PDPA) của hai nước Malaysia và Singapore bắt đầu có hiệu lực thi hành. Nhu cầu cần có quy định pháp lý về sử dụng và lưu trữ dữ liệu chưa bao giờ lớn như hiện nay khi công nghệ trở nên thông minh hơn khiến cho việc thu thập, sử dụng và truyền đưa dữ liệu cá nhân trở nên rất dễ dàng. Hành động như vậy có thể nằm ở ranh giới xâm phạm quyền riêng tư và dữ liệu khách hàng có thể dễ dàng bị sử dụng sai mục đích hơn. Bài báo nêu tổng quan một số điểm quan trọng trong pháp luật mới về chống thư rác và giải pháp thực thi ở 2 nước hàng đầu về CNTT-TT khu vực ASEAN là Malaysia và Singapore [1].
7 nguyên tắc trong Luật PDPA của Malaysia
Luật PDPA của Malaysia được ban hành năm 2010, có hiệu lực từ tháng 11/2013, tác động đến bất cứ ai xử lý thông tin cá nhân phục vụ cho mục đích thương mại. Một “người sử dụng dữ liệu” được Luật định nghĩa là “một người hoặc nhóm người thực hiện việc xử lý, điều khiển hoặc nắm quyền xử lý dữ liệu cá nhân của bất kỳ ai”. Khái niệm “xử lý” nêu trong Luật bao gồm việc thu thập, ghi lại, nắm giữ và lưu trữ dữ liệu cá nhân. “Đối tượng dữ liệu” là người mà thông tin cá nhân của người đó là đối tượng xử lý của người sử dụng dữ liệu.
Các doanh nghiệp phải tuân thủ 7 nguyên tắc đưa ra trong PDPA, nghĩa là họ có thể phải đầu tư các hệ thống bảo đảm tương thích với yêu cầu của Luật [2], cụ thể:
- Nguyên tắc chung: bao gồm các quy định bắt buộc mà mỗi người sử dụng dữ liệu phải tuân thủ khi xử lý dữ liệu cá nhân, trong đó bao gồm cả việc thoả thuận trước với đối tượng dữ liệu.
- Nguyên tắc Thông báo và Lựa chọn: người sử dụng dữ liệu phải thông báo cho đối tượng dữ liệu rằng dữ liệu cá nhân của người đó sẽ được xử lý. Người sử dụng dữ liệu phải cung cấp thông tin về bên thứ ba nhận dữ liệu cá nhân, mô tả quá trình xử lý dữ liệu và mục đích thu thập dữ liệu.
- Nguyên tắc Tiết lộ: Người sử dụng dữ liệu không được phép sử dụng dữ liệu cá nhân sai mục đích đã thoả thuận ban đầu, trừ khi nhận được sự đồng ý của đối tượng dữ liệu
- Nguyên tắc An toàn: Người sử dụng dữ liệu phải có quy trình thực tế bảo vệ dữ liệu cá nhân không bị mất, sử dụng sai mục đích, thay đổi, bị truy cập trái phép hoặc bị tiết lộ, thay thế hay huỷ hoại.
- Nguyên tắc Thời gian lưu giữ: Người sử dụng dữ liệu phải bảo đảm rằng dữ liệu cá nhân không được lưu giữ quá thời gian cần thiết
- Nguyên tắc Toàn vẹn Dữ liệu: Người sử dụng dữ liệu phải bảo đảm rằng dữ liệu cá nhân được xử lý một cách chính xác, hoàn thiện, không bị giả mạo và cập nhật theo mục đích sử dụng
- Nguyên tắc Truy cập: Người sử dụng dữ liệu phải cho phép đối tượng dữ liệu được truy cập vào dữ liệu cá nhân của người đó và có cơ hội chỉnh sửa những thông tin chưa chính xác và không cập nhật.
Danh bạ DNC trong PDPA của Singapore
Luật PDPA ở Malaysia và Singapore quy định hoạt động thu thập, sử dụng, loại bỏ và quản lý dữ liệu cá nhân. Tuy nhiên, có sự khác nhau trong luật của hai nước. PDPA của Singapore có Danh bạ Không-Được-Gọi (Do-Not-Call Registry) hay viết tắt là Danh bạ DNC để không cho phép các cuộc gọi tiếp thị đến những số liên lạc lưu ở đây, trong khi đó Malaysia không có dịch vụ tương tự. Điều này cũng dễ hiểu bởi luật pháp về bảo vệ dữ liệu riêng tư giữa các nước không giống nhau do sự khác biệt về nền tảng văn hoá, xã hội. Trong Luật PDPA của Singapore, người thực hiện cuộc gọi tiếp thị trước tiên phải kiểm tra số bị gọi trong Danh bạ DNC. Đây là điểm riêng duy nhất có ở Singapore vì ở hầu hết các nước khác, dịch vụ này được tách riêng khỏi luật PDPA. Singapore phân biệt các thông tin liên hệ cho công việc không thuộc loại thông tin cá nhân, trong khi Malaysia định nghĩa dữ liệu cá nhân khá rộng, bao gồm cả thông tin liên hệ công việc.
Việc triển khai đầy đủ Luật PDPA của Singapore bắt đầu từ tháng 7/2014, trong khi Danh bạ DNC có hiệu lực từ tháng 1/2014, do Ủy ban Thương mại quốc gia (FTC) vận hành [3]. Danh bạ DNC cho phép người dùng ở Singapore đăng ký trước những số điện thoại cố định và di động của mình không chấp nhận (opt out) những cuộc gọi, fax, tin nhắn quảng cáo. Việc đăng ký được bắt đầu có hiệu lực sau 31 ngày. Các tổ chức, doanh nghiệp tiếp thị cần chắc chắn rằng số điện thoại cần gửi thông tin tiếp thị không có trong Danh bạ DNC. Mức phạt cho việc không tuân thủ quy định này là 10.000 đô-la Sing. Tính đến tháng 5/2014, đã có hơn 600.000 số điện thoại đăng ký trong Danh bạ DNC. Đến nay, FTC đã thụ lý 105 trường hợp vi phạm, đã xét xử 80 vụ, thu được số tiền phạt hơn 41 triệu đô-la Sing (còn 33 triệu đô-la Sing khác là để bồi thường thiệt hại cho khách hàng) [4].
Quy định chặt chẽ hơn về quản lý dữ liệu riêng tư khiến cho các công ty bất động sản mất nhiều công sức hơn để tiếp cận khách hàng tiềm năng. Để khắc phục, họ tìm đến các dịch vụ tự động. PropNex, một công ty bất động sản đã sử dụng dịch vụ SpiderGate – một hệ thống quản lý DNC. Khi một đại lý thực hiện cuộc gọi từ điện thoại, hệ thống SpiderGate tự động kiểm tra số bị gọi trong Danh bạ DNC quốc gia. Nếu số điện thoại có trong Danh bạ DNC, người gọi sẽ được thông báo và có lựa chọn tiếp tục thực hiện hay huỷ bỏ cuộc gọi. Một giải pháp khác là phát triển ứng dụng trên smartphone để kết nối giữa khách hàng và đại lý. Nhờ đó, công ty không phải gọi điện thoại cho khách hàng. Họ có thể tải ứng dụng về smartphone, nhận thông tin bất động sản sẵn có và những dự án sắp triển khai.
Tác động của Luật PDPA
Nói chung, các tổ chức ở Malaysia và Singapore đều sẽ phải trải qua giai đoạn “đau thương” ban đầu để xây dựng chính sách và rút kinh nghiệm nhằm bảo đảm mọi quá trình nội bộ thu thập và sử dụng dữ liệu cá nhân tuân thủ đúng theo PDPA. Tuy nhiên, việc này sẽ giúp các doanh nghiệp, tổ chức ở cả hai nước phát triển danh tiếng tích cực của mình trong hoạt động kinh doanh. Luật PDPA đã bắt đầu tạo sự khác biệt. Trong một cuộc thăm dò của Uỷ ban Bảo vệ Dữ liệu Cá nhân (PDPC) của Singapore thực hiện vào tháng 3/2014 với 1.000 khách hàng đã đăng ký Danh bạ DNC, 70% nói rằng số lượng tin nhắn tiếp thị đã giảm hẳn. 60% nói rằng, họ nhận thấy sự tiến bộ trong hoạt động thoả thuận trước của doanh nghiệp với khách hàng về việc cho phép gửi thông tin tiếp thị, kèm theo cả thông tin liên hệ trong tin nhắn tiếp thị.
Những quy định mới này sẽ ảnh hưởng đến bất kỳ doanh nghiệp nào bán hàng trực tiếp đến các cá nhân, thu thập dữ liệu cá nhân cho mục đích thương mại và triển khai các hệ thống gọi, nhắn tin (SMS, MMS) và fax tiếp thị. Có những quy định bắt buộc về cách thức bảo vệ truyền đưa ra nước ngoài, lưu giữ và huỷ bỏ dữ liệu cá nhân. Luật PDPA không tác động đến các cơ quan nhà nước.
Những lĩnh vực chịu tác động lớn nhất là dữ liệu về nhân viên, du khách và khách hàng. Những tổ chức tiếp thị dựa trên dữ liệu khách hàng như bất động sản, trung tâm chăm sóc khách hàng, bệnh viện, bảo hiểm … có nhiều khả năng chịu ảnh hưởng lớn nhất, nhưng hầu hết mọi tổ chức khác đều chịu ảnh hưởng của Luật ở mức độ nhất định. Ở Singapore, tổ chức nào bị phát hiện không tuân thủ Luật này sẽ phải chịu mức phạt tối đa là 1 triệu đô-la Sing (~800.000 USD). Những doanh nghiệp nào bị phát hiện vi phạm các quy tắc bảo vệ dữ liệu có thể phải chịu mức phạt tối đa là 10.000 đô-la Sing cho mỗi lần khách hàng phàn nàn. Mức phạt ở Malaysia cũng khá nặng. Doanh nghiệp có thể bị phạt đến mức tối đa là 500.000 RM (~160.000 USD) và/hoặc phạt tù tối đa là 3 năm.
Một ví dụ thực tế là website Says.com, một trang tin tức xã hội ở Malaysia. Họ làm thế nào để quản lý dữ liệu người dùng để tuân thủ Luật PDPA? Trang web này chạy trên kiến trúc hướng dịch vụ (SOA) với các dịch vụ trên khắp thế giới và các nhà cung cấp khác nhau, bao gồm cả nhà cung cấp phần mềm như dịch vụ (SaaS); các máy chủ vật lý và ảo nằm ngoài lãnh thổ Malaysia và Singapore. Với SOA, dữ liệu người dùng di chuyển từ vị trí này đến vị trí khác để xử lý. Người quản trị phải bảo đảm để “lãnh địa” bảo vệ dữ liệu cá nhân khách hàng tại nước khác vẫn tuân thủ Luật PDPA của Malaysia. Says.com đã chuyển tất cả dữ liệu khách hàng đến một dịch vụ quản lý tài khoản người dùng duy nhất. Dịch vụ này cho phép đăng nhập 1 lần (single sign-on) cho tất cả các ứng dụng của Says.com, tạo ra 1 vị trí duy nhất cho người dùng quản lý dữ liệu cá nhân của mình. Như vậy, việc quản lý dữ liệu người dùng dễ dàng hơn so với việc bảo đảm cho tất cả các ứng dụng khác nhau (có lưu trữ dữ liệu người dùng) phải tuân thủ Luật PDPA.
Tài liệu tham khảo
[1]TAO AI LEI, Stricted data protection rule: Hornet’s net or new area?, Information Security ASEAN, Vol.2, July 2014.
[2] http://malaysianlaw.my/iplaw/articles/personal-data-protection-act-2010-are-you-compliant-MY10574.html
[3] https://www.donotcall.gov
[4] http://www.ftc.gov/news-events/media-resources/do-not-call-registry/enforcement