Thống kê cho thấy Việt Nam hiện có gần 900.000 doanh nghiệp đang hoạt động, trong đó hơn 97% là doanh nghiệp nhỏ và vừa. Đây cũng là nhóm chịu tác động lớn nhất từ các quy định mới về bảo vệ dữ liệu cá nhân.
Theo đánh giá của nhóm tác giả TS. Nguyễn Thị Mỹ Hạnh (Khoa Luật, Trường Đại học Mở TP.HCM) và ThS. Nguyễn Huỳnh Hiệp (Khoa Luật, Trường Đại học Hoa Sen), phần lớn doanh nghiệp SME đều sử dụng các nền tảng công nghệ như Microsoft, Google, Apple hay các dịch vụ điện toán đám mây để lưu trữ dữ liệu khách hàng và nhân viên. Điều này đồng nghĩa với việc hoạt động của họ mặc nhiên phát sinh yếu tố chuyển dữ liệu ra nước ngoài và phải thực hiện hồ sơ TIA theo quy định.
Về bản chất, DPIA/TIA là công cụ quản trị rủi ro nhằm giúp doanh nghiệp nhận diện nguy cơ, xây dựng biện pháp bảo vệ dữ liệu và tăng cường tính minh bạch trong quá trình xử lý dữ liệu cá nhân. Tuy nhiên, khi được nội luật hóa tại Việt Nam, nhiều yêu cầu của hai loại hồ sơ này lại vượt quá khả năng đáp ứng của phần lớn doanh nghiệp SME.
Hồ sơ quá phức tạp, vượt quá năng lực của doanh nghiệp nhỏ
Theo nhóm nghiên cứu, để hoàn thiện một bộ hồ sơ DPIA hoặc TIA đúng quy định, doanh nghiệp phải có hiểu biết đồng thời về pháp luật, an toàn thông tin và công nghệ. Đây là yêu cầu không quá khó đối với các tập đoàn lớn có bộ phận pháp chế và bảo mật chuyên trách, nhưng lại là rào cản rất lớn với doanh nghiệp SME.
ThS. Nguyễn Huỳnh Hiệp (Khoa Luật, Trường Đại học Hoa Sen) cho rằng việc thiết kế cơ chế quản lý linh hoạt, phân tầng theo mức độ rủi ro và phù hợp với năng lực của doanh nghiệp SME sẽ góp phần nâng cao hiệu quả thực thi pháp luật.
Không chỉ thiếu nhân sự am hiểu về bảo vệ dữ liệu, nhiều doanh nghiệp còn gặp khó trong việc đánh giá rủi ro đối với quyền và lợi ích của chủ thể dữ liệu. Trong khi doanh nghiệp thường chỉ quen đánh giá thiệt hại tài chính của chính mình, thì DPIA lại yêu cầu phân tích những nguy cơ đối với quyền riêng tư, danh dự, nhân phẩm hay các quyền cơ bản của cá nhân.
Bên cạnh đó là gánh nặng chi phí. Việc đầu tư các giải pháp kỹ thuật như mã hóa dữ liệu, hệ thống ngăn ngừa thất thoát dữ liệu, quản lý định danh hay các công cụ bảo mật chuyên sâu vượt quá khả năng tài chính của phần lớn doanh nghiệp nhỏ. Trên thực tế, đa số chỉ có thể sử dụng các tính năng bảo mật sẵn có từ nhà cung cấp dịch vụ đám mây.
Đối với hồ sơ TIA, khó khăn còn lớn hơn khi doanh nghiệp phải đánh giá hệ thống pháp luật của quốc gia tiếp nhận dữ liệu và các cơ chế bảo vệ dữ liệu tại nước ngoài. Đây là công việc đòi hỏi kiến thức chuyên sâu về tư pháp quốc tế và pháp luật so sánh, vượt ngoài năng lực của phần lớn doanh nghiệp SME.
Một bất cập khác là doanh nghiệp Việt Nam gần như không có khả năng đàm phán với các tập đoàn công nghệ toàn cầu. Họ chỉ là bên sử dụng dịch vụ theo các điều khoản hợp đồng mẫu do Microsoft, Google hoặc các nhà cung cấp khác ban hành. Vì vậy, việc yêu cầu doanh nghiệp bổ sung hoặc sửa đổi các điều khoản này để hoàn thiện hồ sơ TIA gần như không khả thi.
Theo các tác giả, việc duy trì cơ chế tiếp nhận, thẩm định và yêu cầu chỉnh sửa hồ sơ mang đậm tư duy tiền kiểm cần được đánh giá lại. Tránh trường hợp vô tình biến các hồ sơ DPIA/TIA thành "giấy phép con" không chính thức, đi ngược chủ trương cải cách thủ tục hành chính và cắt giảm điều kiện kinh doanh.
Đáng chú ý, quy định cơ quan quản lý phải phản hồi trong thời hạn 15 ngày cũng khó khả thi khi số lượng doanh nghiệp thuộc diện thực hiện lên tới hàng chục nghìn. Nếu chỉ khoảng 10% số doanh nghiệp SME đồng loạt nộp hồ sơ thì khối lượng công việc thẩm định sẽ vượt xa năng lực của cơ quan chuyên trách, kéo theo nguy cơ ùn tắc hồ sơ và làm chậm hoạt động sản xuất, kinh doanh.
Hội thảo “Dữ liệu cá nhân trong kỷ nguyên số: Bảo vệ quyền riêng tư trước những rủi ro công nghệ” vừa được tổ chức tại Trường Đại học Hoa Sen.
Theo nhóm nghiên cứu, việc cơ quan quản lý can thiệp sâu vào nội dung kỹ thuật của DPIA và TIA cũng có thể phát sinh hệ lụy pháp lý. Nếu doanh nghiệp thực hiện đúng theo yêu cầu chỉnh sửa nhưng sau đó vẫn xảy ra sự cố lộ lọt dữ liệu, ranh giới trách nhiệm giữa doanh nghiệp và cơ quan quản lý sẽ trở nên khó xác định. Điều này làm suy giảm nguyên tắc tự chịu trách nhiệm vốn là nền tảng của DPIA theo thông lệ quốc tế.
Ngoài ra, dự thảo nghị định xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân đang đề xuất nhiều mức phạt khá cao đối với các hành vi không lập hoặc không hoàn thiện hồ sơ DPIA, TIA. Theo các tác giả, nếu áp dụng đồng đều giữa doanh nghiệp lớn và doanh nghiệp nhỏ sẽ tạo ra sự mất cân xứng giữa nghĩa vụ tuân thủ và khả năng thực hiện.
Chuyển sang quản lý theo mức độ rủi ro
Nhóm nghiên cứu cho rằng cần thay đổi tư duy quản lý từ tiếp cận hành chính sang quản trị rủi ro, lấy mức độ xử lý dữ liệu làm căn cứ xác định nghĩa vụ thay vì quy mô doanh thu hoặc loại hình doanh nghiệp.
Theo đó, các doanh nghiệp chỉ xử lý lượng nhỏ dữ liệu cá nhân, không thu thập dữ liệu nhạy cảm hoặc chỉ phục vụ hoạt động kinh doanh B2B nên được xếp vào nhóm rủi ro thấp để được miễn hoặc đơn giản hóa nghĩa vụ lập DPIA/TIA. Ngược lại, các doanh nghiệp công nghệ, nền tảng số hoặc đơn vị xử lý khối lượng lớn dữ liệu cá nhân cần được quản lý chặt chẽ hơn, bất kể quy mô doanh thu.
Nhóm tác giả cũng kiến nghị Bộ Công an và các cơ quan liên quan xây dựng bộ biểu mẫu DPIA/TIA riêng cho doanh nghiệp SME theo hướng đơn giản, tập trung vào các thông tin cốt lõi thay vì yêu cầu doanh nghiệp phải trình bày các nội dung kỹ thuật phức tạp.
Cùng với đó là việc ban hành các sổ tay hướng dẫn thực hiện DPIA/TIA dưới dạng tài liệu nghiệp vụ có thể cập nhật thường xuyên theo sự thay đổi của công nghệ. Đây sẽ là công cụ hỗ trợ doanh nghiệp tiếp cận quy định dễ dàng hơn mà không cần chờ sửa đổi văn bản quy phạm pháp luật.
Thượng tá Đỗ Minh Kim - Phó Trưởng phòng 3, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an đánh giá cao tham luận “Trách nhiệm tối thiểu của doanh nghiệp SME trong Báo cáo đánh giá tác động xử lý dữ liệu (DPIA) và Chuyển dữ liệu xuyên biên giới (TIA)”.
Đặc biệt, các tác giả đề xuất điều chỉnh cơ chế tiếp nhận hồ sơ theo hướng cơ quan quản lý chỉ xác nhận đã nhận hồ sơ, không thực hiện thẩm định nội dung hoặc yêu cầu chỉnh sửa trong thời hạn 15 ngày. Việc nộp hồ sơ chỉ nhằm mục đích thông báo và minh bạch hóa thông tin, còn doanh nghiệp vẫn phải hoàn toàn tự chịu trách nhiệm về các biện pháp bảo vệ dữ liệu của mình.
Theo nhóm nghiên cứu, đây là cách tiếp cận phù hợp với thông lệ quốc tế, vừa giảm áp lực cho cơ quan quản lý, vừa tránh nguy cơ hình thành "giấy phép con", đồng thời khuyến khích doanh nghiệp chủ động xây dựng hệ thống quản trị dữ liệu phù hợp với mức độ rủi ro thực tế.
Các đề xuất của nhóm tác giả TS. Nguyễn Thị Mỹ Hạnh và ThS. Nguyễn Huỳnh Hiệp tại Hội thảo “Dữ liệu cá nhân trong kỷ nguyên số: Bảo vệ quyền riêng tư trước những rủi ro công nghệ” do Khoa Luật - Trường Đại học Hoa Sen phối hợp với Tạp chí Luật sư Việt Nam tổ chức đã được Thượng tá Đỗ Minh Kim - Phó Trưởng phòng 3, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an đánh giá cao. Ông cho biết đơn vị sẽ tiếp thu một số kiến nghị của nhóm tác giả để phục vụ quá trình hoàn thiện các quy định pháp luật liên quan trong thời gian tới.
Nhật Linh
Bảo vệ dữ liệu cá nhân: Kiến nghị đảo ngược nghĩa vụ chứng minh lỗi