Cần chú ý những đạo luật bảo mật dữ liệu quan trọng nào?

Việc tuân thủ luật bảo mật dữ liệu không chỉ bảo vệ dữ liệu cá nhân của người dùng cuối mà còn cung cấp các biện pháp bảo vệ an ninh mạng quan trọng cho các tổ chức. Giờ đây, mọi người đều mong muốn được tự do đăng nhập một cách an toàn từ mọi nơi, các công ty phải quản lý nhiều công cụ dựa trên đám mây hơn; trong khi đó, vi phạm bảo mật tiếp tục leo thang về tần suất và mức độ nghiêm trọng. Bất kỳ tổ chức nào cung cấp sản phẩm hoặc dịch vụ kỹ thuật số đều cần đảm bảo áp dụng các biện pháp bảo vệ phù hợp với lợi ích của cả doanh nghiệp và khách hàng chiến lược của mình. Exclisuve Networks Vietnam

Tổng quan về các quy định toàn cầu và các khu vực trọng điểm

Điều quan trọng là phải có sự khác nhau về yêu cầu bảo mật theo từng khu vực, bởi vì tùy thuộc vào quy mô tổ chức, loại dữ liệu người dùng mà công ty lưu trữ và thu thập cũng như thị trường hoạt động, các yêu cầu tuân thủ của bạn sẽ có sự khác biệt. Đối với nhiều tổ chức, các thị trường tại khu vực của Mỹ và Liên minh Châu Âu (EU), sẽ là những nơi có luật bảo mật nghiêm ngặt và là nguồn tham chiếu quan trọng khi tiến hành thực hiện hay tuân thủ quy định.

Hoa Kỳ là một trường hợp thú vị vì không có luật riêng tư quốc gia bao quát nào để bảo vệ dữ liệu cá nhân của người tiêu dùng. Thay vào đó, có quy định của ngành điều chỉnh cụ thể quyền riêng tư, chẳng hạn như Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA) cũng như quy định đã được thực hiện ở cấp tiểu bang trong một số khu vực tài phán. So sánh các luật về quyền riêng tư ở California, Virginia và Colorado cho thấy những quy tắc này có xu hướng phù hợp với nhau ở đâu và chúng có xu hướng khác nhau ở từng bang.

Đạo luật về quyền riêng tư của California (CPRA)

Đạo luật về quyền riêng tư của California (CPRA) bảo vệ cư dân California. Nó áp dụng cho các tổ chức kinh doanh ở California và đáp ứng một trong các tiêu chí sau:

• Có tổng doanh thu hàng năm lớn hơn $25 triệu;
• Xử lý dữ liệu của 50.000 người tiêu dùng trở lên; hoặc là
• Thu được ít nhất 50% doanh thu từ việc bán thông tin cá nhân.

Đạo luật về quyền riêng tư của California (CPRA) cập nhật một số ngưỡng nêu trên đối với các doanh nghiệp tuân theo luật, vì vậy điều quan trọng là bạn cũng phải hiểu bản sửa đổi đối với CCPA.

Đạo luật Quyền riêng tư của Colorado (CPA) và Đạo luật Bảo vệ Dữ liệu Người tiêu dùng Virginia (VCDPA)

CPA và VCDPA giống nhau ở chỗ cả hai đều bảo vệ “thể nhân” là cư dân của các bang tương ứng. Cả hai đều áp dụng cho các tổ chức kinh doanh ở các tiểu bang đó và đáp ứng một trong các tiêu chí sau:

Với CPA

• Thu thập dữ liệu cá nhân từ 100.000 cư dân Colorado; hoặc là
• Có được doanh thu hoặc được giảm giá hàng hóa hoặc dịch vụ từ việc bán dữ liệu cá nhân và xử lý hoặc kiểm soát dữ liệu cá nhân của 25.000 người tiêu dùng trở lên.

Với VCDPA

• Kiểm soát hoặc xử lý dữ liệu cá nhân của 100.000 hoặc cư dân Virginia; hoặc là
• Kiểm soát hoặc xử lý dữ liệu cá nhân của ít nhất 25.000 người tiêu dùng và kiếm được ít nhất 50% doanh thu của họ bằng cách bán dữ liệu cá nhân đó.

Tương tự như California, Colorado đã đưa ra khái niệm về dữ liệu nhạy cảm. CPA bao gồm các kỹ thuật tương tự khác, bao gồm các biện pháp bảo vệ đặc biệt đối với dữ liệu nhạy cảm và các quyền đối với:

1. Chọn không xem quảng cáo được nhắm mục tiêu, bán dữ liệu cá nhân và một số loại thông tin nhất định.
2. Truy cập dữ liệu cá nhân mà một tổ chức đã thu thập về họ.
3. Sửa dữ liệu cá nhân đã được thu thập về họ.
4. Yêu cầu xóa dữ liệu cá nhân của họ.
5. Tính di động của dữ liệu cá nhân.

Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA)

Bất kỳ tổ chức nào xử lý thông tin sức khỏe được bảo vệ (PHI) đều đã nghe nói về HIPAA. Nó đảm bảo những điều sau:

Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA)

Bệnh nhân sở hữu PHI phải nhận được thông báo về chính sách quyền riêng tư từ tổ chức cung cấp bảo hiểm, các nhà cung cấp của họ phải nêu rõ chi tiết cách thông tin PHI được sử dụng. Các nhà cung cấp có thể giữ lại thông tin đó cho các mục đích như điều trị và thanh toán, nhưng họ cần có sự cho phép đối với bất kỳ hoạt động tiếp thị nào. Bệnh nhân có thể yêu cầu các hạn chế về cách PHI của họ được tiết lộ và sử dụng bởi nhà cung cấp dịch vụ chăm sóc sức khỏe. Bệnh nhân cũng có quyền yêu cầu cập nhật hồ sơ y tế của họ.

Và giống như bất kỳ quy định liên bang nào, HIPAA sẽ luôn tuân theo hướng dẫn, thực thi và sửa đổi bổ sung theo quy định khi dịch vụ chăm sóc sức khỏe và quyền riêng tư tiếp tục phát triển.

Đạo luật Gramm-Leach-Bliley (GLBA)

GLBA áp dụng cho các tổ chức tài chính sử dụng thông tin cá nhân và đây là một số điểm chính của nó: 

• Giải thích cách thức và lý do thông tin cá nhân không công khai (NPI) được chia sẻ với bên thứ ba và cho phép khách hàng của họ chọn không chia sẻ NPI.
• Tuân theo các nguyên tắc đã được thiết lập để thu thập, sử dụng, tiết lộ và bảo vệ dữ liệu cá nhân của khách hàng.
• Triển khai chương trình bảo mật thông tin bằng văn bản để bảo vệ dữ liệu cá nhân của khách hàng khỏi bị truy cập trái phép.

Giống như HIPAA, GLBA là luật luôn được bổ sung mới và cập nhật, ví dụ: Quy tắc Bảo vệ đã được cập nhật gần đây với ngày tuân thủ mới có hiệu lực là ngày 9 tháng 6 năm 2023. Việc luôn được cập nhật của luật là lý do tại sao các tổ chức có trách nhiệm phải theo dõi các sửa đổi để có thể được thực hiện triển khai các hoạt động phù hợp với khoản thời gian nhất định.

Quy định chung về bảo vệ dữ liệu (GDPR)

GDPR là một quy định về quyền riêng tư dữ liệu bao gồm tất cả, áp dụng trên toàn Liên minh Châu Âu và ngoài lãnh thổ đối với các doanh nghiệp có thể nhắm mục tiêu đến cư dân EU. Các hình phạt đối với việc không tuân thủ GDPR rất khắc nghiệt: các tổ chức bị phát hiện không tuân thủ có thể bị tính phí 4% doanh thu toàn cầu hoặc tối đa 20 triệu euro—tùy theo mức nào cao hơn. Chủ thể dữ liệu cũng có nhiều quyền phải được thông báo rõ ràng cho các cá nhân ở EU, trong đó có một số quyền:

Quyền được thông báo minh bạch về việc xử lý dữ liệu cá nhân của họ, bao gồm cả khi thu thập từ cá nhân và khi dữ liệu được nhận từ người khác;

• Quyền truy cập dữ liệu cá nhân của họ;
• Quyền chỉnh sửa dữ liệu cá nhân nếu không chính xác hoặc không đầy đủ;
• Quyền xóa dữ liệu cá nhân;
• Quyền hạn chế xử lý dữ liệu cá nhân;
• Quyền di chuyển dữ liệu;
• Quyền phản đối việc xử lý dữ liệu cá nhân của họ, bao gồm cả việc tiếp thị trực tiếp; và
• Quyền phản đối việc đưa ra quyết định tự động, bao gồm cả việc lập hồ sơ.

Đạo luật bảo vệ dữ liệu 2018

Đạo luật bảo vệ dữ liệu của Vương quốc Anh (Anh) là việc triển khai GDPR của Vương quốc Anh. Nó bao gồm nhiều biện pháp bảo vệ tương tự, bao gồm các quyền được đề cập ở trên và yêu cầu các tổ chức tuân thủ “các nguyên tắc bảo vệ dữ liệu”, theo trang web của chính phủ Vương quốc Anh, hướng dẫn cách xử lý thông tin:

• Sử dụng công bằng, hợp pháp và minh bạch
• Được sử dụng cho các mục đích cụ thể, rõ ràng
• Được sử dụng theo cách có liên quan và chỉ giới hạn ở những gì cần thiết
• Chính xác và được cập nhật
• Giữ không lâu hơn mức cần thiết
• Được bảo mật và bảo vệ chống truy cập, xử lý, mất mát, phá hủy hoặc hư hỏng bất hợp pháp và trái phép

Trong mọi trường hợp, Bảo mật Danh tính là một thành phần quan trọng

Hiểu luật bảo mật dữ liệu nào áp dụng cho tổ chức là bắt buộc, nhưng mục đích cuối cùng là xử lý dữ liệu theo sự cho phép của cá nhân để bảo vệ dữ liệu danh tính. Đó là lý do tại sao Quản lý danh tính và quyền truy cập đóng vai trò quan trọng như vậy trong việc đáp ứng các yêu cầu quy định. Các tổ chức cần phải ghi nhớ:

• Đảm bảo người dùng được liên kết với đúng dữ liệu và dữ liệu đó là hợp pháp, hợp lệ.
• Bảo vệ dữ liệu đó trước những đối tượng muốn khai thác trái phép
• Cho phép người dùng có tiếng nói cuối cùng về cách dữ liệu của họ được thu thập, sử dụng và chia sẻ.

Tất cả điều đó yêu cầu Nhận dạng khách hàng an toàn, thân thiện với người dùng. Tại Okta, mục tiêu của luôn là giúp các tổ chức đơn giản hóa những thách thức phức tạp bằng các giải pháp được sắp xếp hợp lý, đảm bảo truy cập an toàn hơn, dễ dàng hơn mà không ảnh hưởng đến bảo mật. 

Xem thêm các bài viết về bảo mật danh tính và tuân thủ quyền của người dùng tại Exclusive Networks Vietnam tại https://exclusive-networks.com/vn