Vụ việc khiến hơn 223.000 người bị lộ thông tin cá nhân, bao gồm dữ liệu sức khỏe riêng tư. Đây cũng là lần đầu tiên trong lịch sử, một tổ chức bị áp dụng hình phạt dân sự theo Đạo luật Bảo mật thông tin 1988 (Privacy Act 1988). 

Thẩm phán Halley nhấn mạnh các vi phạm là “nghiêm trọng và có phạm vi sâu rộng”, cho rằng ban lãnh đạo cấp cao của ACL đã “không hành động với sự cẩn trọng và trách nhiệm cần thiết” trong việc quản lý rủi ro an ninh mạng. Ông cảnh báo, vụ việc tiềm ẩn nguy cơ gây thiệt hại tài chính, căng thẳng tâm lý và làm xói mòn niềm tin của công chúng đối với các tổ chức nắm giữ dữ liệu cá nhân.

Ủy viên Thông tin Elizabeth Tydd hoan nghênh phán quyết, coi đây là “lời nhắc nhở mạnh mẽ” rằng mọi tổ chức phải duy trì cảnh giác, hành động nhanh chóng và minh bạch khi xảy ra rò rỉ dữ liệu. Bà nhấn mạnh, mức phạt này là “tín hiệu răn đe rõ ràng” cho các doanh nghiệp, đặc biệt trong lĩnh vực y tế - nơi thường xuyên xử lý lượng lớn dữ liệu cá nhân riêng tư.

Phán quyết cũng ghi nhận ACL đã hợp tác điều tra, xin lỗi công khai và triển khai chương trình tăng cường an ninh mạng, nhờ đó mức phạt được giảm nhẹ. Tuy nhiên, Tòa án cho biết hành vi vi phạm của ACL vẫn để lại hậu quả lớn, ảnh hưởng đến lòng tin của công chúng vào các tổ chức thu thập và quản lý thông tin cá nhân.

Australian Clinical Labs (ACL) - doanh nghiệp vừa bị xử phạt 5,8 triệu AUD do vi phạm nghiêm trọng quy định bảo mật dữ liệu cá nhân.

Theo khung pháp lý hiện hành tại thời điểm vụ việc, mức phạt tối đa cho mỗi hành vi vi phạm là 2,22 triệu AUD. Tuy nhiên, từ tháng 12/2022, Luật Bảo mật sửa đổi đã nâng mức phạt tối đa lên 50 triệu AUD, hoặc 30% doanh thu hằng năm của doanh nghiệp - một bước tiến lớn trong nỗ lực siết chặt an toàn dữ liệu quốc gia.

Ủy viên Quyền riêng tư Carly Kind nhận định: “Phán quyết này là bước ngoặt trong lịch sử thực thi pháp luật về bảo mật ở Australia. Lần đầu tiên, một tổ chức bị xử phạt dân sự theo Đạo luật Bảo mật - đúng như kỳ vọng của công chúng và quyền hạn mà Quốc hội đã trao cho OAIC. Đây là lời cảnh báo rõ ràng rằng mọi hành vi coi nhẹ quyền riêng tư của người dân đều sẽ phải trả giá.”

Vụ việc của Australian Clinical Labs không chỉ là lời cảnh báo mạnh mẽ đối với các doanh nghiệp nắm giữ dữ liệu cá nhân mà còn phản ánh yêu cầu cấp thiết về việc tăng cường năng lực an ninh mạng trong kỷ nguyên số. Khi mức phạt tối đa theo luật mới có thể lên tới 50 triệu AUD cho mỗi vi phạm nghiêm trọng, thông điệp mà Chính phủ Australia gửi đi rất rõ ràng: bảo vệ dữ liệu không còn là nghĩa vụ pháp lý đơn thuần, mà là thước đo niềm tin và uy tín của mọi tổ chức hoạt động trong nền kinh tế số.

Lệ Thanh (The Australian Cyber Security Magazine)