Bảo vệ dữ liệu phải xuyên suốt toàn bộ quá trình xử lý

Theo quy định, chủ quản dữ liệu phải thiết lập hệ thống quản lý việc bảo vệ dữ liệu trong toàn bộ quá trình xử lý dữ liệu. Đây là yêu cầu mang tính nền tảng, bởi dữ liệu chỉ thực sự được bảo vệ khi có cơ chế quản lý xuyên suốt, thống nhất và bao trùm mọi công đoạn xử lý. 

Ảnh minh họa.

Trong giai đoạn thu thập, tạo lập dữ liệu, chủ quản dữ liệu phải thực hiện các biện pháp bảo vệ dữ liệu phù hợp. Đối với dữ liệu cốt lõi và dữ liệu quan trọng, yêu cầu còn chặt chẽ hơn. Chủ quản dữ liệu phải xây dựng quy trình thu thập, tạo lập dữ liệu; đồng thời phải đánh giá và áp dụng các biện pháp bảo vệ trước khi tiến hành thu thập, tạo lập dữ liệu. Cùng với đó là việc kiểm tra tính xác thực, giám sát chất lượng dữ liệu và truy xuất nguồn gốc dữ liệu. 

Đối với khâu lưu trữ, quy định nêu rõ dữ liệu phải được lưu trữ theo phương pháp, thời hạn theo quy định của pháp luật. Riêng với dữ liệu cốt lõi và dữ liệu quan trọng, chủ quản dữ liệu phải xây dựng quy trình lưu trữ dữ liệu, trong đó quy định cụ thể về quy trình sao lưu, phục hồi dữ liệu, cũng như ghi nhật ký lưu trữ, sao lưu, phục hồi dữ liệu. Đồng thời, chủ quản dữ liệu phải xây dựng hệ thống quản lý lưu trữ dữ liệu và áp dụng các công cụ, biện pháp kỹ thuật để bảo vệ dữ liệu trong quá trình lưu trữ, tự động thực hiện việc sao lưu, phục hồi dữ liệu. Khi hết thời hạn lưu trữ hoặc dữ liệu không còn cần thiết cho mục đích xử lý, dữ liệu phải được xóa, hủy theo quy định.

Quy định này cho thấy việc lưu trữ dữ liệu là một quá trình quản lý có kiểm soát, có sao lưu, có phục hồi và có ghi nhận rõ ràng. Đặc biệt, với dữ liệu cốt lõi, dữ liệu quan trọng, việc chủ động xây dựng hệ thống quản lý lưu trữ và tự động hóa sao lưu, phục hồi là yêu cầu then chốt để hạn chế rủi ro mất mát, gián đoạn hoặc suy giảm tính toàn vẹn của dữ liệu trong thực tế.

Trong quá trình xử lý, sử dụng dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu còn phải xây dựng, triển khai quy chế truy cập, truy xuất dữ liệu bảo đảm tuân thủ nguyên tắc đặc quyền tối thiểu. Đồng thời, phải xây dựng hệ thống kiểm soát truy cập dữ liệu, trong đó thiết lập nền tảng quản lý truy cập và nhận dạng thống nhất; áp dụng các biện pháp kỹ thuật để bảo vệ dữ liệu, kiểm soát việc truy cập, truy xuất trong quá trình xử lý, sử dụng dữ liệu. Đây là yêu cầu trực tiếp gắn với bài toán kiểm soát quyền truy cập, giảm thiểu nguy cơ lạm dụng, truy cập trái phép hoặc sử dụng dữ liệu vượt quá nhu cầu cần thiết.

Mọi khâu công khai, chuyển giao, ủy thác dữ liệu đều phải kiểm soát rủi ro

Không chỉ dừng ở các khâu nội bộ, Nghị định còn quy định trách nhiệm rõ ràng khi dữ liệu được cung cấp ra bên ngoài. Theo đó, chủ quản dữ liệu phải làm rõ phạm vi, mục đích, quy trình; xây dựng quy chế bảo vệ và áp dụng các biện pháp bảo vệ dựa trên phân loại, mức độ, mục đích và trường hợp ứng dụng của dữ liệu được cung cấp ra bên ngoài. Quy định này nhấn mạnh rằng mỗi hoạt động chia sẻ hay cung cấp dữ liệu đều phải có giới hạn, có mục đích xác định và có biện pháp kiểm soát tương ứng, thay vì chuyển giao một cách chung chung hoặc thiếu căn cứ quản trị.

Đáng chú ý, trước khi công khai dữ liệu, chủ sở hữu dữ liệu phải phân tích, đánh giá tác động đến quốc phòng, an ninh, đối ngoại, kinh tế vĩ mô, ổn định xã hội, sức khỏe và an toàn cộng đồng. Đây là một yêu cầu rất chặt chẽ, cho thấy việc công khai dữ liệu liên quan trực tiếp tới lợi ích công cộng và các yếu tố an ninh, an toàn ở phạm vi rộng hơn.

Đối với hoạt động xóa, hủy dữ liệu, chủ sở hữu dữ liệu và chủ quản dữ liệu phải xây dựng phương án cụ thể, trong đó làm rõ mục tiêu, quy tắc, quy trình, kỹ thuật xóa, hủy, cũng như ghi nhận và lưu giữ hoạt động xóa, hủy. Trường hợp xóa, hủy dữ liệu quan trọng hoặc dữ liệu cốt lõi, chủ quản dữ liệu phải có tài liệu chứng minh hoạt động xóa, hủy dữ liệu bảo đảm không thể khôi phục. Quy định này thể hiện rõ nguyên tắc: việc chấm dứt vòng đời dữ liệu cũng phải được kiểm soát nghiêm ngặt như các khâu tạo lập, lưu trữ hay sử dụng.

Nghị định cũng đặt ra yêu cầu cụ thể trong trường hợp chủ quản dữ liệu có nhu cầu chuyển dữ liệu do tổ chức lại, giải thể hoặc phá sản. Khi đó, chủ quản dữ liệu phải làm rõ kế hoạch chuyển dữ liệu và thông báo cho cơ quan, tổ chức, cá nhân bị ảnh hưởng. Nếu việc tổ chức lại, giải thể liên quan đến tổ chức có quản lý dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu còn phải áp dụng các biện pháp bảo đảm an toàn dữ liệu, báo cáo phương án xử lý dữ liệu, tên hoặc thông tin của bên tiếp nhận cho cơ quan có thẩm quyền liên quan. Điều này cho thấy ngay cả khi có biến động về tổ chức, trách nhiệm bảo vệ dữ liệu vẫn không được phép buông lỏng.

Với trường hợp ủy thác cho tổ chức, cá nhân khác thực hiện hoạt động xử lý dữ liệu, quy định yêu cầu chủ quản dữ liệu phải làm rõ trách nhiệm, nghĩa vụ bảo mật dữ liệu của bên ủy thác và bên được ủy thác thông qua hợp đồng hoặc thỏa thuận ủy thác. Nếu là ủy thác xử lý dữ liệu quan trọng hoặc dữ liệu cốt lõi, bên ủy thác phải xác minh năng lực, trình độ bảo vệ dữ liệu của bên được ủy thác. Như vậy, việc thuê ngoài hay giao cho bên thứ ba xử lý dữ liệu không làm giảm trách nhiệm của chủ quản dữ liệu, mà ngược lại còn đòi hỏi mức độ kiểm tra, ràng buộc và giám sát cao hơn.

Một điểm đáng chú ý khác là yêu cầu ghi nhật ký và đánh giá rủi ro. Theo quy định, chủ quản dữ liệu cốt lõi, dữ liệu quan trọng phải ghi nhật ký xử lý dữ liệu trong toàn bộ quá trình xử lý và lưu giữ nhật ký trong thời gian ít nhất 6 tháng. Bên cạnh đó, hằng năm phải thực hiện đánh giá rủi ro đối với hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng trong phạm vi quản lý; lập, lưu trữ báo cáo đánh giá rủi ro và luôn sẵn sàng phục vụ hoạt động kiểm tra, đánh giá của cơ quan có thẩm quyền, trừ trường hợp đã lập hồ sơ đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới theo quy định.

Báo cáo đánh giá rủi ro phải bao gồm các nội dung cơ bản như thông tin về chủ quản dữ liệu, bộ phận có chức năng bảo vệ an toàn dữ liệu, người chịu trách nhiệm về bảo vệ dữ liệu; mục đích, loại, số lượng, phương pháp, phạm vi, thời gian và vị trí lưu trữ dữ liệu; hệ thống quản lý bảo vệ dữ liệu, các biện pháp kỹ thuật như mã hóa, sao lưu, dán nhãn, kiểm soát truy cập và xác thực; các rủi ro an toàn dữ liệu đã phát hiện, sự cố đã xảy ra và cách giải quyết, cùng các nội dung khác theo quy định của cơ quan có thẩm quyền. Có thể thấy, quy định này đặt trách nhiệm của chủ quản dữ liệu vào trạng thái thường xuyên, liên tục, thay vì chỉ phản ứng khi xảy ra sự cố.

Việc quản lý bảo vệ dữ liệu trong quá trình xử lý được đặt trên nguyên tắc kiểm soát toàn bộ vòng đời dữ liệu, gắn trách nhiệm rõ ràng cho chủ quản dữ liệu và chủ sở hữu dữ liệu ở từng khâu, từng tình huống cụ thể. Từ thu thập, tạo lập, lưu trữ, sử dụng, công khai, ủy thác xử lý, chuyển giao cho đến xóa, hủy, mọi hoạt động đều phải có quy trình, biện pháp bảo vệ, cơ chế kiểm soát và tài liệu chứng minh khi cần thiết. Đây là yêu cầu quản trị dữ liệu chặt chẽ, nhấn mạnh tính liên tục, khả năng kiểm soát và trách nhiệm giải trình trong toàn bộ quá trình xử lý dữ liệu.

Thu Uyên