Dữ liệu cá nhân nhạy cảm là gì? Các biện pháp bảo vệ 2024

Dữ liệu cá nhân nhạy cảm là gì và làm thế nào để bảo vệ chúng đang là vấn đề được quan tâm hàng đầu. Các vụ rò rỉ thông tin nhạy cảm gây ảnh hưởng nghiêm trọng đến quyền riêng tư và lợi ích của cá nhân, đòi hỏi sự vào cuộc của pháp luật. Nghị định 13/2023/NĐ-CP ra đời, mang đến những quy định mới về bảo vệ dữ liệu cá nhân, đặc biệt là dữ liệu nhạy cảm. Vậy, dữ liệu cá nhân nhạy cảm là gì và chúng ta cần làm gì để bảo vệ chúng? Bài viết này sẽ phân tích chi tiết vấn đề này dựa trên quy định của Nghị định 13.

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân định nghĩa dữ liệu cá nhân nhạy cảm tại Khoản 4 Điều 2 như sau:

“Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân.”

Định nghĩa này nhấn mạnh hai yếu tố cốt lõi của dữ liệu cá nhân nhạy cảm:

• Tính gắn kết với quyền riêng tư: Dữ liệu cá nhân nhạy cảm là những thông tin thuộc về đời sống riêng tư, thân mật của cá nhân, không muốn bị tiết lộ hoặc chia sẻ công khai. Việc thu thập, sử dụng hoặc tiết lộ thông tin này mà không có sự đồng ý của chủ thể dữ liệu có thể xâm phạm nghiêm trọng đến quyền riêng tư của họ, được Hiến pháp và pháp luật bảo vệ.
• Gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp: Dữ liệu cá nhân nhạy cảm không chỉ đơn thuần là thông tin riêng tư mà còn có thể ảnh hưởng trực tiếp đến các quyền và lợi ích khác của cá nhân, như quyền được bảo vệ sức khỏe, danh dự, nhân phẩm, quyền tự do tín ngưỡng, quan điểm chính trị… Việc xâm phạm dữ liệu cá nhân nhạy cảm không chỉ gây tổn thương về mặt tinh thần mà còn có thể dẫn đến những hậu quả pháp lý, kinh tế và xã hội nghiêm trọng.

Ví dụ:

• Tiết lộ thông tin về bệnh tình của một người có thể khiến người đó bị kỳ thị, xa lánh, mất việc làm hoặc gặp khó khăn trong cuộc sống.
• Sử dụng thông tin di truyền của một người để phân biệt đối xử trong tuyển dụng, bảo hiểm hoặc các dịch vụ khác là vi phạm pháp luật và đạo đức.
• Lộ thông tin tài khoản ngân hàng có thể khiến chủ tài khoản bị mất tiền, bị lừa đảo hoặc bị lợi dụng để thực hiện các hành vi phạm tội.

Do đó, việc bảo vệ dữ liệu cá nhân nhạy cảm là một yêu cầu cấp bách và quan trọng. Nghị định 13/2023/NĐ-CP đã thiết lập một khung pháp lý chặt chẽ để bảo vệ loại dữ liệu này, trong đó có các quy định về việc thu thập, xử lý, lưu trữ và chia sẻ dữ liệu cá nhân nhạy cảm. Các tổ chức, cá nhân phải tuân thủ nghiêm ngặt các quy định này để tránh vi phạm pháp luật và gây thiệt hại cho chủ thể dữ liệu.

Theo Khoản 4, Điều 2 Nghị định 13/2023/NĐ-CP liệt kê 10 loại dữ liệu cá nhân nhạy cảm, bao gồm:

a) Quan điểm ​​chính trị, quan điểm tôn giáo;
b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
k) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

Ví dụ về các loại thông tin dữ liệu cá nhân nhạy cảm:

• Quan điểm chính trị: Thông tin về việc một người là đảng viên của một đảng phái chính trị nào đó.
• Quan điểm tôn giáo: Thông tin về việc một người theo đạo Phật, đạo Thiên Chúa, hay đạo Hồi…
• Tình trạng sức khỏe: Kết quả xét nghiệm HIV của một người, hồ sơ bệnh án tâm thần của một người.
• Thông tin di truyền: Thông tin về gen di truyền của một người, kết quả xét nghiệm ADN.
• Đặc điểm sinh trắc học: Dấu vân tay, hình ảnh quét mống mắt, nhận dạng khuôn mặt của một người.
• Thông tin về đời sống tình dục: Thông tin về xu hướng tính dục, bạn tình của một người.
• Dữ liệu về tội phạm: Hồ sơ phạm tội của một người, thông tin về án tích.
• Thông tin khách hàng của tổ chức tín dụng: Số dư tài khoản ngân hàng, lịch sử giao dịch, thông tin thẻ tín dụng của một người.
• Dữ liệu về vị trí: Thông tin về lịch sử di chuyển của một người được thu thập qua GPS trên điện thoại.
• Dữ liệu cá nhân khác theo quy định của pháp luật: Ví dụ, thông tin về bí mật kinh doanh của một doanh nghiệp, thông tin về công nghệ của một công ty.

Lưu ý: Đây chỉ là một số ví dụ, còn rất nhiều loại dữ liệu cá nhân nhạy cảm khác tùy thuộc vào từng trường hợp cụ thể.

Nghị định 13/2023/NĐ-CP không có điều khoản nào quy định riêng về “quyền của chủ thể dữ liệu cá nhân nhạy cảm”. Tuy nhiên, các quyền của chủ thể dữ liệu nói chung được quy định tại Điều 9 của Nghị định 13 cũng áp dụng cho dữ liệu cá nhân nhạy cảm, gồm các quyền sau:

Lưu ý: Việc thực hiện các quyền này đối với dữ liệu cá nhân nhạy cảm có thể bị hạn chế trong một số trường hợp đặc biệt, ví dụ như khi việc xử lý dữ liệu là cần thiết để bảo vệ an ninh quốc gia, trật tự công cộng hoặc phòng chống tội phạm (Điều 17 Nghị định 13/2023/NĐ-CP).

Tuy nhiên, ngay cả trong các trường hợp ngoại lệ, việc xử lý dữ liệu cá nhân nhạy cảm vẫn phải tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân như tính cần thiết, tỷ lệ và bảo mật.

Tìm hiểu thêm về Chủ thể dữ liệu cá nhân: Quyền hạn và trách nhiệm 2024

Nghị định 13/2023/NĐ-CP không quy định cụ thể các biện pháp kỹ thuật như mã hóa, ẩn danh hay giả danh dữ liệu. Tuy nhiên, Nghị định nhấn mạnh việc áp dụng các biện pháp bảo vệ dữ liệu cá nhân nhạy cảm, bao gồm:

Biện pháp bảo vệ chung

Theo Khoản 1, Điều 28 Nghị định 13, việc bảo vệ dữ liệu cá nhân nhạy cảm phải tuân thủ các biện pháp bảo vệ dữ liệu cá nhân nói chung được quy định tại Điều 26 và Điều 27 của Nghị định:

• Điều 26: Yêu cầu các biện pháp bảo vệ cả về quản lý (chính sách, quy trình, đào tạo nhân viên) và kỹ thuật (các biện pháp an toàn thông tin).
• Điều 27: Yêu cầu xây dựng quy định nội bộ về bảo vệ dữ liệu cá nhân, kiểm tra an ninh mạng đối với hệ thống, thiết bị xử lý dữ liệu.

Biện pháp bảo vệ đặc thù:

Ngoài các biện pháp chung, theo Khoản 2, Điều 28 còn quy định bổ sung các biện pháp đặc thù cho dữ liệu cá nhân nhạy cảm:

• Chỉ định bộ phận, nhân sự phụ trách: Bên kiểm soát/xử lý dữ liệu phải có bộ phận chuyên trách và nhân sự cụ thể phụ trách việc bảo vệ dữ liệu cá nhân nhạy cảm.
• Thông báo cho chủ thể dữ liệu: Phải thông báo cho chủ thể dữ liệu biết về việc xử lý dữ liệu cá nhân nhạy cảm của họ, trừ các trường hợp ngoại lệ theo quy định.

Ví dụ minh họa: Trong lĩnh vực hàng không, các doanh nghiệp thường xuyên tiếp xúc và xử lý nhiều loại dữ liệu cá nhân nhạy cảm của hành khách, bao gồm thông tin định danh (họ tên, ngày sinh, số hộ chiếu…), thông tin liên lạc (địa chỉ, số điện thoại, email…), thông tin về sức khỏe (tiền sử bệnh, dị ứng…), thông tin về thanh toán (thông tin thẻ tín dụng, tài khoản ngân hàng…). Do đó, việc áp dụng các biện pháp bảo vệ dữ liệu cá nhân nhạy cảm là vô cùng quan trọng, nhằm đảm bảo an toàn thông tin cho hành khách và tuân thủ Nghị định 13/2023/NĐ-CP. Dưới đây là một số ví dụ về các biện pháp bảo vệ dữ liệu cá nhân nhạy cảm mà các doanh nghiệp hàng không có thể áp dụng:

Biện pháp bảo vệ về mặt kỹ thuật:

• Mã hóa dữ liệu: Mã hóa thông tin cá nhân nhạy cảm của hành khách trước khi lưu trữ hoặc truyền tải, sử dụng các thuật toán mã hóa mạnh mẽ và thường xuyên cập nhật khóa mã hóa.
• Kiểm soát truy cập: Áp dụng hệ thống phân quyền truy cập chặt chẽ, chỉ cho phép những nhân viên có thẩm quyền được truy cập vào dữ liệu cá nhân nhạy cảm. Sử dụng xác thực hai yếu tố (2FA) để tăng cường bảo mật.
• Tường lửa và hệ thống phát hiện xâm nhập: Sử dụng tường lửa để ngăn chặn các truy cập trái phép từ bên ngoài và hệ thống tường lửa, hệ thống phát hiện xâm nhập để phát hiện và ngăn chặn các cuộc tấn công mạng.
• Thường xuyên sao lưu và phục hồi dữ liệu: Thực hiện sao lưu dữ liệu định kỳ và lưu trữ bản sao ở một vị trí an toàn, tách biệt để phòng ngừa mất mát dữ liệu do sự cố kỹ thuật hoặc thiên tai.

Biện pháp bảo vệ về mặt tổ chức, đào tạo trong doanh nghiệp:

• Xây dựng chính sách bảo mật thông tin: Chính sách này cần nêu rõ các quy định về thu thập, xử lý, lưu trữ, chia sẻ và tiêu hủy dữ liệu cá nhân nhạy cảm, cũng như các biện pháp bảo mật được áp dụng.
• Đào tạo nhân viên: Tổ chức các khóa đào tạo về bảo vệ dữ liệu cá nhân cho nhân viên, đặc biệt là những người trực tiếp tiếp xúc và xử lý dữ liệu nhạy cảm.
• Phân công trách nhiệm: Phân công rõ ràng trách nhiệm bảo vệ dữ liệu cá nhân cho từng bộ phận, cá nhân trong doanh nghiệp.
• Thực hiện đánh giá rủi ro bảo mật: Thường xuyên đánh giá rủi ro bảo mật thông tin, xác định các điểm yếu và đưa ra các biện pháp khắc phục kịp thời.

Biện pháp bảo vệ về mặt pháp lý:

• Đảm bảo mọi hoạt động thu thập, xử lý và chia sẻ dữ liệu cá nhân nhạy cảm của hành khách đều tuân thủ các quy định của Nghị định 13/2023/NĐ-CP và các văn bản pháp luật liên quan.
• Ký kết thỏa thuận bảo vệ, xử lý dữ liệu cá nhân nói chung, dữ liệu cá nhân nhạy cảm nói riêng với các bên liên quan. Ví dụ, ký kết thỏa thuận bảo mật với các đối tác cung cấp dịch vụ như đại lý bán vé, công ty cung cấp dịch vụ mặt đất, công ty bảo hiểm…

Lưu ý: Đây chỉ là một số ví dụ minh họa. Trong thực tế, các biện pháp bảo vệ dữ liệu cá nhân nhạy cảm cần được thiết kế và áp dụng phù hợp với đặc thù của từng tổ chức, loại hình dữ liệu và mức độ nhạy cảm của thông tin.

Tìm hiểu chi tiết hơn về các biện pháp bảo vệ dữ liệu cá nhân theo Nghị định 13

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã đặt nền móng vững chắc cho việc bảo vệ quyền riêng tư của mỗi cá nhân, đặc biệt là đối với dữ liệu cá nhân nhạy cảm. Nghị định này không chỉ định nghĩa rõ ràng dữ liệu cá nhân nhạy cảm là gì, bao gồm các loại thông tin như quan điểm chính trị, tình trạng sức khỏe, thông tin di truyền, đời sống tình dục, dữ liệu tội phạm, thông tin tài chính…, mà còn quy định cụ thể các biện pháp bảo vệ cần thiết. Các biện pháp này bao gồm cả biện pháp kỹ thuật (mã hóa, kiểm soát truy cập…), biện pháp tổ chức (chính sách bảo mật, đào tạo nhân viên…) và biện pháp pháp lý (tuân thủ quy định pháp luật, ký kết thỏa thuận bảo mật…). Việc vi phạm các quy định về bảo vệ dữ liệu cá nhân nhạy cảm sẽ bị xử lý nghiêm khắc, từ phạt hành chính, truy cứu trách nhiệm hình sự đến bồi thường thiệt hại, nhằm đảm bảo quyền lợi của chủ thể dữ liệu và duy trì một môi trường số an toàn, lành mạnh.