Đề xuất các biện pháp bảo vệ dữ liệu

Việc bảo vệ dữ liệu phải tuân thủ các chính sách chung về an ninh quốc phòng; các cơ quan nhà nước phải thực hiện nhiệm vụ quản lý, bảo vệ dữ liệu trong ngành, lĩnh vực do mình quản lý.

Bộ Công an đang dự thảo Nghị định của Chính phủ quy định chi tiết và biện pháp thi hành Luật Dữ liệu.

Theo dự thảo, cơ quan, tổ chức, cá nhân phải tuân thủ quy định pháp luật về dữ liệu, pháp luật về giao dịch điện tử, pháp luật về an toàn thông tin mạng, pháp luật về an ninh mạng và quy định khác của pháp luật có liên quan khi xử lý dữ liệu.

Dữ liệu là bí mật nhà nước phải tuân thủ quy định pháp luật về bảo vệ bí mật nhà nước và pháp luật về cơ yếu.

Việc bảo vệ dữ liệu cá nhân tuân thủ theo quy định pháp luật về bảo vệ dữ liệu cá nhân.

Việc bảo vệ dữ liệu phải tuân thủ các chính sách chung về an ninh quốc phòng; các cơ quan nhà nước phải thực hiện nhiệm vụ quản lý, bảo vệ dữ liệu trong ngành, lĩnh vực do mình quản lý; thiết lập hệ thống bảo vệ dữ liệu thống nhất, có hiệu quả cao và có thẩm quyền để đánh giá rủi ro an ninh dữ liệu, báo cáo, chia sẻ thông tin, giám sát và cảnh báo sớm. Nhà nước bảo hộ quyền, lợi ích của cá nhân, tổ chức về dữ liệu; khuyến khích sử dụng dữ liệu hợp pháp, hợp lý, hiệu quả; bảo đảm dữ liệu được lưu thông tự do, hợp pháp, có trật tự; thúc đẩy phát triển nền kinh tế số lấy dữ liệu làm yếu tố then chốt. Khuyến khích các chủ quản dữ liệu khác xây dựng các quy định riêng về bảo vệ dữ liệu do mình quản lý.

Các biện pháp bảo vệ dữ liệu

Dự thảo đề xuất các biện pháp bảo vệ dữ liệu bao gồm:

a) Biện pháp quản lý có liên quan tới xử lý dữ liệu: Xây dựng chính sách, quy chế đánh giá an ninh dữ liệu, bảo đảm an toàn thông tin, bảo mật dữ liệu, ứng phó sự cố, bảo đảm tuân thủ các quy định bảo vệ dữ liệu và các biện pháp quản lý khác theo quy định của pháp luật;

b) Biện pháp kỹ thuật có liên quan tới xử lý dữ liệu: Bảo đảm an ninh vật lý, kiểm soát truy cập, kiểm tra an ninh mạng và các biện pháp kỹ thuật khác theo quy định pháp luật;

c) Biện pháp quản lý nhân lực bảo vệ dữ liệu: Quy chế quản lý con người, đào tạo nhân lực bảo vệ dữ liệu;

d) Biện pháp bảo vệ dữ liệu do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định pháp luật;

đ) Các biện pháp bảo vệ dữ liệu khác theo quy định pháp luật.

Chủ quản dữ liệu là cơ quan nhà nước phải chịu trách nhiệm về bảo mật cho hoạt động xử lý dữ liệu

Dự thảo cũng đề xuất quy định về xây dựng và tổ chức thực hiện chính sách, quy định bảo vệ dữ liệu.

Theo đó, chủ sở hữu dữ liệu, chủ quản dữ liệu là cơ quan nhà nước phải chịu trách nhiệm về bảo mật cho hoạt động xử lý dữ liệu, thực hiện bảo vệ phân cấp đối với tất cả các loại dữ liệu, trong trường hợp các cấp dữ liệu khác nhau được xử lý cùng một lúc và khó áp dụng các biện pháp bảo vệ riêng biệt thì phải thực hiện các biện pháp bảo vệ theo yêu cầu của cấp cao nhất, để bảo đảm dữ liệu tiếp tục ở trạng thái bảo vệ hiệu quả và sử dụng hợp pháp

Chủ quản dữ liệu phải phân loại dữ liệu, xác định dữ liệu quan trọng, dữ liệu cốt lõi theo danh mục dữ liệu cốt lõi, dữ liệu quan trọng do Thủ tướng Chính phủ ban hành và tạo thành một danh mục cụ thể cho đơn vị đó.

Quản lý bảo vệ dữ liệu trong quá trình xử lý

1. Theo dự thảo, chủ quản dữ liệu thiết lập hệ thống quản lý bảo vệ cho toàn bộ vòng đời của dữ liệu, đồng thời soạn thảo các yêu cầu bảo vệ phân cấp cụ thể và quy trình vận hành để thu thập, lưu trữ, sử dụng, xử lý, truyền, cung cấp và các hoạt động khác cho các cấp độ dữ liệu khác nhau.

2. Chủ quản dữ liệu thực hiện các biện pháp bảo vệ dữ liệu trong quá trình thu thập, tạo lập dữ liệu theo phân cấp. Trường hợp thu thập, tạo lập dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu cần:

a) Xây dựng quy trình thu thập, tạo lập dữ liệu, làm rõ mục đích, quy mô, phương pháp, phạm vi, loại hình, thời gian lưu trữ, vị trí lưu trữ của việc thu thập dữ liệu, cũng như định dạng dữ liệu, tiêu chí chất lượng, phương pháp đánh giá và các yêu cầu khác;

b) Tiến hành đánh giá bảo vệ trước khi thu thập, bao gồm xem mục đích, phạm vi, tần suất, phương pháp, thời gian lưu trữ của việc thu thập dữ liệu có tuân thủ luật pháp và quy định hay không;

c) Kiểm tra tính xác thực, chính xác của dữ liệu, thường xuyên phân tích, giám sát chất lượng dữ liệu, cảnh báo và khắc phục kịp thời những dữ liệu bất thường;

d) Theo dõi, ghi lại quá trình thu thập dữ liệu để bảo đảm truy xuất nguồn gốc hoạt động thu thập dữ liệu.

3. Chủ quản dữ liệu có trách nhiệm lưu trữ dữ liệu theo phương pháp, thời hạn theo quy định của pháp luật. Trường hợp dữ liệu được lưu trữ là dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu cần:

a) Xây dựng hệ thống quản lý lưu trữ dữ liệu quan trọng và quy định các hệ thống bảo vệ an ninh, quy trình truy cập;

b) Triển khai các biện pháp kỹ thuật, quản lý an toàn dữ liệu quan trọng và đánh giá thường xuyên gồm sử dụng công nghệ mã hóa để bảo vệ tính bảo vệ và toàn vẹn của dữ liệu quan trọng; cung cấp các biện pháp cách ly hợp lý giữa mạng thông tin công cộng và hệ thống lưu trữ; thiết lập hệ thống quản lý chặt chẽ đối với nhân viên vận hành và bảo trì nơi chứa dữ liệu quan trọng và tiến hành kiểm tra lý lịch bảo vệ đối với tất cả nhân viên vận hành và bảo trì;

c) Trường hợp dữ liệu cốt lõi, dữ liệu quan trọng có thời gian bảo quản cụ thể, trước khi hết thời hạn, chủ quản dữ liệu phải kịp thời thực hiện các thao tác như truyền, giải mã dữ liệu liên quan và điều chỉnh các biện pháp bảo vệ dữ liệu liên quan tùy theo tình hình; áp dụng các công cụ, biện pháp kỹ thuật phù hợp để tiêu hủy kịp thời những dữ liệu quan trọng đã quá thời hạn lưu trữ hoặc không còn cần thiết cho mục đích xử lý;

d) Xây dựng kế hoạch sao lưu, phục hồi dữ liệu quan trọng, làm rõ phạm vi, tần suất, công cụ, quy trình, thông số kỹ thuật ghi nhật ký, thời gian lưu trữ dữ liệu của việc sao lưu và phục hồi;

đ) Sử dụng các công cụ, biện pháp kỹ thuật như công cụ tự động hóa, sao lưu ngoại vi để tự động thực hiện các hoạt động liên quan đến sao lưu, phục hồi theo chiến lược đã thiết lập và ghi lại quá trình sao lưu, phục hồi dữ liệu;

e) Thường xuyên rà soát tính sẵn sàng, tính toàn vẹn và tính nhất quán của dữ liệu sao lưu, đánh giá chất lượng phục hồi dữ liệu và có biện pháp xử lý.

4. Chủ quản dữ liệu cần thực hiện các việc sau khi xử lý, sử dụng dữ liệu cốt lõi, dữ liệu quan trọng:

a) Xây dựng và triển khai các chính sách và hệ thống kiểm soát truy cập đối với các dữ liệu quan trọng, tuân thủ các nguyên tắc đặc quyền tối thiểu, phân chia nhiệm vụ và thực hiện các biện pháp bảo vệ an ninh;

b) Thiết lập nền tảng quản lý truy cập và nhận dạng thống nhất, áp dụng các biện pháp kỹ thuật như xác thực đa yếu tố và quản lý mật khẩu, cung cấp và triển khai các cơ chế kiểm soát truy cập chi tiết đối với các dữ liệu quan trọng, hạn chế phạm vi dữ liệu mà người dùng có thể truy cập, ngăn chặn việc truy cập trái phép dữ liệu;

c) Hạn chế nghiêm ngặt việc thiết lập và sử dụng các tài khoản đặc quyền trong hệ thống chứa dữ liệu quan trọng;

d) Sử dụng các công nghệ phù hợp để kiểm soát mục đích, phạm vi sử dụng dữ liệu quan trọng và giảm nguy cơ rò rỉ dữ liệu.

5. Chủ quản dữ liệu có trách nhiệm làm rõ phạm vi, chủng loại, yêu cầu, thủ tục, soạn thảo chính sách bảo mật và áp dụng các biện pháp bảo vệ dựa trên loại, mức độ và tình huống ứng dụng của dữ liệu được cung cấp ra bên ngoài.

6. Chủ quản dữ liệu phải phân tích, đánh giá tác động có thể ảnh hưởng đến an ninh quốc gia, lợi ích công cộng trước khi công bố dữ liệu, nếu có tác động lớn thì không được tiết lộ.

7. Chủ quản dữ liệu phải thiết lập hệ thống xóa, hủy dữ liệu, làm rõ các yêu cầu như mục tiêu, quy tắc, quy trình, kỹ thuật xóa, hủy, ghi nhận và lưu giữ hoạt động xóa, hủy. Trường hợp cá nhân, tổ chức yêu cầu xóa, hủy theo quy định của pháp luật, thỏa thuận hợp đồng thì chủ quản dữ liệu có trách nhiệm xóa, hủy dữ liệu tương ứng.

Khi xóa, hủy dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu cần:

a) Xây dựng các thông số vận hành xóa, hủy dữ liệu và thực hiện các hoạt động xóa, hủy dữ liệu quan trọng theo đúng đặc tả vận hành;

b) Thiết lập các thủ tục đánh giá và phê duyệt việc xóa dữ liệu quan trọng, đánh giá phạm vi dữ liệu quan trọng cần xóa, lý do xóa, khả năng sử dụng lại và thực hiện xóa dữ liệu sau khi được nhân viên an toàn dữ liệu của tổ chức phê duyệt;

c) Cung cấp các biện pháp kỹ thuật và công cụ xóa dữ liệu để xóa dữ liệu quan trọng và các bản sao của dữ liệu sau khi được phê duyệt, bao gồm dữ liệu dự phòng, dữ liệu phái sinh và dữ liệu nhật ký vận hành trong quá trình xử lý dữ liệu, bảo đảm dữ liệu đã xóa không thể phục hồi được bằng các phương tiện thương mại,

d) Thiết lập cơ chế đánh giá tác động xóa dữ liệu và thường xuyên kiểm tra hiệu quả của các biện pháp xóa;

đ) Ghi lại nhật ký quá trình xóa dữ liệu, ghi lại quá trình phê duyệt và thực hiện xóa dữ liệu và các trường hợp cụ thể của dữ liệu bị xóa;

e) Cập nhật kịp thời danh sách, thư mục dữ liệu quan trọng sau khi xóa dữ liệu.

8. Trường hợp chủ quản dữ liệu có nhu cầu chuyển dữ liệu vì các lý do như sáp nhập, tổ chức lại, phá sản thì phải làm rõ kế hoạch chuyển dữ liệu và thông báo cho người dùng bị ảnh hưởng thông qua các phương thức như điện thoại, tin nhắn văn bản, email, thông báo.

Trường hợp tổ chức lại, giải thể tổ chức có quản lý dữ liệu cốt lõi, dữ liệu quan trọng, chủ quản dữ liệu phải áp dụng các biện pháp bảo đảm an toàn dữ liệu, báo cáo phương án xử lý dữ liệu quan trọng, tên hoặc thông tin liên lạc của bên tiếp nhận cho các cơ quan có thẩm quyền có liên quan.

9. Trường hợp chủ quản dữ liệu ủy thác cho người khác thực hiện hoạt động xử lý dữ liệu thì phải làm rõ trách nhiệm, nghĩa vụ bảo mật dữ liệu của bên ủy thác và bên được ủy thác thông qua các phương thức như ký kết hợp đồng, thỏa thuận. Trường hợp ủy thác xử lý dữ liệu quan trọng, dữ liệu cốt lõi thì tiến hành xác minh năng lực, trình độ bảo vệ an ninh dữ liệu của bên được ủy thác.

10. Chủ quản dữ liệu phải ghi nhật ký xử lý dữ liệu, quản lý thẩm quyền, hoạt động của nhân sự, trong toàn bộ vòng đời của quá trình xử lý dữ liệu. Nhật ký được lưu giữ ít nhất sáu tháng.

11. Chủ quản dữ liệu cốt lõi, dữ liệu quan trọng hàng năm phải thực hiện đánh giá rủi ro đối với hoạt động xử lý dữ liệu cốt lõi, dữ liệu quan trọng của mình. Báo cáo đánh giá rủi ro bao gồm:

a) Thông tin cơ bản về chủ quản dữ liệu, thông tin về bộ phận có chức năng bảo vệ an toàn dữ liệu, tên và thông tin liên lạc của người chịu trách nhiệm về bảo vệ dữ liệu;

b) Mục đích, loại, số lượng, phương pháp, phạm vi, thời gian lưu trữ, vị trí lưu trữ dữ liệu, hoạt động xử lý dữ liệu và hoàn cảnh thực hiện các hoạt động xử lý dữ liệu;

c) Hệ thống quản lý an ninh dữ liệu và việc triển khai chúng, các biện pháp kỹ thuật như mã hóa, sao lưu, dán nhãn, kiểm soát truy cập và xác thực bảo vệ, cũng như các biện pháp cần thiết khác và hiệu quả của chúng;

d) Rủi ro an toàn dữ liệu được phát hiện, sự cố an toàn dữ liệu đã xảy ra và cách giải quyết;

đ) Đánh giá rủi ro đối với dữ liệu quan trọng được cung cấp, ủy thác xử lý;

e) Các nội dung báo cáo khác theo quy định của các cơ quan có thẩm quyền có liên quan.

Mời bạn đọc xem toàn văn dự thảo và góp ý tại đây.

Nước Nước