Phức tạp của luật khi lưu trữ thông tin cá nhân trên điện toán đám mây

Chủ Nhật, 21-12-2014, 04:13
Điện toán đám mây đang xóa ranh giới về địa lý

NDĐT- Mới đây, khi nước Nga quy định lưu trữ, xử lý dữ liệu của công dân Nga phải được thực hiện trên lãnh thổ nước này đã gặp nhiều chỉ trích, một số cho rằng Nga đang nhắm vào mạng xã hội. Vậy, “có sự khác nhau giữa các nước về quy định tương tự hay không? và doanh nghiệp có cần biết về sự khác nhau này không?” đang là những câu hỏi khiến nhiều người quan tâm.

Ngày nay, cùng với sự phát triển rất nhanh của công nghệ đang làm mờ đi ranh giới về địa lý đã khiến ít người để ý đến vấn đề pháp lý liên quan. Dữ liệu có thể dễ dàng và liền mạch đi từ Uruguay sang Tây Ban Nha và đến Mỹ, nhưng nếu như thế, dữ liệu sẽ bị điều chỉnh bởi ba quy định về pháp luật của ba nước khác nhau liên quan đến bảo vệ thông tin.

Rắc rối xuất phát từ sự khác nhau giữa các nước trong mối quan ngại đến bảo mật dữ liệu và tính không biên giới của điện toán đám mây; trong khi, một số chính phủ thực hiện giám sát thông tin trên diện rộng, tội phạm mạng và lỗi của doanh nghiệp cung cấp dịch vụ cũng không ngừng tăng. Hơn nữa, nhiều vi phạm và sử dụng sai mục đích dữ liệu cá nhân trên điện toán toán đám mây đã làm nhiều quốc gia trở lại với câu hỏi cơ bản nhất về pháp lý “khi xử lý thông tin một cá nhân trên đám mây thì bạn đã được sự đồng ý của người sở hữu thông tin này chưa?”. Nếu chưa, theo luật EU, khi bạn đưa dữ liệu cá nhân lên đám mây là đã vi phạm quyền riêng tư và phải chịu hoàn toàn trách nhiệm về dữ liệu được sử dụng.

Do vậy, cùng với sự tăng nhanh của các công ty, cá nhân và thậm chí chính phủ để dữ liệu của mình lên đám mây thì cả người sử dụng và doanh nghiệp cung cấp dịch vụ điện toán đám mây cần nhận thức được sự mở rộng pháp luật và các quy định hạn chế liên quan đến thu thập, lưu trữ, tiết lộ và di chuyển của từng loại thông tin trên Internet.

Hầu hết các nước đều có quy chế để bảo vệ thông tin cá nhân của công dân nước mình. Những quy định này thường chi phối khả năng của tổ chức và cá nhân trong xử lý dữ liệu của người khác (như thu thập, bản quản, tổ chức, lưu trữ, sử dụng, ...) và đồng thời áp dụng khi thông tin được xử lý đi hoặc đến nước này.

Chẳng hạn, một công dân Mexico làm việc ở Canada sử dụng điện thoại di động của một doanh nghiệp viễn thông, mà doanh nghiệp viễn thông này lại lưu trữ dữ liệu trên đám mây được cung cấp bởi một doanh nghiệp ở Mỹ, thì khi đó, việc xử lý thông tin cá nhân của người Mexico này sẽ bị điều chỉnh bởi quy chế quản lý và sử dụng thông tin của ba nước khác nhau.

Trong trường hợp này, doanh nghiệp viễn thông là khách hàng sử dụng dịch vụ điện toán đám mây, doanh nghiệp Mỹ là doanh nghiệp cung cấp dịch vụ điện toán đám mây và người sử dụng điện thoại này là người sở hữu dữ liệu và là công dân Mexico, do sự khác nhau về pháp luật giữa các nước, nên cả hai, người sử dụng dịch vụ và người cung cấp dịch vụ sẽ có ba vấn đề mà họ phải quan tâm.

Thứ nhất, bạn cần biết khi nào và làm như thế nào để có sự đồng ý của người sở hữu dữ liệu để được phép xử lý thông tin cá nhân của họ. Ví dụ, theo luật của Tây Ban Nha và Argentina, bạn cần có sự đồng ý của người sở hữu dữ liệu bằng văn bản và người này có thể hủy bất kỳ khi nào. Theo đó, trong trường hợp doanh nghiệp có nhân viên ở Tây Ban Nha hay Argentina, doanh nghiệp cần có sự đồng ý của từng nhân viên của mình và tùy theo các điều khoản quy định mà doanh nghiệp đưa một số thông tin cá nhân của người này lên đám mây.

Thứ hai, bạn cần biết yêu cầu về bảo mật và chế độ báo cáo. Một số nước, như ở Mexico, quy định về quản lý và sử dụng dữ liệu cá nhân yêu cầu bạn phải đảm bảo các yêu cầu về kỹ thuật, bảo mật để tránh việc truy nhập, sửa đổi, mất mát hay sử dụng dữ liệu trái phép. Hơn nữa, khi dữ liệu cá nhân bị vi phạm, bạn phải thông báo đến từng người và tất cả người sở hữu dữ liệu về những thông tin cá nhân bị vi phạm và những ảnh hưởng có thể xẩy ra. Những yêu cầu như vậy khá phổ biến, nên khi sử dụng dịch vụ đám mây, bạn cần có một năng lực xử lý truyền thông nhanh và hiệu quả để thông báo cho người sở hữu dữ liệu về các trường hợp vi phạm dữ liệu do bảo mật.

Thứ ba, bạn cần nghiên cứu cơ chế thực thị pháp luật và chế tài đối với các vi phạm quy định về tính riêng tư. Chẳng hạn như Argentina và Mexico, khi bạn vi phạm quy định có thể bị các hình phạt như cảnh cáo, tạm dừng hoặc hủy quyền quản lý cơ sở dữ liệu người dùng, thậm chí bị ngồi tù từ 1 tháng đến 3 năm. Do vậy, cả người sử dụng và doanh nghiệp cung cấp dịch vụ điện toán đám mây cần biết những hậu quả do vi phạm quy định quản lý trong lưu trữ hay xử lý thông tin của từng nước.

Tốt nhất và cách duy nhất để bạn không vi phạm quy định về quản lý và sử dụng thông tin cá nhân là đầu tiên bạn cần đọc và hiểu những quy định liên quan đến dữ liệu của bạn. Sau đó, bạn cần xây dựng mẫu để có sự đồng ý của người sở hữu dữ liệu và kiểm tra để đảm bảo bạn kiểm soát được thông tin khi di chuyển giữa các nước. Cuối cùng, hướng dẫn cho nhân viên của mình về các quy định này và kiểm tra sự phù hợp với các quy định của các nước có liên quan.

Sự phức tạp về môi trường pháp lý này sẽ được hiệu chỉnh theo thời gian để đơn giản hơn. Nhưng sự phức tạp này hiện nay là cần thiết để tạo sức ép lên những ai sử dụng dữ liệu cá nhân nhằm không chỉ bảo vệ quyền riêng tư mà còn bảo vệ chúng ta trước thực tế những gì mà công nghệ đang làm được để giảm thiểu tối đa rủi ro trong quản lý dữ liệu cá nhân trên đám mây hay ở bất kỳ đâu.

HẢI LY