VNG Cloud Logo
  1. Tech Blog
  2. Những điều doanh nghiệp cần lưu ý với Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân
Những điều doanh nghiệp cần lưu ý với Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân

2023/09/07 14:15

Ngày 17/4/2023, Chính phủ Việt Nam đã chính thức ban hành Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân, và có hiệu lực từ ngày 1/7/2023. Vậy đâu là những điều doanh nghiệp cần lưu ý?

Trong thế kỷ này, chúng ta đang chứng kiến tốc độ phát triển chưa từng có của viễn thông và Internet, đánh dấu một bước ngoặt mới trong sự tiến bộ của xã hội loài người. Sự tiến bộ này đã tạo tiền đề cho cuộc Cách mạng 4.0, góp phần thúc đẩy khoa học công nghệ tiên tiến. Tuy nhiên, điều này cũng mang lại những rủi ro đáng kể đối với quyền riêng tư, đặc biệt là quyền bảo vệ dữ liệu cá nhân cực kỳ quan trọng.

vngcloud-blog-decree-13-hinh-1.jpg
Nghị định Bảo vệ dữ liệu cá nhân Việt Nam sẽ ảnh hưởng nhà đầu tư và doanh nghiệp ra sao?

1. Nghị định Bảo vệ Dữ liệu Cá nhân

Vào ngày 17/4/2023, Chính phủ đã phê chuẩn Nghị định số 13/2023/NĐ-CP với mục tiêu bảo vệ dữ liệu cá nhân, với 44 điều khoản được áp dụng chính thức từ ngày 01/7/2023. Trong Nghị định này, Khoản 1 Điều 2 đã quy định rõ rằng dữ liệu cá nhân được hiểu là thông tin được biểu diễn dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc các dạng tương tự trên môi trường điện tử, liên quan đến một con người cụ thể hoặc có khả năng xác định được một con người cụ thể. Trong đó, dữ liệu cá nhân bao gồm cả dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Một số điểm nổi bật đáng chú ý của Nghị định 13/2023/NĐ-CP mà doanh nghiệp cần lưu ý:

1.1. Về Dữ liệu cá nhân nhạy cảm

Dữ liệu cá nhân nhạy cảm đại diện cho những thông tin cá nhân mà khi bị xâm phạm sẽ gây tác động trực tiếp đến quyền riêng tư và lợi ích hợp pháp của cá nhân. Các loại dữ liệu cá nhân nhạy cảm bao gồm:

  • Quan điểm chính trị và tôn giáo của cá nhân.
  • Thông tin về tình trạng sức khỏe và đời tư mà được ghi lại trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu.
  • Thông tin liên quan đến nguồn gốc chủng tộc và dân tộc của cá nhân.
  • Thông tin về đặc điểm di truyền hoặc được thừa hưởng của cá nhân.
  • Thông tin về các đặc điểm vật lý và sinh học riêng biệt của cá nhân.
  • Thông tin về đời sống tình dục và xu hướng tình dục của cá nhân.
  • Dữ liệu về tội phạm và hành vi vi phạm pháp luật được thu thập và lưu trữ bởi các cơ quan thực thi pháp luật.
  • Thông tin về khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán và các tổ chức khác, bao gồm thông tin định danh khách hàng, thông tin tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch và thông tin về tổ chức và cá nhân là bên bảo đảm tại các tổ chức tài chính.
  • Dữ liệu về vị trí của cá nhân được xác định thông qua dịch vụ định vị.
  • Các loại dữ liệu cá nhân khác được quy định là đặc biệt và yêu cầu biện pháp bảo mật phù hợp. (Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP).
1.2. Vi phạm quy định bảo vệ dữ liệu cá nhân có thể xử lý hình sự

Các cơ quan, tổ chức, và cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân sẽ chịu các biện pháp xử lý tùy theo mức độ vi phạm, bao gồm:

  • Xử lý kỷ luật: Áp dụng các biện pháp kỷ luật đối với cán bộ, nhân viên và thành viên trong cơ quan, tổ chức vi phạm theo quy định nội bộ.
  • Xử phạt vi phạm hành chính: Áp dụng các biện pháp xử phạt hành chính như phạt tiền hoặc xử phạt khác tương ứng với mức độ vi phạm theo quy định pháp luật về bảo vệ dữ liệu cá nhân.
  • Xử lý hình sự: Áp dụng các biện pháp xử lý hình sự theo quy định nếu vi phạm liên quan đến các tội phạm và hành vi phạm tội theo luật pháp hiện hành. (Điều 4 Nghị định 13/2023/NĐ-CP)..
1.3. 5 trường hợp dữ liệu cá nhân được xử lý không cần sự đồng ý của chủ thể dữ liệu
  • Trong trường hợp khẩn cấp, khi cần bảo vệ tính mạng và sức khỏe của chủ thể dữ liệu hoặc người khác, các bên như Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, cũng như Bên thứ ba có liên quan, đều có trách nhiệm chứng minh lý do khẩn cấp trong việc xử lý ngay dữ liệu cá nhân liên quan.
  • Việc công khai dữ liệu cá nhân phải tuân theo quy định của luật.
  • Cơ quan nhà nước có thẩm quyền được phép xử lý dữ liệu trong trường hợp khẩn cấp liên quan đến quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng mà chưa đến mức ban bố tình trạng khẩn cấp; cũng như để phòng chống bạo loạn, khủng bố, tội phạm và vi phạm pháp luật theo quy định của luật.
  • Việc xử lý dữ liệu cá nhân cũng có thể thực hiện để thực hiện các nghĩa vụ theo hợp đồng của chủ thể dữ liệu với các cơ quan, tổ chức, cá nhân có liên quan, tuân theo quy định của luật.
  • Đồng thời, việc xử lý dữ liệu cá nhân có thể được thực hiện để phục vụ hoạt động của các cơ quan nhà nước đã được quy định theo luật chuyên ngành (theo Điều 17 Nghị định 13/2023/NĐ-CP).
1.4. Biện pháp bảo vệ dữ liệu cá nhân

Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:

  • Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
  • Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
  • Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;
  • Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;
  • Các biện pháp khác theo quy định của pháp luật. (Điều 26 Nghị định 13/2023/NĐ-CP).
1.5. Điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân

Lực lượng bảo vệ dữ liệu cá nhân:

  • Lực lượng chuyên trách bảo vệ dữ liệu cá nhân được bố trí tại Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
  • Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân;
  • Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân;
  • Bộ Công an xây dựng chương trình, kế hoạch cụ thể nhằm phát triển nguồn nhân lực bảo vệ dữ liệu cá nhân.
  • Cơ quan, tổ chức, cá nhân có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân.
  • Bảo đảm cơ sở vật chất, điều kiện hoạt động cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. (Điều 30 Nghị định 13/2023/NĐ-CP).
1.6. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân

Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an được chỉ định là cơ quan chuyên trách bảo vệ dữ liệu cá nhân, và có trách nhiệm hỗ trợ Bộ Công an trong việc thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân (theo khoản 1 Điều 29 Nghị định 13/2023/NĐ-CP).

Với tình hình ngày càng phức tạp của các hoạt động lừa đảo trực tuyến, cuộc gọi rác và việc lộ thông tin cá nhân, việc ban hành Nghị định 13 về Bảo vệ dữ liệu cá nhân là rất cần thiết. Nghị định này đã áp dụng cho tất cả các bên liên quan đến dữ liệu cá nhân, từ chủ thể dữ liệu, bên kiểm soát dữ liệu, bên xử lý dữ liệu đến các bên thứ ba có liên quan. Tất cả các bên đều có trách nhiệm chung để tuân thủ các quy định về bảo vệ dữ liệu cá nhân, thay vì chỉ tập trung trách nhiệm vào các bên kiểm soát và xử lý dữ liệu. Nghị định này sẽ tạo ra một hành lang pháp lý để các cơ quan quản lý nhà nước có thể đánh giá, thanh tra, kiểm tra việc tuân thủ các quy định bảo vệ dữ liệu cá nhân của các cơ quan, tổ chức.

vngcloud-blog-decree-13-hinh-2.jpg
Doanh nghiệp cần lưu ý Nghị định Bảo vệ dữ liệu cá nhân

2. Tầm quan trọng của Công nghệ Đám mây đối với Bảo vệ Dữ liệu Cá nhân

Tại Việt Nam, quyền được bảo vệ dữ liệu cá nhân là quyền cơ bản và tối quan trọng trong bối cảnh công nghệ phát triển với tốc độ nhanh chóng như hiện nay. Khi phần lớn thông tin hiện được lưu trữ trong bộ nhớ vật lý và đám mây, các rủi ro về rò rỉ dữ liệu và mất thông tin luôn tồn tại. Do đó, việc bảo vệ dữ liệu cá nhân là ưu tiên hàng đầu. Đối với các nhà đầu tư, Luật Bảo vệ Dữ liệu Cá nhân của Việt Nam sẽ ảnh hưởng đến cách họ sử dụng dữ liệu cá nhân và tuân thủ theo các quy định mới.

Hơn thế nữa, quyền bảo vệ dữ liệu cá nhân là một khía cạnh cơ bản của quyền riêng tư nhằm bảo vệ quyền tự chủ và tính độc đáo của chúng ta. Quyền này cho phép chúng ta thiết lập ranh giới với những người khác, kiểm soát luồng thông tin và định hình các tương tác của chúng ta với xã hội. Việc vi phạm quyền này có thể làm ảnh hưởng vị thế của chúng ta trong cộng đồng, vì vậy quyền bảo vệ dữ liệu cá nhân là cần thiết cho một xã hội dân chủ, văn minh và bền vững. Với lượng dữ liệu ngày càng tăng được lưu trữ và xử lý trực tuyến, điện toán đám mây cung cấp một cách an toàn và đáng tin cậy để quản lý và bảo vệ dữ liệu cá nhân:

  • Dịch vụ lưu trữ đám mây cung cấp khả năng lưu trữ dữ liệu được mã hóa, đảm bảo dữ liệu được an toàn trước sự truy cập trái phép.
  • Dịch vụ sao lưu và khôi phục trên đám mây có thể giúp bảo vệ dữ liệu cá nhân trong trường hợp xảy ra lỗi hệ thống, lỗi của con người hoặc khi bị tấn công mạng.
  • Các giải pháp bảo mật điện toán đám mây cũng có thể được sử dụng để bảo vệ dữ liệu cá nhân khỏi phần mềm độc hại và các mối đe dọa mạng khác. Do đó, công nghệ đám mây là một thành phần thiết yếu để bảo vệ dữ liệu cá nhân trong thời đại kỹ thuật số ngày nay.

3. Global Cloud Backup Market Facts & Figures

Theo Modor Intelligence, thị trường backup dữ liệu trên đám mây (cloud backup) sẽ đạt tốc độ tăng trưởng kép hàng năm (CAGR) là 25,3% từ năm 2023 đến 2028. Ngày càng có nhiều doanh nghiệp chuyển sang các giải pháp cloud backup để giải quyết những thách thức của sự phát triển nhanh chóng và cạnh tranh khắc nghiệt trên thị trường, một phần do điện toán đám mây ngày càng phổ biến trong các doanh nghiệp lớn và nhỏ. Nhu cầu về sao lưu dữ liệu nhanh chóng và linh hoạt là động lực chính để các doanh nghiệp chuyển đổi sang sử dụng cloud backup.

vngcloud-blog-decree-13-hinh-3.jpg
Biểu đồ: Thị trường Cloud Backup – Tốc độ tăng trưởng theo khu vực (Nguồn: Modor Intelligence)

Mất mát dữ liệu đã trở thành một mối lo ngại lớn đối với các ngành công nghiệp trên diện rộng. Một cuộc khảo sát gần đây cho thấy khoảng 33% trường hợp mất dữ liệu là do sự cố phần cứng hoặc hệ thống, trong khi 29% là do lỗi của con người hoặc các cuộc tấn công của mã độc tống tiền. Khi xảy ra thảm họa khiến máy chủ ngừng hoạt động trong 10 ngày trở lên, ước tính có tới 93% công ty bị ảnh hưởng sẽ nộp đơn xin phá sản trong vòng 12 tháng, 43% công ty trong số đó sẽ không thể mở cửa trở lại.

Việc áp dụng điện toán đám mây đã có sự tăng trưởng đáng kể trong những năm gần đây, và tỷ lệ công ty áp dụng công nghệ kỹ thuật số trên toàn cầu đã được thúc đẩy mạnh mẽ hơn bởi đại dịch COVID-19. Theo phân tích của IBM, một cơ sở sản xuất đơn lẻ có thể tạo ra hơn 2.200 terabyte dữ liệu mỗi tháng, trong khi một dây chuyền sản xuất đơn lẻ có thể tạo ra hơn 70 terabyte dữ liệu mỗi ngày. Bất chấp những con số đáng kinh ngạc này, phần lớn dữ liệu này vẫn chưa được phân tích và bảo vệ. Để bảo mật và sử dụng hiệu quả dữ liệu, các công ty đang chuyển đổi sang lưu trữ trên đám mây.

Ngoài ra, đại dịch COVID-19 đã làm bật lên những thiếu sót trong việc lập kế hoạch khắc phục thảm họa và duy trì hoạt động kinh doanh của doanh nghiệp, đặc biệt là trong các hoạt động như truy cập từ xa, kết nối mạng, ứng dụng SaaS và mã độc tống tiền. Một số tổ chức đã báo cáo rằng việc xử lý lượng dữ liệu khổng lồ ngày càng trở nên phức tạp và khó quản lý.

IBM cũng tiết lộ rằng 90% dữ liệu của thế giới đã được tạo ra chỉ trong vòng 2 năm qua. Trong bối cảnh dữ liệu liên tục được tạo ra theo cấp số nhân, nhu cầu về các giải pháp lưu trữ và sao lưu dữ liệu hiệu quả về chi phí cho các công ty ngày càng tăng. Các dịch vụ như sao lưu tự động, bảo vệ khỏi phần mềm độc hại, mã hóa lưu trữ đám mây, khôi phục file, và khôi phục theo thời điểm là những xu hướng phổ biến trên thị trường.

Các giải pháp sao lưu đám mây là một trong những công cụ toàn diện nhất để bảo vệ chống lại các cuộc tấn công mạng và rò rỉ dữ liệu. Tuy nhiên, nếu không được quản lý, kẻ tấn công có thể dễ dàng xâm nhập cơ sở dữ liệu của máy chủ dự phòng và khai thác nó để lợi dụng người khác. Do đó, sự lo ngại về bảo mật và quyền riêng tư là những trở ngại đáng kể đối với việc áp dụng các giải pháp sao lưu đám mây.

4. Tăng cường bảo vệ dữ liệu cá nhân với VNG Cloud

Tại Việt Nam, nhiều công ty lớn trên thị trường đang tăng cường đầu tư vào công nghệ đám mây, đặc biệt sau khi Nghị định số 53/2022/NĐ-CP về Luật An ninh mạng được ban hành. Đón đầu xu hướng, vào tháng 12/2022, VNG Corporation đã khai trương Trung tâm dữ liệu đạt chuẩn Uptime Tier III tại TP. Hồ Chí Minh. Trung tâm dữ liệu mới này sẽ cho phép khách hàng và nhà cung cấp dịch vụ dịch chuyển nhiều ứng dụng và dữ liệu hơn sang cho VNG Cloud, đồng thời cung cấp các giải pháp an toàn, tiết kiệm chi phí và thân thiện với người dùng khi sử dụng dữ liệu và ứng dụng trên đám mây.

vngcloud-blog-decree-13-hinh-4.jpg
IAM giúp nâng cao bảo mật quyền truy cập vào tài nguyên của các công ty
4.1. Quản lý danh tính và truy cập (IAM)

Quản lý danh tính và truy cập (IAM) được cung cấp trên tất cả các tài nguyên và dịch vụ của của VNG Cloud. Đây là một khía cạnh quan trọng của bảo mật đám mây, nó cho phép tổ chức kiểm soát và quản lý quyền truy cập vào các tài nguyên, ứng dụng và dữ liệu kỹ thuật số của họ bằng cách đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể truy cập chúng. IAM cung cấp một loạt các lợi ích để bảo vệ dữ liệu, quản lý tài nguyên cho tất cả người dùng, từ doanh nghiệp đến cá nhân. Vì vậy, IAM là một công cụ hữu ích giúp tăng cường bảo vệ dữ liệu cá nhân.

Những lợi ích IAM mang lại:

  • Đảm bảo đúng người truy cập vào đúng dữ liệu: Điều này có nghĩa là quyền truy cập có thể được kiểm soát theo vai trò, trách nhiệm và quyền hạn, đảm bảo rằng dữ liệu nhạy cảm chỉ được truy cập bởi cán bộ được ủy quyền.
  • Kiểm soát chi tiết đối với quyền truy cập vào API trên từng máy chủ trong hệ thống: Cấp độ kiểm soát này cho phép quản trị viên quản lý quyền truy cập dữ liệu một cách chi tiết, đảm bảo rằng chỉ những nhân viên được ủy quyền mới có thể truy cập dữ liệu nhất định.
  • Mỗi tài khoản dùng cho một người dùng riêng biệt, được xác thực bằng nhiều lớp bảo mật khác nhau: Phương pháp xác thực nhiều lớp này đảm bảo rằng ngay cả khi một lớp bảo mật bị phá vỡ sẽ vẫn có các lớp bảo vệ bổ sung để ngăn chặn truy cập trái phép.
  • Đăng nhập một lần (SSO): Đơn giản hóa việc quản lý truy cập cho quản trị viên trong khi vẫn duy trì bảo mật. Với SSO, người dùng chỉ cần xác thực một lần sẽ được cấp quyền truy cập vào tất cả các hệ thống mà không cần phải đăng nhập riêng vào từng hệ thống. Điều này giúp đơn giản hóa việc quản lý truy cập cho quản trị viên trong khi vẫn duy trì các biện pháp bảo mật mạnh mẽ.
4.2. Sao lưu và phục hồi dữ liệu với vBackup

vBackup cung cấp giải pháp để tạo các bản sao lưu của Server và lưu trữ chúng ở một nơi an toàn, ngăn ngừa mất mát hoặc hư hỏng dữ liệu gốc. Sau khi khởi tạo, các bản sao lưu này có thể được sử dụng để khôi phục dữ liệu gốc sang Server mới.

Dưới đây là những công việc bạn có thể thực hiện với vBackup:

  • Tạo và quản lý tập trung các bản Backup.
  • Thiết lập việc thực thi tự động hoá hành động Backup theo lịch trình được cài đặt sẵn.
  • Quản lý các bản Backup tại một nơi an toàn trên môi trường đám mây (vStorage).
  • Kiểm soát lịch sử Backup của người dùng.

Các thành phần chính của giải pháp vBackup bao gồm:

  • Server Backup
  • Chính sách Backup
  • Vị trí Backup
  • Lịch sử Backup.

Các giải pháp trên được thiết lập để đảm bảo tính bảo mật, nguyên vẹn và sẵn sàng của dữ liệu. Khi sử dụng các dịch vụ của VNG Cloud, bạn có thể yên tâm rằng dữ liệu của mình được bảo vệ khỏi các mối đe dọa trên mạng và tổn thất do tai nạn. Với đội ngũ chuyên gia và cam kết đổi mới, VNG Cloud là đối tác lý tưởng cho các doanh nghiệp đang tìm kiếm giải pháp bảo vệ và mở rộng dữ liệu đáng tin cậy.

Tag:
Tech Blogdata protectiondecree 13vbackup

article.read_more