Chính phủ Hàn Quốc sẽ triển khai hệ thống quản lý dữ liệu cá nhân theo mức độ rủi ro từ nửa cuối năm nay, đánh dấu sự chuyển đổi từ mô hình xử phạt sau sự cố sang cơ chế phòng ngừa và quản lý rủi ro từ sớm.
Ngày 22/5, Ủy ban bảo vệ thông tin cá nhân đã công bố “Kế hoạch chuyển đổi sang hệ thống quản lý dữ liệu cá nhân theo hướng phòng ngừa” tại Hội nghị Bộ trưởng Kinh tế. Đây là bước triển khai tiếp theo sau khi kế hoạch được báo cáo tại cuộc họp Nội các ngày 12/5 vừa qua.
Theo kế hoạch mới, chính phủ sẽ phân loại các lĩnh vực xử lý dữ liệu cá nhân thành nhóm rủi ro cao, trung bình và thấp dựa trên quy mô xử lý dữ liệu, mức độ nhạy cảm của thông tin và đặc thù từng ngành nghề.
Đối với nhóm rủi ro cao — nơi xử lý khối lượng lớn thông tin định danh cá nhân hoặc dữ liệu nhạy cảm — chính phủ sẽ công khai trước các hạng mục kiểm tra và tiến hành thanh tra định kỳ cũng như đột xuất nhằm tập trung đánh giá hệ thống kiểm soát nội bộ.
Trong năm nay, các lĩnh vực được ưu tiên kiểm tra gồm nền tảng trực tuyến, tổ chức tài chính, cơ quan công quyền, công nghệ giáo dục (edutech) và bệnh viện dưỡng lão.
Với các lĩnh vực không thuộc nhóm rủi ro cao, chính phủ sẽ khuyến khích thực hiện đánh giá tác động dữ liệu cá nhân và tuân thủ nguyên tắc “bảo vệ dữ liệu ngay từ khâu thiết kế” (Privacy by Design – PbD).
Ngoài ra, cơ quan chức năng sẽ cung cấp công cụ tự kiểm tra và dịch vụ tư vấn nhằm giúp doanh nghiệp duy trì mức độ bảo vệ cơ bản. Trong trường hợp cần thiết, các bộ ngành liên quan và Ủy ban Bảo vệ Thông tin Cá nhân sẽ phối hợp tiến hành kiểm tra chung.
Ủy ban cũng dự kiến xây dựng “bản đồ rủi ro cơ sở” thông qua việc phân tích hiện trạng xử lý dữ liệu và các yếu tố nguy cơ, từ đó sử dụng làm tiêu chí lựa chọn đối tượng thanh tra.
Từ tháng 9 tới, Hàn Quốc sẽ chính thức áp dụng chế độ khai báo bổ nhiệm cán bộ phụ trách bảo vệ dữ liệu cá nhân (CPO). Song song với đó, chính phủ sẽ vận hành hệ thống cảnh báo sớm và đường dây nóng hợp tác công – tư để chia sẻ thông tin về các mối đe dọa an ninh mới nhất.
Các lĩnh vực công nghệ mới như thiết bị Internet vạn vật (IoT) và AI tác nhân (Agent AI) cũng sẽ được tăng cường kiểm tra chủ động.
Hiện nay, các tiêu chuẩn bảo đảm an toàn dữ liệu đang được áp dụng đồng loạt cho mọi doanh nghiệp bất kể quy mô hay lĩnh vực hoạt động. Tuy nhiên, chính phủ cho biết sẽ nghiên cứu phương án sửa đổi trung và dài hạn để cho phép doanh nghiệp tự điều chỉnh mức độ áp dụng biện pháp bảo mật dựa trên phân tích rủi ro thực tế.
Một trọng tâm khác là thúc đẩy thể chế hóa nguyên tắc PbD, tức tích hợp bảo vệ dữ liệu cá nhân như một giá trị mặc định ngay từ giai đoạn lên ý tưởng, thiết kế và phát triển dịch vụ.
Trước đây, Hàn Quốc mới chỉ áp dụng chứng nhận PbD đối với một số sản phẩm như camera IP hay robot hút bụi thông minh. Trong thời gian tới, chính phủ sẽ mở rộng phạm vi áp dụng thông qua sửa đổi Luật Bảo vệ Dữ liệu Cá nhân, phát hành hướng dẫn và phổ biến các mô hình tiêu biểu.
Các tiêu chuẩn đánh giá và chứng nhận hiện hành như ISMS-P (Hệ thống quản lý bảo vệ dữ liệu cá nhân) cũng sẽ được bổ sung nguyên tắc PbD.
Ngoài ra, chính phủ sẽ khuyến khích doanh nghiệp công khai thêm các hoạt động bảo vệ dữ liệu, biện pháp bảo mật bổ sung và quy trình kiểm soát nội bộ của CPO trong các báo cáo công khai về an ninh thông tin.
Nếu hiệu quả của các biện pháp bảo vệ bổ sung được xác nhận, doanh nghiệp có thể được hưởng ưu đãi như giảm mức tiền phạt hành chính.
Đối với các doanh nghiệp nhỏ và siêu nhỏ vi phạm nhẹ, chính phủ cũng đang xem xét phương án giảm nhẹ xử phạt nếu doanh nghiệp chủ động khắc phục thông qua hỗ trợ kỹ thuật.
Bên cạnh đó, Hàn Quốc sẽ tăng cường quản lý chuỗi cung ứng dữ liệu gồm SaaS (phần mềm dạng dịch vụ), điện toán đám mây và các đơn vị nhận xử lý dữ liệu thuê ngoài; đồng thời thúc đẩy nghiên cứu công nghệ tăng cường bảo vệ dữ liệu cá nhân (PET) và đào tạo nhân lực chuyên môn.
Chính phủ cũng dự kiến mở rộng giáo dục bảo vệ dữ liệu dành cho trẻ em, thanh thiếu niên và các nhóm yếu thế, đồng thời kiểm tra và cải thiện các hành vi làm suy giảm niềm tin người dùng như “dark pattern” — những thiết kế giao diện gây hiểu lầm hoặc thao túng hành vi người sử dụng.
Bà Song Kyung-hee, Chủ tịch Ủy ban Bảo vệ Thông tin Cá nhân, cho biết cơ quan này sẽ tiếp tục phối hợp với các bộ ngành để kiểm tra thường xuyên tình trạng xử lý dữ liệu và các yếu tố dễ phát sinh rủi ro trong các lĩnh vực trọng điểm, qua đó từng bước xây dựng hệ thống quản lý phòng ngừa tương xứng với mức độ rủi ro thực tế.
HO THI LONG AN
ahn@ajunews.com
© Bản quyền thuộc về Thời báo Kinh tế AJU & www.ajunews.com: Việc sử dụng các nội dung đăng tải trên vietnam. kyungjeilbo.com phải có sự đồng ý bằng văn bản của Aju News Corporation.
