Với 65% dân số toàn cầu dự kiến sẽ có dữ liệu cá nhân của mình được bảo vệ theo các quy định hiện đại về quyền riêng tư vào năm 2023, việc tôn trọng quyền riêng tư dữ liệu chưa bao giờ quan trọng hơn thế. Ví dụ, sự ra đời của liên bang Đạo luật về quyền riêng tư và bảo vệ dữ liệu của Mỹ (ADPPA), cùng với việc thông qua một loạt luật về quyền riêng tư cấp tiểu bang gần đây, đã làm cho bối cảnh quyền riêng tư hiện tại của Hoa Kỳ ngày càng phức tạp. Điều này dẫn đến những thách thức cho các tổ chức, cả trong việc quản lý khối lượng dữ liệu bùng nổ và hiểu cách áp dụng các quy định cụ thể về quyền riêng tư dữ liệu đối với họ.
Khi các doanh nghiệp thuộc mọi quy mô cố gắng tuân thủ luật bảo mật dữ liệu luôn thay đổi và chủ động giám sát các quy tắc có liên quan, họ cũng nên thực hiện các bước cần thiết để lập bản đồ nơi dữ liệu về người tiêu dùng và việc làm cũng như các rủi ro tiềm ẩn đối với dữ liệu đó. Bằng cách củng cố hệ thống phòng thủ an ninh mạng, các tổ chức có thể chuẩn bị tốt hơn cho các quy định về quyền riêng tư dữ liệu, hiện tại và trong tương lai.
Hãy nhớ tại sao điều này đã trở nên rất quan trọng. Đầu tiên, người tiêu dùng và nhân viên được cung cấp nhiều thông tin hơn bao giờ hết về các quyền cá nhân và cách áp dụng các quy định về quyền riêng tư dữ liệu đối với họ. Đây là một bước phát triển quan trọng và tích cực, xét đến sự gia tăng mạnh mẽ của nguy cơ bị phạt và kiện tụng đối với việc không tuân thủ — một trong những cơ sở cần thiết để bảo vệ các quyền cá nhân.
Sự hội tụ của thông tin nhận dạng cá nhân (PII) và thông tin sức khỏe được bảo vệ (PHI) cũng thể hiện rủi ro dữ liệu. Ví dụ: thông tin thanh toán từ yêu cầu bảo hiểm, cùng với địa chỉ email và các mẩu bánh mì kỹ thuật số khác được tìm thấy trên Internet, có thể được sử dụng để đánh cắp danh tính hoặc dẫn đến việc đánh cắp dữ liệu. Ngoài ra, việc áp dụng và chấp nhận lâu dài các mô hình làm việc kết hợp có thể tạo ra những thách thức. Một số tổ chức hỏi nhân viên của họ những câu hỏi rất tập trung về hành vi và sắp xếp công việc tại nhà để đo lường năng suất. Tùy thuộc vào các câu hỏi cụ thể, có thể có những hàm ý khác về quyền riêng tư.
Bối cảnh của sự nhầm lẫn
Với sự đa dạng và phạm vi pháp lý của các quy định bảo vệ và quyền riêng tư dữ liệu hiện tại, có thể có một số nhầm lẫn. Ví dụ: các công ty Hoa Kỳ có trụ sở tại Bắc Dakota tiến hành kinh doanh trong nước có thể ít bận tâm hơn đến các quy tắc áp dụng ở nước ngoài. Ngược lại, đối với các tổ chức của Hoa Kỳ cung cấp hàng hóa và dịch vụ ở Vương quốc Anh hoặc Liên minh Châu Âu, các quy định như Quy định chung về bảo vệ dữ liệu (GDPR) — cùng với khả năng bị phạt nếu vi phạm — có thể được áp dụng.
Ngoài ra, trong một số tổ chức, định kiến liên quan đến quy mô của công ty có thể gây ra các vấn đề về tuân thủ hoặc quy định, chẳng hạn như tin rằng một công ty quá nhỏ để áp dụng các quy định về quyền riêng tư dữ liệu. Mặc dù đúng là hầu hết các quy định mới hơn tập trung vào các công ty có quy mô nhất định, nhưng tiêu chí xác định quy mô thực tế có thể liên quan đến nhiều yếu tố, chẳng hạn như số lượng nhân viên hoặc doanh thu hàng năm. Việc các quy định về quyền riêng tư dữ liệu có được áp dụng hay không cũng có thể phụ thuộc vào khối lượng thông tin người tiêu dùng mà một tổ chức xử lý.
Vấn đề là, mọi bộ quy định đều có sắc thái, đó là lý do tại sao điều quan trọng là phải hiểu cả mức độ liên quan và ranh giới của từng quy định. Điều này cần được theo dõi dưới sự đánh giá thường xuyên, đặc biệt khi các tổ chức phát triển và các quy định bắt đầu được áp dụng ở những nơi mà trước đây chúng không được áp dụng. Ví dụ, đã có những phát triển gần đây xung quanh Khung bảo mật dữ liệu mới của Liên minh Châu Âu và Vương quốc Anh, còn được gọi là Lá chắn bảo mật 2.0, liên quan đến các hoạt động tình báo.
Một nguyên tắc chung là tuân theo các phương pháp hay nhất càng sớm càng tốt, vì vậy khi có nhu cầu tuân thủ chính thức, mọi thứ đã sẵn sàng. Nguy cơ làm sai là nghiêm trọng, với các tổ chức có khả năng phải đối mặt với các khoản tiền phạt lớn vì không tuân thủ. Điều đó không nói lên tác động đến danh tiếng thương hiệu khi vi phạm nghiêm trọng được tiết lộ, bao gồm mất niềm tin của người tiêu dùng, nhân viên hoặc nhà đầu tư, trong đó các tác động có thể kéo dài và đau đớn.
Thời gian cho Luật Liên bang?
Luật bảo mật dữ liệu mới đang được đề xuất một cách thường xuyên. Có năm tiểu bang của Hoa Kỳ sẽ có các quy định chính sẽ có hiệu lực vào năm 2023: California, Virginia, Colorado, Connecticut và Utah. Với 10% các tiểu bang của Hoa Kỳ sẽ được bảo vệ bởi luật bảo mật dữ liệu vào cuối năm tới, rõ ràng là luật liên bang sẽ hữu ích.
Đặc biệt, luật liên bang có thể đóng một vai trò quan trọng trong việc liên kết Hoa Kỳ với các quốc gia khác về chủ đề bảo mật dữ liệu. Nó cũng sẽ cung cấp cho các nhà cung cấp và người dùng sự rõ ràng rất cần thiết về cách sử dụng, lưu trữ và quản lý dữ liệu nhạy cảm. Chỉ riêng điều này thôi cũng đủ để xóa tan sự nhầm lẫn đang lan rộng do quy định chắp vá hiện có. Mặc dù thời điểm chính xác của luật liên bang như ADPPA được đề xuất vẫn chưa rõ ràng, nhưng vấn đề không phải là nếu, mà là khi nào.
Nhìn chung, dữ liệu và các luật chi phối việc bảo vệ dữ liệu tồn tại trong một hệ sinh thái quy định đang phát triển nhanh chóng. Thay đổi hơn nữa — cả trong nước và quốc tế — là không thể tránh khỏi. Do đó, các tổ chức phải tập trung vào các trách nhiệm ngắn hạn và dài hạn trong việc xử lý và bảo vệ dữ liệu. Đó không chỉ là điều đúng đắn cần làm về mặt đạo đức và luân lý, mà còn thể hiện việc ra quyết định đúng đắn vì sức khỏe của doanh nghiệp.
