C (Kiểm tra) giám sát và soát xét ISMS
A (Hành động) Duy trì và cải tiến ISMS
4.3.2. Bảo vệ quyền riêng tư và thông tin cá nhân
4.3.2.a. Khái niệm quyền riêng tư và thông tin cá nhân
Thông tin cá nhân bao hàm nghĩa khá rộng, nhưng một cách chung nhất thông tin cá nhân là bất kỳ thông tin có thể dùng để liên hệ hoặc phân biệt một cá nhân.
120 Theo chính sách quyền riêng tư và bảo vệ dữ liệu cá nhân toàn cầu củaCisco: Thông tin cá nhân là mọi thông tin liên quan đến thể nhân được nhận dạng hoặc có thể nhận dạng (“chủ thể dữ liệu”); thể nhân là một người có thể được nhận dạng, trực tiếp hoặc gián tiếp, cụ thể là bằng cách tham chiếu tới mã định danh ví dụ như tên, số định danh, dữ liệu vị trí, mã định danh trực tuyến hoặc tới một hay nhiều nhân tố cụ thể về nhận dạng thể chất, sinh lý, giới tính, tinh thần, kinh tế, văn hóa hoặc xã hội của thể nhân đang sống.
Việc bảo vệ quyền riêng tư trong không gian kỹ thuật số được quan tâm ở rất nhiều quốc gia, khu vực và thế giới thông qua hệ thống pháp luậtcủa các quốc gia và quy định chung ở phạm vi khu vực và thế giới. Vd: Luật “Bảo vệ dữ liệu cá nhân” của Pháp 1978, Luật “Bảo vệ dữ liệu cá nhân” của Arghentina 2000, Luật “Riêng tư truyền thông điện tử” (ECPA) của Mỹ 1986. Liên minh châu Âu đã đi đầu trong việc phát triển khuôn khổ pháp lý và thể chế liên quan, bao gồm các quy định về bảo vệ dữ liệu (Directive 95/46/EC) 1995, được thay thế bởi Quy định bảo vệ dữ liệu chung (GDPR) 2016. Tổ chức OECD cũng đã thông qua Hướng dẫn của OECD về bảo vệ riêng tư và dữ liệu cá nhân xuyên biên giới 1980, và “Hướng dẫn của OECD về bảo vệ người tiêu dùng trong bối cảnh Thương mại điện tử” (OECD Guidelines for Consumer Protection in the Context of Electronic Commerce, 1999).
Cho đến nay văn kiện nổi bật nhất quy mô toàn cầu, được Đại hội đồng Liên hợp quốc thông qua vào năm 2013, là Nghị quyết 68/167 về “Quyền riêng tư trong thời đại kỹ thuật số”. Nghị quyết khẳng định rằng các quyền con người trong đời sống thực (Offline) cũng phải được bảo vệ trực tuyến (Online) và kêu gọi tất cả các quốc gia tôn trọng và bảo vệ quyền riêng tư trong truyền thông kỹ thuật số.
Tại Việt Nam, nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về “Ứng dụng công nghệ thông tin trong hoạt động của cơ quan Nhà nước” là văn bản pháp luật đầu tiên đưa ra khái niệm thông tin cá nhân mang tính khái quát. Khoản 5 Điều 3 Nghị định này quy định: “Thông tin cá nhân là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác”. Ngoài Nghị định 64/2007/NĐ- CP nêu trên, đạo luật có tính hệ thống về quyền riêng tư và thông tin cá nhân là Luật An toàn thông tin mạng (2015). Trong đó khoản 15, điều 3 Luật An toàn thông tin mạng quy định khá chung chung: “Thông tin cá nhân thông tin gắn với việc xác định danh tính của một người cụ thể”.
Quyền riêng tư và thông tin cá nhân được bảo vệ theo các nguyên tắc cơ bản sau: (1) Công bằng: phải xử lý thông tin cá nhân hợp pháp, công bằng và theo cách minh bạch;
(2) Giới hạn mục đích: chỉ được thu thập thông tin cá nhân cho (các) mục đích cụ thể, rõ ràng và hợp pháp. Mọi quy trình xử lý tiếp theo phải tuân theo (các) mục đích này, trừ khi có được sự chấp thuận của cá nhân hoặc việc xử lý đó được pháp luật cho phép.
(3) Tính tương xứng: chỉ được xử lý thông tin cá nhân thích hợp, liên quan và không vượt quá (các) mục đích xử lý thông tin đó.
121 (4) Tính toàn vẹn của thông tin: phải đảm bảo thông tin cá nhân chính xác, đầy đủ và cập nhật ở mức độ cần thiết để phục vụ (các) mục đích xử lý thông tin.
(5) Lưu trữ thông tin: phải duy trì thông tin cá nhân ở dạng có thể nhận dạng cá nhân khi không còn cần để thực hiện (các) mục đích khi thu thập thông tin cá nhân hoặc (các) mục đích được phép khác.
(6) Bảo mật thông tin: phải thực hiện các biện pháp kỹ thuật, có tổ chức hợp lý và phù hợp để bảo vệ thông tin cá nhân khỏi việc phá hoại không chủ ý hoặc trái phép hay sự thay đổi, mất mát ngẫu nhiên, tiết lộ, sử dụng hoặc truy cập trái phép.
(7) Quyền cá nhân: phải xử lý thông tin cá nhân theo cách thức tôn trọng quyền cá nhân theo luật bảo vệ thông tin hiện hành.
(8) Trách nhiệm giải trình: phải thực hiện các biện pháp kiểm soát, quy trình và chính sách thích hợp cũng như các biện pháp cần thiết khác để chứng minh việc xử lý thông tin cá nhân tuân thủ các chính sách Quyền riêng tư và bảo vệ thông tin cá nhân theo qui định hiện hành ở phạm vi thực thi của các chính sách đó (quốc gia, quốc tế, tổ chức).
Tại Việt Nam, điều 16 Luật An toàn thông tin mạng qui định “Nguyên tắc bảo vệ thông tin cá nhân trên mạng” cụ thể như sau:
“Cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng;
Cơ quan, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý;
Tổ chức, cá nhân xử lý thông tin cá nhân phải xây dựng và công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của tổ chức, cá nhân mình;
Việc bảo vệ thông tin cá nhân thực hiện theo quy định của Luật này và quy định khác của pháp luật có liên quan;
Việc xử lý thông tin cá nhân phục vụ mục đích bảo đảm quốc phòng, an ninh, trật tự, an toàn xã hội hoặc không nhằm mục đích thương mại được thực hiện theo quy định khác của pháp luật có liên quan.