Quy định pháp luật và các biện pháp công nghệ nhằm bảo vệ sự riêng tư

Một phần của tài liệu Giáo trình Chính phủ điện tử: Phần 2 (Trang 97 - 102)

I Cung cấp trực tuyến hoàn toàn

MỘT SÓ GÓC Độ XÃ HỘI, VĂN HÓA, ĐẠO ĐỨC VÀ PHÁP LUẬT TRONG CHÍNH PHỦ ĐIỆN TỬ

4.3.4. Quy định pháp luật và các biện pháp công nghệ nhằm bảo vệ sự riêng tư

bảo vệ sự riêng tư

4.3.4.1. Quy định pháp luật về bảo vệ quyền riêng tư

Để bảo vệ quyền riêng tư của cơng dân, cần có hệ thống pháp luật liên quan đến vấn đề này. Hệ thống luật bảo vệ quyền riêng tư bao gồm:

- Luật riêng tư về y tế; - Luật riêng tư về tài chỉnh; - Luật riêng tư trên Internet; - Luật riêng tư trong giao tiếp; - Luật riêng tư thông tin; - Bảo vệ riêng tư tại nhà.

Pháp luật quốc tế bảo vệ bí mật cá nhân thống nhất trên các nguyên tắc chung:

- Hạn chế thu thập dữ liệu cá nhân: dữ liệu cần được thu thập

khơng nhiều hom mức cần thiết để hồn tất giao dịch. Các dữ liệu đó phải được thu thập bằng các phương tiện hợp pháp và công bằng khi thích hợp, được chủ thể dữ liệu biết hoặc đồng ý.

- Chất lượng dữ liệu: Dữ liệu cá nhân phải phù hợp với các mục

đích sử dụng, chính xác, đầy đủ và cập nhật.

- Mục đích xác định: Khi dữ liệu cá nhân được thu thập thì mục

đích thu thập để sử dụng sau này cần được xác định.

- Sử dụng hạn chế: Dữ liệu cá nhân không được tiết lộ, không được

sử dụng cho các mục đích khác ngồi quy định. Các trường hợp "ngoại trừ” phải được sự đồng ý của chủ thể dữ liệu hoặc thẩm quyền của pháp luật.

- Bảo mật: Dữ liệu cá nhân cần được bảo vệ bằng biện pháp bào vệ

an ninh họp lý, chống mất mát hoặc truy cập trái phép, phá hoại, sử dụng, sửa đổi hoặc tiết lộ.

- Tính mở: Nói chung, khơng được thu thập dữ liệu cá nhân một

cách bí mật. cần có tính mờ, minh bạch frong thực tiễn và chính sách dữ liệu. Phải có sẵn các phương tiện cho cá nhân xác định sự tồn tại và bản chất của cơ sở dữ liệu, mục đích chính của việc sử dụng chúng và danh tính của các thực thể chịu trách nhiệm về cơ sở dữ liệu.

- Tiếp cận (sự tham gia của cá nhân): Một cá nhân có quyền truy

cập tới dữ liệu bất kỳ về người đó được quản lý bởi người điều khiển dữ liệu. Việc này bao gồm:

+ (a) Xác nhận có hay khơng có thực thể sở hữu dữ liệu liên quan đến người đó;

+ (b) Người đó có khả năng có được bản sao của dữ liệu liên quan đến bản thân trong một thời gian hợp lý; nếu phải ừả phí thì phí khơng q cao; cách thức tiếp cận dữ liệu cần họp lý và dễ hiểu;

+ (c) Đưa ra được lý do nếu một ừong các yêu cầu theo điểm (a) và (b) bị từ chối và cá nhân có khả năng phản kháng sự từ chối đó;

+ (d) Nếu phản kháng về dữ liệu liên quan đến cá nhân thành cơng, thì dữ liệu có thể bị xóa, sửa chữa hoặc bổ sung hồn thiện.

- Trách nhiệm: các đối tượng thu thập dữ liệu phải bị cưỡng chế

bằng các biện pháp có hiệu lực đối với các nguyên tắc đã nêu ở trên.

Họp 4.5: Quy đjnh pháp luật vồbảó vộ quyồn riỗng tư ở Việt Na m Việt Nam hiện chưa có luật riêng quy định về việc bảo vệ quyền nống tư. Thuật ngữ 'quyền riêng tư* cũng chưa được đính nghĩa về mặt pháp lý một

cáchtrọn vẹn. ' 'r -

Trong các vản bản pháp luật hiện hành có một vài quy định vè 'quyền riêng tư*: Điều 21 Hiến pháp 2013 qụy đỉnh mọi người có.quyền bất khả xâm phạm về đời sống riêng tứ, bí mật cá nhân ' và bĩ mật gia đình hay mọi người có quyền bí mật thư tln, điện thoại, điện tín và các hình thức trao đổi thống tin riêng tư khác. Khống ai được bóc mở, kiểm sốt, thú giữ trái luật thư tin, điện thoại, điện tín và các hình thức bao đổi thơng tin riêng tư cua người khác. Điều 34 bong Bộ luật Dân sự 2015 quy đinh nội dung tương tự. í/' -

4.3.4.2. Các biện pháp công nghệ nhằm bảo vệ sự riêng tư Tăng cường an tồn thơng tin

An tồn thơng tin là một quá trình thiết lập định hướng cơ bản các hoạt động và đánh giá tài sản của các hệ thống thơng tin, xây dựng và triển khai quy trình, cơng nghệ, mạng lưới, các phần mềm, xác định các mối đe dọa, các điểm dễ bị tổn thương và rủi ro, tạo thành một chiến lược để cân nhắc và quản lý rủi ro, thực hiện chiến lược, kiểm fra việc thực hiện liên tục và giám sát môi trường để kiểm soát những rùi ro hoặc cải tiến việc bảo vệ an ninh.

An tồn thơng tin khơng chỉ là cài đặt các thiết bị bảo mật mới nhất và triển khai các công nghệ bảo mật hiện đại nhất. An ninh thông tin là một sự kết hợp của kinh doanh, quản lý và các giải pháp kỹ thuật. Nó là một q trình, khơng phải là một kết quả cuối cùng.

Một chương trình an tồn thơng tin nên bao gôm các yêu tô cơ bản sau đây:

- Thiết lập bản kiểm kê tài sàn thông tin của tổ chức;

- Xác định những lỗ hổng và các mối đe dọa (trong và ngoài) ảnh hưởng đến các tài sản đó;

- Đánh giá những thiệt hại có thể gây ra cho tổ chức nếu các lỗ hổng bị các mối đe dọa khai thác thành công;

- Xác định những biện pháp thích hợp để bảo vệ tài sản thơng tin; - Thực hiện các quy trình quàn lý rủi ro và các biện pháp an ninh để bào vệ tính bí mật, tính tồn vẹn và tính sẵn sàng của tài sản dựa trên máy tính, bao gồm:

+ Cài đặt tường lửa, phần mềm chống virus và hệ thống phát hiện xâm nhập;

+ Triển khai bảo vệ bằng cơng nghệ mã hóa mạnh đối với các dữ liệu nhạy cảm;

+ Xây dựng và thực hiện các chính sách an ninh phù hợp; + Thực hiện đào tạo liên tục nhân viên;

+ Duy trì mạng lưới giám sát và giám sát an ninh; + Tiến hành kiểm ưa;

+ Thiết lập lực lượng ứng phó sự cố và khả năng phục hồi, bao gồm lưu trữ dữ liệu dự phòng (back-up) và các hoạt động ưang web thay thế nếu cần thiết.

Triển khai công nghệ P3P

Nền tảng cho Dự án các tuỳ chọn riêng tư (The Platform for Privacy Preferences Project - P3P) là một giao thức cho phép các ưang web khai báo mục đích sử dụng của chúng đối với các thông tin mà chúng thu thập được về người sử dụng trình duyệt web.

P3P được thiết kế để cung cấp cho người dùng khả năng điều khiển chính xác hơn các loại thông tin cá nhân mà họ cho phép phát hành lên web. Theo W3C, mục tiêu chính của P3P "là để tăng sự tin tưởng của người dùng và tự tin frong ừang web thông qua trao quyền kỹ thuật".20

20 https://www.w3.org/P3P/

P3P quản lý thông tin thông qua các chính sách bảo mật. Khi một ưang web sử dụng P3P, một tập hợp các chính sách được thiết lập bởi chủ ừang web cho phép họ tuyên bố mục đích sử dụng thơng tin cá nhân thu thập từ khách truy cập trang web.

Nội dung chính của chính sách bảo vệ gồm những vấn đề:

- Thơng tin nào máy chủ lưu trữ:

+ Loại thông tin nào được thu thập (được xác định hay không); + Thông tin cụ thể nào được thu thập (địa chi IP, địa chỉ email, tên...);

- Sử dụng các thông tin thu thập được:

+ Thông tin này được sử dụng như thế nào (để điều hướng thường xuyên, theo dõi, cá nhân hóa, marketing,...);

+ Ai sẽ nhận thông tin này (tổ chức hiện tại, bên thứ ba,...);

- Tính thường xuyên và khả năng hiển thị:

+ Thông tin được lưu trữ trong bao lâu;

+ Liệu người dùng có thể tiếp cận được hay khơng và tiếp cận như thế nào tới thông tin được lưu trữ: chỉ đọc, cho phép (opt-in) và không cho phép (opt-out).

Khi một người dùng quyết định sử dụng P3P, người dùng đặt thiết lập của riêng mình về chính sách và tun bố những thông tin cá nhân nào được phép nhìn thấy bởi các trang web mà họ truy cập.

Sau đó, khi người dùng truy cập một trang web, P3P sẽ so sánh những thông tin cá nhân của người dùng săn sàng công bố và những

thông tin nào máy chủ muốn nhận được - nếu hai bên không phù hợp, P3P sẽ thông báo cho người sử dụng và hỏi liệu người dùng có mong muốn tiếp tục lướt Wang web hay không và rủi ro từ bỏ thơng tin cá nhân. Ví dụ, người dùng có thể lưu trữ frong trình duyệt thơng tin về thói quen duyệt web của mình khơng nên được thu thập. Nếu chính sách của một website nói rằng một cookie được sử dụng cho mục đích này, trình duyệt sẽ tự động từ chối cookie.

Nhược điểm của P3P là khá phức tạp đối với người dùng.

Một phần của tài liệu Giáo trình Chính phủ điện tử: Phần 2 (Trang 97 - 102)

Tải bản đầy đủ (PDF)

(177 trang)