Từ nửa cuối năm nay, Hàn Quốc sẽ kiểm tra định kỳ các hệ thống công trọng yếu cùng khoảng 1.700 hệ thống rủi ro cao đang xử lý khối lượng lớn dữ liệu cá nhân. Song song đó, các doanh nghiệp và cơ quan đầu tư chủ động cho bảo vệ dữ liệu cũng sẽ được hưởng ưu đãi.

Ngày 12/5, Ủy ban Bảo vệ thông tin cá nhân Hàn Quốc cho biết đã báo cáo tại cuộc họp nội các do Tổng thống chủ trì về kế hoạch chuyển hệ thống quản trị dữ liệu cá nhân sang mô hình phòng ngừa.

Theo kế hoạch, với các hành vi vi phạm Luật Bảo vệ thông tin cá nhân có tính chất nghiêm trọng hoặc tái diễn, cơ quan này đặt mục tiêu tăng sức răn đe bằng chế tài kinh tế, trong đó mức phạt hành chính tối đa có thể lên tới 10% doanh thu.

Cách tính mức phạt cũng sẽ được điều chỉnh. Thay vì chỉ dựa trên “doanh thu trung bình 3 năm”, cơ quan quản lý dự kiến áp dụng mức cao hơn giữa “doanh thu năm liền trước” và “doanh thu trung bình 3 năm”. Đồng thời, một cơ chế phạt cưỡng chế cũng được xem xét bổ sung để đẩy nhanh quá trình điều tra và xử lý.

Các hành vi che giấu chứng cứ sẽ bị tăng mức xử phạt, trong khi cơ chế khen thưởng người tố giác cũng đang được xúc tiến. Với các vi phạm nhẹ của doanh nghiệp siêu nhỏ, nhà chức trách sẽ tạo điều kiện để khắc phục và ngăn tái phạm, nhưng sẽ xử lý nghiêm nếu vi phạm lặp lại.

Kế hoạch mới cũng nhấn mạnh việc mở rộng đầu tư tự nguyện cho bảo vệ dữ liệu cá nhân và xây dựng cơ chế quản trị dựa trên rủi ro. Mục tiêu là đưa doanh nghiệp vượt qua mức tuân thủ hình thức, tăng đầu tư thực chất để nâng cao năng lực bảo vệ và củng cố trách nhiệm quản trị.

Trong thời gian tới, Ủy ban sẽ đánh giá tổng hợp các biện pháp bảo vệ chủ động vượt chuẩn tối thiểu của luật, mức đầu tư an ninh và hiệu quả vận hành hệ thống quản lý an toàn để áp dụng các ưu đãi như giảm mức phạt hành chính. Trước thời điểm quy định về trách nhiệm bảo vệ dữ liệu của ban lãnh đạo có hiệu lực từ tháng 9, cơ quan này cũng dự kiến khuyến khích doanh nghiệp công bố hoạt động bảo vệ dữ liệu nhằm thúc đẩy tự nâng cao năng lực bảo vệ.

Ở cấp quản lý, Ủy ban sẽ thiết lập cơ chế giám sát dựa trên rủi ro và phân tầng kiểm tra theo mức độ rủi ro của từng nhóm hệ thống. Trong đó, 387 hệ thống công trọng yếu cùng các lĩnh vực có rủi ro cao như giáo dục và phúc lợi sẽ nằm trong diện quản lý trọng điểm do Ủy ban trực tiếp theo dõi.

Để nâng năng lực cạnh tranh về bảo vệ dữ liệu cá nhân của doanh nghiệp và toàn ngành, phạm vi kiểm tra sẽ được mở rộng ra toàn bộ chuỗi cung ứng, bao gồm nhà cung cấp dịch vụ điện toán đám mây, đơn vị nhận ủy thác chuyên môn và nhà cung cấp hệ thống. Hiện Ủy ban đang thanh tra các công ty dịch vụ tang lễ và trung tâm chăm sóc khách hàng; đợt kiểm tra này dự kiến sớm hoàn tất, kèm theo các khuyến nghị khắc phục đối với những thiếu sót được phát hiện.

Ủy ban cho rằng trong bối cảnh môi trường xử lý dữ liệu cá nhân ngày càng phức tạp, việc phát hiện hoặc ngăn chặn hành vi xâm phạm sau khi hệ thống, dịch vụ đi vào vận hành là không dễ. Vì vậy, yêu cầu bảo vệ dữ liệu cần được đưa vào ngay từ giai đoạn thiết kế hệ thống.

Theo định hướng này, Ủy ban sẽ đưa nguyên tắc Privacy by Design vào khuôn khổ quy định. Cơ quan này dự kiến bổ sung nguyên tắc trên vào tiêu chí đánh giá tác động dữ liệu cá nhân và tiêu chuẩn chứng nhận ISMS-P.

Ủy ban cho biết khảo sát hiện trạng thực hiện trong tháng 2 cho thấy khu vực công đang thiếu cả nhân lực lẫn ngân sách dành cho bảo vệ dữ liệu cá nhân. Cơ quan này sẽ phối hợp với các bộ, ngành liên quan để tăng nhân sự chuyên trách và nguồn lực ngân sách, đồng thời thúc đẩy hợp tác công - tư nhằm nâng mặt bằng bảo vệ chung. Việc cải thiện chế độ đãi ngộ cho nhân sự chuyên trách cũng sẽ được thúc đẩy.

Ngoài ra, Ủy ban sẽ đẩy mạnh cơ chế bồi thường thiệt hại theo luật theo hướng chuyển phần lớn nghĩa vụ chứng minh sang phía doanh nghiệp. Những hành vi như sử dụng “dark pattern” khiến người dùng bị đánh lừa hoặc hiểu sai, từ đó gặp khó khăn khi chỉnh sửa dữ liệu, rút lại sự đồng ý hoặc hủy tài khoản, sẽ là đối tượng kiểm tra trọng điểm. Trung tâm tiếp nhận tố cáo xâm phạm dữ liệu cá nhân cũng sẽ được tăng cường chức năng, bao gồm tư vấn chuyên sâu, tư vấn triển khai và hỗ trợ biện pháp khắc phục thiệt hại.

Khi xảy ra rò rỉ dữ liệu nhạy cảm, cơ quan này sẽ theo dõi hoạt động phát tán trái phép trên mạng xã hội để kịp thời phát hiện và gỡ bỏ. Đồng thời, Ủy ban sẽ phối hợp với cơ quan điều tra để truy vết và xử lý nghiêm đến cùng các đối tượng phát tán cũng như sử dụng trái phép dữ liệu.

Chủ tịch Ủy ban Bảo vệ thông tin cá nhân Song Kyung-hee nhấn mạnh: “Cũng như nhiều sự cố khác, một khi dữ liệu cá nhân bị rò rỉ thì rất khó khôi phục hoàn toàn thiệt hại, còn quá trình phục hồi lại mất nhiều thời gian”.

Theo bà, Ủy ban sẽ xây dựng một hệ thống có khả năng phòng ngừa và vận hành hiệu quả, thay vì chỉ tập trung vào trách nhiệm xử lý sau sự cố, qua đó bảo vệ an toàn hơn dữ liệu của người dân và tạo dựng môi trường sử dụng dữ liệu cá nhân đáng tin cậy.