Từ nửa cuối năm nay, Hàn Quốc sẽ bắt đầu áp dụng cơ chế kiểm tra việc xử lý dữ liệu cá nhân theo mức độ rủi ro, thay cho cách giám sát đồng loạt trước đây.

Ngày 22/5, Ủy ban Bảo vệ Thông tin Cá nhân công bố kế hoạch chi tiết chuyển sang hệ thống quản lý mang tính phòng ngừa tại cuộc họp các Bộ trưởng Kinh tế. Đây là bước tiếp theo sau nội dung đã được báo cáo tại cuộc họp Nội các ngày 12/5, nhằm phát hiện sớm nguy cơ xâm phạm và rò rỉ dữ liệu cá nhân.

Theo kế hoạch, Chính phủ sẽ chia các lĩnh vực xử lý dữ liệu cá nhân thành ba nhóm rủi ro cao, trung bình và thấp, dựa trên quy mô xử lý, mức độ nhạy cảm của dữ liệu và đặc thù từng ngành. Trên cơ sở đó, cơ quan chức năng sẽ áp dụng cơ chế kiểm tra và quản lý theo từng cấp độ rủi ro.

Với nhóm rủi ro cao, nhà chức trách sẽ công bố trước các hạng mục kiểm tra, sau đó tiến hành kiểm tra định kỳ và đột xuất để rà soát hệ thống kiểm soát nội bộ và giảm thiểu nguy cơ sự cố. Trong năm nay, trọng tâm sẽ là các lĩnh vực xử lý khối lượng lớn dữ liệu cá nhân hoặc dữ liệu nhạy cảm, như nền tảng, tổ chức tài chính, cơ quan công, edtech và cơ sở chăm sóc người cao tuổi.

Đối với các lĩnh vực không thuộc nhóm rủi ro cao, Chính phủ dự kiến khuyến khích doanh nghiệp và tổ chức thực hiện đánh giá tác động đối với dữ liệu cá nhân, đồng thời tuân thủ nguyên tắc bảo vệ dữ liệu ngay từ khâu thiết kế (PbD). Từ tháng 9, khi cơ chế khai báo bổ nhiệm CPO được áp dụng, cơ quan chức năng sẽ tăng phối hợp với các hiệp hội và tổ chức như hội đồng CPO để vận hành đường dây nóng, nhanh chóng chia sẻ thông tin về các mối đe dọa mới và hỗ trợ chuẩn bị, ứng phó sớm với các rủi ro cùng loại.

Với các lĩnh vực công nghệ mới như thiết bị Internet vạn vật (IoT) và AI tác tử, cơ quan quản lý cũng sẽ chủ động rà soát các nguy cơ xâm phạm để tránh phát sinh khoảng trống trong công tác bảo vệ dữ liệu cá nhân.

Nguyên tắc PbD, tức đưa yêu cầu bảo vệ dữ liệu cá nhân thành mặc định ngay từ giai đoạn lập kế hoạch, thiết kế và phát triển dịch vụ, cũng sẽ được đưa vào khuôn khổ pháp lý. Để thúc đẩy phổ biến PbD, cơ quan chức năng dự kiến sửa đổi Luật Bảo vệ Thông tin Cá nhân, đồng thời biên soạn và phát hành hướng dẫn cùng các điển hình tốt để tham khảo trong quá trình lập kế hoạch và thiết kế. Các tiêu chí đánh giá, chứng nhận hiện hành như ISMS-P cũng sẽ được bổ sung yêu cầu liên quan đến PbD.

Chính phủ cũng sẽ xây dựng phương án công khai các hoạt động bảo vệ dữ liệu cá nhân, như công bố thông tin bảo mật, qua đó khuyến khích doanh nghiệp mở rộng đầu tư thực chất thay vì chỉ đáp ứng mức tối thiểu theo quy định pháp luật. Công tác quản lý chuỗi cung ứng cũng sẽ được siết chặt trên diện rộng, bao gồm SaaS, điện toán đám mây và các đơn vị nhận ủy thác chuyên môn. Cùng với đó, Hàn Quốc sẽ thúc đẩy R&D đối với các công nghệ tăng cường bảo vệ dữ liệu cá nhân mang tính phòng ngừa (PET), đồng thời đào tạo nhân lực chuyên môn để ngăn chặn tình trạng rò rỉ và lạm dụng dữ liệu cá nhân.

Chủ tịch Ủy ban Bảo vệ Thông tin Cá nhân Song Kyung-hee cho biết cơ quan này sẽ phối hợp với các bộ, ngành liên quan để liên tục kiểm tra thực trạng xử lý dữ liệu và các điểm yếu trong từng lĩnh vực trọng điểm, qua đó vận hành ổn định cơ chế quản lý phòng ngừa theo mức độ rủi ro.