Ngày 3/7, Ủy ban Bảo vệ Dữ liệu cá nhân Hàn Quốc công bố “Kế hoạch tổng thể lần thứ ba về bảo vệ dữ liệu cá nhân giai đoạn 2027-2029”, với trọng tâm là xây dựng môi trường dữ liệu đáng tin cậy cho kỷ nguyên AI, đồng thời hỗ trợ doanh nghiệp đổi mới trên nền tảng niềm tin.
Đây là kế hoạch được ban hành 3 năm một lần theo quy định, do Ủy ban phối hợp với người đứng đầu các cơ quan hành chính trung ương xây dựng. Văn bản lần này đưa ra định hướng chính sách dữ liệu cá nhân cho 3 năm tới, với 4 trụ cột và 12 nhiệm vụ trọng tâm.
Tầm nhìn của kế hoạch là xây dựng một môi trường dữ liệu cá nhân đáng tin cậy, để người dân có thể yên tâm thụ hưởng các lợi ích từ AI. Bốn định hướng lớn gồm: cải tổ hệ thống bảo vệ dữ liệu cá nhân phù hợp với thời đại AI; thiết lập cơ chế bảo vệ theo hướng phòng ngừa; nâng cấp chính sách dữ liệu cá nhân theo hướng chiến lược; và tăng cường quyền lợi của người dân cũng như văn hóa niềm tin.
Một trong những thay đổi đáng chú ý là việc chuyển hệ thống quản lý sang hướng linh hoạt hơn, phù hợp với môi trường AI. Theo Ủy ban, các quy định áp dụng đồng loạt trước đây, vốn được thiết kế trước khi AI phát triển mạnh, đang gây khó cho việc tuân thủ pháp luật và hạn chế khả năng khai thác dữ liệu. Vì vậy, Hàn Quốc sẽ từng bước chuyển sang mô hình bảo vệ dựa trên nguyên tắc và quản lý theo mức độ rủi ro.
Để xử lý nhanh những vướng mắc phát sinh trong quá trình chuyển đổi AI (AX), Ủy ban dự kiến vận hành “Trung tâm hỗ trợ AX an toàn” như một đầu mối hỗ trợ đổi mới theo nhu cầu doanh nghiệp. Cùng với đó, cơ quan này sẽ củng cố nền tảng hỗ trợ MyData (OnMyData), nhằm tăng quyền quyết định của người dân đối với dữ liệu cá nhân của mình, đồng thời chuẩn bị cơ chế để chủ thể dữ liệu có thể được chia sẻ lợi ích tạo ra từ dữ liệu.
Ủy ban cũng cho biết sẽ tăng cường ứng phó rủi ro quyền riêng tư để bảo đảm độ tin cậy của dữ liệu dùng cho AI. Trong đó có việc rà soát cơ cấu trách nhiệm đối với các quyết định do AI tự chủ đưa ra, bảo vệ quyền lợi trong bối cảnh physical AI ngày càng mở rộng phạm vi thu thập thông tin, đồng thời xây dựng hệ thống tiêu chuẩn và quy định bảo vệ cho các công nghệ mới, bao gồm cả khung đánh giá rủi ro.
Từ thực tế thiệt hại do rò rỉ dữ liệu rất khó khắc phục đầy đủ sau khi sự cố xảy ra, Ủy ban đặt mục tiêu chuyển trọng tâm sang phòng ngừa. Cơ quan này sẽ nâng cấp cơ chế kiểm tra định kỳ, tập trung vào các nhóm rủi ro cao và tăng cường kiểm tra liên bộ, qua đó phát hiện sớm điểm yếu và biện pháp bảo vệ còn thiếu trước khi xảy ra sự cố.
Bên cạnh đó, Hàn Quốc sẽ thúc đẩy ứng dụng công nghệ AI vào các hệ thống chứng nhận và đánh giá như ISMS-P, nhằm cải tiến tiêu chí, quy trình và nâng hiệu quả thực thi.
Về phía doanh nghiệp, Ủy ban sẽ tăng các biện pháp khuyến khích đối với hoạt động bảo vệ dữ liệu mang tính chủ động, đồng thời siết trách nhiệm quản lý. Những doanh nghiệp đầu tư cho bảo vệ dữ liệu ở mức cao hơn chuẩn bắt buộc có thể được mở rộng ưu đãi, trong đó có cơ chế giảm tiền phạt trong một số trường hợp rò rỉ dữ liệu. Mục tiêu là khuyến khích doanh nghiệp tự nguyện triển khai các biện pháp bảo vệ từ sớm.
Ủy ban cũng cho biết sẽ làm rõ trách nhiệm của CEO, để vấn đề bảo vệ dữ liệu cá nhân được phản ánh đầy đủ hơn trong quá trình ra quyết định của doanh nghiệp, đồng thời nâng vai trò của CPO.
Ở chiều ngược lại, với các hành vi vi phạm như lơ là nghĩa vụ quản lý, cơ quan này nhấn mạnh sẽ tăng mạnh tính răn đe thông qua điều tra và chế tài nghiêm khắc. Để hỗ trợ việc này, Ủy ban sẽ thúc đẩy các cải cách như áp dụng phạt cưỡng chế nhằm bảo đảm hiệu lực điều tra, đồng thời tiếp tục nâng năng lực điều tra số thông qua việc xây dựng và mở rộng môi trường phân tích kỹ thuật.
Thay vì chủ yếu xử lý sau sự cố như trước đây, Hàn Quốc cũng sẽ tái cơ cấu hệ thống ứng phó theo hướng tăng khả năng phục hồi trước nguy cơ rò rỉ dữ liệu thường trực. Khi xảy ra sự cố tại doanh nghiệp nhỏ và vừa, hỗ trợ sẽ tập trung vào khôi phục kỹ thuật. Ngay cả trước khi có sự cố, nhóm doanh nghiệp vừa, nhỏ và siêu nhỏ cũng sẽ được cung cấp tư vấn theo nhu cầu cùng các chương trình hỗ trợ về bảo vệ dữ liệu và an ninh.
Trong bối cảnh việc sử dụng dữ liệu cá nhân đang mở rộng ở hầu hết lĩnh vực công nghiệp, Ủy ban sẽ thiết lập cơ chế hợp tác liên bộ để đưa bảo vệ dữ liệu cá nhân trở thành nhiệm vụ ở cấp chính phủ. Với các lĩnh vực có rủi ro tương đối cao như viễn thông, giáo dục và việc làm, Ủy ban cùng các bộ chủ quản sẽ xây dựng cơ chế kiểm tra, giám sát chung và thiết lập hệ thống cảnh báo sớm đối với các yếu tố đe dọa dữ liệu cá nhân.
Trước nhu cầu chuyển dữ liệu ra nước ngoài ngày càng tăng trong môi trường AI tạo sinh và điện toán đám mây, cơ quan này cũng có kế hoạch mở rộng mạng lưới chuyển dữ liệu. Sau khi thiết lập khung công nhận tương đương song phương giữa Hàn Quốc và EU, Ủy ban dự kiến mở rộng mạng lưới này sang các thị trường như Anh, Nhật Bản và Mỹ, dựa trên mức độ tương đồng của hệ thống pháp luật và quy mô thương mại.
Đối với người dân, trong bối cảnh ngày càng nhiều trường hợp thiệt hại do rò rỉ dữ liệu và nhu cầu về cơ chế cứu trợ thuận tiện gia tăng, Ủy ban sẽ xây dựng hệ thống một cửa kết nối toàn bộ quy trình từ tiếp nhận khiếu nại, điều tra, hòa giải tranh chấp đến bồi thường thiệt hại khi xảy ra rò rỉ hoặc xâm phạm dữ liệu. Cơ quan này cũng sẽ chuẩn bị nền tảng thể chế để tăng cường bảo đảm quyền của chủ thể dữ liệu.
Bà Song Kyung-hee, Chủ tịch Ủy ban Bảo vệ Dữ liệu cá nhân Hàn Quốc, cho biết kế hoạch 3 năm lần này sẽ tập trung vào việc tái thiết kế hệ thống quản lý dữ liệu cá nhân phù hợp với môi trường AI và xây dựng cơ chế bảo vệ mang tính phòng ngừa, để người dân có thể yên tâm tiếp cận lợi ích từ AI, còn doanh nghiệp có thể thúc đẩy đổi mới trên nền tảng niềm tin.