Dữ liệu cá nhân: Dao hai lưỡi với doanh nghiệp?

Năm 2019 kết thúc với hàng loạt các vụ rò rỉ thông tin cá nhân của người dùng trong nước ở nhiều ngành, lĩnh vực. Hệ luỵ từ các vụ rò rỉ thông tin cá nhân đã được nhiều chuyên gia chỉ ra. Nhưng từ phía người dùng, câu hỏi mới được đặt ra là liệu người dùng có bị thu thập quá nhiều thông tin, ngoài nhu cầu thật của doanh nghiệp không?

Phóng viên BizLIVE đã có cuộc trao đổi với ông Pierre Bonnet, Phó Chủ tịch về sản phẩm của Tibco.

- Trong một số ngành ví dụ như tài chính, thông tin cá nhân của người dùng đang được các doanh nghiệp khai thác triệt để, thậm chí cả thông tin của người thân khách hàng. Vậy theo ông, dữ liệu cá nhân người dùng nên khai thác ở mức độ nào? Việc khai thác quá mức có trở thành vấn đề với doanh nghiệp không?

Hiện nay trong ngành tài chính, các doanh nghiệp cần sử dụng dữ liệu cá nhân khách hàng để xác định các thông tin cụ thể của cá nhân khách hàng và tư vấn cho khách hàng các sản phẩm phù hợp với nhu cầu của họ.

Như vậy, các công ty tài chính cần có cách tiếp cận thông tin khách hàng theo cách cân bằng, công ty chỉ lấy đủ dữ liệu cho việc xét duyệt và tư vấn cho khách hàng, còn khách hàng lại luôn được đảm bảo về những dữ liệu cung cấp và mục đích sử dụng của những dữ liệu này.

Nhưng thực tế, cung cấp dữ liệu và sử dụng dữ liệu một cách cân bằng đang là việc khó thực hiện. Các doanh nghiệp buộc phải khai thác thêm thông tin nếu những dữ liệu họ đã có không chính xác hoặc lỗi. Trong khi khách hàng lại không muốn chia sẻ thông tin cho doanh nghiệp vì có quá nhiều vụ rò rỉ dữ liệu.

Trong một môi trường cạnh tranh, sự bền vững của một doanh nghiệp phụ thuộc vào niềm tin của thị trường vào doanh nghiệp đó. Nếu hệ thống thông tin không minh bạch, không rõ ràng, việc sử dụng dữ liệu có thể trở thành rủi ro thay vì cơ hội cho doanh nghiệp.

- Trước hàng loạt vụ về rò rỉ dữ liệu khách hàng, các doanh nghiệp nên làm gì để bảo vệ dữ liệu người dùng?

Với câu hỏi doanh nghiệp nên làm gì để bảo vệ tốt hơn dữ liệu người dùng, theo tôi nó liên quan đến đạo đức của từng doanh nghiệp. Mỗi công ty nên chấp nhận việc soạn ra một điều lệ về dữ liệu, sau đó công bố rộng rãi. Điều lệ này sẽ nhấn mạnh tính pháp lý của việc thu thập và sử dụng dữ liệu. Trong thị trường hiện nay, điều này sẽ giúp doanh nghiệp bảo vệ tốt hơn dữ liệu khách hàng của họ.

Trong vài năm gần đây, thông điệp "dữ liệu biết về bạn nhiều hơn bạn biết về nó" đã trở thành sự thật. Rõ ràng bạn có nhiều hơn hay ít hơn khách hàng một phần phụ thuộc việc khách hàng của bạn có sợ bị lộ dữ liệu cá nhân không.

Tuy nhiên, ngay cả khi các công ty đã có tiêu chuẩn đạo đức trong sử dụng dữ liệu rất rõ ràng cũng không có nghĩa công ty có khả năng thực hiện theo đúng các điều được nêu. Quá trình chuyển đổi số đang khiến các doanh nghiệp mất đi quyền kiểm soát dữ liệu của họ.

Các doanh nghiệp hiện nay khi chuyển đổi số thường chỉ áp dụng các tiêu chuẩn về dữ liệu mới vào một hệ thống quản lý thông tin chung cũ và cứng nhắc. Về lâu dài, đây không phải là cách để đảm bảo cho dữ liệu của người dùng.

- Nhiều nước trên thế giới đã luật hoá việc bảo vệ dữ liệu cá nhân của người dùng, Việt Nam có thể học hỏi gì từ những kinh nghiệm này?

Việc luật hoá vấn đề bảo vệ thông tin cá nhân người dùng là điều cần thiết. Ở châu Âu, các nước EU đã có quy định GDPR (Quy định bảo vệ dữ liệu chung). Hai điểm quan trọng nhất của luật này đối với người dùng cuối là: quyền được xoá bỏ dữ liệu và tính di động của dữ liệu.

Đầu tiên là người dùng có quyền xoá bỏ toàn bộ dữ liệu cá nhân của mình đã được công ty nào đó thu thập. Điểm thứ 2 là khách hàng có thể yêu cầu một bản sao của dữ liệu cá nhân mình, sau đó có thể cho các công ty khác sử dụng lại.

Như vậy kết hợp của 2 điều này, khách hàng có được khả năng yêu cầu công ty đầu tiên xoá toàn bộ dữ liệu cá nhân mình, sau đó mang bản sao cho một công ty khác sử dụng.

Khi đã có luật, các công ty sẽ buộc phải tuân thủ, nhưng cơ quan quản lý cũng sẽ gặp vấn đề với khả năng kiểm tra các doanh nghiệp có làm theo luật không, đặc biệt là việc họ có chịu xoá dữ liệu như khách hàng yêu cầu không?

Ngoài ra còn một dạng dữ liệu khác là các dữ liệu ẩn danh (dữ liệu liên quan đến cá nhân nhưng không đi kèm chi tiết cụ thể chứng minh dữ liệu đó của người nào). Các doanh nghiệp có quyền giữ lại các dữ liệu này. Nhưng liệu sau khi xoá phần thông tin cá nhân, các doanh nghiệp có cố tình khôi phục để dữ liệu đó trở nên cụ thể của ai không?

Việc có quy định như GDPR là điều tốt nhưng thực tế nó vẫn có những mặt trái:

Đó là các công ty lớn thu thập dữ liệu người dùng bằng những cách phức tạp đến mức cơ quan chức năng không thể kiểm soát được. Luật sẽ gặp tình trạng không theo kịp tốc độ phát triển của công nghệ .

Các công ty nhỏ sẽ gặp sức ép từ các tập đoàn lớn do họ không đủ năng lực để bảo vệ dữ liệu người dùng của họ trước tấn công mạng hoặc các vụ rò rỉ, buộc họ phải bỏ nhiều chi phí ra để làm điều này và khiến họ mất ưu thế trước các tập đoàn lớn.

Do đó, mục tiêu cuối cùng của luật bảo vệ dữ liệu cá nhân vẫn cần tập trung vào các quy tắc tự kiểm tra chất lượng và tính minh bạch của hệ thống quản lý thông tin các doanh nghiệp.