(KTSG) - Những con số thiệt hại từ xâm phạm dữ liệu cá nhân đang được ước tính chưa rõ ràng. Vậy làm sao để xác định chi phí, thiệt hại của dữ liệu cá nhân trong trường hợp xảy ra tai nạn đánh cắp dữ liệu? Nhà cung cấp dịch vụ, các bên kiểm soát phải đo lường như thế nào để có cách thức ngăn chặn hiệu quả?
- Doanh nghiệp phải gánh gần hết trách nhiệm bảo vệ dữ liệu cá nhân
- Khai thác dữ liệu: Cẩn trọng và bảo vệ tính riêng tư
Mức giá sẵn lòng bán và mua của dữ liệu
Mới đây, việc một cá nhân mua thông tin tài khoản từ nhân viên ngân hàng và bán cho người đặt mua thu về hơn 400 triệu đồng hay việc có người bán thông tin khách hàng chỉ với mức giá 5-10 triệu đồng là một vài trong số vô vàn những vụ vi phạm dữ liệu. Hành vi vi phạm dữ liệu ngày càng đe dọa đời sống, hoạt động kinh tế của các cá nhân, đặc biệt là các tổ chức.
Làm thế nào để xác định những tổn thất mà doanh nghiệp phải chịu và giá trị của dữ liệu phải được định giá như thế nào?
Giá trị của dữ liệu trước tiên phải xuất phát từ chi phí để có được nó. Nghiên cứu về chi phí giao dịch của nhà kinh tế học Ronald H. Coase đã hé mở cho chúng ta thấy hướng giải quyết cho vấn đề này. Chi phí giao dịch, nói dễ hiểu chính là chi phí cần có để đạt được thỏa thuận. Coase chỉ ra rằng chi phí này là khác nhau qua thị trường, doanh nghiệp, nhà nước.
Đối với thị trường - người mua, người bán sẽ đạt được thỏa thuận khi một bên sẵn lòng mua và bên kia sẵn lòng bán với mức giá hợp lý. Để đạt được mức giá thích hợp, một số chi phí nhất định như chi phí thương lượng, chi phí soạn thảo hợp đồng sẽ phát sinh. Các loại chi phí này không thể không tồn tại nhưng có thể được giảm đi một cách đáng kể thông qua tuyển dụng lao động, mở rộng quy mô, mở rộng sản xuất. Thay vì ký thỏa thuận ngắn hạn với từng người, doanh nghiệp sẽ ký những thỏa thuận dài hạn với nhiều người hơn để giảm chi phí này.
Nếu vẫn chưa hình dung doanh nghiệp sẽ giảm chi phí giao dịch dữ liệu như thế nào, bạn có thể nhớ đến trường hợp sử dụng một phần mềm trên điện thoại. Để sử dụng, bạn phải đồng ý hoặc không đồng ý điều khoản sử dụng dịch vụ của nhà cung cấp về việc gửi dữ liệu của bạn cho họ. Thông thường thì các điều khoản thỏa thuận đều giống nhau mỗi khi ai đó sử dụng dịch vụ. Đồng nghĩa văn bản thỏa thuận này như một hợp đồng mẫu, áp dụng chung cho bất cứ ai. Do đó, các chi phí như thương lượng, thỏa thuận, chi phí đi lại, soạn thảo hầu như “biến mất”. Trong trường hợp này, chi phí là thấp hơn, nhưng những rủi ro về quyền riêng tư sẽ xuất hiện. Đó là khi nhà nước cần phải can thiệp.
Nhà nước được ví như một siêu công ty, lại có khả năng áp đặt mức giá chung cho toàn xã hội và buộc các chủ thể dữ liệu tuân thủ thông qua quy định pháp luật và biện pháp trừng phạt. Nên đôi khi chi phí giao dịch qua nhà nước sẽ thấp hơn qua thị trường hay doanh nghiệp. Và quan trọng hơn nhà nước có khả năng điều phối và cân bằng lợi ích của cả cá nhân và doanh nghiệp. Mô hình quản trị dữ liệu của Trung Quốc với một loạt đạo luật mới được khai sinh dung hòa lợi ích giữa cả nhà nước, công dân và doanh nghiệp là một ví dụ.
Trong hoạt động thu thập, xử lý dữ liệu cá nhân, doanh nghiệp muốn chạm tới bể dữ liệu khổng lồ một cách hợp pháp và đầy “lợi nhuận” thì phải có văn bản thỏa thuận. Văn bản thỏa thuận này được cài mặc định trong Nghị định 13/2023 thông qua nhà nước. Nghị định 13 quy định những điều kiện như sự đồng ý, nội dung xử lý, mục đích xử lý,... Nếu thiếu hoặc không phản ánh trung thực, chủ thể dữ liệu có thể sử dụng các quyền của mình trong Nghị định 13 để yêu cầu những biện pháp mang tính ngăn chặn.
Thỏa thuận xử lý dữ liệu, bảo mật dữ liệu giữa nhiều bên lúc này có thể chia thành hai loại:
(1) Thỏa thuận sử dụng, xử lý dữ liệu giữa bên xử lý dữ liệu và bên kiểm soát dữ liệu;
(2) Thỏa thuận sử dụng, xử lý dữ liệu giữa bên kiểm soát dữ liệu và chủ thể dữ liệu.
Cả hai hình thức thỏa thuận này đều tồn tại những chi phí như tiếp cận thông tin, chi phí thương lượng, chi phí đi lại, chi phí hành chính, chi phí lao động,... Tổng các chi phí này theo Coase có thể được gọi dưới một danh từ nổi tiếng là chi phí giao dịch.
Đo lường chi phí - lợi ích để đưa ra các kết luận hiệu quả
Công thức Hand có nguồn gốc từ vụ tranh chấp nổi tiếng United States v. Carroll Towing Co(1) gồm ba đại lượng chính là chi phí ngăn chặn, tổn thất và xác suất xảy ra. Vào năm 1947, thẩm phán Learned Hand đã dùng Hand để xác định số tiền cần bồi thường đối với một tai nạn tàu biển. Đứng trước tình hình chưa có công cụ xác định tổn thất từ vi phạm dữ liệu, công thức Hand là một giải pháp tốt. Công thức Hand có thể được dùng để xác định số tiền cần bồi thường thiệt hại đối với hành vi xâm phạm dữ liệu và giúp chủ doanh nghiệp chi một số tiền hiệu quả cho việc ngăn chặn vi phạm.
B là chi phí để ngăn hành vi xâm phạm dữ liệu bằng cách thực thi những chính sách bảo vệ dữ liệu với những công nghệ phù hợp. Trong Nghị định 13 về bảo vệ dữ liệu cá nhân mới được ban hành, doanh nghiệp sẽ chịu trách nhiệm chính để ngăn chặn vi phạm dữ liệu xảy ra, đặc biệt là những tổ chức có nhiệm vụ kiểm soát và xử lý dữ liệu. Chi phí ngăn chặn được dùng để vận hành sáu hoạt động (xem bảng).
Một minh họa trực quan cho chi phí này, EU, Ponemon ước tính rằng chi phí tuân thủ quy định chung về bảo mật dữ liệu của Liên minh châu Âu trung bình trong năm 2017 là 5,47 triệu đô la Mỹ.
P là khả năng xảy ra hành vi vi phạm dữ liệu. Theo báo cáo của Microsoft, Việt Nam có tỷ lệ mã độc tống tiền cao nhất khu vực châu Á - Thái Bình Dương (năm 2019). Một báo cáo khác của Surface về thống kê vi phạm dữ liệu toàn cầu 2023 cho biết Việt Nam có tỷ lệ xâm phạm dữ liệu là 84%, đứng thứ 22 thế giới. Qua những thông tin trên có thể thấy tình trạng vi phạm dữ liệu ở Việt Nam đang rất đáng báo động.
Giá trị của dữ liệu ngày càng tăng, chắc chắn sẽ làm phát sinh nhu cầu định giá dữ liệu trong tương lai. Chính những điều đó khiến dữ liệu đối mặt với nhiều nguy cơ về xâm phạm và đánh cắp.
L là tổn thất từ vi phạm dữ liệu đó. Tổn thất đầu tiên phải nhắc đến chính là giá trị của chính dữ liệu đã bị mất, chịu ảnh hưởng qua “chi phí giao dịch” cần phải trả trước đó để có được dữ liệu.
Tuy nhiên không chỉ dừng lại ở đó, một công ty sẽ còn phải gánh chịu những tổn thất khác từ bốn giai đoạn sau khi vi phạm dữ liệu xảy ra: phát hiện và điều chỉnh - quá trình giúp công ty phát hiện vi phạm một cách hợp lý (điều tra, thu thập chứng cứ, phân tích dữ liệu hoặc lấy lời khai nhân viên liên quan,...); thông báo - hoạt động mà công ty sử dụng để thông báo cho cá nhân, nhà nước và các bên liên quan khác (thông báo về vi phạm qua e-mail, thư hoặc cuộc gọi đi,...); phản hồi sau vi phạm - quá trình giúp nạn nhân giao tiếp với công ty và đền bù cho nạn nhân và nhà nước (bao gồm bộ phận liên lạc, bảo vệ danh tính, phát hành tài khoản hoặc thẻ tín dụng mới, giảm giá sản phẩm và thanh toán tiền phạt theo quy định,...); tổn thất kinh doanh - tổn thất do mất khách hàng, gián đoạn kinh doanh và tổn thất doanh thu (mất khách hàng cũ và mới, mất uy tín,...).
Theo báo cáo Cost of Data Breach 2022 của IBM, tổn thất từ vi phạm dữ liệu của các công ty trung bình ở khu vực Đông Nam Á là 2,78 triệu đô la Mỹ. Tổn thất từ hành vi xâm phạm dữ liệu (L) là một đại lượng rất phù hợp để xác định số tiền cần bồi thường đối với hành vi xâm phạm dữ liệu.
Ngoài ra, chủ của những doanh nghiệp có thể dựa trên công thức Hand để tự mình so sánh kết quả của (P*L) và (B) để quyết định nên đầu tư bao nhiêu chi phí cho việc ngăn chặn hành vi xâm phạm dữ liệu. Nếu (P*L)>(B) thì chi phí cho việc ngăn chặn là hiệu quả và nên được thực hiện. Từ góc nhìn của nhà lập pháp, công thức Hand như một gợi mở cho một chính sách pháp luật hiệu quả.
Giá trị của dữ liệu ngày càng tăng, chắc chắn sẽ làm phát sinh nhu cầu định giá dữ liệu trong tương lai. Chính những điều đó khiến dữ liệu đối mặt với nhiều nguy cơ về xâm phạm và đánh cắp. Xác định trị giá, thiệt hại, số tiền cần bồi thường là việc phải làm để bảo vệ quyền lợi của người có quyền. Hai cách tiếp cận từ chi phí giao dịch và đo lường chi phí - lợi ích có thể là những cơ sở cho các nghiên cứu trong tương lai.
(*) Khoa Luật, trường Kinh tế, Luật và Quản lý nhà nước, Đại học Kinh Tế TPHCM
(1) United States v. Carroll Towing Co., 159 F.2d 169 (2d. Cir. 1947)