Untitled

mail@pastecode.io avatar
unknown
plain_text
a year ago
19 kB
0
Indexable
Never
GDPR - Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu. GDPR áp dụng cho cả người dân EU và các tổ chức kinh doanh với họ. nhấn mạnh rằng GDPR không chỉ ảnh hưởng đến công nghệ mà còn tác động đến chiến lược kinh doanh, do vi phạm GDPR có thể dẫn đến phạt lên đến 2% tổng doanh thu kinh doanh toàn cầu của tổ chức.

Các bài học này bao gồm các chủ đề sau:

Tổng quan về các luật và quy định quan trọng mà các tổ chức công nghệ mới nổi có thể phải tuân theo.

Tổng quan về các tiêu chuẩn chính và các phương pháp thực hành tốt nhất có thể hướng dẫn sự phát triển và vận hành đạo đức trong một tổ chức dựa trên dữ liệu.
Mặc dù không phải mọi quy định hoặc tiêu chuẩn đều có thể áp dụng cho tổ chức của bạn nhưng tìm hiểu về chúng là một bước quan trọng để đảm bảo rằng tổ chức dựa trên dữ liệu của bạn đang tuân theo kế hoạch duy trì các giá trị đạo đức.
Đầu tiên: WHAT IS REGULATION
Quy định là gì?

Quy định là các luật hoặc quy tắc được tạo ra bởi các người đại diện mà chúng ta bầu chọn, sau khi tham khảo ý kiến của các chuyên gia về lĩnh vực đó. Chúng có giá trị pháp lý và phải tuân thủ theo luật pháp của quốc gia.
Khác biệt giữa Quy định và Khuôn khổ Đạo đức

Khuôn khổ đạo đức là một tập hợp các nguyên tắc và giá trị dùng để xây dựng và hướng dẫn về quy định. Tuy nhiên, chúng không thể áp dụng trực tiếp và chỉ cung cấp nền tảng cho hành vi đạo đức và an toàn trong xã hội.
Cách quy định về công nghệ dựa trên dữ liệu ra đời

Hiệp định 108 của Hội đồng Châu Âu năm 1981 đánh dấu sự ra đời của quy định về công nghệ dựa trên dữ liệu. Hiệp định này giúp đảm bảo quyền riêng tư được bảo vệ một cách hợp pháp.
Ví dụ:

Quy định:

Ví dụ: Luật giao thông đường bộ quy định tốc độ tối đa cho xe là 60 km/h trong khu vực đô thị. Đây là một quy định giúp đảm bảo an toàn giao thông.
Khuôn khổ Đạo đức:

Ví dụ: 
Tôn trọng Quyền của Người Khác:
Người tham gia giao thông cần phải tôn trọng quyền và an toàn của những người khác trên đường. Việc tuân thủ tốc độ tối đa là một biểu thị của sự tôn trọng này.

Quy định về công nghệ dựa trên dữ liệu:

Ví dụ: GDPR (Quy định chung về bảo vệ dữ liệu) yêu cầu các tổ chức phải bảo vệ thông tin cá nhân của người dùng. Việc không tuân thủ có thể dẫn đến phạt nặng. Đây là một quy định quan trọng để đảm bảo quyền riêng tư của mọi người.
Ví dụ cuối cùng (tiếp theo phần bị cắt ngắn trong văn bản gốc):

Ví dụ: Khi chúng ta sử dụng trí tuệ nhân tạo (AI) để phân tích dữ liệu khách hàng, quy định về bảo vệ dữ liệu trở nên cực kỳ quan trọng. GDPR yêu cầu chúng ta phải đảm bảo rằng thông tin cá nhân không bị lộ ra ngoài và phải được xử lý một cách an toàn và minh bạch. Việc không tuân thủ quy định này có thể dẫn đến hậu quả pháp lý và ảnh hưởng đến danh tiếng của tổ chức.



Slide 2:
Quy định về Quy tắc Thực hành Thông tin Công bằng (FTC) là một bộ luật được thiết lập để bảo vệ quyền riêng tư của người tiêu dùng, đặc biệt trong việc sử dụng thông tin cá nhân trong các hệ thống dữ liệu tự động. Các quyền chính bao gồm:

Thông báo và Nhận thức: Người tiêu dùng có quyền biết thông tin cá nhân của họ đang được thu thập và cách sử dụng.

Lựa chọn và Đồng ý: Người tiêu dùng có quyền chọn tham gia hoặc từ chối việc thu thập thông tin cá nhân và kiểm soát cách sử dụng nó.

Truy cập và Tham gia: Người tiêu dùng có quyền xem và kiểm tra tính chính xác của thông tin cá nhân và phản đối nếu nó không chính xác.

Tính Toàn Vẹn và Bảo Mật: Dữ liệu phải được thu thập và lưu trữ một cách chính xác và an toàn.

Thực Thi và Khắc Phục: Có các biện pháp để đảm bảo việc tuân thủ, bao gồm cả việc quản lý tự điều chỉnh và xử phạt từ phía chính phủ.

Quy định này áp dụng cho các trang web, sản phẩm hoặc dịch vụ thương mại sử dụng thông tin cá nhân của người dùng. FTC được áp dụng tại Hoa Kỳ và chủ yếu thông qua cơ chế tự điều chỉnh. Nó cũng là cơ sở cho nhiều quy định khác trên thế giới như Đạo luật báo cáo tín dụng công bằng và các nguyên tắc bảo mật của OECD.


Slide 3:
Các Nguyên tắc về Quyền Riêng Tư của Tổ chức Hợp tác và Phát triển Kinh tế (OECD) ra đời để đáp ứng nhu cầu về một tập hợp nguyên tắc quốc tế thống nhất về quyền riêng tư. Chúng tập trung vào quản lý rủi ro liên quan đến quyền riêng tư và được ban hành lần đầu vào năm 1980, với các cập nhật vào năm 2013 và 2020.

Các nguyên tắc bảo mật của OECD bao gồm:

Hạn chế Thu thập: Đưa ra hướng dẫn về việc giới hạn việc thu thập thông tin cá nhân.

Chất Lượng Dữ liệu: Đảm bảo rằng dữ liệu được thu thập phải chính xác và cập nhật.

Mục Đích Rõ Ràng: Xác định rõ mục đích thu thập dữ liệu.

Hạn chế Sử Dụng: Đưa ra hướng dẫn về việc giới hạn việc sử dụng thông tin cá nhân.

Biện Pháp Bảo Vệ An Ninh: Đảm bảo rằng có biện pháp bảo vệ về an ninh cho dữ liệu cá nhân.

Tính Cởi Mở: Đưa ra hướng dẫn về tính minh bạch và cởi mở trong việc xử lý dữ liệu.

Sự Tham Gia Cá Nhân và Trách Nhiệm Giải Trình: Tôn trọng quyền tham gia và yêu cầu trách nhiệm giải trình từ các bên liên quan.

Các nguyên tắc về quyền riêng tư của OECD áp dụng cho dữ liệu cá nhân cả trong lĩnh vực công và tư nhân. Chúng có thể được so sánh với các nguyên tắc về quyền riêng tư của EU như GDPR và Canada như PIPEDA. Đáng chú ý, các hướng dẫn về quyền riêng tư của OECD cần được xem như tiêu chuẩn tối thiểu và có thể được bổ sung bằng các biện pháp bổ sung.
SLide 4:
Tóm tắt:

GDPR, hay quy định bảo vệ dữ liệu chung, là một khung pháp lý của Liên minh Châu Âu đặt ra các nguyên tắc về thu thập và xử lý thông tin cá nhân của các cá nhân trong khu vực EU. Nó áp dụng cho các doanh nghiệp hoạt động trong EU hoặc cung cấp hàng hóa và dịch vụ cho người dùng EU. GDPR có tác động lớn đến chiến lược kinh doanh vì đặt ra các yêu cầu pháp lý mà doanh nghiệp phải tuân thủ khi sử dụng dữ liệu cá nhân của công dân EU. Các mức phạt cao đối với vi phạm GDPR làm cho việc tuân thủ quy định này trở nên quan trọng đối với tổ chức. GDPR tập trung vào quyền riêng tư và bảo vệ dữ liệu cá nhân, giải quyết các vấn đề đạo đức liên quan đến công nghệ dựa trên dữ liệu. Ví dụ, nó tập trung vào quyền được lãng quên và quyền phản đối việc ra quyết định tự động. GDPR nổi bật với sự thực thi nghiêm ngặt và sự rõ ràng trong việc nêu rõ các yêu cầu về quyền riêng tư.

Ví dụ:

Một công ty trực tuyến có trụ sở tại Pháp (một quốc gia thành viên của EU) bán sản phẩm cho khách hàng ở Ý (một quốc gia khác trong EU). Do đó, công ty này phải tuân thủ các yêu cầu của GDPR khi xử lý thông tin cá nhân của khách hàng ở Ý, bao gồm cung cấp thông báo rõ ràng về việc thu thập và sử dụng dữ liệu, cũng như đảm bảo tính chính xác và bảo mật của thông tin đó. Nếu công ty vi phạm các quy định GDPR, nó có thể phải đối mặt với các mức phạt nặng. Do đó, việc tuân thủ GDPR không chỉ là nhiệm vụ pháp lý mà còn là một phần quan trọng của chiến lược kinh doanh của công ty.

Slide 5:
Tóm tắt:

CCPA, hay Đạo luật về quyền riêng tư của người tiêu dùng California, được thiết lập để cung cấp quyền biết về cách thông tin cá nhân của cư dân California được sử dụng. Nó đặt ra các yêu cầu về thông báo, quyền truy cập và xóa thông tin cá nhân, cũng như ngăn chặn phân biệt đối xử. CCPA áp dụng cho mọi doanh nghiệp thu thập dữ liệu cá nhân và hoạt động kinh doanh ở California, đáp ứng một trong các ngưỡng người dùng hoặc doanh thu. CCPA có tác động đến chiến lược kinh doanh vì đòi hỏi tuân thủ pháp lý và có thể mang lại mức phạt nặng đối với vi phạm.

Ví dụ:

Một công ty trực tuyến kinh doanh ở California phải cung cấp thông báo rõ ràng về việc thu thập thông tin cá nhân, cho phép người dùng truy cập và yêu cầu xóa thông tin của họ. Nếu công ty vi phạm các quy định CCPA và xâm phạm quyền riêng tư của người dùng, họ có thể phải đối mặt với các khoản phạt nghiêm trọng. Do đó, công ty cần xem xét và áp dụng CCPA như một phần quan trọng của chiến lược kinh doanh và quản lý rủi ro của mình.
Slide 6:
Tóm tắt:

PIPEDA (Đạo luật bảo vệ thông tin cá nhân và tài liệu điện tử) là một quy định ở Canada, nhằm thúc đẩy niềm tin của người tiêu dùng vào thương mại điện tử và bảo vệ thông tin cá nhân của họ. Nó yêu cầu các tổ chức tuân thủ các nguyên tắc về thu thập, sử dụng và tiết lộ thông tin cá nhân. PIPEDA đặt quyền của cá nhân ở trung tâm, cho phép họ biết tại sao thông tin cá nhân của họ được thu thập và sử dụng. Nó cũng đảm bảo rằng thông tin cá nhân được bảo vệ và cập nhật. Các tổ chức phải có sự đồng ý của người dùng khi thu thập thông tin cá nhân, và không thể từ chối cung cấp dịch vụ hoặc sản phẩm nếu người dùng từ chối tiết lộ thông tin của họ.

Ví dụ:

Một công ty tại Canada cung cấp dịch vụ trực tuyến phải thông báo rõ ràng về việc thu thập thông tin cá nhân, cho phép người dùng yêu cầu cập nhật hoặc xóa thông tin của họ. Nếu người dùng từ chối tiết lộ thông tin cá nhân, công ty vẫn phải cung cấp dịch vụ cho họ. PIPEDA đảm bảo rằng thông tin cá nhân của người dùng được bảo vệ và không được tiết lộ trái phép. Các tổ chức phải tuân thủ các quy định nghiêm ngặt này để hoạt động trên thị trường Canada.
Slide 7:
Tóm tắt:

POPI (Bảo vệ Thông tin Cá nhân) là một luật ở Nam Phi giúp bảo vệ thông tin cá nhân của mọi người. Luật này quy định cách các tổ chức xử lý thông tin cá nhân. Nếu tuân thủ đúng cách, việc xử lý thông tin cá nhân sẽ là hợp pháp.

Ví dụ:

Nếu một công ty ở Nam Phi thu thập thông tin của khách hàng như tên, địa chỉ và số điện thoại, theo POPI, công ty đó phải đảm bảo rằng thông tin này được lưu trữ an toàn và không được tiết lộ cho người khác mà không có sự đồng ý của khách hàng. Nếu công ty vi phạm luật này, họ có thể phải trả tiền phạt hoặc phải vào tù.
Slide 8:
Tóm tắt:

LGPD (Lei Geral de Proteção de Dados) là luật về bảo vệ dữ liệu chung của Brazil. Nó cố gắng đồng nhất và cập nhật quy định về xử lý thông tin cá nhân. LGPD mang lại nhiều quyền cho người dân Brazil về việc kiểm soát thông tin cá nhân của mình và yêu cầu các tổ chức bảo vệ dữ liệu.

Ví dụ:

Nếu một công ty ở Brazil thu thập thông tin của khách hàng như tên, địa chỉ và số điện thoại, theo LGPD, công ty đó phải đảm bảo rằng thông tin này được lưu trữ an toàn và không được tiết lộ cho người khác mà không có sự đồng ý của khách hàng. Nếu công ty vi phạm luật này, họ có thể phải trả tiền phạt lớn hoặc phải tuân thủ các yêu cầu khắt khe hơn về bảo vệ dữ liệu.
Slide 9:
Tóm tắt:

HIPAA (Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế) là một quy định tại Hoa Kỳ về bảo vệ thông tin sức khỏe. Nó được thiết kế để đảm bảo tính riêng tư và bảo mật của thông tin sức khỏe của cá nhân. HIPAA áp dụng cho mọi tổ chức và cơ sở y tế và yêu cầu họ thực hiện biện pháp để bảo vệ thông tin y tế.

Ví dụ:

Nếu bạn đến bệnh viện và cung cấp thông tin về tình trạng sức khỏe của mình, theo HIPAA, bệnh viện phải đảm bảo rằng thông tin này không bị tiết lộ cho bất kỳ ai ngoài nhóm chăm sóc sức khỏe của bạn mà không có sự đồng ý của bạn. Nếu bệnh viện vi phạm quy định này, họ có thể phải đối mặt với hình phạt nghiêm trọng hoặc mất quyền hoạt động.
Slide 10:
Tóm tắt:

COPPA (Đạo luật bảo vệ quyền riêng tư trực tuyến của trẻ em) là một quy định tại Hoa Kỳ về bảo vệ thông tin trực tuyến của trẻ em dưới 13 tuổi. Nó được tạo ra để đảm bảo rằng thông tin cá nhân của trẻ em không bị lạm dụng khi sử dụng các dịch vụ trực tuyến.

Ví dụ:

Nếu một trang web hoạt động chủ yếu dành cho trẻ em dưới 13 tuổi, COPPA yêu cầu họ thu thập sự đồng ý từ phụ huynh trước khi thu thập thông tin cá nhân từ trẻ em. Điều này đảm bảo rằng các trang web phải có chính sách bảo mật rõ ràng và cung cấp cách liên hệ với phụ huynh để họ có thể cho phép hoặc từ chối thu thập thông tin từ con em mình. Việc không tuân thủ COPPA có thể dẫn đến các hình phạt và trách nhiệm pháp lý đối với các tổ chức.
Slide 11:
Tóm tắt:

Đạo luật Trách nhiệm Giải trình Thuật toán (Algorithmic Accountability Act) nhấn mạnh sự quan trọng của việc loại bỏ các thành kiến đối xử trong các hệ thống quyết định tự động. Đây là một quy định tại Hoa Kỳ để đảm bảo rằng các mô hình máy tính đưa ra quyết định công bằng và không tạo ra các giả định sai lệch. Đạo luật này yêu cầu các công ty công nghệ lớn đánh giá tác động của các hệ thống quyết định tự động và bảo vệ dữ liệu.

Ví dụ:

Đối với các công ty công nghệ lớn, Đạo luật Trách nhiệm Giải trình Thuật toán đặt nặng nề yêu cầu đảm bảo rằng các mô hình máy tính không tạo ra sự thiên vị và đối xử công bằng với mọi người. Nếu không tuân thủ, các công ty này có thể phải đối mặt với hậu quả pháp lý và rủi ro kinh doanh lớn. Đạo luật này đưa ra quy định pháp lý đầu tiên về giảm thiểu sai lệch trong các hệ thống dựa trên dữ liệu, thúc đẩy trách nhiệm đạo đức và công bằng trong việc sử dụng công nghệ tự động quyết định.
Slide 12:
Tóm tắt:

FERPA (Đạo luật về quyền riêng tư và quyền giáo dục gia đình) tập trung vào bảo vệ quyền riêng tư của hồ sơ giáo dục của học sinh. Đây là một quy định áp dụng cho các tổ chức giáo dục công như trường học và trường đại học, và cho phép phụ huynh truy cập và kiểm soát thông tin trong hồ sơ của con em mình.

Ví dụ:

FERPA đóng vai trò quan trọng trong việc bảo vệ thông tin cá nhân của học sinh và đảm bảo rằng các tổ chức giáo dục tuân thủ các quy tắc nghiêm ngặt về tiết lộ thông tin. Điều này cực kỳ quan trọng để đảm bảo rằng các hồ sơ học tập không bị lạm dụng hoặc sử dụng sai mục đích, đặc biệt đối với trẻ vị thành niên. FERPA cung cấp cơ chế để kiểm soát việc tiết lộ thông tin và bảo vệ quyền riêng tư của học sinh.
Slide 13:
Tóm tắt:

BIPA (Đạo luật bảo mật thông tin sinh trắc học) được ban hành bởi bang Illinois nhằm đảm bảo bảo mật thông tin sinh trắc học và ngăn việc lạm dụng nó. Luật yêu cầu các công ty thu thập sự đồng ý của cá nhân trước khi tiếp cận thông tin sinh trắc học, đảm bảo việc hủy bỏ thông tin kịp thời và lưu trữ nó một cách an toàn. Vi phạm BIPA có thể bị phạt từ 1.000 đến 5.000 USD mỗi lần.

Ví dụ:

BIPA là một quy định quan trọng để đảm bảo rằng thông tin sinh trắc học được xử lý một cách cẩn thận và an toàn. Các công ty phải tuân thủ các yêu cầu của BIPA để tránh bị phạt và đảm bảo quyền riêng tư của cá nhân.