Thiết bị loT (loT device) là gì? Doanh nghiệp cung cấp các thiết bị loT có phải xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân không?

Nội dung chính

• Internet vạn vật - IoT là gì? Thiết bị loT (loT device) là gì?
• Doanh nghiệp cung cấp các thiết bị loT có phải xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân không?
• Trong hoạt động bảo vệ dữ liệu cá nhân thì có những hành vi nào bị nghiêm cấm?

Internet vạn vật - IoT là gì? Thiết bị loT (loT device) là gì?

* Internet vạn vật - IoT là gì?

Căn cứ tại tiết 3.1.18 tiểu mục 3.1 Mục 3 Tiêu chuẩn quốc gia TCVN 13902:2023 (ISO/IEC 22989:2022) về Công nghệ thông tin - Trí tuệ nhân tạo - Các khái niệm và thuật ngữ trí tuệ nhân tạo thì:

Internet vạn vật (Internet of things) - loT

Hạ tầng các thực thể, con người, hệ thống và tài nguyên thông tin được kết nối với nhau cùng với các dịch vụ xử lý và phản hồi thông tin trong thế giới thực và thế giới ảo.

[nguồn: ISO/IEC 20924:2021, 3.2.4 được sửa đổi - “... dịch vụ xử lý và phản ứng với...” được thay thế bằng “... dịch vụ xử lý và phản ứng với...” và từ viết tắt đã được chuyển sang dòng riêng].

Đồng thời, theo quy định tại tiết 5.14.2 tiểu mục 5.14 Mục 5 Tiêu chuẩn quốc gia TCVN 13902:2023 (ISO/IEC 22989:2022) về Công nghệ thông tin - Trí tuệ nhân tạo - Các khái niệm và thuật ngữ trí tuệ nhân tạo thì:

loT là hạ tầng các thực thể, con người, hệ thống và tài nguyên thông tin được kết nối với nhau cùng với các dịch vụ xử lý và phản hồi thông tin trong thế giới thực và thế giới ảo (3.1.8).

Về cơ bản, một hệ thống loT là một mạng lưới các nút có các bộ cảm biến để đo lường các thuộc tính vật lý các thực thể và truyền dữ liệu liên quan đến các phép đo đó, và cả các bộ truyền động để thay đổi các thuộc tính của các thực thể vật lý đáp ứng với đầu vào số.

Theo dõi y tế và giám sát trạng thái khí quyển là các ví dụ về hệ thống loT, trong đó đầu ra của hệ thống là thông tin hỗ trợ con người trong các hoạt động phù hợp (ví dụ: cảnh báo cho nhân viên y tế, dự báo thời tiết).

Hệ thống loT liên quan đến các hệ thống CNTT kết nối mạng và tương tác với các thực thể vật lý.

Nền tảng của loT hệ thống là các thiết bị loT, phổ biến nhất ở dạng thiết bị cảm biến và thiết bị truyền động để tương tác với các thực thể. Một bộ cảm biến có thể đo một hoặc nhiều thuộc tính của một hoặc nhiều thực thể vật lý và dữ liệu đầu ra được truyền qua mạng. Cơ cấu chấp hành thay đổi một hoặc nhiều thuộc tính của vật lý thực thể tương ứng với dữ liệu đầu vào nhận được qua mạng. Vai trò của các bộ cảm biến và thiết bị truyền động có thể thay thế cho nhiều dạng thiết bị, chẳng hạn như nhiệt kế, gia tốc kế, máy quay video, micrô, rơ-le, lò sưởi, người máy hoặc thiết bị công nghiệp để sản xuất hoặc kiểm soát quá trình. Xem TCVN 13117:2020 ISO/IEC 30141 để biết thêm thông tin.

AI có thể đóng một vai trò quan trọng trong bối cảnh ứng dụng của các hệ thống IoT. Nó bao gồm việc phân tích về dữ liệu và ra quyết định để có thể hỗ trợ đạt được các mục tiêu của hệ thống, chẳng hạn như kiểm soát các thực thể vật lý và các quá trình vật lý, bằng cách cung cấp thông tin theo ngữ cảnh, theo thời gian thực và thông tin dự báo.

* Thiết bị loT (loT device) là gì?

Căn cứ tại tiết 3.1.19 tiểu mục 3.1 Mục 3 Tiêu chuẩn quốc gia TCVN 13902:2023 (ISO/IEC 22989:2022) về Công nghệ thông tin - Trí tuệ nhân tạo - Các khái niệm và thuật ngữ trí tuệ nhân tạo thì:

Thiết bị loT (loT device) là thực thể của một hệ thống loT (3.1.20) tương tác và giao tiếp với thế giới vật chất thông qua cảm nhận hoặc dẫn động

CHÚ THÍCH 1: Thiết bị loT có thể là thiết bị cảm biến hoặc thiết bị dẫn động

[nguồn: ISO/IEC 20924:2021, 3.2.6].

Ví dụ: Các thiết bị cá nhân như thiết bị giám sát sức khỏe cá nhân, đồng hồ thông minh, các thiết bị quan trắc môi trường, các thiết bị gia dụng thông minh như máy lạnh, tivi, robot hút bụi,... được xem là các thiết bị IoT.

Internet vạn vật - IoT là gì? Thiết bị loT (loT device) là gì? (Hình từ Internet)

Doanh nghiệp cung cấp các thiết bị loT có phải xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân không?

Có thể thấy rằng hầu hết các thiết bị IoT đều thu thập, lưu trữ, truyền tải, phân tích,... dữ liệu cá nhân.

Trong đó theo quy định tại khoản 1, 7 Điều 2 Nghị định 13/2023/NĐ-CP thì:

Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Đồng thời, căn cứ tại Điều 26 Nghị định 13/2023/NĐ-CP, Điều 27 Nghị định 13/2023/NĐ-CP, Điều 28 Nghị định 13/2023/NĐ-CP về các biện pháp bảo vệ dữ liệu cá nhân như sau:

Điều 26. Biện pháp bảo vệ dữ liệu cá nhân

1. Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.

2. Các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:

a) Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;

b) Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;

c) Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;

d) Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;

đ) Các biện pháp khác theo quy định của pháp luật.

Điều 27. Bảo vệ dữ liệu cá nhân cơ bản

1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 Nghị định này.

2. Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định này.

3. Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân.

4. Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.

Điều 28. Bảo vệ dữ liệu cá nhân nhạy cảm

1. Áp dụng các biện pháp được quy định tại khoản 2 Điều 26 và Điều 27 Nghị định này.

2. Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.

3. Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Nghị định này.

Có thể thấy rằng, biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.

Theo đó, các doanh nghiệp cung cấp các thiết bị loT cần phải xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định 13/2023/NĐ-CP.

Lưu ý: trong hoạt động xử lý dữ liệu cá nhân các doanh nghiệp cung cấp các thiết bị loT cũng cần phải phân loại dữ liệu cá nhân thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm để có những biện pháp bảo vệ dữ liệu cá nhân phù hợp với từng loại dữ liệu.

Trong hoạt động bảo vệ dữ liệu cá nhân thì có những hành vi nào bị nghiêm cấm?

Các hành vi bị nghiêm cấm trong hoạt động bảo vệ dữ liệu cá nhân được quy định tại Điều 8 Nghị định 13/2023/NĐ-CP, cụ thể như sau:

- Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.

- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.

- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.

- Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.

- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.