Data portability là gì? Quy định về data portability trong GDPR và CCPA
BÀI LIÊN QUAN
Data structures là gì? Cách phân loại cấu trúc dữ liệuData shadow là gì? Data shadow có tác dụng như thế nàoData Classification là gì? Các kiểu phân loại dữ liệuData portability là gì?
Data portability là khả năng di chuyển dữ liệu giữa các ứng dụng, chương trình, môi trường điện toán hoặc dịch vụ đám mây. Trong bối cảnh điện toán đám mây, data portability là một phần của di chuyển đám mây (cloud portability), giúp người dùng có thể di chuyển dữ liệu và ứng dụng giữa các nhà cung cấp dịch vụ đám mây (CSP).
Di chuyển dữ liệu (Data portability) ngày càng trở nên quan trọng khi càng có thêm nhiều tổ chức lưu trữ lượng lớn dữ liệu trên đám mây. Data portability không chỉ giới hạn ở điện toán đám mây mà còn được áp dụng cho cơ sở và các hình thức công nghệ thông tin khác.
Data portability mang đến lợi ích gì?
Data portability mang đến 3 lợi thế chính:
- Cho phép người dùng quyền kiểm soát nhiều hơn
- Tăng giá trị dữ liệu
- Cải thiện năng lực cạnh tranh
Tùy thuộc vào ngành và dữ liệu liên quan, di chuyển dữ liệu có những lợi ích tiềm năng khác nhau.
Cho phép người dùng quyền kiểm soát nhiều hơn
Về cơ bản, Data portability đảm bảo rằng người dùng luôn có một bản sao của toàn bộ dữ liệu của họ và có toàn quyền kiểm soát dữ liệu đó. Nhờ data portability, người tiêu dùng có thể sao lưu dữ liệu của họ một cách độc lập mà không cần phụ thuộc vào bên thứ ba. Đồng thời, đảm bảo họ vẫn có một bản sao dữ liệu ngay cả khi đã ngừng sử dụng ứng dụng.
Ví dụ vào năm 2010, Facebook đã cải thiện tính di động của dữ liệu của họ bằng tính năng cho phép người dùng Facebook tải xuống toàn bộ nội dung mạng cá nhân dưới dạng một tệp nén. Tính năng này giúp người dùng theo dõi dữ liệu mà không sợ bị bẻ khóa hay biến mất vĩnh viễn.
Nhìn chung, Data portability có khả năng đảm bảo người dùng không bị mất dữ liệu, dù một công ty dịch vụ nào đó có ngừng kinh doanh.
Tăng giá trị dữ liệu
Data portability cho phép người dùng tối đa hóa tiềm năng dữ liệu của họ. Vì nó cho phép người dùng chia sẻ thông tin của họ tới nhiều dịch vụ hơn, nên sẽ có nhiều cơ hội như tăng năng suất, tính sẵn có của dữ liệu và khả năng tái sử dụng dữ liệu.
Chẳng hạn, khách hàng có thể sử dụng data portability để di chuyển bản ghi kỹ thuật số về việc sử dụng thẻ tín dụng của họ sang một ứng dụng lập ngân sách trực tuyến một cách dễ dàng. Ngoài việc cung cấp thông tin tài chính tốt hơn, khả năng truyền dữ liệu này còn cho phép ứng dụng lập kế hoạch tài chính mới truy cập vào dữ liệu thực thi các tác vụ.
Cải thiện năng lực cạnh tranh doanh nghiệp
Data portability có thể cải thiện khả năng cạnh tranh theo bốn cách quan trọng.
Thứ nhất là bằng cách cho phép người dùng chuyển dữ liệu của họ từ nhà cung cấp dịch vụ này sang nhà cung cấp dịch vụ khác, đồng thời giảm chi phí chuyển đổi, qua đó thúc đẩy sự cạnh tranh và ngăn chặn chế độ độc quyền của nhà cung cấp. Với di chuyển dữ liệu, các doanh nghiệp gần như không có khả năng khóa khách hàng bằng cách áp dụng chi phí chuyển đổi tốn kém và quy trình phức tạp.
Thứ hai là thúc đẩy cạnh tranh bằng cách tăng tính minh bạch của chi phí và các tùy chọn có sẵn. Chẳng hạn, khách hàng có thể dùng một ứng dụng để phân tích dữ liệu sử dụng năng lượng tại nhà của họ và xác định xem với một nhà cung cấp năng lượng thay thế liệu họ có thể trả ít tiền hơn hay không.
Thứ ba là giúp các công ty giữ khách hàng bằng cách cung cấp các dịch vụ ưu việt, qua đó tăng khả năng cạnh tranh. Ví dụ: khi khách hàng có thể dễ dàng đổi dịch vụ phát nhạc trực tuyến, các dịch vụ này có thể xây dựng các chiến lược mới nhằm duy trì mức độ tương tác của người dùng trên nền tảng của họ, chẳng hạn cải thiện chức năng đề xuất.
Thứ tư là cho phép những doanh nghiệp mới cạnh tranh hiệu quả hơn với các công ty lâu đời.
Data portability áp dụng cho loại dữ liệu nào?
Nói chung, các yêu cầu data portability là đảm bảo các cá nhân có thể dễ dàng lấy, di chuyển, sao chép, truyền và sử dụng lại dữ liệu cá nhân của họ trên các dịch vụ và môi trường CNTT khác nhau. Thông thường, dữ liệu phải được cung cấp ở định dạng máy có thể đọc được.
Trong hầu hết các quy định, quyền di chuyển dữ liệu áp dụng cho thông tin nhận dạng cá nhân (PII). PII là dữ liệu dùng để xác định một cá nhân cụ thể, nó có thể bao gồm các dữ liệu về:
- Tên và địa chỉ
- Số an sinh xã hội
- Số hộ chiếu
- Địa chỉ email
- Số điện thoại
Dữ liệu nên ở định dạng nào?
Việc sử dụng một định dạng mở, phổ biến để lưu trữ và truyền dữ liệu giúp cho việc di chuyển dữ liệu trở nên đơn giản và dễ dàng hơn. Các định dạng dữ liệu mở giúp cải thiện khả năng đọc và truy cập dữ liệu vì chúng phổ biến, đầy đủ và dễ hiểu. Một số các định dạng bao gồm:
- JSON (viết tắt của dữ liệu mở trong JavaScript): Một định dạng nhẹ dùng cho lưu trữ và vận chuyển dữ liệu.
- XML (Ngôn ngữ đánh dấu mở rộng): Ngôn ngữ đánh dấu, như Ngôn ngữ đánh dấu siêu văn bản (HTML), dùng cho lưu trữ và vận chuyển dữ liệu.
- CSV (Giá trị phân tách bằng dấu phẩy): Các tệp văn bản thuần túy liệt kê các hàng phần tử dữ liệu, mỗi phần tử được phân định bằng dấu phẩy. Các tệp như vậy thường được sử dụng để trao đổi dữ liệu giữa các ứng dụng khác nhau, chẳng hạn như hệ thống cơ sở dữ liệu, spreadsheet và ứng dụng quản lý liên hệ.
Data portability trong GDPR và CCPA
Do những lo ngại về quyền riêng tư và bảo mật dữ liệu, trong vài năm trở lại đây, một số quy định đã được thông qua về cách các tổ chức có thể xử lý, thu thập và lưu trữ dữ liệu cá nhân. PII đặc biệt quan trọng với di chuyển dữ liệu vì thông tin này mang tính chất nhạy cảm và có khả năng gây hại nếu rơi vào tay kẻ xấu.
Ví dụ nổi bật nhất là GDPR (Quy định chung về bảo vệ dữ liệu) của Liên minh châu u. Theo Điều 20 của GDPR, các cá nhân có quyền yêu cầu tất cả dữ liệu cá nhân của họ đang được lưu trữ bởi một tổ chức bất kỳ. Người dùng có quyền sử dụng lại dữ liệu đó, bao gồm gửi dữ liệu cá nhân đến các tổ chức hay công ty khác khi cần thiết. “Quyền di chuyển dữ liệu” này phù hợp với triết lý cơ bản của GDPR rằng các cá nhân là chủ sở hữu cuối cùng của dữ liệu cá nhân của họ, chứ không phải tổ chức.
GDPR áp dụng cho mọi tổ chức nào xử lý dữ liệu cá nhân của công dân EU.
CCPA của California (Luật về quyền riêng tư của người tiêu dùng California), lấy cảm hứng từ GDPR, trao cho các cá nhân quyền chuyển đổi dữ liệu:
“Khi nhận được yêu cầu kiểm chứng từ người tiêu dùng về việc truy cập thông tin cá nhân, doanh nghiệp phải nhanh chóng cung cấp miễn phí cho người tiêu dùng thông tin cá nhân theo yêu cầu của họ”.
Sự khác biệt giữa quy định của GDPR và CCPA về data portability có thể nói đến như:
- GDPR xem data portability là mối quan tâm riêng, trong khi CCPA coi data portability là phần mở rộng của “quyền truy cập” (tức là người tiêu dùng có quyền truy cập dữ liệu cá nhân của họ).
- Không giống GDPR, CCPA chỉ thực hiện di chuyển dữ liệu giữa các tổ chức và chủ thể dữ liệu. Nó không bao gồm một tổ chức truyền dữ liệu sang tổ chức khác theo yêu cầu, giống như GDPR.
Bỏ qua những khác biệt nhỏ này, cả GDPR và CCPA đều hướng đến mục đích cuối cùng là đảm bảo quyền di chuyển dữ liệu một cách rõ ràng. Nếu bạn phải tuân một trong hai hay cả hai quy định, thì có nghĩa là bạn phải cung cấp miễn phí dữ liệu cá nhân của người dùng cho những người yêu cầu tương ứng hoặc đối mặt với khả năng bị phạt tiền và các hình phạt khác.
Data portability ảnh hưởng đến doanh nghiệp như thế nào?
Quyền về khả năng di chuyển dữ liệu có thể ảnh hưởng đến bạn ngay cả khi doanh nghiệp của bạn không có trụ sở tại các quốc gia áp dụng luật về di chuyển dữ liệu. Nếu bất kỳ thông tin cá nhân nào bạn thu thập trong quá trình kinh doanh thuộc về một cá nhân ở EU, California hoặc các quốc gia có quy định về quyền riêng tư và tính di động của dữ liệu, thì bạn cần phải coi chừng. Hãy nhớ rằng GDPR và CCPA không phải là hai quy định duy nhất về data portability, các quốc gia như Ấn Độ hay Brazil có các quy định riêng, Canada, Úc và Hoa Kỳ cũng đều có luật liên bang đang được áp dụng.
Người dùng có thể yêu cầu dữ liệu của họ bằng DSAR (Yêu cầu truy cập Chủ thể dữ liệu). Họ có quyền tự do sử dụng bất kỳ phương thức nào để yêu cầu dữ liệu. Tuy nhiên bạn có thể chuẩn hóa quy trình bằng cách đưa một biểu mẫu lên trang web của bạn để giúp bạn và người dùng thực hiện yêu cầu dễ dàng hơn.
Sau khi người dùng tạo DSAR, doanh nghiệp sẽ có thời gian giới hạn để phản hồi, do đó, bạn cần phải có kế hoạch cụ thể. Dưới đây là một số điểm cần chuẩn bị cho các yêu cầu về data portability:
Data Mapping
Để nhanh chóng phản hồi DSAR, bạn phải biết vị trí của tất cả dữ liệu khách hàng trên mạng để có thể tìm và truy xuất dữ liệu một cách hiệu quả. Cách tốt nhất là sử dụng phần mềm lập bản đồ, phân loại và khám phá dữ liệu. Các tính năng này sẽ cho phép bạn tự động hóa quy trình gắn thẻ, phân loại, tìm kiếm và truy xuất dữ liệu cá nhân để bạn có thể dễ dàng tuân thủ DSAR của khách hàng.
Xác minh danh tính
Cả GDPR và CCPA đều quy định rằng các doanh nghiệp phải xác minh danh tính của khách hàng trước khi tiết lộ bất kỳ thông tin cá nhân nào. Có nhiều phương pháp bạn có thể sử dụng, trong đó phổ biến là xác thực đa yếu tố (như mã bảo mật tin nhắn văn bản và quét dấu vân tay). Bên cạnh đó, hãy kiểm tra các luật hiện hành để chắc chắn bạn đang sử dụng phương pháp nhận dạng được chấp nhận - ví dụ: GDPR quy định bạn phải chứng minh danh tính khách hàng qua kiến thức (như các câu hỏi bảo mật), quyền sở hữu (như khóa MFA, điện thoại di động), hoặc sinh học (như vân tay, quét giác mạc).
Hy vọng bài viết trên đã giúp bạn hiểu được khái niệm về Data portability. Theo dõi Meey Land để tìm hiểu thêm về thế giới công nghệ đầy lý thú!