Thông tinriêng tư là những thông tin mà chủ thể thông tin đó không muốn tiết lộ, công bố.Thông tin riêng tư đối lập với thông tin công khai, là những thông tin cá nhân màchủ thể của nó đ
Trang 1Mục lục
I Khái niệm thông tin cá nhân
II Sự phát triển của vấn đề thông tin cá nhân
1 Sự phát triển luồng thông tin toàn cầu
2 Các mức rủi ro thông tin cá nhân
- Nguy cơ do khách thể
- Nguy cơ do người sử dụng
3
III Những chính sách và những cách thức bảo đảm an toàn thông tin cá nhân
1 Từ phía các quốc gia
2 Từ phía nhà cung cấp dịch vụ
3 Từ phía người sử dụng
IV Thực trạng bảo vệ thông tin cá nhân tại Việt Nam
V Tài liệu tham khảo
I Khái niệm thông tin cá nhân
Rõ ràng, thông tin cá nhân được xem xét theo nhiều cách khác nhau nhưng dù nhìnnhận ở khía cạnh nào, những định nghĩa trên đều cùng chung quan điểm thông tin
cá nhân là những thông tin trực tiếp hay gián tiếp dùng để nhận dạng một cá nhânhoặc để phân biệt giữa cá nhân này với cá nhân khác.Thông tin cá nhân có nội hàmkhá rộng: không chỉ là ngày sinh, số điện thoại, địa chỉ thư điện tử, mức lượng,biển số xe mà còn lại quá trình học tập, công tác, bệnh án, quan điểm chính trị, sởthích cá nhân, v.v…
Trang 2Thông tin cá nhân còn tồn tại trong những dạng vật chất khác như web history,web cookie, hộ khẩu, chứng minh thư, bằng lái xe, thẻ ngân hàng, …)
Phân loại thông tin cá nhân thành hai loại: thông thường và nhạy cảm (nguồn gốcquốc tịch, chủng tộc, tín ngưỡng, thói quen tình dục, tiền án-tiền sự hay tình trạngsức khỏe, v.v…
Khái niệm thông tin cá nhân có sự giao thoa của một số khái niệm khác có liênquan Vì vậy, việc làm rõ mối quan hệ cũng như tính độc lập của từng khái niệm làcần thiết
Thứ nhất, cần phân biệt giữa thông tin cá nhân và thông tin riêng tư Thông tinriêng tư là những thông tin mà chủ thể thông tin đó không muốn tiết lộ, công bố.Thông tin riêng tư đối lập với thông tin công khai, là những thông tin cá nhân màchủ thể của nó đã trực tiếp hay gián tiếp công khai, hoặc là các thông tin có thểkhai thác được từ cơ sở dữ liệu thông tin lưu trữ được phép công khai của nhànước, các ấn phẩm báo chí, các thông tin bắt buộc công khai theo yêu cầu của nhànước Trong khi đó, thông tin cá nhân được hiểu theo nghĩa rộng, có thể bao gồm
cả thông tin riêng tư, là những thông tin nhằm nhận dạng chủ thông tin đó màkhông cần quan tâm tới mong muốn tiết lộ hay không Thứ hai, chúng ta cần làm
rõ mối quan hệ giữa thông tin cá nhân và thông tin nhận dạng Thông tin nhận dạngthực chất chỉ là tập con của thông tin cá nhân Thông tin cá nhân bao gồm nhiềuloại thông tin khác nhau của một chủ thể, trong đó những thông tin dùng để nhậndạng như số chứng minh thư nhân dân, địa chỉ thư điện tử hay số hiệu bằng đạihọc, v.v… Thứ ba, có những loại thông tin gần giống, nhưng không phải là thôngtin cá nhân và do vậy không phải tuân thủ các quy định về thông tin cá nhân:
• Thông tin cá nhân vô danh, đã rút bỏ đi những yếu tố giúp xác định chínhxác một người cụ thể Đây là trường hợp hay gặp trong điều tra tiếp thị hoặc thửnghiệm y tế, bình chọn
• Thông tin phi cá nhân, ví dụ số liệu điều tra tổng hợp về thói quen mua sắmcủa phụ nữ ở một quận trong một độ tuổi nhất định vào một ngày nhất định trongtuần
• Thông tin bảo mật (confidential information): Đây là những thông tin màcác bên giao dịch tự thỏa thuận với nhau là không công bố rộng rãi trong một phạm
Trang 3vi hoặc khoảng thời gian nhất định Ví dụ hai công ty ký hợp đồng, trong đó cóđiều khoản không cung cấp cho bên thứ ba biết giá, số lượng, cảng giao hàng trongvòng 15 ngày sau khi hợp đồng được ký kết Không nên nhầm lẫn dạng thông tinnày với thông tin cá nhân Một khái niệm khác cũng dễ dẫn đến tranh cãi khi bàn
về thông tin cá nhân là quyền riêng tư (privacy) gắn với thông tin cá nhân Theonghĩa hẹp, quyền riêng tư là quyền và nghĩa vụ của cá nhân, tổ chức trong việc thuthập, sử dụng, lưu giữ, xử lý và tiết lộ thông tin cá nhân
II Sự phát triển của vấn đề thông tin cá nhân
Cùng với sự vận động của thế giới, thông tin cũng luôn có những chuyển độngkhông ngừng Điều này tạo nên những ảnh hưởng nhất định đối với việc bảo vệthông tin cá nhân Tính rủi ro trong thông tin cá nhân được nhận định là đang
tăng lên, đặc biệt trong thế giới của công nghệ và Internet
a) Sự thay đổi trong luồng thông tin toàn cầu
Sự đổi mới liên tục của công nghệ, Internet đã làm thay đổi bức tranh về luồngthông tin và truyền thông toàn cầu Vào những năm 1980, những luồng dữ liệu cánhân di chuyển trên phạm vi quốc tến còn khá rời rạc Tại thời điểm dữ liệu đượctruyền đi thành gói do các bên đã xác định trước dưới dạng từng “bó”/ “khối” lớnbởi các thiết bị vật lý như băng từ Các ngân hàng dữ liệu được đề cao, và Internetđang trong giai đoạn trứng nước, thậm chí việc thương mại hóa Internet còn bịcấm Ngày nay việc xác định chính xác lượng thông tin lưu chuyển xuyên biên giới
là một công việc rất khó Tổng số người dùng Internet hiện xấp xỉ 1 tỷ, trong đóthuê bao băng thông rộng năm 2005 gấp bốn lần so với năm 2001 Dung lượngbăng thông Internet quốc tế tiếp tục gia tăng Điều này cho thấy việc lưu chuyển dữliệu thông tin trở nên dễ dàng hơn, thậm chí chỉ cần dùng một cú nhấp chuột là dữliệu thông tin đó được truyền đến bất cứ nơi đâu
Một đặc điểm lớn của môi trường ngày nay là sự lưu chuyển tự do hơn Đặc điểmnày được coi là một yếu tố của quá trình toàn cầu hoá đang diễn ra mạnh mẽ nhưhiện nay Thông tin trở thành một nguyên liệu mới của nền kinh tế thế giới Các tổ
Trang 4văn phòng của mình Chính vì vậy, ngày càng có nhiều doanh nghiệp, chính phủ vàcác hoạt động của cá nhân tham gia vào mạng toàn cầu băng thông rộng dựa trêngiao thức IP với nhiều mục đích khác nhau như thương mại điện tử, chính phủ điện
tử, ngân hàng trực tuyến, quản lý nguồn nhân lực, giáo dục từ xa, trò chơi trựctuyến, các hoạt động vì cộng đồng hoặc các nghiên cứu sức khỏe, v.v
Hơn thế nữa, mạng viễn thông và di động sẽ hội tụ vào giao thức internet (IP) tạothành mạng thế hệ mới (NGN) sẽ là một công cụ hữu hiệu cho việc truyền tảithông tin trong thời đại hiện nay
b) Các mức độ rủi ro thông tin cá nhân
Khi thông tin và các mạng truyền thông phát triển, mức độ rủi ro thông tin cá nhânđối với các tổ chức và từng cá nhân cũng có những thay đổi nhất định Rủi ro đầutiên có liên quan tới sự tăng trưởng của luồng dữ liệu xuyên biên giới Với lượngthông tin lưu chuyển xuyên biên giới càng lớn trong một không gian rộng lớn hơn
ở nhiều dạng khác nhau, số lượng và chi phí của các lỗ hổng về thông tin cá nhânđược tạo ra bởi các cá nhân và tổ chức tham gia trao đổi ngày một tăng Theo nhưmột cuộc điều tra được tiến hành dành cho khách hàng của VISA tại 12 quốc gia,vấn đề khiến người sử dụng lo lắng nhất là bị mất hoặc bị đánh cắp thông tin cánhân hoặc tài chính khi đem khảo sát với các vấn đề như bệnh tật, thiên tai khủng
bố, bảo vệ môi trường và thất nghiệp Mặc dù có nhiều báo cáo về mối quan ngạicủa người tiêu dùng nói chung được thực hiện, nhưng chưa bản báo cáo nào cóđánh giá đúng mức về độ rủi ro mà các lỗ hổng thông tin cá nhân tăng lên gây ra.Trong khi đó, điều này lại có ảnh hưởng to lớn tới niềm tin của người tiêu dùng,thậm chí gây cản trở sự phát triển của nền kinh tế số
Ngoài ra, hai loại rủi ro liên quan khác cũng đang khá phổ biến, bao gồm rủi roliên quan tới việc sử dụng lại dữ liệu cá nhân và rủi ro liên quan tới lỗ hổng bảomật thông tin Với rủi ro thứ nhất, các cá nhân sẽ gặp khó khăn nhất định trongviệc theo dõi, sử dụng dữ liệu của mình Nếu người dùng không thể theo dõi đượcthông tin cá nhân của họ, các công ty càng có động cơ để sử dụng các thông tin cánhân đó
Rủi ro thứ hai liên quan tới việc tăng số lượng các lỗ hổng bảo mật dữ liệu đã đượccông bố Tại Nhật Bản, bản báo cáo của Văn phòng Nội các đã công bố, số trườnghợp vi phạm thông tin cá nhân trong năm 2005 đã vượt ngưỡng 1500 vụ Những sự
Trang 5việc vi phạm như vậy đang thu hút sự chú ý của công chúng một phần vì các quyđịnh về báo cáo bắt buộc bị yêu cầu chi tiết yêu Bên cạnh những hậu quả liên quanđến vấn đề tài chính của mỗi cá nhân, lỗ hổng bảo mật dữ liệu còn gây ra nhiều hậuquả nghiêm trọng khác.
Bên cạnh những tác động tiêu cực trong phạm vi một quốc gia, việc vi phạm thôngtin cá nhân còn có ảnh hưởng nhất định tới bên ngoài lãnh thổ của quốc gia đó.Việc phơi bày vô ý thức thông tin cá nhân trên các website hay ý thức bảo vệ thôngtin cá nhân kém đã khiến khả năng thông tin bị sử dụng sai mục đích ngày mộttăng cao Song, các cơ quan có thẩm quyền hoặc báo chí lại chưa dành sự quan tâmthích đáng cho vấn đề này
Một số nguy cơ rủi ro với thông tin cá nhân:
1) Máy tính bị khống chế (ZOMBIE)
Mức nguy hiểm: cao
Khả năng xảy ra: cao
Mục tiêu: người dùng Windows
Các botnet đã từng là lãnh địa của hacker mũ đen dùng để điều khiển từ xa các PC
bị khống chế để gửi spam, kích hoạt các cuộc tấn công trên Internet hay phát tánspyware Nhưng bây giờ những tay tin tặc nghiệp dư trên Internet cũng có thể tạobotnet riêng và nhắm vào PC của bạn, do những kẻ "tà đạo" đã tạo ra và bán nhữngcông cụ hại đời
Nhiều tay "kinh doanh" không cần văn phòng, bán những công cụ tạo bot, nhằmđiều khiển các PC bị lây nhiễm thực hiện hành vi đen tối Giá của các công cụ này
từ 20 - 3000 đô la, cho phép tin tặc chế ra botnet đầy đủ chức năng và những phầnmềm phá hoại khác, từ những biến thể sâu đến những phần mềm ghi lại thao táclàm việc của người dùng (keylogger), mà không cần trình độ kỹ thuật cao
2) Keylogger - Ghi lại thao tác làm việc của người dùng
Mức nguy hiểm: cao
Trang 6Khả năng xảy ra: TB
Mục tiêu: người dùng Windows
Thật tồi tệ khi một kẻ bất lương sử dụng phần mềm keylogger để trộm tài khoảntruy cập ngân hàng của một ai đó Ghê gớm hơn khi toàn bộ thông tin nhạy cảmcủa bạn được đặt ở một máy chủ FTP, để truy cập tự do, mở toang cho mọi người.Thật không may, đó chính là điều mà các nhà nghiên cứu bảo mật phát hiện trongthời gian gần đây Một chuyên gia của công ty bảo mật Sunbelt Software cho biết
đã phát hiện một máy chủ FTP như thế trong khi điều tra một keyblogger Máy chủ
đó đặt tại Washington D.C và chứa gần 1 gigabyte dữ liệu trộm được trong suốttháng 4
Keyblogger không chỉ ghi lại những gì mà người dùng gõ vào mà còn "chụp cả"màn hình làm việc, chúng có thể lượm lặt dữ liệu từ vùng Windows ProtectedStorage, nơi mà IE lưu các mật khẩu
Một trong các tập tin trên máy chủ FTP đó lưu giữ những mật khẩu truy cập một sốngân hàng ở Mỹ và Buy.com, cùng với Yahoo, Hotmail và những tài khoản thưđiện tử khác Sự nguy hiểm ở mức quốc tế: thông tin ghi nhận lại từ rất nhiều ngônngữ khác nhau và những địa chỉ IP chỉ tới những máy tính lây nhiễm rãi rác khắpnơi trên thế giới
Một chủ doanh nghiệp ở California (Mỹ) đã từng là người nhận cảnh báo từSunbelt; người này cho biết tài khoản ngân hàng có thể đã bị đánh cắp bởi mộtkeylogger trong lúc đang nghĩ hè ở Costa Rica và sử dụng máy tính ở khách sạn đểkiểm tra tài khoản của mình Khá may mắn cho anh ta là đã được thông báo trướckhi kẻ xấu có thể đánh cắp dữ liệu để ngay lập tức thay đổi tài khoản để tự bảo vệmình Hàng ngàn nạn nhân khác có thể không may mắn như thế Và trong khoảngthời gian đó, Sunbelt không thể gánh vác phần việc "bảo vệ" bằng cách liên lạc đếntừng người mà buộc phải thông báo đến FBI
Với lượng thông tin có sẵn nhiều như vậy, thực tế không cần khẩn trương để tạo racác keyblogger mới Theo Anti-Phishing Working Group, có 180 phần mềm
Trang 7keyblogger trong tháng 4, nhiều hơn hẵn con số 77 phát hiện tháng 4 năm rồi,nhưng giảm nhẹ trong 3 tháng gần đây.
3) Website giả mạo (Phishing)
Mức nguy hiểm: cao
Khả năng xảy ra: cao
Mục tiêu: người dùng Internet
Web giả mạo là một trong hoạt động sinh lợi nhất của tội phạm máy tính, và đangtăng trưởng nhanh chóng Theo báo cáo gần đây nhất từ Anti Phishing WorkingGroup, trong tháng 4/2006 số lượng website giả mạo đạt kỷ lục 11121 vụ, gần gấp
4 lần số lượng 2854 của tháng 4/2005
Có thể bạn nghĩ website giả dễ dàng nhận ra bởi tên gần giống hay che đậy khôngkhéo Nhưng tình hình đã thay đổi, các tay lừa gạt đã cố gắng tạo lại toàn bộ sitecủa ngân hàng Hơn nữa, những kỹ thuật ngụy trang của tin tặc tạo ra toàn bộ nộidung văn bản, hình ảnh liên kết trực tiếp từ website chính thức của ngân hàng Mọiyêu cầu của người dùng đều tới website thật ngoại trừ tài khoản truy nhập đi thẳngtới những gã trộm
Một số site giả mạo rất hấp dẫn có thể bẫy cả người dùng cẩn thận và có kinhnghiệm Một nghiên cứu có tên "Why Phishing Works" công bố vào tháng 4 củacác chuyên gia tại UC Berkeley và Harvard cho thấy ngay cả trong trường hợpchuẩn bị sẵn tinh thần để phát hiện website giả, nhiều người tham gia thử nghiệmvẫn không phân biệt được đâu là website thật, đâu là website giả mạo Theo nghiêncứu của họ, trang web giả mạo tinh vi nhất có thể "lừa phỉnh" hơn 90% người thamgia
Mạng lưới “bắt cóc” trình duyệt
Mục tiêu chính của kẻ tạo website giả là dụ dỗ người dùng vào site này Bạn có thểcảnh giác với email có vẻ như gửi từ ngân hàng của mình và yêu cầu nhấn vào mộtliên kết để kiểm tra thông tin tài khoản Tuy nhiên, ngày nay những tên trộm đang
bổ sung nhiều kỹ thuật tinh vi hơn nhằm đưa người dùng đến với các site giả mạo
Trang 8Một kỹ thuật đã được tạo ra có tên "smart direction" (chuyển hướng thông minh)dẫn trình duyệt của người dùng tới website của tin tặc, thậm chí ngay cả khi ngườidùng gõ đúng địa chỉ trang web của ngân hàng vào ô địa chỉ trình duyệt Phầnmềm "tiếp tay" trên máy của người dùng sẽ theo dõi những web giả mạo trênInternet và chuyển hướng trình duyệt tới một địa chỉ giả mạo có sẵn, bất kỳ lúc nàongười dùng muốn truy cập tới website ngân hàng của họ Và nếu sau đó site giảmạo bị "đóng cửa", phần mềm "smart direction" sẽ tự động chuyển hướng nạnnhân đến site giả mạo khác còn hoạt động.
Miễn sao có tiền là được, tội phạm sẽ tiếp tục trui rèn kỹ năng lừa đảo và phát triển
kỹ thuật mới Và chắc chắn là có một lượng tiền phong phú để làm chuyện đó!
Khi hay tin CD nhạc của Sony cài đặt rookit để giấu file chống sao chép xuất hiệnvào tháng 11 năm ngoái, giới tin tặc hân hoan và nhanh chóng khai thác ứng dụngcủa Sony Phần mềm của Sony giấu bất kỳ file hay tiến trình bắt đầu với "$sys$",những kẻ viết phần mềm độc hại đã đổi tên file để lợi dụng đặc điểm này
Vào tháng 3, nhà sản xuất phần mềm chống virus ở Tây Ban Nha là PandaSoftware cho biết họ đang tìm biến thể của sâu Bagle cực kỳ độc hại có trang bịkhả năng của rootkit Trầm trọng hơn, tương tự như các "nhà sản xuất" chươngtrình botnet, những kẻ tạo phần mềm rootkit còn bán hoặc phát tán miễn phí cáccông cụ, giúp những tay viết phần mềm độc hại dễ dàng bổ sung chức năng rootkitcho các virus cũ như Bagle hay tạo loại mới
Thậm chí khi sử dụng những rootkit có sẵn, tin tặc cũng có thể tạo những biến thểmới Ví dụ, công ty phần mềm bảo mật eEye phát hiện rootkit cho phép ẩn các filetrong boot sector của đĩa cứng Vào tháng giêng, John Heasman, chuyên gia bảomật làm việc ở Next Generation Security Software thông báo rootkit có thể giấu
Trang 9mã chương trình phá hoại trong BIOS của PC bằng cách dùng các chức năng cấuhình trong Advanced Configuration và tính năng Power Interface.
Một dự án do Microsoft và các nhà nghiên cứu của đại học Michigan thực hiện thật
sự mở đường cho nghiên cứu rootkit, tạo ra một phương thức mới gần như "đặt"HĐH chạy trên phần mềm có tên SubVirt (tên của dự án nghiên cứu) HĐH vẫnlàm việc bình thường, nhưng "máy ảo" điều khiển mọi thứ HĐH nhìn thấy và cóthể dễ dàng giấu chính nó
May mắn là kỹ thuật này không dễ thực hiện và người dùng dễ nhận ra vì làmchậm hệ thống và làm thay đổi những file nhất định Hiện giờ, loại siêu rootkit nàychỉ mới ở dạng ý tưởng, cần nhiều thời gian trước khi tin tặc có thể thực hiệnphương thức tấn công này
Nhưng các công cụ chống rootkit này không phải lúc nào cũng làm việc tốt Gầnđây một adware tên Look2Me đã "qua mặt" BlackLight bằng cách vô hiệu 1 lệnh
hệ thống quan trọng Sự phát hiện là tình cờ, chắc chắn giới tạo rootkit sẽ có chỉnhsửa cho phiên bản mới
5) ĐE DỌA TỪ CẤU HÌNH SAI MÁY CHỦ DNS
Mức độ nguy hiểm: cao
Khả năng xảy ra: cao
Mục tiêu: Doanh nghiệp
Trang 10Người dùng sử dụng máy chủ DNS hàng ngày Máy chủ này có nhiệm vụ dịch tênwebsite mà người dùng có thể hiểu như www.pcworld.com thành địa chỉ IP mà cácmáy tính dùng để tìm thấy nhau trên Internet ISP có máy chủ DNS riêng và hầuhết các công ty cũng có Internet không thể hoạt động nếu thiếu chúng.
Theo The Measurement Factory, hơn một triệu máy chủ DNS trên thế giới thì cóđến 75% chạy phần mềm cũ và cấu hình sai Những hệ thống đó là mục tiêu chocác đợt tấn công nghiêm trọng và viện nghiên cứu SANS, một tổ chức nghiên cứu
và đào tạo bảo mật máy tính, chỉ ra phần mềm DNS là một trong 20 điểm yếu hàngđầu trên Internet
Sự tấn công này diễn ra dưới nhiều hình thức Một thủ đoạn là làm máy chủ DNS
"chỉ nhầm" đích đến, bằng cách này tin tặc có thể đồng thời tấn công tất cả ngườidùng máy chủ DNS này Người dùng có thể gõ vào "www.google.com" hay
"www.yahoo.com" nhưng lại "dừng chân" ở một website lừa đảo hay cài đặt nhữngphần mềm phá hoại lên máy tính của họ
6) LỖ HỖNG BẢO MẬT Ở NGƯỜI
Mức nguy hiểm: cao
Khả năng xảy ra: cao
Mục tiêu: tất cả mọi người
Người dùng có thể cập nhật Windows, các ứng dụng và sử dụng những phần mềmbảo mật để bảo vệ PC của mình, nhưng có một điểm yếu thường bị khai thác màchưa bao giờ được vá: sai lầm của con người
Kẻ lừa đảo trên mạng sử dụng một loạt kỹ thuật thay đổi liên tục để nhử và biếnngười dùng thành nạn nhân
Gần đây sàn giao dịch trực tuyến eBay xuất hiện một cái bẫy rất hiệu quả Tin tặc
đã lợi dụng một điểm yếu trên website eBay để thêm vào những liên kết chuyểnngười dùng tới một website khác có yêu cầu tài khoản truy cập eBay Bạn có thểnghi ngờ email lạ có yêu cầu nhấn vào liên kết và nhập vào thông tin tài khoản,nhưng liên kết từ trang eBay tên tuổi có thể làm bạn mất cảnh giác
Trang 11cần phải chú ý thư điện tử Tin tặc khôn lanh có thể đánh cắp hay mua địa chỉemail để tấn công thư rác hay gửi thông điệp có chứa virus mạo danh địa chỉ hợppháp Kết hợp với loạt địa chỉ đã biết của một công ty nào đó, những email lừa đảonày cho phép tin tặc cài đặt phần mềm "tay trong" và tấn công mục tiêu, cách này
có hiệu suất thành công cao hơn những cách phát tán malware khác Thường người
ta ít nghi ngờ những liên kết trong email có xuất xứ từ ai đó trong cùng công ty (vídụ: nhanvien@congtycuaban.com)
Tin tặc biết rằng nếu có thể đánh lừa người dùng với email hay website giả mạo,chúng sẽ dễ dàng làm chủ máy tính của họ Nhưng có một tín hiệu lạc quan: ngườidùng có hiểu biết tốt là bức tường thành vững chắc nhất trong việc chống lại những
đe dọa trên Internet Hãy học để an toàn!
III Những chính sách và những cách thức bảo đảm an toàn thông tin cá nhân
A - Từ phía các quốc gia
Hoa Kỳ không ban hành luật bảo vệ dữ liệu thông tin hoàn chỉnh Thay vì đó, Hoa
Kỳ ban hành một loạt các bộ luật xử lý những nguy cơ đối với thông tin cá nhânnhằm điều chỉnh các ứng dụng thông tin cụ thể Phần lớn các luật riêng của Hoa
Kỳ cũng yêu cầu công ty liệt kê các nguy cơ về bảo vệ thông tin và rủi ro riêngmang tính truyền thống
Bên cạnh luật Liên bang, từng bang1 của Hoa Kỳ cũng có luật điều chỉnh và hạnchế việc xử lý các loại thông tin cụ thể khác như thông tin tài chính cá nhân2,thông tin y tế, thông tin điện tử và truyền thông, hay bất kỳ thông tin nào từ cơquan nhà nước liên bang Dữ liệu của bên thứ ba bao gồm dữ liệu tín dụng, tuyểndụng, tội phạm, sức khoẻ và thông tin cá nhân khác sử dụng cho các mục đíchriêng hướng tới người tiêu dùng như cho vay, bảo hiểm, v.v cũng là một vấn đềđược đề cập đến trong từng luật mỗi bang Ngoài ra, thông tin sử dụng nhằm mụcđích tiếp thị, bao gồm hình thức tiếp thị qua điện thoại, email, fax; dữ liệu nhạycảm như nhóm an ninh xã hội và nhiều dữ liệu liên quan đến hành chính công kháccũng là đối tượng điều chỉnh của những văn bản này Hơn thế nữa, một số bộ luậtkhác của Hoa Kỳ nghiêm cấm việc tiết lộ các thông báo mật và thông tin cá nhân,
sử dụng tên cá nhân trái phép cho các mục đích thương mại, xâm phạm khoảngkhông cá nhân
Trang 12Những cơ quan lập pháp của Hoa Kỳ có quyền mở rộng việc thi hành luật trongkhi đó Luật Liên bang quy định khung pháp lý chung được thi hành bởi một cơquan cấp quốc gia Theo Cao uỷ Thương mại Liên bang Hoa Kỳ (FTC), hầu hếtcác bang đều có nhà cầm quyền thi hành các quy định liên quan đến bảo vệ thôngtin cá nhân Cơ quan nhà nước và cơ quan chức trách từng bang cùng chịu tráchnhiệm thi hành luật bảo vệ thông tin cá nhân quốc gia Các cơ quan hành pháp củaHoa Kỳ tự hào về việc thi hành luật một cách nghiêm túc những luật cụ thể liênquan đến an ninh và sự riêng tư.
b Trao đổi thông tin trên phạm vi quốc tế
Tuy nhiên, việc không hạn chế truyền dữ liệu thông tin không có nghĩa là truyền
dữ liệu thông tin của một công ty ra bên ngoài Hoa Kỳ không có rủi ro Những bộluật của Hoa Kỳ buộc các công ty phải đảm bảo việc bảo vệ dữ liệu an ninh, cánhân Những giao ước này đòi hỏi công ty đảm bảo các yêu cầu của bộ luật trongsuốt quá trình truyền và lưu tin quốc tế Những công ty này chịu trách nhiệm trướcchính quyền Hoa Kỳ và cả với chủ thể dữ liệu với bất kỳ sự vi phạm nào
Hơn nữa, trong quá trình thực hiện trao đổi thông tin, công ty phải tuân thủ những
bộ luật liên quan khác dù bên truyền và nhận thông tin nằm ở vị trí địa lý nào Cáchành vi vi phạm về quyền an ninh và quyền riêng tư có thể bị kiện tới toà án Hoa
Kỳ với tội danh lừa đảo thương mại Các công ty này phải chịu trách nhiệm hoàntoàn đối với những hành vi hay biểu hiện phạm pháp Trong trường hợp thông báotrên website rằng “chúng tôi đã hoặc sẽ có những biện pháp hợp lý để bảo vệ thôngtin mà chúng tôi thu thập được”, thì công ty này phải thực hiện nghĩa vụ đó ở bất
cứ vị trí nào mà dữ liệu được truyền đến Nếu bên thứ 3 không có những hànhđộng thích hợp để bảo vệ thông tin, công ty truyền tin cho bên thứ 3 này cũng bịcoi là đã tiến hành hoạt động thương mại lừa bịp Mặc dù luật Hoa Kỳ đã quy địnhtrách nhiệm pháp lý đối với các hành vi sử dụng dữ liệu trái phép, việc truyền dữliệu ra nước ngoài vẫn là một mối quan ngại trong giới chính trị
Như vậy luật Hoa Kỳ cho phép các công ty tiết lộ thông tin cho bên thứ ba xử lý vàvẫn phải có trách nhiệm đảm bảo rằng việc truyền dữ liệu sẽ được thực hiện hợp
lý, tuân thủ đúng luật Các công ty Hoa Kỳ có thể thuê các nhà xử lý dữ liệu ở bất
cứ đâu những sẽ phải chịu trách nhiệm trước FTC Hoa Kỳ, chính quyền các bang