10Đảm bảo cho dữ liệu không vi phạm vấn đề về pháp lý: quản trị dữ liệu

Chúng ta biết rằng các doanh nghiệp đang thu thập và phân tích khối lượng dữ liệu ngày càng tăng trong khi cố gắng để đưa ra những quyết định tốt hơn, điều hành hoạt động của họ một cách hiệu quả hơn và gia tăng lợi nhuận. Những công ty với những quy mô khác nhau đều đang đầu tư vào dữ liệu một cách rầm rộ và nhiều người tin rằng các kho dữ liệu khổng lồ của họ đang trở thành một trong những tài sản kinh doanh lớn nhất của mình. Và họ đã đúng. Nhưng vẫn còn đó một số trở ngại đáng kể xung quanh quyền sở hữu dữ liệu, quyền riêng tư và bảo mật mà bất kỳ doanh nghiệp nào cũng cần phải khắc phục để có thể tận dụng tối đa dữ liệu. Bỏ qua tất cả những vấn đề này, hoặc không giải quyết chúng một cách thích đáng, có thể khiến cho dữ liệu của bạn từ một khối tài sản kếch xù biến thành một trách nhiệm pháp lý tiềm ẩn. Thu thập và lưu trữ dữ liệu, đặc biệt là dữ liệu cá nhân (hãy đối mặt với nó, đó chính là một phần lớn trong dữ liệu kinh doanh) luôn đi kèm với các nghĩa vụ pháp lý và quản lý nghiêm ngặt. Đi ngược lại với những điều này có thể sẽ mang đến những hậu quả tai hại về mặt danh tiếng cho doanh nghiệp của mình, cũng như để lại cho bạn những vụ kiện tụng tốn kém.

Đáng buồn thay, vẫn còn rất nhiều tổ chức bỏ qua những vấn đề quan trọng này. Cho đến gần đây, dữ liệu lớn cho chúng ta chút cảm giác gì đó về một Wild West (miền Tây hoang dã). Các công ty có thể thu thập bất kỳ dữ liệu nào mà họ muốn, vì bất kỳ lý do gì (mà thường thì chẳng có lý do nào chính đáng cả), cùng với rất ít sự giám sát. Như chúng ta sẽ thấy trong chương này, tất cả những điều đó đang bắt đầu thay đổi và các quy định pháp lý đang dần được đưa ra để thắt chặt việc các công ty thu thập, lưu trữ và sử dụng dữ liệu như thế nào. Do đó, các công ty phải xem tất cả những quyền sở hữu dữ liệu của tổ chức, cá nhân và vấn đề bảo mật như là một phần trọng yếu trong chiến lược dữ liệu của công ty mình. Việc xem xét một cách đúng đắn những vấn đề này (cũng như những vấn đề khác được nhắc đến sau đây) đều là một phần trong hoạt động “quản trị dữ liệu”. Trong chương này, tôi sẽ phân tích một số vấn đề chính trong quyền riêng tư về dữ liệu, quyền sở hữu dữ liệu và bảo mật dữ liệu, cũng như xác định xem như thế nào là quản trị tốt dữ liệu trong một công ty. Hãy nhớ rằng tất cả những chủ đề này đều quan trọng, mỗi chủ đề đều xứng đáng có một cuốn sách riêng viết về nó, và bối cảnh pháp lý đang thay đổi không ngừng. Do đó, lắng nghe những lời khuyên pháp lý từ chuyên gia là điều cần thiết.

Xem xét quyền sở hữu dữ liệu và quyền riêng tư

Dường như chúng ta đang bước dần đến điểm kết thúc của kỷ nguyên thu thập dữ liệu theo phong cách miền Tây hoang dã, nơi mà các công ty có thể thu thập càng nhiều dữ liệu càng tốt mà không cần phải suy nghĩ về lý do vì sao họ cần chúng và họ sẽ sử dụng chúng như thế nào. Giờ đây, việc xem xét quyền sở hữu dữ liệu và quyền riêng tư phải là ưu tiên hàng đầu đối với những công ty đang làm việc với dữ liệu, đặc biệt nếu đó là dữ liệu cá nhân. Có hai cách để sở hữu dữ liệu: thứ nhất là đảm bảo bạn đang sở hữu bất kỳ dữ liệu nào cần thiết cho doanh nghiệp của mình, mà không phụ thuộc vào nhà cung cấp dữ liệu; và thứ hai là đảm bảo rằng những điều luật và giấy phép chính xác đã có sẵn cho phép bạn sử dụng dữ liệu đó đúng như những gì mà bạn dự định.

Sở hữu hay không sở hữu?

Nhiều doanh nghiệp đã làm nên những điều tuyệt vời bằng cách sử dụng dữ liệu từ bên thứ ba, và sự giàu có của những nhà cung cấp dữ liệu đồng nghĩa với việc ngay cả những công ty nhỏ nhất cũng có thể được hưởng lợi từ dữ liệu. Đây tất nhiên là một điều tốt. Tuy nhiên, nếu quy trình kinh doanh chính của bạn dựa trên những dữ liệu nhất định hoặc nếu bạn dự định tạo ra doanh thu từ dữ liệu, việc bạn sở hữu dữ liệu đó sẽ rất quan trọng, thay vì phải phụ thuộc vào nguồn cung cấp dữ liệu từ một bên thứ ba. Khi dữ liệu trở thành một phần trong hoạt động cốt lõi hàng ngày hoặc dòng doanh thu, doanh nghiệp bắt đầu phụ thuộc vào dữ liệu đó, và nó trở thành một phần quan trọng trong cách thức kinh doanh của bạn. Đó là lý do tại sao bạn nên sở hữu mọi dữ liệu mà doanh nghiệp của bạn phải phụ thuộc vào. Như tôi đã nói trong suốt cuốn sách này, điều quan trọng là bạn phải suy nghĩ về dữ liệu như là một loại tài sản cốt lõi, cũng giống như nhân viên, tài sản trí tuệ và hàng tồn kho của bạn vậy.

Hãy đảm bảo rằng, bất cứ khi nào có thể, bạn phải sở hữu những dữ liệu quan trọng cho hoạt động kinh doanh, doanh thu hoặc thậm chí là các quy trình ra quyết định quan trọng của mình. Điều này sẽ dễ đảm bảo hơn nếu bạn làm việc với những dữ liệu nội bộ của riêng mình, nhưng phải thừa nhận là nó sẽ phức tạp hơn khi bạn đối phó với những dữ liệu từ bên ngoài. Nếu bạn không thể thu thập dữ liệu bên ngoài cho riêng mình và chuyển sang một nhà cung cấp từ bên thứ ba, bạn cần phải đảm bảo ít nhất bạn sẽ không bị mất quyền truy cập vào dữ liệu. Nếu bạn phụ thuộc vào dữ liệu từ bên thứ ba, và nhà cung cấp đột ngột tăng giá hoặc từ chối cho bạn truy cập vì bất kỳ lý do gì, điều đó có nghĩa là doanh nghiệp của bạn sẽ phải đối mặt với một sự gián đoạn nghiêm trọng.

Đảm bảo các điều luật chính xác phải được áp dụng đúng

Cho dù bạn đang sử dụng dữ liệu của riêng mình hay đã mua dữ liệu từ một nơi nào khác, bạn phải đảm bảo rằng các điều luật chính xác phải có sẵn và cho phép bạn sử dụng dữ liệu đó như những gì bạn dự định. Siêu dữ liệu, bao gồm những thông tin cực kỳ quan trọng (như thời gian và nơi dữ liệu được thu thập), và những giấy phép được cấp trở nên cực kỳ hữu ích trong phương diện này. Nhiều công ty thường không mấy lo lắng về việc sở hữu (hoặc cập nhật, nếu như họ đã sở hữu) siêu dữ liệu quan trọng này, đặc biệt khi họ đã mua dữ liệu từ một nhà cung cấp nào đó. Ví dụ, cũng không phải là chuyện kỳ lạ gì khi một doanh nghiệp mua dữ liệu khách hàng trong một cơ sở dữ liệu lớn, và không hề có chút ý tưởng thực sự gì về việc dữ liệu này đến từ đâu và những quyền nào được cấp tại thời điểm đó. Theo kinh nghiệm của tôi, các công ty không yêu cầu siêu dữ liệu quan trọng một cách thường xuyên như họ nên làm. Khi các luật về dữ liệu và quyền riêng tư ngày càng được thắt chặt, bất kỳ doanh nghiệp nào sử dụng dữ liệu mà không có thông tin siêu dữ liệu này cũng sẽ gặp phải khó khăn. Do đó, nếu bạn đang có ý định mua một bộ dữ liệu, bạn cần phải có khả năng truy tìm nguồn gốc của dữ liệu đó để nắm rõ việc dữ liệu được thu thập khi nào, từ đâu, và đi kèm với những quyền nào. Việc này cũng giống như một nhà xuất bản phải có trách nhiệm biết rõ nguồn gốc của loại giấy được sử dụng trong những cuốn sách của họ, và tài nguyên quý giá đó được quản lý như thế nào.

Luật Bảo vệ Dữ liệu chung (GDPR) của Liên minh châu Âu (EU) có hiệu lực từ năm 2018 được soạn thảo nhằm tăng cường việc bảo vệ dữ liệu cho các cá nhân, giúp họ kiểm soát tốt hơn dữ liệu cá nhân của mình và cách thức sử dụng chúng. Quy định mới này đồng nghĩa với việc các công ty có thể sẽ phải đối mặt với những mức tiền phạt cao hơn (lên đến 20 triệu euro hoặc 4% doanh thu hàng năm trên toàn thế giới) nếu lạm dụng hoặc không bảo vệ thông tin cá nhân một cách nghiêm ngặt. Theo nguyên tắc chung, dữ liệu cá nhân phải được bảo vệ và chỉ có thể được sử dụng cho mục đích mà nó đã được bàn giao. Do đó, khi thu thập dữ liệu cho riêng mình, bạn cần phải cho người dùng biết bạn đang thu thập những dữ liệu nào và bạn dự định sử dụng dữ liệu đó ra sao, và thực hiện đầy đủ các trình tự để đảm bảo dữ liệu đó không được sử dụng với bất kỳ mục đích nào khác. Nếu bạn muốn sử dụng dữ liệu đó theo một cách khác, bạn phải được cấp quyền mới.

Như Ashley Winton, một đối tác trong công ty luật doanh nghiệp Paul Hastings, đã nói với tôi rằng, bạn cần đảm bảo bất kỳ dữ liệu nào bạn đã mua cũng phải được làm rõ cách thức sử dụng bởi những người đã bán nó. Với tư cách là người dùng cuối, bạn có trách nhiệm đảm bảo rằng bạn không sử dụng dữ liệu sai cách, ngay cả khi bạn đã mua chúng từ một nơi khác. Nói cách khác, nếu bạn mua một danh sách tên và địa chỉ để sử dụng cho các mục đích marketing, mà người đã bán cho bạn những cái tên và địa chỉ kia không hề bảo mật những quyền lợi đúng đắn khi họ thu thập chúng, cuối cùng chính bạn sẽ là người phải đối mặt với mức tiền phạt từ các nhà quản lý, và có thể còn là những vụ kiện tụng có khả năng đưa bạn đến nguy cơ phá sản. Một lần nữa, điều này có thể chứng minh rằng siêu dữ liệu là vô cùng quý giá.

Tại Mỹ, những quy định xung quanh việc sử dụng dữ liệu cá nhân có thể ít nghiêm ngặt hơn, nhưng vẫn còn nhiều thứ có thể khiến cho một công ty phạm phải sai lầm. Felix Wu, giáo sư luật tại khoa Luật Benjamin N Cardozo, nói với tôi: “Không giống như châu Âu, Mỹ không có luật bảo mật thông tin GDPR nào, nhưng điều này thực ra có thể làm cho mọi việc trở nên khó khăn hơn cho các công ty, khi họ phải tuân theo một bản chắp vá từ nhiều điều luật khác nhau của nhiều tiểu bang và liên bang”¹. Một lĩnh vực mà Mỹ ban hành nhiều quy định hơn là xung quanh các vấn đề liên quan đến những thủ đoạn gian lận. Giáo sư Wu nói với tôi:

“Các công ty có thể vi phạm các luật chống lại việc gian lận mặc dù không hề có ý định làm việc đó. Điều này có nghĩa là các công ty cần phải theo dõi một cách chi tiết những phương thức xử lý dữ liệu của họ – bao gồm những gì mà họ thu thập, cách họ sử dụng dữ liệu đó và tiết lộ chúng cho ai – để đảm bảo rằng hành động của họ luôn nhất quán với những gì họ nói trong các chính sách bảo mật, tài liệu marketing và những khía cạnh khác nữa.”

Giáo sư Wu nêu tên Google như là một ví dụ liên quan về một công ty đã phạm sai lầm do thu thập dữ liệu “vô dụng đối với công ty”. Gã khổng lồ tìm kiếm đã gặp phải vấn đề pháp lý trong việc thu thập dữ liệu cá nhân bởi những tấm hình chụp xe ô tô (và dữ liệu wifi) cho dịch vụ chế độ xem đường phố (Street View) của mình.

Tối thiểu hóa dữ liệu là một hành động tốt

Ngay cả khi chúng ta đang nói về dữ liệu “lớn”, thì phương thức “càng ít càng tốt” vẫn có một giá trị to lớn. Với những quy định đang ngày càng được thắt chặt, thời mà các tập đoàn lớn đi thu thập tất cả những dữ liệu mà họ có thể lấy chỉ để đề phòng trường hợp nó sẽ hữu ích vào một ngày nào đó (hoặc như cách giám đốc điều hành của Amazon, Jeff Bezos nói: “Chúng tôi không bao giờ vứt bỏ dữ liệu”) đã trôi qua. Đây không chỉ là một cách thức với chi phí cao, bởi lẽ nếu bạn thu thập càng nhiều dữ liệu, thì bạn sẽ càng phải đầu tư nhiều hơn vào việc lưu trữ và phân tích dữ liệu, nó còn có thể khiến bạn gặp phải rắc rối về mặt pháp lý.

Luật GDPR mới của EU khẳng định rằng bất kỳ dữ liệu cá nhân nào được thu thập cũng cần phải “thỏa đáng, có liên quan và được giới hạn ở mức tối thiểu cần thiết cho những mục đích mà dữ liệu được xử lý”. Trên thực tế, điều này có nghĩa là thu thập và chỉ giữ lại một số lượng tối thiểu những dữ liệu cá nhân cần thiết để thực hiện mục đích của bạn. Đây chính xác là ý nghĩa của thuật ngữ “tối thiểu hóa dữ liệu”, tức là giới hạn việc thu thập thông tin cá nhân thành những thông tin có liên quan trực tiếp và cần thiết để hoàn thành một mục đích cụ thể.

Đặc biệt là khi IoT đang tiếp tục được phát triển, các tổ chức phải đối mặt với việc ngày càng có nhiều cách thức hơn để thu thập nhiều loại dữ liệu hơn, bao gồm (và đặc biệt là) dữ liệu riêng tư và nhận diện cá nhân. Trong khi một số công ty vẫn hy vọng rằng họ có thể lưu lại tất cả dữ liệu này cho một số ứng dụng nào đó trong tương lai, thì nguy cơ của việc tích trữ dữ liệu cũng tương tự như tích trữ tài sản vật chất vậy: những đống phế liệu vô dụng sẽ chỉ khiến chúng ta gặp khó khăn hơn trong việc tìm được thứ mình cần khi cần thiết. Nó gây ra sự tốn kém về tiền bạc và thời gian, lại còn có thể trở nên nguy hiểm. Thay vì “lưu lại tất cả”, bất kỳ chiến lược dữ liệu tốt nào cũng nên biết cách nắm bắt chính sách tối thiểu hóa dữ liệu, chỉ giữ lại những gì bạn thực sự cần. Ngay cả một gã có dữ liệu khổng lồ như Walmart cũng chỉ dựa vào dữ liệu từ bốn tuần trước cho chiến lược mua bán hàng ngày của mình, chứng minh rằng việc điều hành một doanh nghiệp cực kỳ thành công bằng cách tối thiểu hóa dữ liệu là hoàn toàn có thể.

Về phần mình, tôi tin chắc rằng các công ty chỉ nên thu thập và lưu trữ những dữ liệu mà họ thực sự cần, và xóa bỏ đi mọi thứ khác. Lưu trữ dữ liệu “chỉ để dự phòng” là một con đường đầy nguy hiểm (chưa kể là còn tốn kém nữa).

Việc lưu trữ dữ liệu rất tốn kém, và không có doanh nghiệp nào có ngân sách vô hạn cả – vì vậy không có doanh nghiệp nào có thể tiếp tục thu thập và lưu trữ dữ liệu vô thời hạn. Ngoài ra, có quá nhiều dữ liệu (đặc biệt là dữ liệu nhận dạng cá nhân) thường mang lại những rủi ro đáng kể. Hậu quả của việc mất dữ liệu và vi phạm các quy định cũng cần được xem xét. Một vụ rò rỉ lớn những thông tin cá nhân nhạy cảm có thể dễ dàng hủy hoại toàn bộ danh tiếng của một doanh nghiệp, hoặc thậm chí là dẫn đến các cáo buộc phạm tội do sơ suất. Bạn có thể tưởng tượng là sẽ bực bội đến thế nào khi bạn thậm chí còn không cần đến dữ liệu mà bạn đã làm mất ấy!

Với việc thực thi luật GDPR, tất cả các doanh nghiệp nắm giữ dữ liệu về bất kỳ một công dân Liên minh châu Âu nào cũng sẽ cần phải thực hiện một quy trình vận hành tiêu chuẩn tối thiểu hóa dữ liệu nhằm giảm thiểu rủi ro. Theo tôi, đây chính là một động thái hoàn toàn tích cực, cho cả cá nhân lẫn doanh nghiệp.

Hiểu rõ những mối quan tâm riêng tư

Luật pháp cũng thắt chặt quyền riêng tư của các cá nhân. Luật GDPR ủng hộ quyền được lãng quên của các cá nhân trong EU, có nghĩa là họ có thể yêu cầu các công ty xóa dữ liệu cá nhân của mình và các công ty phải tuân thủ theo yêu cầu đó. Điều này nghe có vẻ như không phải là một vấn đề lớn, nhưng hãy xem xét lại những tác động của việc xóa bỏ mọi dấu vết của một khách hàng ra khỏi hệ thống của bạn. Bạn có sở hữu quy trình nào để xóa dữ liệu khách hàng không? Có bao nhiêu hệ thống sẽ bị ảnh hưởng? Liệu bạn có chắc rằng bạn có thể xóa hết mọi dấu vết? Nhân viên của bạn liệu có hiểu được tầm quan trọng của việc tuân thủ quy định này không? Đây là tất cả những gì bạn cần phải xem xét như là một phần trong chiến lược dữ liệu của mình.

Quyền được lãng quên, yêu cầu dữ liệu phải thích đáng và những vấn đề khác xung quanh quyền riêng tư khiến cho các công ty như Facebook và Google, mà thực ra là bất kỳ công ty nào đã và đang xây dựng doanh nghiệp của mình bằng cách thu thập hàng núi dữ liệu cá nhân, trở nên dễ gặp rắc rối. Một trường hợp khá thú vị gần đây có liên quan đến Google đã thể hiện rõ điều này. Vào năm 2015, Daniel Matera, một người không sử dụng Gmail, đã đệ đơn kiện Google, cáo buộc công ty đã vi phạm Đạo luật Wiretap bằng cách cố ý chặn và quét những e-mail được gửi đi hoặc nhận về từ danh bạ của tài khoản Gmail nhằm mục đích quảng cáo hướng mục tiêu². Anh kiên định rằng, với tư cách là một người không sử dụng Gmail, anh không đồng ý cho Gmail chặn e-mail của mình, và do đó sẽ không tuân theo chính sách bảo mật của Google. Mặt khác, Google lập luận bác bỏ đơn kiện này vì việc chặn và quét e-mail là một phần trong hoạt động kinh doanh hàng ngày của nó, và đó cũng là những cách thức tạo điều kiện cho quảng cáo được nhắm mục tiêu – nói cách khác, là thứ cho phép Google cung cấp dịch vụ e-mail miễn phí. Tuy nhiên, thẩm phán đã bác bỏ lập luận của Google dựa trên cơ sở rằng việc chặn và quét e-mail không thực sự cần thiết để thực hiện. Bản kiến nghị của Google để bác bỏ khiếu nại này đã bị từ chối và bước tiếp theo là tòa án sẽ phán quyết liệu vụ kiện có đáp ứng đủ các yêu cầu đối với một sự khởi tố tập thể hay không – điều này sẽ cho phép toàn bộ “tập thể” người tiêu dùng cùng tham gia vào vụ kiện. Nếu điều đó xảy ra, và nếu Google bị phát hiện vi phạm quyền riêng tư của những người tiêu dùng này, thì số tiền bồi thường sẽ thật sự rất lớn.

Google đã luôn lập luận rằng những người sử dụng dịch vụ e-mail miễn phí của mình không thể kỳ vọng một cách hợp pháp về quyền riêng tư, nhưng việc vẫn tiếp tục mở rộng điều này đến bất kỳ ai có bất kỳ liên hệ nào với những người dùng Gmail sẽ càng rắc rối hơn khi mà những quy định và các vụ kiện tụng đang ngày càng gia tăng. Theo ý kiến cá nhân, tôi sẽ luôn khuyên khách hàng của mình rằng họ nên cởi mở và minh bạch trong cách thức mà họ thu thập dữ liệu. Rõ ràng, Google đang cung cấp cho chúng ta một dịch vụ hữu ích và miễn phí, và tất cả chúng ta đều biết công ty họ phải kiếm tiền bằng một cách nào đó. Vấn đề là nhiều người sử dụng Gmail thậm chí còn không nhận thức được rằng đây là những gì mà họ đã đồng ý sử dụng (chưa kể đến những người đang trao đổi thư từ với họ) vì hầu hết mọi người đều chỉ đơn giản nhấp chuột vào nút “chấp nhận” mà không bao giờ đọc hết hoặc hiểu rõ bất kỳ chính sách bảo mật nào. Tương tự như vậy, trong Chương 2, chúng tôi đã nhắc đến phản ứng dữ dội chống lại chính sách bảo mật của dịch vụ phát nhạc trực tuyến Spotify, với những nghi vấn trên diện rộng về việc dữ liệu nào đang được thu thập, dữ liệu sẽ được sử dụng như thế nào và được chia sẻ với ai.

Cũng có nhiều mối lo lắng tương tự về quyền riêng tư khi Windows 10 được cho ra mắt vào năm 2015³. Nhiều người lo ngại rằng, nếu người dùng tuân theo những đề xuất về phần mềm và tiếp tục sử dụng các cấu hình mặc định trong khi cài đặt những bản nâng cấp miễn phí, họ sẽ cho phép Microsoft trực tiếp giám sát khá nhiều thứ mà họ đang làm trên máy tính của mình. Hơn nữa, nhiều người dùng – có lẽ là theo cách vô thức, họ quá tự mãn về việc đọc chính sách bảo mật – cho phép Microsoft chia sẻ thông tin này với những “đối tác” không xác định, vì những lý do không xác định. Windows 10 rõ ràng được thiết kế để tìm hiểu về người dùng nhiều nhất có thể. Hầu hết người dùng đều quen thuộc với ý tưởng các nhà cung cấp phần mềm thu thập dữ liệu về cách thức mà chúng ta sử dụng sản phẩm của họ, đặc biệt là trong các dịch vụ dựa trên đám mây. Nhưng Windows 10 đã vượt xa điều đó khi tự động gán ID quảng cáo cho tất cả người dùng để từ đó, dựa trên phân tích dữ liệu của họ, Microsoft có thể điều chỉnh các quảng cáo xuất hiện trong trình duyệt web của mình và những ứng dụng khác.

Bạn vẫn có thể đảm bảo rằng bạn đang giữ lại vài mức độ kiểm soát đối với những gì được gửi tới Microsoft và các đối tác của họ, nếu siêng năng kiểm tra tất cả những cài đặt bảo mật của mình. Tuy nhiên, làm như vậy sẽ vô hiệu hóa một số tính năng đặc biệt của hệ điều hành mới, chẳng hạn như Cortana, cô trợ lý thông minh nhân tạo bằng giọng nói. Cortana sẽ không thể hoạt động nếu không thể truy cập vị trí của bạn và cho phép truyền tải nhiều dữ liệu sử dụng khác về Microsoft. Tuy nhiên, cũng công bằng khi nói rằng không có gì trong số những điều này chỉ thuộc về Microsoft. Ngày nay, điện toán di động cũng phổ biến ngang bằng hoặc hơn so với điện toán dựa trên máy tính cá nhân, và cả hai hệ điều hành di động chính đều thu thập một lượng lớn các dữ liệu về cách thức sử dụng của chúng ta, và chia sẻ nó đến các nhà cung cấp và đối tác của họ. Tuy nhiên, điều thú vị là việc thu thập dữ liệu di động trên quy mô lớn như vậy thường gây ra ít mối quan ngại hơn.

Pokémon Go, một trò chơi thực tế cực kỳ phổ biến, là một ví dụ khác về chính sách bảo mật và điều khoản dịch vụ có thể để lại ấn tượng, nói một cách thẳng thắn, là đầy nham hiểm. Trò chơi sử dụng máy ảnh, GPS và cảm biến vị trí trên điện thoại thông minh của bạn để cho phép trò chơi biết được nội dung hiển thị và vị trí, tạo ra ảo ảnh rằng những con “quái vật bỏ túi” (pocket monster) hoạt hình nhỏ nhắn dễ thương đang đứng trong phòng khách của bạn, bên ngoài đường phố, hoặc ở công viên gần nhà. Bạn dùng những quả bóng Pokéball miễn phí (để bắt những sinh vật đó) tại các địa điểm lịch sử địa phương. Và các doanh nghiệp có thể mua “những mồi nhử” Pokémon như một cách thức quảng cáo để thu hút những con quái vật tưởng tượng và những người hâm mộ cuồng nhiệt của chúng đến vị trí thực tế của họ. Trò chơi này cực kỳ nổi tiếng. Trên thực tế, nó nhanh chóng trở thành ứng dụng di động thành công nhất mọi thời đại, đã được cài đặt ở 6% tất cả các thiết bị Android tại Mỹ vào thời điểm viết cuốn sách này. Với tốc độ này, có khả năng nó sẽ còn vượt qua cả Twitter về số lượng người dùng hoạt động hàng ngày.

Nhưng cách thức hoạt động của ứng dụng điện thoại này lại yêu cầu dữ liệu – rất nhiều dữ liệu là đằng khác – và các vấn đề bắt đầu nảy sinh với những gì mà ứng dụng thu thập, những gì mà công ty đang sử dụng nó. Tin tức bắt đầu lan truyền rằng trò chơi này yêu cầu toàn quyền truy cập vào tài khoản Google của bạn khi đăng nhập. Toàn quyền truy cập cho phép ứng dụng – và công ty đằng sau nó – có thể “xem và sửa đổi gần như mọi thông tin trong tài khoản Google của bạn”, theo như trình điều khiển bảo mật của Google. Nó không có quyền truy cập vào mật khẩu hoặc thông tin thanh toán, nhưng nó có thể đọc e-mail của bạn, xem được lịch sử tìm kiếm của bạn và còn nhiều hơn thế.

Niantic, công ty sản xuất ra trò chơi này, cho biết yêu cầu này chỉ là một sai lầm và được báo cáo là đã thay đổi yêu cầu về quyền truy cập trong bản cập nhật của trò chơi. Nhưng trên thực tế vẫn còn rất nhiều người dùng rất sẵn lòng cho phép một trò chơi được thiết kế dành cho trẻ em 10 tuổi được toàn quyền truy cập vào mọi thứ mà Google biết về họ. Đó là một ví dụ khác về cách thức mà mọi người cho đi dữ liệu của mình một cách quá dễ dàng. Đặc biệt là đối với các ứng dụng, thứ mà chúng ta tải xuống miễn phí và muốn bắt đầu sử dụng nó một cách nhanh chóng, mọi người thường không bao giờ đọc hết các điều khoản dịch vụ dài dòng mà họ sẵn lòng đồng ý, và không hiểu rõ đầy đủ về giới hạn của những thông tin mà họ tự nguyện cho đi. Những vấn đề mà tôi nhìn thấy được minh họa bởi những lo ngại gần đây dành cho ứng dụng Pokémon Go – và những vấn đề khác tương tự – thì gấp đôi như vậy.

Đầu tiên, các công ty đang giành giật thị trường để thu thập càng nhiều dữ liệu càng tốt về khách hàng của họ trước những viễn cảnh hiện tại và tiềm năng trong tương lai khi nó trở nên có giá trị. Hầu hết các công ty đều chọn con đường buộc những người dùng có hiểu biết lựa chọn hủy đăng ký việc thu thập dữ liệu này, thay vì cho phép họ đăng ký, bởi lẽ các tính năng của chương trình cần phải yêu cầu thông tin.

Thứ hai, và có lẽ cũng quan trọng không kém, người dùng không hề biết gì về sự riêng tư mà họ từ bỏ mỗi khi nhấp chuột vào nút “chấp nhận” trên một ứng dụng hoặc một chương trình mới. Phải đến khi một số nhà khoa học máy tính, nhà báo, hoặc hacker có hứng thú và phát hiện ra những sự thật khó chịu này thì họ mới bắt đầu phản đối kịch liệt. Tôi tin rằng những công ty có trách nhiệm nên thực hiện các chính sách và những điều khoản dịch vụ thông thường để người dùng có thể dễ dàng hiểu được, đặc biệt khi đề cập đến dữ liệu cá nhân mà họ đang cho đi và tại sao.

Nói chung, hầu hết mọi người đều rất vui lòng khi cung cấp cho các công ty quyền truy cập vào những dữ liệu nhất định nếu chúng cho phép họ hưởng được lợi ích từ một dịch vụ miễn phí có giá trị, hoặc nhận được một dịch vụ hay sản phẩm tốt hơn – nhưng phải dựa trên cơ sở rằng họ biết là họ đang cho đi thứ gì và tại sao. Không ai thích bị lừa dối cả, hoặc cảm thấy như thể họ đã bị lừa, cũng giống như những phản ứng dữ dội gần đây đã được thể hiện ra. Do đó, các công ty không nên cho rằng người dùng sẽ chỉ đơn giản nhấp chọn vào ô trống trên bản thỏa thuận về quyền riêng tư mà không nghĩ thêm gì về nó.

Đương nhiên, tất cả những điều này đều áp dụng được cho các dữ liệu về nhân viên của bạn, cũng tương tự như khách hàng hay người dùng của bạn. Các công ty đang sở hữu nhiều dữ liệu về nhân viên hơn bao giờ hết và phân tích dữ liệu nhanh chóng trở thành một phần thủ tục trong các hoạt động nhân sự. Khi thế giới ngày càng gia tăng việc số hóa, các công ty có vô số cách để có thể theo dõi nhân viên của mình.

Nỗi lo sợ của tôi chính là việc có nhiều công ty dành quá nhiều thời gian để gặm nhấm tất cả những thứ mà họ có thể để dễ dàng thu thập dữ liệu, bao gồm cả thời gian nhân viên ngồi trên chiếc ghế văn phòng của họ hay số lượng người mà họ đã tương tác, thay vì những phương pháp định tính có ý nghĩa hơn (như việc gì họ đã làm khi ngồi trên chiếc ghế ấy, và chất lượng những lần tương tác giữa họ với những người khác). Do đó, sẽ khôn ngoan hơn nếu các công ty tuân thủ cùng một phương thức tối thiểu hóa dữ liệu cho dữ liệu của nhân viên như cách họ thực hiện với dữ liệu khách hàng, và chỉ thu thập những dữ liệu cần thiết, tức là những dữ liệu có thể giúp cải thiện kết quả làm việc của công ty một cách có ý nghĩa. Các nhân viên cũng cần phải nhận thức về việc dữ liệu nào đang được thu thập, tại sao, và mục đích của công ty khi sử dụng chúng – lý tưởng nhất là cùng với một giọng điệu tích cực, nhấn mạnh vào những lợi ích của các dữ liệu này. Cũng giống như hàng trăm triệu người dường như đang rất vui vẻ khi cho phép Google quét e-mail của mình để đổi lấy một dịch vụ e-mail miễn phí, nhân viên của bạn có nhiều khả năng sẽ hài lòng hơn với việc bạn sử dụng dữ liệu của họ nếu họ hiểu rằng thông tin ấy sẽ được sử dụng với mục đích tốt – chẳng hạn như, nhằm cải thiện môi trường làm việc của họ.

Chắc chắn sẽ có rất nhiều điều cần phải xem xét về quyền sở hữu dữ liệu và quyền riêng tư, nhưng tôi không phải đang cố gắng làm bạn nản chí. Với những chính sách bảo mật minh bạch và quy trình quản trị dữ liệu tốt được sử dụng hợp lý (xem ở phần sau của chương này), và bằng cách tuân thủ các quy định mới nhất, không có lý do gì có thể khiến doanh nghiệp không thể sử dụng dữ liệu một cách thành công. Thông điệp quan trọng ở đây là hãy nhớ rằng bất cứ khi nào bạn yêu cầu các cá nhân nào đó về dữ liệu của họ, bạn bắt buộc phải giải thích rõ rằng bạn cần dữ liệu nào, bạn định làm gì với chúng và liệu bạn có thể chia sẻ thông tin đó với bất kỳ ai khác hay không (Một lần nữa, việc này chỉ được khuyến khích khi chúng cần thiết cho mục đích được định sẵn). Việc này cũng cần phải dựa trên cơ sở “đăng ký”, tức là không tự động thu thập và sử dụng dữ liệu khi người dùng lựa chọn hủy đăng ký; thay vào đó họ nên chọn đăng ký một cách rõ ràng và cho phép bạn sử dụng dữ liệu của họ. Tương tự như vậy, khi mua dữ liệu cá nhân từ một nhà cung cấp nào đó, bạn cần phải đảm bảo rằng việc này đã được giải thích một cách đầy đủ cho các cá nhân có liên quan và họ đã cho phép. Và tất nhiên là bạn nên thực hành việc tối thiểu hóa dữ liệu và chỉ thu thập những dữ liệu cần thiết cho doanh nghiệp của mình, chứ không phải dựa trên cơ sở “chỉ để dự phòng”.

Giải quyết vấn đề bảo mật dữ liệu

Chiến lược dữ liệu của bạn cũng nên cân nhắc đến vấn đề bảo mật dữ liệu, tức là cần phải ngăn chặn việc bị mất dữ liệu và các vi phạm. Khi bạn xem dữ liệu như là tài sản của mình, bạn cần phải coi trọng vấn đề bảo mật, cũng giống như những gì bạn làm với những tài sản khác (như cơ sở kinh doanh và hàng tồn kho). Đã có nhiều vụ vi phạm dữ liệu nổi tiếng trong vài năm qua và các quy định đang ngày càng được thắt chặt liên quan đến việc bảo vệ dữ liệu.

Nói một cách ngắn gọn, bất kỳ công ty nào xử lý dữ liệu cá nhân “mà cá nhân đó có thể được nhận diện” thì phải có trách nhiệm bảo vệ nó. Điều này có nghĩa là ngay cả khi bạn mua dữ liệu cá nhân và có thể nhận dạng được từ một nhà cung cấp dữ liệu, bạn có khả năng sẽ phải chịu trách nhiệm về mọi vấn đề vi phạm dữ liệu. Do đó, bất cứ khi nào có thể, bạn nên sử dụng dữ liệu ẩn danh không nhận diện bất kỳ thông tin chi tiết nào của các cá nhân. Nếu như không thể làm được điều này, bạn cần phải thực hiện những biện pháp nhằm đảm bảo dữ liệu được bảo mật (Ngay cả khi đây không phải là một yêu cầu pháp lý ở quốc gia của bạn, bạn vẫn phải gánh chịu những hậu quả to lớn liên quan đến uy tín của mình nếu dữ liệu khách hàng bị vi phạm). Có một số biện pháp bảo vệ nhất định mà bất cứ doanh nghiệp nào cũng có thể thực hiện để bảo mật dữ liệu và ngăn chặn các vi phạm dữ liệu. Các biện pháp này có thể bao gồm mã hóa dữ liệu, lắp đặt các hệ thống phát hiện và ngăn chặn vi phạm khi chúng xảy ra, và đào tạo cho các nhân viên để họ không bao giờ tiết lộ những thông tin bảo mật.

Hãy nhớ rằng bảo mật dữ liệu là một lĩnh vực chuyên môn, và tham khảo ý kiến của chuyên gia bảo mật dữ liệu khi phát triển một chiến lược dữ liệu luôn là điều tốt, đặc biệt khi bạn đang cân nhắc các ưu và nhược điểm của những phương pháp lưu trữ dữ liệu và hệ thống bảo mật dữ liệu khác nhau.

Tác động to lớn của việc vi phạm dữ liệu

Vi phạm dữ liệu có thể dẫn đến những tổn thất to lớn cho các doanh nghiệp (về những chi phí pháp lý và bồi thường tài chính), cũng như những thiệt hại gây ảnh hưởng đến danh tiếng của công ty. Đáng buồn thay, các vi phạm về dữ liệu đang ngày càng xảy ra thường xuyên hơn và có vẻ như hiếm khi có được một tuần lễ trôi qua mà không xuất hiện những báo cáo về một vụ mất mát hoặc đánh cắp dữ liệu cá nhân trên quy mô lớn nào đó.

Có lẽ việc này là không thể tránh khỏi. Tổng khối lượng dữ liệu cá nhân mà chúng ta tạo ra và lưu trữ đang gia tăng theo cấp số nhân khi ngày càng nhiều những khía cạnh trong cuộc sống của chúng ta đã được số hóa và được kết nối với nhau. Do đó, đi kèm với những điều này, cùng với ngày càng nhiều dữ liệu trôi nổi, việc dữ liệu sẽ bị đánh cắp hoặc bị mất cũng tăng lên. Tuy nhiên, nếu nhìn từ góc độ kinh doanh, sự gia tăng này là rất đáng kể. Theo một nghiên cứu gần đây, chi phí mà một doanh nghiệp phải bỏ ra cho việc xử lý một vụ vi phạm dữ liệu “trung bình” hiện nay là 4 triệu đô la⁴.

Lướt sơ qua những bài báo vào một tuần bất kỳ nào đó, chúng ta thường sẽ phát hiện ra nhiều trường hợp khác nhau về việc thẻ tín dụng và địa chỉ bị đánh cắp. Mặc dù những sự cố như thế này gây ra nhiều rắc rối, nhưng hậu quả của chúng lại trở nên không đáng kể khi so sánh với khả năng tàn sát có thể xảy ra do những vụ vi phạm dữ liệu trong tương lai, dựa vào lượng thông tin đang được chia sẻ trực tuyến hiện nay. Một số chuyên gia về dữ liệu và bảo mật sẵn sàng thừa nhận rằng họ nhìn thấy nguy cơ cho một “cơn bão dữ dội” về vi phạm dữ liệu trên một quy mô có thể gây ra hậu quả nghiêm trọng cho xã hội. Và một trong những hậu quả đã được xác định là sự mất đi lòng tin của công chúng trong việc chia sẻ thông tin trực tuyến.

Thông thường, như trong những cuộc tấn công quy mô lớn gần đây trên Tumblr và Myspace, chỉ có tên tài khoản và mật khẩu đã bị đánh cắp (Tuy nhiên, ngay cả điều này cũng có thể để lại những hậu quả nghiêm trọng nếu như, và cũng thường xảy ra, người dùng đã sử dụng cùng một tên tài khoản hoặc mật khẩu trên những dịch vụ khác nhạy cảm hơn). Đáng buồn thay, những vụ vi phạm dữ liệu nghiêm trọng hơn đang ngày càng trở nên phổ biến. Trung tâm Bảo vệ Dữ liệu Cá nhân (Identity Theft Resource Center) đã liệt kê hơn 400 vụ vi phạm dữ liệu nghiêm trọng được biết đến trong bảy tháng đầu năm 2016⁵. Chúng liên quan đến các tổ chức như Hiệp hội Trẻ em vùng Vịnh (Bay Area Children’s Association – một tổ chức phi lợi nhuận về tư vấn và sức khỏe tinh thần), Mạng lưới Quốc gia của Quỹ Nạo phá thai (National Network of Abortion Funds) và Bệnh viện Đại học New Mexico. Với những thông tin mà các tổ chức như thế này đang nắm giữ, hậu quả của một vụ vi phạm dữ liệu rõ ràng còn vượt ra khỏi những vấn đề tài chính hay chính trị – có thể dẫn đến những hậu quả nghiêm trọng về mặt xã hội.

Điều thực sự đáng lo ngại là khả năng xảy ra một cuộc tấn công tầm cỡ như những vụ tấn công Myspace hoặc Tumblr, nhằm chống lại một mục tiêu với những dữ liệu nhạy cảm về mặt xã hội. Hai khả năng đã xảy ra là vụ rò rỉ dữ liệu về tin nhắn cá nhân từ Facebook, hoặc dữ liệu người dùng từ Google. Điều này không chắc chắn có nghĩa là đang có một mối đe dọa sắp diễn ra một vụ vi phạm tại một trong hai công ty này, nhưng cũng rất thú vị nếu chúng ta thử xem xét mức độ thiệt hại của những hậu quả đó.

Khi xem xét khả năng rò rỉ một lượng lớn những tin nhắn từ Facebook hoặc một hệ thống dữ liệu tập trung vào xã hội tương tự như vậy, tất nhiên chúng ta có thể xem vụ tấn công trang Ashley Madison vào năm 2015 như là một tiền lệ. Vẫn công bằng khi nói rằng đây là lần đầu tiên công chúng nói chung có thể đã nhận thức được những hậu quả xã hội tiềm ẩn (trái ngược với các hậu quả tài chính hay chính trị) của vấn đề bảo mật dữ liệu kém. Thực tế là hệ thống dữ liệu của Ashley Madison đã thu hút về cho nó rất nhiều sự chú ý từ giới báo chí. Và nó chắc chắn đã để lại một số hậu quả rất thực tế cho những người đã bị phơi bày (như những kẻ lừa đảo, cũng như là cho gia đình của họ). Những người không tham gia có thể tự trấn an bản thân mình rằng họ sẽ không bị ảnh hưởng gì bởi sự việc này vì họ không hề sử dụng một dịch vụ nào được thiết kế dành cho những kẻ ngoại tình. Nhưng hậu quả có thể sẽ còn nghiêm trọng hơn nhiều khi nó xảy ra với một dịch vụ “có tính trào lưu” hơn, như Facebook. Tôi cá với bạn là những vụ việc không chung thủy đang diễn ra trên các tin nhắn riêng tư của Facebook còn nhiều hơn là trên Ashley Madison. Để vấn đề ngoại tình sang một bên, vẫn còn vô số những cuộc trò chuyện cực kỳ riêng tư, cá nhân và có khả năng gây tổn hại khác cũng diễn ra thông qua những tin nhắn Facebook. Những cuộc trò chuyện nhạy cảm về vấn đề việc làm của các cá nhân, hoặc hoạt động của các nhà hoạt động chính trị, các tín ngưỡng và hoạt động xã hội diễn ra vào mọi giây phút trong ngày. Đáng lo ngại nhất là, trong phần lớn các trường hợp, những cuộc hội thoại này thường được liên kết với một cái tên, một danh tính thật sự và có thể xác minh được của một người nào đó.

Hãy tưởng tượng rằng tất cả mọi thứ bạn đã nói trong những cuộc trò chuyện riêng tư của mình suốt mười năm qua bỗng được đăng tải lên mạng, đính kèm với chính tên thật của bạn, và được biên tập thành một cơ sở dữ liệu có thể tìm kiếm được. Nếu ý tưởng này không đủ đáng sợ, hãy tưởng tượng một điều tương tự xảy ra với những dữ liệu mà Google thu thập về chúng ta. Google lưu lại mọi câu hỏi tìm kiếm mà chúng ta thực hiện (cho dù chúng ta có đang sử dụng tính năng duyệt web riêng tư hay đăng nhập vào một tài khoản hay không), thường được đi kèm với tên thật, hoặc nếu không thì liên kết tới địa chỉ IP, thứ ít nhiều sẽ cho Google biết được rằng nó thuộc về ai.

Đây thực sự là những thông tin mà bạn không bao giờ muốn chúng rơi vào tay kẻ xấu. Google đã luôn tập trung vào việc tìm hiểu cách xây dựng hồ sơ của mọi người từ những thông tin mà chính họ đã nhập vào các dịch vụ của nó. Trên thực tế, nó đã thực hiện điều này bằng cách ra điều kiện cho chúng ta nhập vào càng nhiều dữ liệu càng tốt. Điện thoại liên tục báo cáo vị trí của chúng ta. Hệ thống nhận dạng giọng nói lưu lại những bản ghi âm các thao tác lệnh bằng giọng nói của chúng ta, chúng có thể được phân tích để hiểu rõ trạng thái cảm xúc và mức độ căng thẳng của chúng ta. Và trong tương lai gần, những chiếc xe tự lái của Google sẽ gửi những dữ liệu cảm biến thời gian thực từ bất cứ nơi nào mà chúng đến. Khi bạn xem xét rằng liệu chúng, dù là do thiết kế hay thông qua sự can thiệp từ bên thứ ba, có thể xác nhận những cá nhân đang lướt qua trên đường – bằng cách liên lạc với những chiếc điện thoại di động trong vùng lân cận – hay không, bạn không thể không hình dung nó như là một mạng lưới giám sát với một quy mô có thể còn lớn hơn bất kỳ thứ gì chúng ta từng thấy trong quá khứ. Việc những khả năng như thế này tồn tại trong một hệ thống dữ liệu có thể đã đủ khiến nhiều người trong chúng ta cảm thấy sợ hãi, nhưng hậu quả có thể sẽ thảm khốc hơn nhiều nếu chúng rơi vào tay những kẻ xấu.

Tất nhiên, cũng có những lý do tích cực để chúng ta tin rằng điều tồi tệ này sẽ không bao giờ xảy ra. Tin tặc cần phải có khả năng công nghệ vượt xa trình độ của họ hiện nay mới có thể vượt qua hệ thống an ninh quy mô lớn được triển khai bởi Google hoặc Facebook. Những điều mà tôi tưởng tượng ở trên chưa từng xảy ra trước đây chính là bằng chứng cho việc đó. Thêm vào đó, nếu như một vụ tấn công trên quy mô toàn cầu như thế này có thể xảy ra thì nó sẽ cần đến một lượng tài nguyên đáng kể để có thể lưu trữ và chia sẻ dữ liệu. Chỉ mới có khoảng 25 gigabyte dữ liệu người dùng đã bị chia sẻ bởi vụ tấn công trang Ashley Madison – một khối lượng đủ nhỏ để nó có thể dễ dàng được chia sẻ bằng cách sử dụng BitTorrent. Một vụ hack trên quy mô như tôi mô tả ở trên có khả năng sẽ ở tầm cỡ petabyte – một viễn cảnh khó khăn hơn nhiều để lưu trữ và khó được công chúng biết đến hơn nhiều, đặc biệt là khi phải giữ lại sự ẩn danh. Nhưng chỉ cần xem xét các tác động của một vụ rò rỉ dữ liệu trên quy mô này cũng đủ để làm cho bất kỳ một nhà lãnh đạo doanh nghiệp nào cũng phải trở nên cực kỳ nghiêm túc khi làm việc với việc bảo mật dữ liệu.

Xem xét những mối đe dọa từ IoT

IoT và mạng lưới đang ngày càng được mở rộng của nó, bao gồm các thiết bị được kết nối với nhau, đã thêm vào một lớp đặc biệt cho vấn đề bảo mật. Quan điểm cho rằng những chiếc máy tính cần phải được bảo mật đã trở nên khá phổ biến hiện nay. Giờ đây, có lẽ ngay cả bà của bạn cũng có thể thoải mái cho chạy một chương trình kiểm tra virus trên chiếc máy tính gia đình của bà. Tuy nhiên, cần phải có một chút trí tưởng tượng để có thể hiểu rằng những cuộc tấn công có thể sớm xuất hiện từ vô số các góc độ khác nhau. Cùng với sự bùng nổ của các thiết bị IoT, những người dùng và những doanh nghiệp chắc chắn sẽ càng trở nên dễ bị tấn công hơn. Nhiều người vẫn đang tranh luận rằng những mức độ đề phòng tương tự được áp dụng cho máy tính cũng nên được áp dụng cho các thiết bị thông minh.

Giả thuyết này rất đơn giản – càng nhiều thiết bị có nghĩa là càng nhiều vector tấn công dành cho những kẻ xâm nhập đang ham muốn dữ liệu. Cách thức và lý do tại sao thì phức tạp hơn một chút – kẻ tấn công sẽ thu được lợi ích gì từ việc kiểm soát chiếc tivi thông minh? Vâng, ngoài mục đích gây ra một trò đùa tinh quái (mà chắc chắn cũng là động cơ chính của một thỏa thuận “tốt” trong hoạt động tấn công IoT), cũng có khả năng là họ muốn sử dụng nó để lợi dụng những lỗ hổng mạng và mang lại cho họ một món lời thực sự – các thiết bị khác, chẳng hạn như máy tính cá nhân hay điện thoại, thường có nhiều khả năng chứa những thông tin nhạy cảm và có giá trị hơn.

Một góc độ khác để tấn công là những lỗi giả mạo và lời gợi ý thực hiện các cuộc gọi dịch vụ, hoặc tải xuống các bản vá lỗi. Những bản vá này có thể là những phần mềm độc hại (malware) được thiết kế nhằm truy cập vào các thiết bị khác trong mạng lưới thông qua thiết bị được cho là bị lỗi. Phần mềm tống tiền (ransomware) cũng là một mối nguy hiểm tiềm ẩn khác. Những con virus này được sử dụng nhằm gây ảnh hưởng lên máy tính của bạn và làm cho những dữ liệu có giá trị không còn sử dụng được nữa, trừ phi bạn trả một khoản tiền chuộc. Năm ngoái, các nhà nghiên cứu tại Symantec cho biết loại virus này có thể được lập trình để lây lan từ thiết bị này sang thiết bị khác, khóa điện thoại của người dùng để họ không thể sử dụng được nữa, sau đó là đồng hồ của họ, và trong tương lai có thể sẽ còn là xe hơi, tủ lạnh, hoặc là cả căn nhà⁶.

Những chiếc xe hơi, những món đồ chơi và thậm chí là cả những dụng cụ y tế được kết nối Internet đều đã được chứng minh là dễ bị tấn công. Và những lỗ hổng mới thì được tìm thấy mỗi ngày, nhanh như cách mà các nhà sản xuất có thể vá chúng lại. Bất kỳ công ty nào đang kinh doanh những thiết bị liên quan đến IoT đều cần phải cực kỳ nghiêm túc trong vấn đề bảo mật.

Một lần nữa, bạn cần phải làm rõ cho người dùng của mình biết được những dữ liệu nào bạn sẽ thu thập từ các thiết bị và lý do thu thập để họ có thể đưa ra quyết định sáng suốt về những rủi ro và những lợi ích mà chúng mang lại. Bạn cũng nên khuyến khích người dùng luôn luôn thay đổi mật khẩu mặc định trên các thiết bị được kết nối mạng của mình. Bên cạnh đó, hãy xem xét cẩn thận rằng các thiết bị có thật sự cần thiết phải kết nối với nhau hay không. Ví dụ, nếu bạn sản xuất một bộ điều chỉnh nhiệt thông minh, việc kết nối nó với điện thoại của người dùng là rất hợp lý. Nhưng kết nối với tủ lạnh hoặc tivi thông minh thì sao? Có rất ít lợi ích rõ ràng cho mối kết nối bổ sung này.

Từ góc độ của một phần mềm, bạn sẽ cần phải cập nhật những mối đe dọa mới nhất và thường xuyên cập nhật sản phẩm của mình bằng những bản sửa lỗi để chống lại các mối đe dọa này. Và người dùng sẽ cần phải được thông báo về lý do tại sao những cập nhật này lại quan trọng như vậy. Bạn cũng cần đảm bảo rằng việc chọn lựa những đối tác phải thật cẩn thận, đặc biệt là bất kỳ nhà cung cấp từ bên thứ ba nào mà có thể lưu trữ dữ liệu dưới tên doanh nghiệp của bạn. Uy tín của nhà cung cấp có thể có tác động trực tiếp đến uy tín của doanh nghiệp bạn.

Thực hành việc tối giản hóa dữ liệu đối với các thiết bị IoT cũng rất có ý nghĩa. Việc “thu thập tất cả mọi thứ và để phân tích sau” nên được để lại trong quá khứ – đó là một chiến lược đặt ra quá nhiều rủi ro. Bất kỳ một phần dữ liệu cá nhân nào có khả năng bị rò rỉ hoặc bị đánh cắp đều được xem là một rủi ro bảo mật cho cả công ty và người tiêu dùng của bạn, đặc biệt là theo những bộ luật sắp được ra đời.

Thực hành tốt việc quản trị dữ liệu

Cho đến phần này, chúng ta đã tìm hiểu được rất nhiều cạm bẫy khi làm việc với dữ liệu. Làm thế nào để bạn chắc chắn rằng mình tránh được những cạm bẫy này? Câu trả lời nằm ở chính sách quản trị dữ liệu toàn diện. Quản trị dữ liệu liên quan đến việc quản lý tổng thể và chăm sóc dữ liệu, bao gồm khả năng sử dụng và tính toàn vẹn của nó (tức là đảm bảo được rằng dữ liệu phải có chất lượng tốt, bạn biết nó đến từ đâu và bạn có quyền sử dụng nó khi cần) và tính bảo mật.

Quản trị dữ liệu có nghĩa là bạn nên nhận thức được những yêu cầu và quy định đạo đức, pháp lý liên quan đến mọi trình tự trong hoạt động dữ liệu của mình, và có những chính sách, quy trình vững chắc để quản lý từng bước một. Quản trị tốt dữ liệu tất nhiên phải đảm bảo rằng bạn không vi phạm bất kỳ điều luật nào, rằng bạn có đủ quyền lợi đúng đắn và siêu dữ liệu thích hợp; việc thực hành tốt điều này bao gồm cả siêu dữ liệu với chính dữ liệu đó, làm rõ những quyền hạn và phương thức quản trị được áp dụng cho từng mẩu nhỏ dữ liệu cụ thể. Bảo mật dữ liệu cũng là một phần hiển nhiên trong khung cơ cấu quản trị dữ liệu. Tuy nhiên, quản trị dữ liệu bao quát hơn bảo mật dữ liệu, quyền sở hữu và quyền riêng tư; nó mở rộng ra việc sở hữu những chính sách đúng chỗ để xác định chính xác ai có quyền truy cập dữ liệu và ai chịu trách nhiệm duy trì chất lượng, độ chính xác của dữ liệu đó. Một phần quan trọng trong việc quản trị tốt dữ liệu dựa vào việc xây dựng một nền văn hóa dữ liệu trong chính tổ chức của bạn, và tôi sẽ nói nhiều hơn về điều này trong Chương 11. Về cơ bản, ở mọi bộ phận của tổ chức đều cần phải có một nền văn hóa dữ liệu làm nền tảng cho những quyết định đúng đắn và những hoạt động kinh doanh hiệu quả, và cũng cần phải có một động lực của toàn thể công ty để có thể chăm sóc dữ liệu và xem đó như là một loại tài sản quý giá – như chính giá trị của nó.

Kế hoạch quản trị dữ liệu của bạn nên xác định rõ ai là chủ sở hữu của nhiều dữ liệu khác nhau trong tổ chức và ai là người chịu trách nhiệm về các khía cạnh khác nhau của dữ liệu. Hãy xem xét ai là người chịu trách nhiệm về độ chính xác của dữ liệu (mà cũng có thể là tất cả những người đã tiếp xúc với nó, nếu bạn áp dụng cách tiếp cận quản lý dữ liệu như chúng ta đã thấy trong Chương 8). Ai sẽ chịu trách nhiệm duy trì quyền truy cập vào dữ liệu và kiểm soát những ai có thể truy cập dữ liệu? Ai sẽ chịu trách nhiệm cập nhật dữ liệu? Một chương trình quản trị dữ liệu tốt cũng nên đặt ra những quá trình rõ ràng về cách thức mà dữ liệu có thể được sử dụng, đặc biệt là khi công ty của bạn đang xử lý những dữ liệu cá nhân.

Đương nhiên, chương trình quản trị dữ liệu của bạn phải đảm bảo công ty tuân thủ theo các quy định và đưa ra các quá trình để duy trì sự tuân thủ này, chẳng hạn như kiểm toán một cách thường xuyên. Như chúng ta đã thấy trong chương này, luật pháp chắc chắn đang ngày càng thắt chặt khi nói đến vấn đề sử dụng hoặc lạm dụng dữ liệu cá nhân, và mức tiền phạt có thể là rất lớn. Vì vậy, việc đảm bảo rằng bạn tuân thủ mọi quy định của pháp luật đang ngày càng trở nên quan trọng hơn bao giờ hết. Nếu không, đó sẽ chỉ còn là vấn đề về thời gian trước khi một trong những tài sản lớn nhất trong doanh nghiệp bạn biến thành một trong những khoản nợ lớn nhất.

Có rất nhiều trình tự khác mà bạn có thể thực hiện để đảm bảo rằng bạn sở hữu những quá trình quản trị dữ liệu kỹ lưỡng và thích hợp. Ví dụ, nếu bạn thu thập các hình ảnh từ CCTV để phân tích, bạn cần phải đặt một thông báo để làm rõ rằng dữ liệu đó có thể được sử dụng để làm gì. Nếu bạn sử dụng Bluetooth hay iBeacons của Apple để nắm bắt các dữ liệu về khách hàng đang ở bên trong khu vực trụ sở của bạn từ điện thoại di động của họ, những thỏa thuận mà họ cho phép bạn thu thập những dữ liệu này cần phải được nêu rõ là chúng được sử dụng để làm gì. Và nếu bạn mua dữ liệu từ một nhà cung cấp (bên thứ ba), bạn cần phải kiểm tra kỹ các chi tiết trong hợp đồng để xem điều kiện nào đã được trao cho nhà cung cấp khi họ thu thập dữ liệu.

Ai là người chịu trách nhiệm cho việc quản trị dữ liệu? Chúng ta cần có một nguồn lực hoặc một nhóm cụ thể chịu trách nhiệm lập kế hoạch, triển khai và duy trì việc quản trị dữ liệu. Về mặt lý thuyết, việc này có thể được giao cho các phòng ban công nghệ thông tin, phòng kinh doanh hoặc phòng chính sách, nhưng nó phải luôn bao gồm một mức quan tâm cao từ các nhà lãnh đạo doanh nghiệp và các bên liên quan đến dữ liệu trong toàn thể công ty. Chẳng hạn như, bạn có thể chỉ định những người quản lý dữ liệu có nhiệm vụ phối hợp với đội ngũ quản trị dữ liệu và duy trì chất lượng dữ liệu trong các phòng ban khác nhau của tổ chức.

Về cơ bản, quản trị dữ liệu chính là quản lý dữ liệu như là một trong những tài sản kinh doanh của bạn. Cũng như việc bạn sở hữu những quy trình và hệ thống đúng chỗ để tạo thuận lợi cho việc quản lý nhân sự của mình, quản lý dữ liệu cũng tương tự như vậy. Bằng cách đặt một khung cơ cấu quản trị dữ liệu vững chắc và đúng chỗ như một phần trong chiến lược dữ liệu của mình, bạn sẽ mở đường cho việc sử dụng dữ liệu một cách thành công và an toàn. Khách hàng và nhân viên của bạn, và tất cả các bên liên quan trong kinh doanh, đều sẽ cảm ơn bạn vì điều đó.

Chú thích

1. Để biết thêm về cuộc trò chuyện của tôi với Giáo sư Wu, hãy đọc bài viết của Bernard Marr (2016) , Dữ liệu lớn: cách một tài sản kinh doanh lớn biến thành một trách nhiệm lớn, Forbes , ngày 9 tháng 3, xem tại: http://www.forbes.com/sites/bernardmarr/2016/03/09/big-data-how-a-big-business-asset-turns-into-a-huge-liability/2/#1e869be11f5e

2. Để biết tổng quan về trường hợp cá nhân chống lại Google, hãy xem bài biết của Kat Sieniuc (2016) , Google không thể thoát khỏi gói bảo mật Gmail, thẩm phán cho biết, Law360 , xem tại: http://www.law360.com/articles/828337/google-can-t-escape-gmail-privacy-suit-judge-says

3. Để biết thêm thông tin về mối quan tâm riêng tư của Microsoft Windows 10, hãy xem bài viết của Conner Forrest (2015) , Windows 10 vi phạm quyền riêng tư của bạn theo mặc định, dưới đây là cách bạn có thể tự bảo vệ mình, TechRepublic , ngày 4 tháng 8, xem tại: https://www.techrepublic.com/article/windows-10-violates-your-privacy-by-default-heres-how-you-can-protect-yourself/

4. IBM (2016), 2016 chi phí của nghiên cứu vi phạm dữ liệu, xem tại: http://www-03.ibm.com/security/data-breach/

5. Để biết danh sách các vi phạm dữ liệu được cập nhật, hãy truy cập trang web của Identify Theft Resource Center: http://www.idtheftcenter.org/2016databreaches.html

6. Bernard Marr (2016), 5 bước đơn giản để bảo vệ bạn khỏi các mối đe dọa bảo mật IoT, Forbes , ngày 3 tháng 5, xem tại: https://www.forbes.com/sites/bernardmarr/2016/05/03/5-simple-steps-to-protect-yourself-from-iot-security-threats/#51fffe0774ff