Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset) và Cơ sở hạ tầng Tích hợp Dữ liệu Quốc gia Úc (Australian National Data Integration Infrastructure)
Bộ Dịch vụ Xã hội (Department of Social Services) đang hợp tác với Cục Thống kê Úc (ABS) và Viện Y tế và Phúc lợi Úc (AIHW) để tạo ra Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset). Chúng tôi gọi 3 cơ quan chính phủ Úc này là Các Đối tác Liên bang (Commonwealth Partners).
Các tiểu bang, vùng lãnh thổ và cộng đồng người khuyết tật cũng tham gia vào việc phát triển tài sản dữ liệu về người khuyết tật. Hội đồng Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset Council) (Hội đồng) giám sát việc sử dụng tài sản dữ liệu về người khuyết tật. Điều này liên quan đến việc ra quyết định chung giữa chính phủ và cộng đồng người khuyết tật. Tài sản dữ liệu về người khuyết tật tập hợp thông tin không xác định danh tính từ các cơ quan chính phủ khác nhau về tất cả người dân Úc để hiểu rõ hơn về kết quả dành cho người khuyết tật.
Hệ thống cơ bản hỗ trợ tài sản dữ liệu về người khuyết tật là Cơ sở Hạ tầng Tích hợp Dữ liệu Quốc gia Úc (Australian National Data Integration Infrastructure). Hệ thống này cho phép chúng tôi kết nối và phân tích dữ liệu trong tài sản dữ liệu về người khuyết tật. Ủy ban Cơ sở hạ tầng Tích hợp Dữ liệu Quốc gia Úc (Australian National Data Integration Infrastructure Board) (Hội đồng) giám sát cách mọi người sử dụng hệ thống này.
Thông tin thêm có trên trang mạng Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset), bao gồm cả Quyền riêng tư đối với Tài sản Dữ Liệu Quốc gia về Người khuyết tật (Privacy for the National Disability Data Asset).
Đánh giá Tác động về Quyền riêng tư (PIA) là đánh giá về một dự án và cách dự án đó có thể ảnh hưởng đến quyền riêng tư như thế nào. PIA đề xuất các cách để quản lý, giảm thiểu hoặc loại bỏ các rủi ro và tác động đến quyền riêng tư. Các chuyên gia về quyền riêng tư tại Maddocks đã thực hiện PIA cho tài sản dữ liệu về người khuyết tật và hệ thống cơ bản của tài sản dữ liệu đó.
Maddocks đã viết một báo cáo PIA chi tiết. Tài liệu này là bản tóm tắt của báo cáo đó. Tài liệu bao gồm quá trình và bản tóm tắt các phát hiện và khuyến nghị.
Thông tin thêm có trên trang mạng Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset) tại Quyền riêng tư đối với Tài sản Dữ Liệu Quốc gia về Người khuyết tật (Private for the National Disability Data Asset).
Các Đối tác Liên bang (Commonwealth Partners) có kế hoạch cập nhật PIA vào năm 2025.
PIA 2023:
Các Đối tác Liên bang (Commonwealth Partners) và Maddocks đã tham khảo ý kiến của các bên liên quan về Đánh giá Tác động về Quyền Riêng tư (PIA) từ tháng 3 đến tháng 7 năm 2023. Hơn 150 người đã đến tham dự các buổi họp. Tổ chức Deafblind Australia đã giúp tổ chức 2 buổi họp với người khuyết tật. Tổ chức Inclusion Australia, với sự giúp đỡ của Hội chứng Down Úc (Down Syndrome Australia), đã tổ chức một buổi họp dành cho những người khuyết tật về trí tuệ.
Maddocks đã viết một báo cáo tư vấn chi tiết về phản hồi. Bản tóm tắt của báo cáo có trên trang mạng Quyền riêng tư đối với Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset).
Trong các buổi tư vấn, mọi người nói với chúng tôi rằng họ ủng hộ mạnh mẽ việc phát triển tài sản dữ liệu về người khuyết tật. Một số người chỉ ra những vấn đề nghiêm trọng đối với người dân nếu thông tin về sức khỏe hoặc khuyết tật của họ bị chia sẻ trái phép.
Cộng đồng Úc kỳ vọng rằng thông tin nhạy cảm cần được bảo vệ nhiều hơn các thông tin cá nhân khác. Thông tin nhạy cảm có thể bao gồm thông tin về sức khỏe, nguồn gốc chủng tộc hoặc sắc tộc và tín ngưỡng tôn giáo của quý vị. Quý vị có thể tìm thêm thông tin và ví dụ trong phần 6 của Đạo luật về quyền riêng tư (Privacy Act) và trên trang mạng của Văn phòng Ủy viên Thông tin Úc (Office of the Australian Information Commissioner).
Maddocks lưu ý rằng Các Đối tác Liên bang (Commonwealth Partners) tập trung vào quyền riêng tư trong thiết kế tài sản dữ liệu về người khuyết tật. Đặc biệt, cơ chế quản lý sẽ chặt chẽ và chi tiết. Đây là những quy tắc về việc ai đưa ra quyết định về dự án và quyết định như thế nào. Các quy tắc và quy trình đã được thiết kế tốt để quản lý rủi ro về dữ liệu và quyền riêng tư của dự án. Điều này bao gồm việc tìm kiếm rủi ro trong tương lai.
Các Đối tác Liên bang (Commonwealth Partners) sẽ áp dụng các quy trình để bảo vệ thông tin cá nhân của mọi người. Khi liên kết các dữ liệu khác nhau với nhau, điều này bao gồm:
Chúng tôi sẽ hủy nhận dạng tất cả dữ liệu trong tài sản dữ liệu về người khuyết tật để đảm bảo không ai có thể biết được mọi người là ai. Nhưng các bên liên quan đã lưu ý trong các buổi tham vấn rằng có thể có nguy cơ nhận dạng lại mọi người khi liên kết dữ liệu. Rủi ro tái nhận dạng này có thể tăng lên khi có nhiều dữ liệu hơn được thêm vào tài sản dữ liệu về người khuyết tật.
Maddocks đề xuất các cách giải quyết rủi ro này và cải thiện cách chúng tôi bảo vệ quyền riêng tư của mọi người.
Các khuyến nghị của PIA xoay quanh các chủ đề sau:
Có thêm thông tin trong Phụ lục – Khuyến nghị chi tiết.
Có 13 Nguyên tắc về Quyền riêng tư (APP) của Úc. Đó là các quy tắc trong Đạo luật về quyền riêng tư (Privacy Act) về việc quản lý thông tin cá nhân. Sau mỗi đề xuất là danh sách các Nguyên tắc về Quyền riêng tư (APP) liên quan đến nó. Quý vị có thể tìm hiểu thêm về các Nguyên tắc về Quyền riêng tư (APP) trên trang mạng Nguyên tắc bảo mật của Úc (Australian Privacy Principles) của Văn phòng Ủy viên Thông tin Úc (Office of the Australian Information Commissioner).
Điều lệ Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset) (Điều lệ) có các nguyên tắc và quy tắc chặt chẽ về cách sử dụng tài sản dữ liệu về người khuyết tật. Cộng đồng người khuyết tật đã viết Hiến chương. Hội đồng và các bộ trưởng người khuyết tật sẽ phê duyệt Hiến chương.
Điều quan trọng nữa là phải có các quy tắc rõ ràng khi chúng tôi thêm tập dữ liệu vào tài sản dữ liệu về người khuyết tật. Tập dữ liệu là tập hợp thông tin, hồ sơ và sự kiện.
Maddocks khuyến nghị chúng ta nên phát triển một bộ nguyên tắc để hướng dẫn cách chính phủ bổ sung dữ liệu mới vào tài sản dữ liệu về người khuyết tật. Chúng ta nên công bố những nguyên tắc này trên trang mạng Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset) kèm theo mô tả về dữ liệu được thêm vào.
Maddocks gợi ý rằng các nguyên tắc ít nhất nên tính đến:
Chúng tôi sẽ thêm dữ liệu vào tài sản dữ liệu về người khuyết tật thông qua các cách hợp pháp khác nhau. Điều này sẽ phụ thuộc vào cách nhà cung cấp dữ liệu thu thập dữ liệu. Nhà cung cấp dữ liệu là các cơ quan chính phủ cung cấp dữ liệu để đưa vào tài sản dữ liệu về người khuyết tật. Một số dữ liệu có thể được chia sẻ hợp pháp vào tài sản dữ liệu về người khuyết tật mà không cần sự đồng ý của một người.
Một nguyên tắc quan trọng về quyền riêng tư là đảm bảo mọi người biết thông tin cá nhân của họ sẽ được sử dụng và chia sẻ như thế nào.
Thông báo việc thu thập thông tin là một tuyên bố mà một tổ chức đưa ra cho mọi người khi họ yêu cầu thông tin cá nhân. Thông báo này giải thích tại sao họ cần thông tin và cách họ sẽ sử dụng thông tin đó. Maddocks khuyến nghị các nhà cung cấp dữ liệu nên sử dụng các từ chuẩn trong thông báo thu thập thông tin của họ. Ví dụ: trong các biểu mẫu và trên trang mạng.
Hội đồng nên ủng hộ những từ chuẩn này. Hội đồng nên phê duyệt những từ tiêu chuẩn này.
Theo thời gian, nhà cung cấp dữ liệu sẽ phải cập nhật thông báo thu thập của họ bằng các từ chuẩn mới. Ví dụ: điều này có thể được bao gồm trong các thỏa thuận chia sẻ dữ liệu. Hoặc họ nên được khuyến khích làm điều này. Đây sẽ là cách thực hành tốt nhất để cho mọi người biết thông tin của họ đang được sử dụng như thế nào.
Một trong những nguyên tắc của dự thảo Điều lệ là đảm bảo dữ liệu được giữ kín và an toàn. Tài sản dữ liệu về người khuyết tật sẽ chỉ chứa thông tin đã huỷ nhận dạng. Nhưng một số người lưu ý rằng có nguy cơ dữ liệu có thể được nhận dạng lại. Và rủi ro sẽ tăng theo thời gian.
Maddocks khuyến nghị Hội đồng nên có các quy trình thường xuyên để xem xét cách quản lý rủi ro dữ liệu được nhận dạng danh tính lại. Ví dụ, việc đánh giá có thể được thực hiện hàng năm.
Hội đồng cũng có thể quyết định các tình huống có thể dẫn tới việc xem xét lại. Ví dụ: nếu có vi phạm dữ liệu hoặc lời khuyên của chính phủ về các mối đe dọa đối với an ninh mạng. Điều này nhằm đảm bảo chúng tôi có thể tiếp tục sử dụng phương pháp hay nhất khi loại bỏ dữ liệu nhận dạng và quản lý rủi ro tái nhận dạng. Điều này sẽ xem xét công nghệ và rủi ro khi chúng thay đổi trong tương lai.
Nếu thông tin từ tài sản dữ liệu về người khuyết tật được nhận dạng lại thì có khả năng gây thiệt hại lớn hơn cho những người bị ảnh hưởng. Điều này là do loại thông tin tạo nên tài sản dữ liệu về người khuyết tật. Và tài sản dữ liệu về người khuyết tật bao gồm thông tin về những người dễ bị tổn thương.
Theo Khung Quản trị Dữ liệu (Data Governance Framework), chúng tôi sẽ phát triển chính sách về việc hủy nhận dạng dữ liệu. Khung này là một bộ quy tắc để đảm bảo mọi người chia sẻ, quản lý và sử dụng dữ liệu theo cách an toàn, bảo mật, có đạo đức và hợp pháp.
Maddocks khuyến nghị rằng mọi chính sách loại bỏ thông tin nhận dạng đều phải rõ ràng về:
Chính sách cũng phải bao gồm các quy tắc áp dụng cho các dự án sử dụng dữ liệu. Chúng ta nên cân nhắc xem có cần bất kỳ quy trình bổ sung nào không, chẳng hạn như các quy trình được sử dụng trong các tài sản dữ liệu khác. Ví dụ: một quy trình để kiểm tra xem kết quả phân tích dữ liệu có được huỷ nhận dạng chính xác hay không trước khi chúng rời khỏi hệ thống cơ bản.
Các cơ quan chính phủ làm việc cùng nhau để quản lý tài sản dữ liệu về người khuyết tật và hệ thống cơ bản của nó. Điều này có nghĩa là có thể tăng nguy cơ vi phạm dữ liệu. Cũng có thể có nguy cơ gia tăng là họ sẽ không thể nhanh chóng xử lý những vi phạm này.
Trong Khung Quản trị Dữ liệu (Data Governance Framework), chúng tôi sẽ tạo Kế hoạch Ứng phó Vi phạm Dữ liệu (Data Breach Response Plan). Điều này sẽ bao gồm hồ sơ về mọi sự cố và vi phạm dữ liệu và quyền riêng tư. Kế hoạch sẽ bao gồm việc đánh giá hàng năm.
Maddocks khuyến nghị rằng Kế hoạch Ứng phó Vi phạm Dữ liệu (Data Breach Response Plan) có một cách tiếp cận để xử lý các vi phạm dữ liệu ở các cơ quan chính phủ làm việc về tài sản dữ liệu về người khuyết tật. Kế hoạch cần giải thích rõ ràng những gì mỗi nhóm quản trị và tổ chức có liên quan phải làm. Điều này bao gồm cả thời điểm ABS lưu trữ dữ liệu.
Kế hoạch cũng cần nêu rõ ai chịu trách nhiệm viết thông báo về hành vi vi phạm cho:
Sẽ có một loạt các quy tắc và quy trình được áp dụng để quản lý tài sản dữ liệu về người khuyết tật. Điều này bao gồm các thỏa thuận chia sẻ dữ liệu. Theo Khung Quản trị Dữ liệu (Data Governance Framework), có kế hoạch thực hiện kiểm toán và đánh giá hệ thống cơ bản.
Maddocks khuyến nghị Hội đồng nên phát triển một khuôn khổ tuân thủ để kiểm tra xem mọi người có tuân thủ các thỏa thuận chia sẻ dữ liệu của chúng tôi hay không. Bộ Khung này phải bao gồm tài sản dữ liệu về người khuyết tật và hệ thống cơ bản. Ví dụ, những người sử dụng tài sản dữ liệu về người khuyết tật và các hệ thống được phê duyệt có thể báo cáo hàng năm cho:
Hai người giám hộ này là nhân viên ABS. Họ chịu trách nhiệm quản lý tài sản dữ liệu về người khuyết tật và hệ thống cơ bản của nó một cách an toàn, hợp pháp và có đạo đức. Họ cũng sẽ phê duyệt ai có thể truy cập và sử dụng hệ thống.
Các báo cáo có thể bao gồm kiểm tra xung quanh:
Các Đối tác Liên bang (Commonwealth Partners) đã phản hồi từng khuyến nghị trong số 6 khuyến nghị từ Đánh giá Tác động đến Quyền riêng tư (PIA) năm 2023. Quý vị có thể đọc Phản hồi cho PIA 2023 trên trang mạng Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset) tại Quyền riêng tư đối với Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset).