Làm Việc Trực Tuyến – Rủi Ro Về Bảo Mật Bí Mật Kinh Doanh Cho Doanh Nghiệp?
(Phạm Thanh Trúc và Luật sư Nguyễn Hữu Phước – Phuoc & Partners)
Sự bùng phát của đại dịch Covid-19 đã và đang đe dọa đến sức khỏe, tính mạng của hàng trăm triệu người trên thế giới kể từ khi ca nhiễm đầu tiên được ghi nhận vào tháng 12/2019. Trong bối cảnh Chính phủ các nước đã ban hành lệnh giãn cách xã hội để hạn chế sự lây lan của dịch bệnh, nhiều doanh nghiệp (“DN”) đã buộc phải tìm mọi cách để thích nghi với cách thức làm việc tại nhà, từ xa, trực tuyến (gọi chung là “trực tuyến”) để hoạt động kinh doanh không bị gián đoạn. Với sự hỗ trợ từ các nền tảng công nghệ kỹ thuật số trong kỷ nguyên 4.0, các DN giờ đây đã có thể tổ chức một lượng lớn người lao động (“NLĐ”) làm việc trực tuyến một cách hiệu quả mà không cần phải đến nơi làm việc tại doanh nghiệp. Việc áp dụng công nghệ kỹ thuật số vào việc quản lý công việc và NLĐ trực tuyến là yếu tố quan trọng, có tính chất sống còn tạo nên sự thành công của mô hình làm việc trực tuyến còn mới mẻ này.
Tuy nhiên, bên cạnh những lợi ích vốn có của việc chuyển đổi từ mô hình làm việc truyền thống sang mô hình làm việc trực tuyến, nhiều DN đang đối mặt với các rủi ro về việc bảo mật các bí mật kinh doanh, bí mật công nghệ (gọi chung là “Bí mật kinh doanh”) không chỉ của DN mà còn của các đối tác, khách hàng của DN khi mà không thể nào có thể đảm bảo một cách tuyệt đối tính an toàn của các thiết bị điện tử cá nhân, mạng internet và các ẩn số khác có trong môi trường làm việc trực tuyến của NLĐ. Do đó, các DN cần có các dự liệu và các biện pháp phòng ngừa hợp lý và thích hợp trong khả năng của mình nhằm giảm thiểu các thiệt hại không đáng có trong quá trình chuyển đổi sang mô hình làm việc trực tuyến.
Quy định pháp luật về việc bảo mật bí mật kinh doanh
Giá trị của Bí mật kinh doanh thường nằm ở lợi thế cạnh tranh thương mại cho nên những thiệt hại trực tiếp hay gián tiếp, hữu hình hay vô hình xuất phát từ việc Bí mật kinh doanh bị NLĐ vô tình hay cố ý rò rỉ có thể gây ra hậu quả hết sức nghiêm trọng đến sự duy trì hoạt động và phát triển của doanh nghiệp. Để tạo ra một sân chơi công bằng và lành mạnh, quy định của pháp luật Việt Nam đã hình thành một số cơ chế để bảo mật Bí mật kinh doanh của DN bằng việc định nghĩa Bí mật kinh doanh như là một loại của tài sản trí tuệ của doanh nghiệp. Theo đó, Bí mật kinh doanh của DN sẽ được Nhà nước bảo hộ kể từ khi DN có được chúng một cách hợp pháp và DN đã thực hiện các biện pháp cần thiết để bảo mật Bí mật kinh doanh đó[1]. Quy định của pháp luật cũng quy định cụ thể các biện pháp chế tài từ dân sự, hành chính và thậm chí là đến cả hình sự đối với bất kỳ hành vi nào xâm phạm Bí mật kinh doanh của DN nhằm đảm bảo việc tuân thủ pháp luật của các cá nhân và tổ chức nói chung[2].
Liên quan đến khái niệm “biện pháp cần thiết” mà DN cần phải thực hiện để bảo mật Bí mật kinh doanh, cho đến nay, vẫn chưa có một quy định cụ thể nào hướng dẫn về nội dung này và vì thế các biện pháp cần thiết sẽ phải được DN chủ động xác định dựa trên loại hình kinh doanh, quy mô và nguồn nhân lực của chính từng doanh nghiệp. Ví dụ như một DN có nguồn nhân lực lớn với nhiều phòng, ban phức tạp, có chi nhánh, văn phòng đại diện ở nhiều nơi khác nhau trong cả nước thì chắc chắn phải có các biện pháp quyết liệt để bảo mật bí mật kinh doanh của DN một cách chặt chẽ hơn nếu so với một DN có quy mô nhỏ lẻ hay trong trường hợp một DN chuyên cung cấp phần mềm công nghệ thông tin thì sẽ phải có các biện pháp kỹ thuật chuyên sâu để bảo vệ mã nguồn của các sản phẩm phần mềm do chính các kỹ sư của DN viết và bán ra.
Bên cạnh những thành tựu đáng được ghi nhận của khoa học công nghệ trong kỷ nguyên 4.0, thì vấn đề an ninh mạng cũng trở thành một trong những vấn đề hết sức đau đầu đối với các chủ DN trong việc thực hiện lưu trữ và chia sẻ các thông tin quan trọng trên nền tảng trực tuyến. Trước tình hình tội phạm an ninh mạng đang có chiều hướng gia tăng trong thời gian gần đây, Quốc hội Việt Nam đã thông qua Luật An ninh mạng và chính thức có hiệu lực vào ngày 01/01/2019. Luật An ninh mạng đã tạo hành lang pháp lý cho việc phòng ngừa, xử lý các hành vi xâm phạm, tấn công, thu thập các dữ liệu từ các nền tảng công nghệ kỹ thuật số, mạng viễn thông,… góp phần tăng cường bảo vệ thông tin, dữ liệu, Bí mật kinh doanh được DN lưu trữ trên các cơ sở dữ liệu trực tuyến.
Bảo mật Bí mật kinh doanh khi chuyển đổi mô hình làm việc trực tuyến
Trên thực tế, các chính sách có liên quan đến việc bảo mật bí mật kinh doanh của DN không còn quá xa lạ và đã được nhiều DN áp dụng rộng rãi trong thời gian gần đây. Tuy nhiên, việc chuyển đổi từ mô hình làm việc truyền thống sang mô hình làm việc trực tuyến đã khiến cho chính sách làm việc mới này bộc lộ một số thiếu xót, điểm yếu mà cần phải được điều chỉnh, bổ sung để mở rộng phạm vi bảo mật ra không gian làm việc trực tuyến.
Việc bảo mật Bí mật kinh doanh khi làm việc trực tuyến nói chung có liên quan đến ba vấn đề mấu chốt như sau: (i) Tính an toàn của công nghệ và mạng viễn thông; (ii) An ninh không gian làm việc từ xa của NLĐ; và (iii) Yếu tố con người trong việc bảo mật Bí mật kinh doanh. Dưới đây là một số nội dung được đề xuất để thiết lập chính sách bảo mật Bí mật kinh doanh của DN đối với mô hình làm việc trực tuyến, từ xa để các DN tham khảo và cân nhắc thực hiện:
Thứ nhất, đảm bảo an toàn công nghệ và mạng viễn thông
Đối với các thiết bị truy cập, DN nên yêu cầu NLĐ chỉ được sử dụng các thiết bị, máy tính được chính DN cung cấp để làm việc và truy cập vào hệ thống dữ liệu của doanh nghiệp. Quy định này cho sẽ phép DN chủ động trong việc thiết lập các hệ thống bảo mật cho các thiết bị này chằng hạn như tường lửa, phần mềm diệt vi-rút,… Cần lưu ý rằng, các thiết bị công nghệ nêu trên đều phải được bộ phận công nghệ thông tin của DN thiết lập bảo vệ bằng mật khẩu.
Đối với mạng kết nối, DN nên yêu cầu NLĐ chỉ được giới hạn kết nối với các mạng viễn thông an toàn và phải đảm bảo mã hóa bằng hệ thống VPN được chính DN cung cấp để tránh các tin tặc có cơ hội tiếp cận.
Đối với hình thức giao tiếp và họp trực tuyến, DN cần có các quy định chi tiết và cụ thể về nền tảng công nghệ mà NLĐ được phép tiến hành theo chính sách làm việc trực tuyến, từ xa của DN và quyền truy cập cuộc họp cũng phải được giới hạn bằng mật mã. Các hành vi vi phạm và các chế tài phù hợp phải được cập nhật trong nội quy lao động của DN và đăng ký với cơ quan quản lý lao động có thẩm quyền tại địa phương.
Ngoài ra, hệ thống cơ sở dữ liệu trực tuyến của DN còn phải được phân cấp truy cập tùy theo mức độ nhạy cảm của thông tin và vị trí công việc của từng NLĐ. Đối với Bí mật kinh doanh, việc bảo mật còn phải được đặt ở mức an toàn cao nhất và cần hạn chế tối đa số lượng NLĐ có quyền truy cập. DN cũng nên dành nguồn tài chính cần thiết và kịp thời để đầu tư các phần mềm giám sát việc tải xuống từ xa các thư mục thông tin quan trọng trong cơ sở dữ liệu của DN để kiểm soát các lượt tải xuống và có cảnh báo sớm, kịp thời cho người quản lý của doanh nghiệp.
Thứ hai, đảm bảo an ninh nơi làm việc từ xa của NLĐ
Nơi làm việc từ xa của NLĐ nói chung được đánh giá là yếu tố đáng lo ngại trong việc bảo mật Bí mật kinh doanh của doanh nghiệp. DN nên cân nhắc việc quy định rằng NLĐ phải có trách nhiệm trong việc đảm bảo không gian làm việc của mình phải được riêng tư và an toàn, không có khả năng chứa các thiết bị nghe lén hoặc có chức năng quay phim, chụp hình. Bên cạnh đó, các thiết bị, tài liệu cứng của DN cũng cần phải được cất giữ ở những nơi an toàn nhằm tránh việc người thứ ba có thể tiếp cận.
Thứ ba, đảm bảo Bí mật kinh doanh không bị NLĐ tiết lộ
Một trong những nội dung quan trọng nhất để bảo mật Bí mật kinh doanh của DN chính là yếu tố con người. Để chủ động trong việc bảo mật Bí mật kinh doanh của mình, DN nên tiến hành ký một thỏa thuận hoặc cam kết bảo mật (“Thỏa thuận bảo mật”) với những NLĐ chủ chốt, NLĐ ở cấp quản lý, điều hành mà có khả năng tiếp cận các thông tin nhạy cảm của DN nhằm đảm bảo tính bảo mật của Bí mật kinh doanh của DN cũng như của các đối tác và khách hàng của doanh nghiệp.
Khi tiến hành chuyển đổi sang mô hình làm việc trực truyến thì các cách thức giám sát, quản lý NLĐ và công việc, các phương thức giao tiếp và tiếp cận dữ liệu của DN hầu hết đều được thực hiện thông qua các nền tảng công nghệ kỹ thuật số. Bên cạnh các lợi ích hiện hữu của việc chuyển đổi này, DN đồng thời cũng đối mặt với khá nhiều nguy cơ về rò rỉ Bí mật kinh doanh hơn bao giờ hết. Bởi thế, việc soạn thảo và ban hành, rà soát và cập nhật lại các chính sách bảo mật, các thỏa thuận bảo mật Bí mật kinh doanh cho phù hợp với mô hình làm việc trực tuyến là vô cùng cần thiết để DN có thể quản lý rủi ro trong việc bảo mật Bí mật kinh doanh không bị tiết lộ.
Thêm vào đó, để ngăn chặn việc NLĐ vô tình hay cố ý tiết lộ Bí mật kinh doanh của DN sau khi nghỉ việc, các điều khoản của Thỏa thuận bảo mật phải xác định rõ hiệu lực của Thỏa thuận bảo mật sẽ được kéo dài trong một khoảng thời gian hợp lý là bao lâu kể từ khi mối quan hệ lao động giữa DN và NLĐ chấm dứt. Về vấn đề này, quy định của pháp luật hiện hành không có giới hạn đối với khoảng thời gian cam kết bảo mật, vì thế DN có thể tự do trong việc cân nhắc khoảng thời hạn nào được cho là hợp lý cho cả hai bên để áp dụng trong thực tế tại doanh nghiệp[3]. Nếu thận trọng hơn, DN cũng có thể yêu cầu NLĐ phải hoàn trả lại mọi công cụ lao động (cụ thể ở đây chính là các thiết bị và thông tin, dữ liệu, văn bản…) có liên quan đến Bí mật kinh doanh của DN mà NLĐ đã và đang có, biết được ngay khi NLĐ nghỉ việc để tránh các vấn đề phát sinh ngoài ý muốn.
Ngoài các nội dung được nêu ở trên, để đảm bảo chu trình làm việc trực tuyến có thể vận hành một cách trơn tru, DN cũng nên cân nhắc đến việc tổ chức huấn luyện và phổ biến các chính sách và quy định nội bộ của DN trước khi chính thức thực hiện mô hình làm việc trực tuyến cho NLĐ. Song song đó, DN cũng cần thường xuyên và định kỳ cập nhật kịp thời các cách thức lừa đảo để xâm nhập trái phép vào hệ thống dữ liệu của DN cho NLĐ để nâng cao tính cảnh giác trong nội bộ doanh nghiệp. Các phần mềm, nền tảng công nghệ và hệ thống bảo mật của DN cũng phải được thường xuyên cải tiến, nâng cấp liên tục nhằm giảm thiểu các rủi ro bị tội phạm mạng tấn công.
Có thể nói rằng chúng ta đang tận mắt chứng kiến sự phát triển vượt bậc của các nền tảng công nghệ kỹ thuật số trong kỷ nguyên 4.0. Các phương thức làm việc trực tuyến, từ xa, trao đổi hay thậm chí là tổ chức các cuộc họp nội bộ hay với bên ngoài thông qua các ứng dụng, nền tảng xã hội cũng đã trở nên phổ biến và trở nên quen thuộc trong các DN bởi tính linh hoạt, tiện lợi và chi phí vô cùng thấp của chúng. Mặc dù sự bùng phát của đại dịch Covid-19 đã ít nhiều làm gia tăng đột ngột số lượng NLĐ sử dụng phương thức làm việc trực tuyến nhưng theo xu thế chung hiện nay, ngay cả khi đại dịch Covid-19 đã được kiểm soát tốt đi chăng nữa, các phương thức làm việc trực tuyến vẫn sẽ được các DN ưa chuộng và ngày càng được áp dụng rộng rãi. Vì thế, từ bây giờ các DN cần phải thận trọng và ưu tiên đầu tư vào các biện pháp phòng chống tiết lộ Bí mật kinh doanh của doanh nghiệp, chủ động ban hành các quy định nội bộ nhằm mục đích giáo dục, răn đe, chế tài NLĐ vi phạm thay vì bị động chờ đến khi xảy ra hậu quả từ việc Bí mật kinh doanh bị tiết lộ thì mới bắt đầu xoay sở tìm các biện pháp khắc phục sẽ rất mất rất nhiều thời gian, công sức và tốn kém.
[1] Điều 6.3(c) và Điều 84 Luật Sở hữu trí tuệ 2005
[2] Điều 199.1 Luật Sở hữu trí tuệ 2005 và Nghị định 105/2006/NĐ-CP
[3] Điều 4 Thông tư 10/2020/TT-BLĐTBXH