05 08 2020

Bảo vệ dữ liệu và thông tin cá nhân cho Việt Nam: Đã đến lúc cần có đạo luật riêng

Dữ liệu nói chung và dữ liệu cá nhân đang trở thành “nguồn vốn” hay “tài sản” có tầm quan trọng hàng đầu của nền kinh tế số hay nền kinh tế vận hành trên cơ sở dữ liệu sử dụng công nghệ số. Bài toán đặt ra, do đó là quản trị dữ liệu nói chung và quản lý dữ liệu nói riêng ở cấp độ quốc gia và tổ chức, doanh nghiệp phải được tổ chức, thiết kế và triển khai như thế nào?

Có thể thấy rằng tiếp cận theo hướng nào thì việc định nghĩa dữ liệu, thông tin cá nhân cũng là công việc phức tạp, cho thấy tính tinh vi, nhạy cảm của môi trường tương tác giữa con người với nhau trong kỷ nguyên số và internet.

Sự phát triển của công nghệ số, hạ tầng kỹ thuật mạng internet cần đi kèm với sự đồng bộ về hệ thống chính sách, khung phổ pháp luật, quy chế và năng lực của từng tổ chức và con người. Theo đó, các nhiệm vụ cụ thể cần giải quyết sẽ bao gồm các cơ chế và biện pháp bảo đảm đối với ba trụ cột chính là (i) An ninh mạng, (ii) An toàn dữ liệu cá nhân và (iii) Bảo vệ quyền riêng tư. Mục tiêu của các hoạt động cũng hướng tới khía cạnh: Tạo lập sân chơi kinh doanh và cạnh tranh bình đẳng giữa các doanh nghiệp sử dụng công nghệ nền tảng để xử lý, khai thác và chia sẻ dữ liệu; bảo đảm quyền của chủ thể dữ liệu là người dân và tạo cơ hội tham gia chủ động và cùng hưởng lợi của tất cả các bên tham gia.

Hiểu thế nào là dữ liệu, thông tin cá nhân ?

Trong nền kinh tế số, khi một tổ chức, doanh nghiệp có nhu cầu bảo vệ dữ liệu người dùng sẽ gặp phải vấn đề có tính pháp lý, đó là những dữ liệu, thông tin nào của họ sẽ cần được bảo vệ ? Bởi nền kinh tế số được đặc trưng bởi sự truyền tải và giao dịch thông tin xuyên biên giới, quy định pháp luật hay cách hiểu theo tập quán của mỗi quốc gia có thể khác nhau. Hiểu biết chung về khái niệm “dữ liệu, thông tin cá nhân” do vậy, rất cần thiết.

Trên thế giới, mà cụ thể là Mỹ và châu Âu đang có hai cách tiếp cận trong định nghĩa về dữ liệu, thông tin cá nhân. Nói chung, ở châu Âu, dữ liệu cá nhân (personal data) có ý nghĩa mở rộng hơn so với thông tin cá nhân (personally identifiable information – PII) ở Mỹ.

Cụ thể, theo định nghĩa của Bộ Thương mại Mỹ, PII là những thông tin “có thể sử dụng để phân biệt hay nhận dạng một cá nhân như tên, số an sinh xã hội, hồ sơ sinh trắc v.v.. nói riêng, hoặc khi kết hợp với các thông tin cá nhân hay thông tin nhận dạng khác liên quan hoặc có thể liên quan với một người cụ thể như ngày và nơi sinh, tên khai sinh của mẹ”.

Định nghĩa này phân biệt rất rõ hai tình huống: Một là, thông tin để phân biệt cá nhân này với cá nhân khác ví dụ họ tên đầy đủ, địa chỉ email, số điện thoại, số định danh cá nhân (số hộ chiếu, số thẻ an sinh xã hội). Hai là, thông tin để nhận dạng một người sẽ bao gồm cấp độ có liên quan (ví dụ họ tên) và cấp độ có thể liên quan bởi phải kết hợp với thông tin khác mới có giá trị nhận dạng (ví dụ ngày tháng năm sinh).

Ý nghĩa pháp lý ở đây là gì? Trong trường hợp một người tình cờ tiếp cận được hai bộ dữ liệu chứa đựng các thông tin khác nhau về một người nào đó, người ấy có thể định dạng được đó là ai khi liên kết hai bộ này với nhau, và khi đó phát sinh vấn đề an ninh dữ liệu. Có nghĩa rằng việc kiểm soát phải được thiết kế làm sao để bảo đảm các bộ dữ liệu ấy không thể hay rất khó khăn để kết hợp với nhau, trong tình huống người tra cứu thông tin có thể tiếp cận các cơ sở dữ liệu của cùng một tổ chức hay sử dụng công cụ tìm kiếm trên internet.

Tại châu Âu, Quy chế bảo vệ dữ liệu chung (GDPR) do Nghị viện châu Âu và Hội đồng châu Âu ban hành năm 2016, có hiệu lực từ 25/05/2018 định nghĩa về dữ liệu cá nhân là “bất kể thông tin gì liên quan đến một thể nhân được nhận dạng hoặc có thể được nhận dạng (“chủ thể”); một thể nhân có thể được nhận dạng là người có thể được nhận dạng trực tiếp hay gián tiếp bằng việc tham chiếu số định danh hay một hoặc các yếu tố riêng về vật lý, sinh lý, tâm thần, kinh tế, văn hóa và xã hội”.

Định nghĩa này rõ ràng có sự bao quát rất rộng với bốn thành tố nội dung đáng lưu ý. Một là, “bất kể thông tin gì” có nghĩa rằng cả thông tin có được một cách chủ động và thụ động, bao gồm ví dụ cả ảnh của một người bất kỳ được chụp tự động bởi các camera giám sát. Hai là “liên quan đến” sẽ được hiểu liên quan bằng bất cứ phương diện nào như nội dung của thông tin, mục đích của thông tin hay kết quả của việc sử dụng thông tin v.v.. Ba là, “nhận dạng và có thể nhận dạng” sẽ bao gồm cấp độ rõ ràng tức có đủ yếu tố để phân biệt người này với người khác, và cấp độ không rõ ràng nhưng vẫn khả năng xác định được tùy thuộc vào các điều kiện khác hay ngữ cảnh, ví dụ như nếu ai đó nói về một cá nhân gọi là “sếp tôi” thì người khác có thể nhận dạng đó là ai. Bốn là “thể nhân” là chủ thể dữ liệu, ở đây GDPR lấy theo định nghĩa của Điều 6, Tuyên ngôn phổ quát của Liên Hợp Quốc về Quyền con người, theo đó, chủ thể dữ liệu được bảo vệ là một cá nhân đang sống; tuy nhiên lưu ý là nếu dữ liệu về một người đã chết mà được sử dụng để nhận dạng một người khác còn sống thì cũng thuộc định nghĩa này.

Trong định nghĩa chung về dữ liệu, thông tin cá nhân, cho mục đích bảo vệ ở cấp độ cao hơn, các nước thường có quy định riêng về “dữ liệu, thông tin nhạy cảm”. Tại Mỹ đó là những dữ liệu về y tế, giáo dục, tài chính và công việc, được cho rằng nếu bị tiết lộ sẽ có thể dẫn đến những lạm dụng, tấn công và gây thiệt hại cho người có liên quan. Tại châu Âu, GDPR cũng liệt kê năm loại dữ liệu cá nhân coi là “nhạy cảm” cho mục đích bảo vệ đặc biệt bao gồm: (i) Dữ liệu về chủng tộc, quan điểm chính trị và tôn giáo; (ii) dữ liệu về thành viên công đoàn; (iii) dữ liệu sinh học, sinh trắc học; (iv) dữ liệu sức khỏe; và (iv) dữ liệu về đời sống tình dục cá nhân và tương tự.

Thông tin và dữ liệu cá nhân nhìn từ góc độ khung pháp lý ở Việt Nam

Pháp luật Việt Nam có định nghĩa về thông tin cá nhân. Theo đó, Điều 3, Luật An toàn thông tin mạng 2015 định nghĩa: “Thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể”. Tuy nhiên trước đó, Nghị định 64/2007/NĐ-CP ngày 10/04/2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan chính phủ có định nghĩa chi tiết hơn như sau: “Thông tin cá nhân là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác”.

Ngoài ra, lưu ý rằng một số luật chuyên ngành như Luật Khám bệnh, chữa bệnh, Luật Quản lý thuế, Luật Tổ chức tín dụng, Luật Kinh doanh bảo hiểm v.v.. cũng có nhưng định nghĩa nhất định về thông tin cá nhân thuộc đối tượng bảo mật trong lĩnh vực có liên quan.

Về quyền riêng tư, theo Điều 38, Bộ Luật Dân sự 2015 của Việt Nam quyền này được hiểu là sự bảo vệ của luật pháp đối với ba đối tượng “bất khả xâm phạm”, đó là đời sống riêng tư, bí mật cá nhân và bí mật gia đình.

Như vậy, kết hợp cả hai định nghĩa nói trên của hai văn bản quy phạm pháp luật, cho thấy “thông tin cá nhân” ở Việt Nam được hiểu theo nghĩa hẹp, trực tiếp và đơn giản hơn so với quy định của cả châu Âu và Mỹ. Theo đó, các thông tin không chính xác, rõ ràng nhưng kết hợp với các thông tin khác để gián tiếp xác định được danh tính một người không được coi là đối tượng bảo vệ. Còn đối với quyền riêng tư thì ngược lại, pháp luật Việt Nam chỉ có quy định rất chung và do đó, có thể suy luận theo hướng mở rộng.

Lưu ý rằng ở các nước, định nghĩa về phạm vi quyền riêng tư luôn luôn khó và phức tạp, tuy nhiên kết hợp với diễn giải của chuyên gia pháp lý và thực tiễn xét xử của Tòa án, người ta có thể xác định ranh giới giữa “bí mật riêng tư” và “thông tin công khai” để giảm thiểu các tranh cãi và tranh chấp. Chẳng hạn, ngoài những không gian được gắn biển rõ ràng là “tư riêng” (private) hay “công cộng” (public), có một nguyên tắc được thừa nhận chung: Đó là những gì thuộc đời sống riêng của anh mà anh không chủ động tuyên bố rõ ràng hay có biện pháp thích hợp để che giấu, làm cho một người khác theo cách thông thường có thể biết được thì anh sẽ không được pháp luật bảo vệ đối với quyền riêng tư ấy. Về khía cạnh này, Điều 16, Luật An toàn thông tin mạng cũng quy định một nguyên tắc rằng: “Cá nhân tự bảo vệ thông tin cá nhân của mình…”.

Tóm lại, với phân tích ở trên, có thể thấy rằng tiếp cận theo hướng nào thì việc định nghĩa dữ liệu, thông tin cá nhân cũng là công việc phức tạp, cho thấy tính tinh vi, nhạy cảm của môi trường tương tác giữa con người với nhau trong kỷ nguyên số và internet. Một định nghĩa với duy nhất một câu trong quy định của pháp luật Việt Nam rõ ràng chưa đủ để hình dung bản chất của khái niệm, nếu không tìm hiểu, đối chiếu và so sánh với quy định tương tự của các nước.

Cần có một đạo luật riêng về bảo vệ thông tin, dữ liệu cá nhân và quyền riêng tư cho Việt Nam

Xét trên bình diện toàn cầu, tiên phong là châu Âu và Hoa Kỳ, mặc dù có những cách tiếp cận khác nhau giữa hai nền kinh tế lớn hàng đầu thế giới, điểm chung lớn nhất vẫn là sự quan tâm sớm nhất đến bảo vệ dữ liệu và quyền riêng tư. Sự tiệm cận đến gần nhau hơn đang diễn ra theo hướng bảo vệ dữ liệu để phát triển kinh tế phải gắn với bảo vệ quyền riêng tư của con người. Việt Nam là quốc gia có sự quan tâm rất sớm so với các nước có cùng trình độ phát triển đến cuộc Cách mạng công nghiệp 4.0 nói chung và công nghệ số, nền kinh tế số nói riêng. Cùng với các ý tưởng chính sách, các cơ sở pháp lý ban đầu cho phát triển giao dịch điện tử, bảo đảm tự do internet và quá trình chuyển đổi số đã được thiết lập, mặc dù cách đặt vấn đề và giải quyết vấn đề ở mức độ nhất định chưa thật sự rõ ràng, rành mạch và có tính chuyên nghiệp cao như thông lệ thế giới. Tuy nhiên, điều này có thể khắc phục thông qua hướng đi chính, thứ nhất cần xây dựng một đạo luật thống nhất cho vấn đề này để khắc phục tình trạng tản mát của nhiều văn bản hiện nay, đồng thời cụ thể hóa và bổ sung các thiết chế thực thi pháp lý mạnh mẽ và chặt chẽ hơn. Thứ hai, cần có một chiến lược quốc gia về dữ liệu đặt nền tảng cho một khung hành động tổng thể ở cấp độ quốc gia, trong đó có sự phối hợp mạch lạc giữa cả ba khu vực nhà nước, doanh nghiệp và các tổ chức xã hội.

(Luật sư Nguyễn Tiến Lập và nhóm nghiên cứu, Viện Nghiên cứu Chính sách và Phát triển Truyền thông)

Luật sư Nguyễn Tiến Lập – Chuyên gia Viện Nghiên cứu Chính sách và Phát triển Truyền thông, Hội Truyền thông số Việt Nam *

Dù có ý thức xây dựng và nhắc đến việc Bảo vệ dữ liệu và quyền riêng tư trong nhiều văn bản pháp luật nhưng khung khổ pháp luật Việt Nam về vấn đề này chưa đầy đủ, còn chồng chéo nhất định về nội dung giữa các văn bản có liên quan ở cấp độ luật và nghị định. Đặc biệt là tình trạng nhiều cơ quan chức năng nhà nước cùng tham gia quản lý lĩnh vực này nhưng lại thiếu sự phân định rành mạch về chức năng, nhiệm vụ cũng như chỉ định cơ quan đầu mối phụ trách.

‘Chẳng hạn như khung khổ pháp luật để bảo vệ quyền riêng tư được tạo ra bởi Bộ Luật dân sự hay các chế tài của Luật xử phạt vi phạm hành chính, không có tính hiệu quả và đầy đủ khi xét tới các giao dịch liên quan trong môi trường là không gian mạng, đối tượng cần bảo vệ là dữ liệu được thu thập xử lý, lưu giữ và chia sẻ bằng công nghệ số. Từ góc độ của Bộ Luật dân sự, quyền riêng tư được coi là quyền nhân thân, thì trong nền kinh tế dữ liệu, một khi dữ liệu cá nhần là tài sản có giá trị thì quyền với dữ liệu đó phải được coi là quyền tải sản. Và dù luật an toàn thông tin mạng đã đề cập đến này nhưng mới dừng ở mức quyền cơ bản và tối thiểu của chủ thể dữ liệu và còn thiếu hẳn cơ chế thực thi quyền một cách hiệu quả”.

Ông Nguyễn Văn Cương – Viện trưởng Viện Khoa học Pháp lý, Bộ Tư pháp *

Thông tin tin cá nhân trong các văn bản quy định hiện hành cũng đang có 3-4 khái niệm, chưa nhất quán và bao quát hết các vấn đề và đặc biệt chưa phân tầng độ nhạy cảm của thông tin cá nhân. “Ví dụ như danh tính cá nhân có thể mức bảo vệ là một nhưng thông tin sức khỏe, sinh trắc, tài chính thì cần phải bảo mật cao hơn. Điều này không thể quy định chung chung mà cần phải nêu rõ ràng. Hay dữ liệu trẻ em cũng chưa quy định rõ, việc thu thập cần sự đồng ý của những ai: trẻ em, bố mẹ hay người giám hộ?”.

Trong khi đó, chế tài xử lý chưa đủ mạnh để đảm bảo tính răn đe, dẫn đến không ít doanh nghiệp sẵn sàng ‘đánh đổi vì lợi nhuận’. “Bộ Luật hình sự chưa quy định nào về tội phạm thông tin cá nhân còn mức xử phạt hành chính quá thấp. Ví́ dụ Luật bảo vệ dữ liệu châu Âu GDPR quy định, doanh nghiệp làm lộ dữ liệu người dùng có thể bị phạt tới 4% doanh thu của năm liền kề trước đó. Đây là khoảng trống cần bổ sung.

——–

Chú thích: * Lược ghi ý kiến tại Hội thảo Bảo vệ dữ liệu cá nhân và quyền riêng tư trong chuyển đổi số và phát triển nền kinh tế số, ngày 15/7 tại Hà Nội.

Theo KHPT

Tác giả

.

View all posts

(Visited 189 times, 1 visits today)