Hướng tiếp cận và hoàn thiện pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam trước tác động lập pháp của thế giới và khu vực
HƯỚNG TIẾP CẬN VÀ HOÀN THIỆN PHÁP LUẬT BẢO VỆ DỮ
LIỆU CÁ NHÂN TẠI VIỆT NAM TRƯỚC TÁC ĐỘNG LẬP PHÁP CỦA THẾ GIỚI VÀ KHU VỰC
Tap Chi Luat Hoc
Số 8 (267), tháng 8/2022
https://tapchi.hlu.edu.vn/Images/Post/files/T%E1%BA%A0P%20CH%C3%8D%20LU%E1%BA%ACT%20H%E1%BB%8CC/Muc%20luc%20so%208-2022(1).pdf
Bạch Thị Nhã Nam – Giảng viên Trường Đại học Kinh tế - Luật,
Đại học Quốc gia thành phố Hồ Chí Minh; NCS tại Đại học Griffith, Úc.
Email: nambtn@uel.edu.vn
Tóm tắt: Trong thời đại kinh tế số, dữ liệu cá nhân ngày càng trở
nên quý giá và nhu cầu bảo vệ dữ liệu cá nhân trở nên cấp thiết đối với tất cả
các quốc gia và vùng lãnh thổ, trong đó có Việt Nam. Nhiều quốc gia đã và đang
trong quá trình xây dựng luật về bảo vệ dữ liệu cá nhân. Bài viết này nghiên cứu
khái quát các mô hình tiếp cận và xây dựng pháp luật bảo vệ dữ liệu cá nhân của
các khu vực pháp lý tiêu biểu trên thế giới và trong khu vực, từ đó chỉ ra các quan
điểm tiếp cận điển hình, các giá trị chung, cốt lõi về dữ liệu cá nhân, cơ chế
pháp lý bảo vệ dữ liệu cá nhân đã được công nhận, cũng như chỉ ra các giá trị
khác biệt tùy thuộc vào đặc điểm riêng của mỗi nền tài phán. Qua đó, bài viết đề
xuất một số gợi ý ban đầu cho Việt Nam trong quá trình nghiên cứu, xây dựng,
hoàn thiện pháp luật bảo vệ dữ liệu cá nhân.
Từ khóa: kinh tế số, dữ liệu cá nhân, bảo vệ dữ liệu…
Abstract: In the digital economy
era, personal data becomes more and more precious and the need to protect
personal data becomes urgent for all countries and territories, including
Vietnam. Many countries have been in the process of developing legislation on
the protection of personal data. This article provides an overview of the typical
approaches of personal data protection legislation in the world and in the
region, thereby pointing out typical legislative models, the common and core
values of personal data, the legal mechanism for the protection of personal
data recognized, as well as indicating different values due to the unique characteristics
of each jurisdiction. Thereby, the article proposes some initial suggestions
for Vietnam in the process of researching, developing and perfecting the law on
personal data protection.
Key words: digital economy, personal data, data
protection…
1. Hai mô hình tiếp cận điển hình trong việc
xây dựng quyền bảo vệ dữ liệu cá nhân trên thế giới
Bảo vệ dữ liệu là bảo vệ
bất kỳ thông tin nào liên quan đến một thể nhân sống đã được xác định hoặc có
thể nhận dạng được, bao gồm tên, ngày tháng năm sinh, ảnh, cảnh quay video, địa
chỉ email và số điện thoại. Các thông tin khác như địa chỉ IP và nội dung liên
lạc - liên quan đến hoặc được cung cấp bởi người dùng cuối của các dịch vụ
truyền thông - cũng được coi là dữ liệu cá nhân. Bảo vệ dữ liệu cá nhân có mục đích chính xác
là đảm bảo việc xử lý hợp lý (thu thập, sử dụng, lưu trữ) dữ liệu cá nhân của
cả khu vực công (cơ quan công quyền) và tư (công ty, tổ chức tư nhân hoạt động
vì mục tiêu lợi nhuận).
Trước hết, cần phải đề
cập đến khu vực Liên minh Châu Âu (EU), các quốc gia ở khu vực này tiếp cận quyền
bảo vệ dữ liệu theo mô hình bảo vệ toàn diện. Xuất phát từ
quan niệm về quyền năng cơ bản của con người tại châu Âu và khu vực EU, nhân phẩm (human
dignity) được công nhận là một quyền cơ bản tuyệt đối của con người, trong khái
niệm về nhân phẩm, quyền riêng tư hoặc quyền có cuộc sống riêng tư, được tự
chủ, kiểm soát thông tin về bản thân đóng một vai trò quan trọng, theo đó quyền
riêng tư không chỉ là quyền cá nhân mà còn là giá trị xã hội.[2]
Quyền riêng tư và quyền bảo vệ dữ liệu, mặc dù có mối liên hệ mật
thiết với nhau, nhưng đây là hai quyền riêng biệt. Khái niệm quyền bảo vệ dữ liệu
bắt nguồn từ quyền riêng tư và cả hai đều là công cụ để bảo tồn và thúc đẩy các
giá trị và quyền cơ bản của con người, là cơ sở để thực hiện các quyền tự do
khác chẳng hạn như tự do ngôn luận hoặc quyền hội họp. Vì đời sống riêng tư của cá
nhân được đặt ở vị trí ưu tiên và cần được bảo vệ để đảm bảo cá nhân có quyền
toàn vẹn đối với đời sống chính mình,[3] do đó, bảo vệ dữ liệu được xem là một quyền cơ bản của cá nhân, không chỉ
được bảo vệ bởi pháp luật quốc gia mà còn được bảo vệ bởi pháp luật của EU.
Xét về yếu tố lịch sử,
người châu Âu có một lịch sử lâu dài về các cuộc xâm phạm quyền riêng tư, ví dụ
như trong chiến tranh thế giới thứ hai, chế độ Đức Quốc xã đã sử dụng dữ liệu
cá nhân nhạy cảm từ sổ đăng ký dân số địa phương để xác định vị trí và truy
quét người Do Thái dẫn đến các cuộc thảm sát kinh hoàng, hay sau đó, ở Đông Đức,
hoạt động của cảnh sát mật và cơ quan tình báo Stasi đã mở rộng việc tiến hành
giám sát và trấn áp những người bất đồng chính kiến trong mọi khía cạnh của đời
sống dân sự.[4]
Những yếu tố lịch sử này đã tác động lớn đến ý thức bảo vệ đời sống riêng tư
cũng như dữ liệu cá nhân của người châu Âu, đặc biệt trong thời kỳ phát triển
sôi động của nền kinh tế số, trước những vụ bê bối đánh cắp dữ liệu của các
công ty công nghệ hay những vụ tin tặc đánh cắp thông tin cá nhân và dữ liệu
tài chính của hàng trăm nghìn người tiêu dùng trong khu vực.
Tỷ lệ lập pháp về quyền
bảo vệ dữ liệu cá nhân ở các quốc gia châu Âu đến nay đạt 96%.[5] Sự hiểu biết của cộng đồng
EU về quyền riêng tư bắt đầu được định hình vào những năm 1970 bởi các quy định
pháp luật tòan diện của Tòa án nhân quyền châu Âu, Chỉ thị bảo vệ dữ liệu 1995
(Chỉ thị số 95/46/EC), Hiệp ước về hoạt động của EU, Hiến Chương về các quyền
cơ bản, cũng như các phán quyết của các tòa án trong EU về quyền riêng tư hay
quyền bảo vệ dữ liệu cá nhân.[6]
Đạo luật bảo vệ dữ liệu
được xem là tiêu biểu và hoàn thiện nhất hiện nay là Quy định chung về bảo vệ
dữ liệu (GDPR) của EU, có hiệu lực vào tháng 05/2018. [7] GDPR được coi là đạo luật về quyền riêng tư mang
tính bước ngoặt và là cột mốc quan trọng trong kỷ nguyên kỹ thuật số, cụ thể
GDPR đã đưa ra các quyền mới đối với dữ liệu của cá nhân, chẳng hạn như quyền
được lãng quên và quyền được di chuyển dữ liệu. GDPR đã góp phần nâng cao nhận
thức bảo vệ dữ liệu đối với công chúng bằng các công cụ pháp lý và tác động lớn
tới chương trình nghị sự lập pháp của nhiều quốc gia trên toàn thế giới.
Ngoài tiêu chuẩn chung được tuân thủ trong các
cam kết khu vực, các quốc gia thuộc EU và thuộc châu Âu thường ban hành đạo luật
riêng về bảo vệ dữ liệu cá nhân để quy định tập trung, toàn diện, cụ thể và chi
tiết các vấn đề có liên quan theo hướng đồng nhất hóa pháp luật trong khu vực;
mở rộng tối đa phạm vi thông tin cá nhân được pháp luật điều chỉnh.
Quy tắc bảo vệ dữ liệu của EU bao gồm các quy tắc
được áp dụng độc lập trong những hoàn cảnh riêng biệt, điều này thể hiện quyền
bảo vệ dữ liệu không phải là một quyền tuyệt đối. Những nguyên tắc quan trọng
được đề cập đến như tiêu chuẩn dữ liệu cá nhân, dữ liệu nhạy cảm, cơ quan giám
sát độc lập, nguyên tắc giới hạn mục đích, các quy định về trao đổi dữ liệu giữa
các cơ quan, giới hạn thời gian cho lưu trữ dữ liệu, xem xét hiệu quả các yêu cầu
tư pháp và các khả năng tiếp cận dữ liệu, giám sát độc lập, nguyên tắc tương xứng
khi hạn chế quyền bảo vệ dữ liệu, yêu cầu thông báo sau khi xảy ra vi phạm dữ
liệu, quyền truy cập, sửa và xóa cũng như các quy định về quyết định tự động, bảo
mật của chủ thể dữ liệu. Các quyền của các chủ thể và nguyên tắc pháp lý có thể
bị hạn chế, nhưng những hạn chế này dựa trên nguyên tắc tương xứng, thiết lập tỷ
lệ so sánh - chẳng hạn như so sánh giữa lợi ích bảo vệ thông tin cá nhân và lợi
ích của cộng đồng đối với việc tiếp cận thông tin hoặc yêu cầu tư pháp và điều
tra tội phạm của cơ quan chuyên trách.
Vào ngày 19/2/2020, Ủy ban châu Âu đã phát hành sách trắng giới thiệu “Chiến
lược châu Âu về dữ liệu”.[8]
Sách trắng này phác thảo các mục tiêu chính sách trong tương lai của Ủy ban
châu Âu trong lĩnh vực quyền riêng tư, bảo vệ dữ liệu, trí tuệ nhân tạo và các
lĩnh vực khác trong thời đại kỹ thuật số, điều này càng thể hiện xu hướng mạnh
mẽ của EU trong việc hoàn thiện pháp luật và bảo vệ quyền lợi của chủ thể dữ liệu.
Trong khi đó, trái ngược
với mô hình tiếp cận của EU, Hoa Kỳ theo đuổi một hướng tiếp cận tối giản đối
với quyền bảo vệ dữ liệu cá nhân. Quyền bảo vệ dữ liệu cá nhân chỉ được xem là
là một quyền thứ cấp so với các ưu tiên khác trong Hiến pháp Hoa Kỳ cũng như các lợi
ích công cộng khác. Xuất phát từ
việc bảo vệ Tu chính án thứ nhất về quyền tự do ngôn luận, và Tu chính án thứ
tư về Quyền tìm kiếm và thu giữ,[9]
cũng như trong Đạo luật bảo vệ quyền riêng tư loại bỏ sự bảo vệ đối với những
người không phải là công dân, Hoa Kỳ xem xét việc bảo vệ thông tin cá nhân là một
khía cạnh của quyền riêng tư nhưng ở mức độ hài hòa hơn giữa bảo vệ quyền cá
nhân của chủ thể dữ liệu và các chủ thể khác.
Thay vì xây dựng khuôn
khổ pháp lý bảo vệ toàn diện đối với dữ liệu cá nhân như EU, Hoa Kỳ đã tiếp cận
quyền riêng tư và bảo mật bằng cách điều chỉnh tối giản, và phân tán quyền này
trong một số lĩnh vực, xác định ưu tiên bảo vệ theo đối tượng, và loại thông
tin nhạy cảm (ví dụ: tài chính, chăm sóc y tế, điện tử viễn thông, giáo dục). Cụ
thể, Hoa Kỳ ban hành Luật quyền riêng tư 1974 nhằm hạn chế quyền đối với các dữ liệu do các cơ quan chính phủ Hoa Kỳ
nắm giữ; Luật bảo vệ quyền riêng tư của tài xế 1994
(DPPA); Luật riêng tư đối với các giao tiếp điện tử 1986 (ECPA), Luật Bảo vệ
quyền riêng tư của trẻ em trên nền tảng trực tuyến 2000 (COPPA), Luật về trách
nhiệm giải trình và trách nhiệm bảo hiểm y tế 1996 (HIPPA) bảo mật tất cả các
dữ liệu liên quan đến chăm sóc sức khỏe của bệnh nhân; Luật bảo vệ quyền riêng
tư video (VPPA), Luật Gramm-Leach-Bliley – là một đạo luật
quan trọng trong lĩnh vực tài chính và ngân hàng vào những năm 1990 đáp ứng các
yêu cầu bảo mật và quyền riêng tư đối với dữ liệu quan trọng... Ngoài ra, Ủy ban
Thương mại Liên bang (FTC) là cơ quan có thẩm quyền bảo vệ dữ liệu và bảo mật
thông tin người tiêu dùng dựa trên Đạo luật FTC năm 1914. FTC cấm các công ty tham
gia vào “các hành vi thương mại không công bằng hoặc lừa đảo” nhằm bảo vệ người
tiêu dùng, FTC sẽ đưa ra lệnh phạt đối với các công ty không tuân thủ cam kết
bảo mật hoặc không bảo vệ đầy đủ đối với thông tin cá nhân bên cạnh hành vi quảng
cáo sai sự thật hoặc gây hiểu lầm đối với người tiêu dùng.[10]
Ngoài ra, Hoa Kỳ nhấn mạnh và trao thẩm quyền lập
pháp của các tiểu bang đối với quyền riêng tư và dữ liệu cá nhân, tiên phong là các nhà lập pháp của
tiểu bang California. Đạo luật về quyền riêng tư của người tiêu dùng California
(CCPA) được ban hành vào năm 2018, có hiệu lực vào 01/01/2020, hầu như đã giải
quyết được vấn đề bảo mật dữ liệu người tiêu dùng ít nhất là ở California,[11] và có tác động lớn tới
việc ban hành đạo luật về bảo mật dữ liệu người tiêu dùng ở các tiểu bang khác. [12]
Có nhiều lý do để giải
thích cho cách tiếp cận tối giản của Hoa Kỳ đối với quyền bảo vệ dữ liệu cá nhân. Trước hết, mô hình tiếp cận tối giản và theo xu hướng bảo vệ
ở cấp độ từ thấp đến cao đối với dữ liệu cá nhân phù hợp với cấu trúc nhà nước
liên bang ở Hoa Kỳ, và dần dần quá trình lập pháp ở các tiểu bang sẽ thúc đẩy nhận
thức cộng đồng cũng như nỗ lực công nhận tiêu chuẩn pháp lý về bảo vệ dữ liệu ở
khắp các tiểu bang, trong khi đó chính quyền liên bang chỉ thiết lập các can
thiệp hạn chế ở những lĩnh vực dữ liệu thiết yếu (thông tin y tế, tài chính…), hay
đối tượng nhạy cảm cần được bảo vệ (trẻ em) trên toàn phạm vi liên bang.
Tiếp đến, việc không tích cực thiết lập sự bảo
vệ tuyệt đối và toàn diện đối với dữ liệu cá nhân của Hoa Kỳ chịu sự chi phối
và tác động mạnh mẽ bởi các công ty công nghệ và dữ liệu hàng đầu thế giới hình
thành và phát triển hùng mạnh ở quốc gia này. Các công ty đã tác động vào quan
niệm của của người tiêu dùng về quyền riêng tư, cũng như thực hiện vận động
hành lang ngăn cản hình thành nên các chính sách kiểm soát và quản lý dữ liệu
cá nhân nghiêm ngặt. Một khảo sát thú vị đối với những người dùng internet ở
Hoa Kỳ được công bố vào cuối năm 2019 cho thấy mức độ lo ngại về quyền riêng tư
trên nền tảng trực tuyến có tỷ lệ chênh lệch ít ỏi với việc người dùng internet
sẵn sàng chấp nhận đánh đổi những rủi ro nhất định về quyền riêng tư trên nền tảng
trực tuyến để làm cho cuộc sống của họ tiện lợi hơn (74% so với 69%).[13] Thói
quen này của người tiêu dùng khiến nhu cầu bảo vệ đời sống riêng tư không phải
là ưu tiên hàng đầu ở xứ sở công nghệ.
Ngoài ra, tại Hoa Kỳ, các lợi ích công cộng như
an ninh cộng đồng, an ninh quốc gia, và các quyền ưu tiên theo Hiến pháp như
quyền tự do ngôn luận được đề cao bảo vệ hơn quyền riêng tư dữ liệu. Ngoài các
cuộc điều tra tội phạm thông thường, một phần quan trọng trong việc thu thập dữ
liệu của khu vực công diễn ra trong khuôn khổ yêu cầu an ninh quốc gia trên cơ
sở các điều khoản có trong Đạo luật Patriot và Fisa.[14] Trong
thực tiễn xét xử, tư duy của các thẩm phán Hoa Kỳ có xu hướng coi trọng quyền tự do ngôn luận, ví dụ điển hình như
án lệ Cox Broadcasting Corporation v. Cohn (1975)[15] của Tòa án tối cao Hoa Kỳ.
Trong vụ án này, con gái 17 tuổi của người khởi kiện Martin Cohn bị cưỡng bức
và giết hại, hãng truyền hình địa phương sau khi thu thập thông tin đã công bố
danh tính của con gái ông trong bản tin, hành vi này đã vi phạm pháp luật tiểu
bang Georgia. Khi đó, Tòa án tối cao Hoa Kỳ không đồng tình với quy định pháp
luật của tiểu bang Georgia, và cho rằng báo chí là một nguồn quan trọng để công
dân có thể theo dõi và đánh giá trình tự tư pháp của cơ quan công quyền, các
thông tin về quy trình điều tra và xét xử tội phạm, dù có công bố thông tin cá
nhân thì việc công khai thông tin này vẫn có ý nghĩa quan trọng đối với lợi ích
công cộng, do đó kiểm soát và giới hạn báo chí theo quy định pháp luật bang
Georgia là một sự xâm phạm nguy hiểm đối với tự do báo chí và tự do ngôn luận –
những quyền được bảo vệ trong Tu chính án thứ Nhất.
Tóm lại, các phân tích
trên cho thấy hai xu hướng lập pháp điển hình về quyền bảo vệ dữ liệu cá nhân
hoàn toàn khác biệt giữa EU và Hoa Kỳ, từ mô hình tiếp cận xây dựng pháp luật bảo vệ dữ liệu cá nhân đến các
quy tắc pháp lý cụ thể quy định khác biệt. Ví dụ như thuật ngữ pháp lý thông
tin cá nhân ở Hoa Kỳ có nội hàm hẹp hơn so với khái niệm dữ liệu cá nhân ở EU,
hay các tiêu chuẩn về mức độ bảo vệ dữ liệu cá nhân, nguyên tắc xử lý, kiểm
soát dữ liệu và các hạn chế, ngoại lệ trong mối tương quan giữa lợi ích cá
nhân, và lợi ích cộng đồng, an ninh quốc gia hoàn toàn khác nhau.
Nếu EU hướng đến xây
dựng khung pháp lý hoàn thiện nhất để bảo vệ quyền dữ liệu cá nhân như một
quyền cơ bản trong một Đạo luật riêng biệt, cụ thể thì Hoa Kỳ hiện thiếu một khung pháp lý bảo vệ dữ
liệu cá nhân trên phạm vi toàn liên bang, và đặc biệt mối lo ngại vi phạm dữ liệu
cá nhân sẽ càng tăng lên đối với cá nhân không phải là công dân Hoa Kỳ. Điểm
khác biệt thứ hai là theo luật của EU, việc xử lý dữ liệu cá nhân ở cá khu vực
công và khu vực tư được thực hiện hạn chế trên cơ sở cân nhắc theo tiêu chuẩn tỷ
lệ lợi ích, và việc chuyển dữ liệu cá nhân cho các cơ quan công quyền phải tuân
thủ các điều kiện nhất định và đòi hỏi một sự giải trình hợp pháp, thì Hoa Kỳ
không hạn chế việc chia sẻ dữ liệu cá nhân giữa các cơ quan an ninh và tình báo
quốc gia, điều này được xem như là một quy tắc pháp lý thay vì là ngoại lệ đối
với việc bảo vệ dữ liệu cá nhân.
Hoa Kỳ và EU là hai khu vực pháp lý lớn và có sức ảnh hưởng tới
quá trình lập pháp đối với các quốc gia trên thế giới. Nghiên cứu hai mô hình
này và tìm kiếm các giá trị phổ quát trong việc bảo vệ dữ liệu cá nhân nhằm tìm
kiếm hướng tiếp cận lập pháp thích hợp cho quốc gia mình là việc cần làm trong
quá trình xây dựng và hoàn thiện pháp luật bảo vệ dữ liệu ở các nền tài phán và
khu vực pháp lý khác trên thế giới.
2. Đặc trưng của khu vực Châu Á – Thái Bình Dương trong việc xây
dựng pháp luật về quyền bảo vệ dữ liệu cá nhân
Châu Phi và Châu Á –
Thái Bình Dương là hai khu vực có tỷ lệ lập pháp về quyền bảo vệ dữ liệu thấp
nhất là ở ở ngưỡng 55% - 57% trên thế giới, trong đó có 23 nước là các nước kém
phát triển nhất đã ban hành các quy định pháp luật về bảo vệ dữ liệu.[16]
Tại khu vực Châu Á –
Thái Bình Dương, trong số 60 quốc gia, thì có đến 34 quốc gia đã ban hành pháp
luật về bảo vệ dữ liệu,[17] trong đó nhiều quốc gia
đã xem xét sửa đổi khung pháp lý theo hướng tăng cường bảo vệ dữ liệu cá nhân
như Nhật Bản, Kazakhstan, Hàn Quốc, New Zealand và Singapore sau lần đầu tiên ban
hành. Theo thống kê, từ năm 2010 đến năm 2020, 13 quốc gia mới tại khu vực Châu
Á – Thái Bình Dương đã ban hành mới pháp luật bảo vệ dữ liệu và 07 quốc gia đã
sửa đổi luật hiện hành của họ.[18]
Vào năm 2020, Nhật Bản
đã sửa đổi Đạo luật bảo vệ thông tin cá nhân (APPI), và ban hành Đạo luật sửa
đổi vào ngày 5/6/2020, và sẽ có hiệu lực vào mùa xuân năm 2022.[19] Ủy ban Bảo vệ Thông tin
Cá nhân (PPC) (https://www.ppc.go.jp/en)
là cơ quan chính thức độc lập chịu trách nhiệm bảo vệ quyền quyền riêng tư của
các cá nhân và giám sát việc sử dụng và lưu trữ dữ liệu cá nhân người tiêu dùng
của các doanh nghiệp. PPC cũng chịu trách nhiệm về hợp tác quốc tế giữa Nhật
Bản và các khu vực tài phán khác trong lĩnh vực luật bảo vệ dữ liệu.
Hàn Quốc đã sửa đổi ba luật chính về
dữ liệu cá nhân: Đạo luật bảo vệ thông tin cá nhân (PIPA); Đạo luật về thúc đẩy
sử dụng mạng thông tin, truyền thông và bảo vệ thông tin (Đạo luật về mạng); và
Đạo luật sử dụng, bảo vệ thông tin tín dụng (Đạo luật thông tin tín dụng).[20]
Tại Úc, vào tháng 10/2020, chính phủ
Úc đã phát hành một tài liệu hệ thống hóa các quy định hiện hành về quyền riêng
tư và thu nhận các đóng góp ý kiến đối với những vấn đề pháp lý liên quan đến
việc cải cách Đạo luật quyền riêng tư năm 1988. Chính phủ Úc hiện đang trong
giai đoạn xem xét, tổng hợp các ý kiến từ các cuộc tham vấn để hoàn thiện
khung pháp lý bảo đảm quyền riêng tư, trao quyền và bảo vệ dữ liệu cho người
tiêu dùng Úc.[21]
Trung Quốc – quốc gia
láng giềng Việt Nam, có số lượng người dùng internet dẫn đầu thế giới, sau khi
quốc gia này đã đưa ra những nguyên tắc pháp lý cơ bản về bảo vệ quyền riêng tư
và quyền bảo vệ thông tin cá nhân trong Bộ luật Dân sự đầu tiên của nước này
vào năm 2020,[22]
bước tiến lập pháp quan trọng là việc Trung Quốcđã ban hành Luật Bảo vệ thông tin cá nhân và Luật An toàn dữ liệu
vào tháng 8/2021, hai đạo luật này sẽ có hiệu lực từ ngày 1/11/2021,Cùng với Luật An ninh mạng năm 2017, nhìn chung khung
pháp lý về bảo vệ dữ liệu cá nhân, đặc biệt là bảo vệ dữ liệu cá nhân trên
không gian mạng của Trung Quốc đã được thành hình.
Luật bảo vệ thông tin cá
nhân (PIPL) của Trung Quốc đã tạo dựng một khung pháp lý thống nhất về bảo mật
dữ liệu tại Trung Quốc. Những vấn đề pháp lý mới được đề cập trong PIPL như: số
tiền phạt cao áp dụng đối với các hành vi vi phạm, khả năng áp dụng pháp luật
bảo vệ dữ liệu ngoài lãnh thổ Trung Quốc, các quy tắc mới quản lý việc chuyển
dữ liệu xuyên biên giới, củng cố các quyền mới mà các chủ thể dữ liệu cư trú
tại Trung Quốc, bất kể quốc tịch của họ, chẳng hạn như quyền xóa dữ liệu và
quyền cá nhân hủy bỏ sự đồng ý đối với việc thu thập dữ liệu. Đối với các công
ty xử lý khối lượng lớn thông tin cá nhân cũng sẽ được yêu cầu chỉ định một
nhân viên bảo vệ dữ liệu chịu trách nhiệm xử lý dữ liệu cá nhân liên quan đến
Trung Quốc. Việc xử lý thông tin cá nhân nhạy cảm xuyên biên giới sẽ phải tuân
theo một ngưỡng tiêu chuẩn của PIPL, nếu công ty hành xử vượt mức tiêu chuẩn
này, công ty buộc phải bản địa hóa các hoạt động xử lý dữ liệu của mình tại
Trung Quốc.
Tại khu vực Đông Nam Á,
với dân số 634 triệu người, sự tăng trưởng kinh tế hằng năm của khu vực này khiến
nhiều người kỳ vọng rằng nó sẽ trở thành nền kinh tế lớn thứ tư thế giới vào
năm 2030. Trong lĩnh vực kỹ thuật số, Đông Nam Á là khu vực Internet phát triển
nhanh nhất thế giới với gần bốn triệu người dùng mới đến từ nền tảng trực tuyến
mỗi tháng trong suốt 5 năm qua, có hơn 700 triệu kết nối di động đang hoạt động
ở Đông Nam Á, chi tiêu trực tuyến dự kiến sẽ đạt 200 tỷ đô la Mỹ vào năm
2025.[23]
Với tiềm năng phát triển
nền kinh tế số to lớn, các quốc gia trong khu vực Đông Nam Á đã đạt được những
bước tiến nhanh chóng trong việc xây dựng khuôn khổ pháp lý đối với quyền bảo
vệ dữ liệu. Theo UNTACD, tính đến 04/2020, hầu hết các quốc gia trong khu vực đều
có quy định pháp luật quyền bảo vệ dữ liệu cá nhân trừ ba quốc gia: Campuchia, Papua
New Guinea chưa ban hành pháp luật về bảo vệ dữ liệu cá nhân, và Myanmar đang
xây dựng dự thảo luật.
Philippines là quốc gia
xây dựng pháp luật về quyền riêng tư nghiêm ngặt nhất trong khu vực. Đạo luật
bảo mật dữ liệu ban hành năm 2012, được mô phỏng theo Chỉ thị bảo vệ dữ liệu
của EU. Philippines cũng đã thành lập thêm Ủy ban quyền riêng tư quốc gia (NPC)
vào năm 2016 để quản lý và thực hiện các điều khoản của đạo luật.
Tại Malaysia, Đạo luật
bảo vệ dữ liệu cá nhân (PDPA) đã có hiệu lực vào năm 2014, tuy nhiên luật này bộc
lộ các khuyết điểm thiếu tính cưỡng chế thi hành khi có các hành vi vi phạm xảy
ra. Do đó, quốc gia này đang xem xét sửa đổi PDPA sau khi đề xuất tham vấn cộng
đồng vào năm 2020, về cơ bản sẽ mở rộng việc áp dụng pháp luật bảo vệ dữ liệu tham
chiếu đến quy định của EU.
Thái Lan là quốc gia gần
đây nhất công bố Đạo luật Bảo vệ Dữ liệu Cá nhân (PDPA), có hiệu lực vào ngày
31/5/2021.[24]
Singapore đang tiến hành
sửa đổi pháp luật bảo vệ dữ liệu (PDPA) có hiệu lực từ 2014, dự kiến các sửa
đổi sẽ có hiệu lực trong năm 2021. Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC) tại
Singapore là cơ quan chịu trách nhiệm quản lý và thực thi Đạo luật Bảo vệ Dữ
liệu Cá nhân (PDPA). PDPA được ví von là chiếc ô chung chứa đựng nhiều quy định
liên quan đến việc thu thập và sử dụng dữ liệu cá nhân riêng lẻ (được lưu trữ
dưới dạng kỹ thuật số hoặc phi kỹ thuật số). PDPA trao quyền cho các cá nhân
bảo vệ dữ liệu của họ và quản lý cách các doanh nghiệp có thể sử dụng dữ liệu
cá nhân được thu thập từ người tiêu dùng cho các mục đích hợp pháp. [25]
Tại Indonesia, vào tháng
01/2020, chính phủ Indonesia đã giới thiệu dự luật về quyền dữ liệu cá nhân tại
Quốc hội và dự luật này dự kiến sẽ tiếp tục được hoàn thiện cho đến khoảng
đầu năm 2021. Theo dự thảo, Indonesia yêu cầu bên kiểm soát dữ liệu tiến hành xử
lý dữ liệu cá nhân trên cơ sở đồng ý hoặc trên cơ sở pháp lý khác, chẳng hạn
như lợi ích hợp pháp hoặc yêu cầu pháp lý, nghĩa vụ thông báo cho các cá nhân
và cơ quan bảo vệ dữ liệu trong vòng 72 giờ sau khi xảy ra hành vi vi phạm dữ
liệu và cung cấp cho các cá nhân quyền truy cập, sửa, xóa và khả năng di chuyển
dữ liệu. Ngoài ra, dự luật đề xuất áp đặt các giới hạn đối với chuyển dữ liệu
xuyên biên giới và cấm mua bán dữ liệu cá nhân.[26]
Tại Việt Nam, trước
những hạn chế của các quy định rải rác về dữ liệu cá nhân trong nhiều văn bản
pháp luật khác nhau, ngày 09/02/2021, dự thảo Nghị định quy định về bảo vệ dữ
liệu cá nhân có mục đích thống nhất các quy định và tạo một khung pháp lý riêng
biệt điều chỉnh đã được công bố và đang tiến hành lấy ý kiến từ công chúng.
Nhìn chung, khung cảnh
lập pháp về quyền bảo vệ dữ liệu cá nhân ở khu vực Châu Á – Thái Bình Dương,
hay khu vực Đông Nam Á đang diễn ra hết sức sôi động, và thay đổi mạnh mẽ trong
suốt thập kỷ qua. Trái ngược với khu vực EU thể hiện tính khái quát hóa và tính
đồng nhất trong việc xây dựng khuôn khổ pháp lý đối với quyền bảo vệ dữ liệu,
khu vực Châu Á – Thái Bình Dương hay Đông Nam Á có đặc điểm là hệ thống pháp
luật đa dạng và có nhiều khác biệt về lịch sử, văn hóa, trình độ phát triển
kinh tế. Vậy nên các quốc gia trong khu vực Châu Á – Thái Bình Dương không thể
đồng nhất pháp luật bảo vệ dữ liệu, và các đạo luật này đều có những quy định
cụ thể khác biệt với các yếu tố tiêu biểu được nhận diện sau đây:
Mô hình tiếp cận: hầu hết các quốc gia ở khu vực Châu Á – Thái
Bình Dương lựa chọn cách tiếp cận
dung hòa giữa hai mô hình EU và Hoa Kỳ như Nhật Bản, Hàn Quốc, Singapore, Thái
Lan, Trung Quốc…Các quốc gia theo mô hình này thường ban hành một đao luật
riêng về quyền riêng tư hoặc về bảo vệ thông tin cá nhân để quy định tập trung,
toàn diện các vấn đề có liên quan bảo vệ dữ liệu. Trong đó, các đạo luật đều thừa
nhận các giá trị cốt lõi phổ quát liên quan đến quyền bảo vệ dữ liệu cá nhân như
khái niệm dữ liệu cá nhân, nguyên tắc xử lý dữ liệu cá nhân, cơ quan độc lập bảo
vệ dữ liệu…dưới sự ảnh hưởng của GDPR, bên cạnh ghi nhận những nội dung khác biệt
tùy thuộc vào điều kiện của quốc gia ví dụ như phạm vi dữ liệu cá nhân được
pháp luật điều chỉnh, về cơ chế bảo vệ dữ liệu, mức độ quản lý dữ liệu hợp lý,
hài hòa hơn không quá thắt chặt, cũng không quá tối giản.
Cũng có số ít hạn hữu các quốc gia lựa chọn theo một mô hình nhất định
ví dụ Philippines chịu sự ảnh hưởng mạnh mẽ của mô hình EU.
Xem xét một ví dụ giữa PDPA của Thái Lan và GDPR, các điểm tương đồng cốt
lõi bao gồm: quy định quyền của chủ thể dữ liệu cá nhân trong việc kiểm soát dữ
liệu cá nhân của họ được chủ thể kiểm soát dữ liệu thu thập, lưu trữ, xử lý và
phổ biến, cung cấp các cơ sở pháp lý đối với chủ thể kiểm soát dữ liệu có thể xử
lý dữ liệu cá nhân, và thiết lập cơ quan giám sát bảo vệ dữ liệu.[27] Những
nội dung PDPA của Thái Lan quy định khác biệt GDPR gồm nghĩa vụ thông báo của
chủ thể kiểm soát dữ liệu đối với chủ thể dữ liệu, chủ thể kiểm soát dữ liệu phải
công khai phương thức rút lại sự đồng ý và thông báo đến các chủ thể dữ liệu để
xem xét có tùy chọn rút lại sự đồng ý hoặc chọn rút khỏi nền tảng trực tuyến,
hay yêu cầu chủ thể kiểm soát dữ liệu phải có sự đồng ý của chủ thể dữ liệu nếu
chủ thể kiểm soát dữ liệu sử dụng hoặc tiết lộ dữ liệu cá nhân ngoài mục đích
ban đầu được đồng ý trước đó .[28]
Phạm vi áp dụng: Có sự quy định khác biệt giữa các đạo luật bảo
vệ dữ liệu cá nhân trong khu vực Châu Á – Thái Bình Dương, phần lớn các quốc
gia đều quy định phạm vi áp dụng trong lãnh thổ của quốc gia. Tuy nhiên, có năm
quốc gia quy định áp dụng ngoài phạm vi lãnh thổ, cách quy định này tương tự
hoặc vượt quá so với nội dung trong GDPR của EU bao gồm: Úc, Nhật Bản, New
Zealand, Philippines và Thái Lan, tương lai có thể gồm cả Trung Quốc dựa trên
dự thảo hiện tại của nước này.
Ví dụ, đạo luật APPI của
Nhật Bản áp dụng ngoài lãnh thổ Nhật Bản khi một chủ thể xử lý dữ liệu ở nước
ngoài đã lấy được dữ liệu cá nhân của một cá nhân cư trú ở Nhật Bản qua việc
cung cấp hàng hóa hoặc dịch vụ của họ cho cá nhân ở Nhật Bản và thực hiện xử lý
thông tin cá nhân đó hoặc bất kỳ thông tin ẩn danh nào được tạo ra từ đó, đạo
luật APPI buộc chủ thể xử lý dữ liệu ở nước ngoài phải tuân theo các tiêu chuẩn
của Đạo luật APPI khi tiến hành xử lý dữ liệu ở nước ngoài.[29]
Hoạt động xuyên biên giới: Tương tự, ba phần tư các quốc gia trong khu vực
áp đặt các hạn chế đối với việc chuyển dữ liệu cá nhân xuyên biên giới. Ngoài
việc thừa nhận giống nhau việc hạn chế chuyển dữ liệu xuyên biên giới, thì các
quốc gia quy định khác nhau các cơ sở pháp lý để thực hiện chuyển dữ liệu trong
các điều kiện nhất định: yêu cầu quốc gia tiếp nhận dữ liệu đáp ứng việc bảo vệ
dữ liệu đầy đủ, điều kiện chuyển dữ liệu trên cơ sở đồng ý (hoặc cơ sở pháp lý
khác) ... Trong khi đó, Hồng Kông, Indonesia, Nepal và Đài Loan không hạn chế
việc chuyển dữ liệu cá nhân qua biên giới.
Hiện tại chỉ có hai quốc
gia duy nhất trong khu vực New Zealand và Nhật Bản đã đạt được thỏa thuận với
EU về việc chấp thuận các hoạt động xử lý dữ liệu xuyên biên giới, Hàn Quốc và
Đài Loan hiện đang nỗ lực đạt được thỏa thuận thỏa đáng với EU.
Thông báo vi phạm: Ít hơn một nửa số quốc gia trong khu vực (10
quốc gia) yêu cầu thông báo trong trường hợp xảy ra vi phạm dữ liệu. Một số đạo
luật chỉ yêu cầu thông báo đến các cá nhân và / hoặc cơ quan bảo vệ dữ liệu
“ngay lập tức” hoặc “không chậm trễ”, trong khi những đạo luật khác yêu cầu
thông báo trong vòng 72 giờ (Philippines, Singapore và Thái Lan) hoặc trong
vòng 14 ngày.
Căn cứ pháp lý để xử lý dữ liệu cá nhân: Hai phần ba các quốc
gia (12 quốc gia) không cho phép xử lý dữ liệu không dựa trên cơ sở lợi ích hợp
pháp. Cơ sở lợi ích hợp pháp được quy định có nhiều khác biệt giữa các quốc
gia.
Quyền cá nhân của chủ thể dữ liệu: Quyền truy cập dữ liệu
và quyền chỉnh sửa dữ liệu của cá nhân được quy định ở tất cả các quốc gia
ngoại trừ Nepal. Có chín quốc gia quy định quyền xóa dữ liệu nhưng chỉ có bốn
quốc gia cung cấp quyền di chuyển dữ liệu: Trung Quốc, Philippines, Singapore
và Thái Lan. Khung thời gian để trả lời các yêu cầu đối với các quyền cá nhân của
chủ thể dữ liệu cũng rất khác nhau: bốn quốc gia yêu cầu phản hồi trong vòng 30
ngày; hai quốc gia yêu cầu phản hồi trong vòng 20–21 ngày; hai quốc gia quy
định phản hồi trong vòng 10-15 ngày; và ba quốc gia quy định phản hồi trong
vòng 1-7 ngày. Bảy quốc gia không xác định một khoảng thời gian cụ thể.
Nhân viên cơ quan bảo vệ dữ liệu: Tám quốc gia
yêu cầu thiết lập quy trình bổ nhiệm nhân viên cơ quan bảo vệ dữ liệu: Trung Quốc,
Nhật Bản, Kazakhstan, Hàn Quốc, New Zealand, Philippines, Singapore và Thái Lan
nhằm đảm bảo nguyên tắc hoạt động độc lập, khách quan của cơ quan giám sát, bảo
vệ dữ liệu quốc gia.
Yêu cầu bản địa hóa: Có bốn loại biến thể của việc bản địa hóa dữ liệu: (a) bản địa hóa
có điều kiện đòi hỏi yêu cầu lưu trữ trong những lĩnh vực cụ thể như y tế,
thanh toán trực tuyến.., (b) yêu cầu lưu trữ tại bản địa vô điều kiện (đối với
tất cả dữ liệu cá nhân), (c) yêu cầu sao chép vô điều kiện (đối với tất cả dữ
liệu cá nhân) tại bản địa và (d) cho phép di chuyển và truy cập dữ liệu vô điều
kiện trong khuôn khổ các hiệp định song phương/đa phương.[30]
Theo đó một số quốc gia áp đặt các yêu cầu về bản địa hóa dữ liệu: Luật
quyền riêng tư của Kazakhstan yêu cầu các công ty lưu trữ dữ liệu của họ tại
địa phương vô điều kiện. Luật an ninh mạng của Trung Quốc yêu cầu các nhà khai
thác thông tin phải lưu trữ dữ liệu vô điều kiện ở Trung Quốc cả thông tin cá
nhân và dữ liệu quan trọng được thu thập và sản xuất trong quá trình hoạt động
kinh doanh của họ. Luật an ninh mạng của Việt Nam quy định phải lưu trữ dữ liệu
tại Việt Nam vô điều kiện nếu doanh nghiệp trong nước và ngoài nước cung cấp
dịch vụ trên mạng viễn thông, mạng internet, các dịch vụ gia tăng trên không gian
mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về
thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do
người sử dụng dịch vụ tại Việt Nam tạo ra.
Luật thông tin và giao
dịch điện tử của Indonesia quy định lưu trữ vô điều kiện các dữ liệu trong lĩnh
vực dịch vụ công, trong khi đó Úc quy định lưu trữ vô điều kiện các dữ liệu sức
khỏe cá nhân nhạy cảm trong Đạo luật lưu trữ thông tin sức khỏe.[31]
Đăng ký hoạt động liên quan đến dữ liệu: Trong khi xu hướng
trên thế giới là giảm thiểu các yêu cầu đăng ký, bốn quốc gia trong khu vực yêu
cầu các tổ chức phải đăng ký hoạt động xử lý dữ liệu với cơ quan bảo vệ dữ
liệu: Kazakhstan; Malaysia, Philippine, và Uzbekistan.
Đánh giá tác động đối với việc bảo vệ dữ liệu: Hầu hết các đạo luật trong khu vực không yêu cầu các tổ chức thực
hiện các hoạt động xử lý dữ liệu thực hiện đánh giá tác động bảo vệ dữ liệu,
trừ các quốc gia yêu cầu bắt buộc tổ chức thực hiện: Singapore, Hàn Quốc và
Philippines.
Tăng cường tính cưỡng chế thi hành: Trước các vụ vi phạm
dữ liệu lớn xảy ra trên thế giới và trong khu vực trong vài năm qua, các cơ
quan bảo vệ dữ liệu (DPA) ở Hàn Quốc, Nhật Bản và Úc đã tập trung vào việc tăng
cường các hoạt động bảo mật trong khu vực tư nhân. DPA ở Hàn Quốc, Nhật Bản và
Úc là những tổ chức tích cực nhất trong việc thực hiện các cuộc thanh tra và
truy tố các tổ chức không thực hiện các biện pháp an ninh thích hợp, thường dẫn
đến các khoản phạt và/hoặc đưa ra yêu cầu thực hiện các biện pháp khắc phục, sửa
chữa dữ liệu. Trong khi đó, việc cưỡng chế thi hành pháp luật bảo vệ dữ liệu và
quyền riêng tư ở Trung Quốc, Hồng Kông và Singapore tập trung nhiều hơn vào các
loại vi phạm quyền riêng tư khác.
Tóm lại, những quy định
pháp luật về quyền riêng tư, và quyền bảo vệ dữ liệu của các quốc gia trong
trong khu vực Châu Á – Thái Bình Dương sẽ tiếp tục thay đổi với tốc độ nhanh
trong thời gian tới. Mặc dù pháp luật bảo vệ dữ liệu trong khu vực Châu Á –
Thái Bình Dương có chung các yếu tố cốt lõi được tìm thấy trong hầu hết mọi đạo
luật bảo vệ dữ liệu và quyền riêng tư trên thế giới, nhưng mỗi đạo luật ở các
quốc gia lại có các quy địnhcụ thể của riêng mình, và khác biệt với các quy định
ở các khu vực pháp lý khác.
Do đó, khi xây dựng pháp
luật về bảo vệ dữ liệu, mỗi một quốc giá đều phải xem xét đặc trưng riêng của
quốc gia mình trên phương diện tính khả thi, tính hiệu quả kinh tế, khác biệt
văn hóa, lịch sử, điều kiện kinh tế, khả năng hoàn thiện pháp luật thích ứng
với nền kinh tế số, bên cạnh việc tôn trọng những giá trị cốt lõi và nguyên tắc
pháp lý cơ bản trong việc bảo vệ dữ liệu, quyền riêng tư của cá nhân.
3. Những vấn đề pháp lý đặt ra đối với việc hoàn thiện pháp luật
bảo vệ dữ liệu cá nhân ở Việt Nam
Thứ nhất, Việt Nam cần xác định mô hình tiếp cận đối với việc xây dựng
pháp luật về quyền bảo vệ dữ liệu cá nhân dựa trên việc quan sát quá trình lập
pháp của các quốc gia trên thế giới, các quốc gia trong khu vực, và đánh giá
mức độ đáp ứng của khung pháp luật hiện tại với nhu cầu của xã hội Việt Nam với
các điều kiện kinh tế, văn hóa riêng biệt. Điển hình trên thế giới có hai mô
hình tiếp cận khác biệt rõ nét về quyền bảo vệ dữ liệu cá nhân, nhưng hầu hết
các quốc gia trong khu vực đều lựa chọn cách tiếp cận hỗn hợp, để dễ dàng thúc
đẩy việc công nhận quyền chủ thể dữ liệu trong điều kiện riêng biệt của quốc
gia mình.
Việt Nam phải đối diện
với sự phát triển nhanh chóng của nền kinh tế số với thống trị của các công ty
dữ liệu toàn cầu, trên nền tảng kỹ thuật chưa phát triển cao, trong quá trình
đó, Việt Nam đã ghi nhận việc bảo vệ quyền riêng tư và quyền bảo vệdữ liệu cá
nhân trong Hiến pháp và các văn bản pháp luật chuyên ngành,[32] nhưng các quy định này nằm
rải rác, phân tán với mức độ bảo vệ khác nhau, có sự khác biệt, thiếu nhất
quán. Trước khi ban hành dự luật bảo vệ thông tin cá nhân, Trung Quốc hay những
quốc gia khác cũng quy định phân tán trong các văn bản luật chuyên ngành.[33]
Do đó, việc thống nhất
hóa và hướng đến xây dựng văn bản pháp luật chuyên biệt, và toàn diện về bảo vệ
dữ liệu tại Việt Nam là xu hướng cần được thúc đẩy. Đây là cách tiếp cận phù
hợp với Việt Nam vừa giải quyết kẻ hỡ pháp lý hiện tại, vừa khắc phục việc quy
định rải rác, không đồng nhất như hiện nay.
Việc ban hành một văn
bản Luật điều chỉnh việc bảo vệ dữ liệu cá nhân thay vì dự định ban hành Nghị
định bảo vệ dữ liệu cá nhân là một vấn đề cần xem xét vì mục đích thống nhất
hóa quy định rải rác và khác biệt hiện nay trong các văn bản luật chuyên ngành,
và tạo ra hiệu lực pháp lý ràng buộc cao hơn các quy định trước đó được ban
hành. Mặc dù được ban hành sau, nhưng ở mức độ là văn bản Nghị định, những quy
định có liên quan được ban hành trong các văn bản luật trước đó sẽ vẫn được áp
dụng điều chỉnh. Việc ban hành một đạo luật riêng biệt điều chỉnh là xu hướng
phổ quát của tất cả các quốc gia trong khu vực Châu Á – Thái Bình Dương, và gần
đây nhất là Trung Quốc bên cạnh hai đạo luật là Luật An toàn dữ liệu, và Luật
An ninh mạng.
Những nội dung thuật
ngữ, khái niệm quan trọng cần được thống nhất cụ thể như, khái niệm dữ liệu cá
nhân. Hiện tại, Việt Nam chưa có cách hiểu thống nhất về khái niệm và nội hàm
dữ liệu
cá nhân, bảo vệ dữ liệu cá nhân. Các văn bản quy phạm pháp luật hiện hành đang
sử dụng một số thuật ngữ có liên quan đến dữ liệu cá nhân, và bảo vệ dữ liệu cá
nhân (gần 10 thuật ngữ) như: “thông tin cá nhân”; “thông tin riêng”, “thông tin
riêng tư”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin
bí mật đời tư”; “thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình”
…. với những cách giải thích khái niệm khác nhau.[34] Điều này dẫn đến các cách
hiểu không thống nhất về dữ liệu cá nhân. Dự thảo Nghị định quy định về bảo vệ
dữ liệu cá nhân đã đưa ra khái niệm “Dữ liệu cá nhân là dữ liệu về cá nhân
hoặc liên quan đến việc xác định
hoặc có thể xác định một cá nhân cụ thể”. Về cơ bản khái niệm này đã phản ánh sự tham khảo
quy định chung được thừa nhận phổ quát trên thế giới, tuy nhiên vẫn còn vài điểm
hạn chế như nội hàm “dữ liệu về cá nhân” là gì hay yếu tố “có thể xác định” cần
được làm rõ.
Tham khảo quy định của GDPR, “Dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến một cá
nhân xác định hoặc liên quan đến một cá nhân có thể xác định được”.[35] Thông tin về pháp nhân,
hoặc cơ quan công quyền không phải là dữ liệu cá nhân, không thuộc phạm vi bảo
vệ của pháp luật về dữ liệu cá nhân trong GDPR.Vì thuật ngữ dữ liệu cá nhân bao
gồm “bất kỳ thông tin nào”, nên thuật ngữ này phải được giải thích rộng, không
giới hạn danh sách các yếu tố định danh như tên, số chứng minh nhân dân, thông tin định dang trên
nền tảng số, một hoặc nhiều yếu tố cụ thể về thể chất, sinh lý, di truyền , bản sắc tinh thần, thương mại, văn hóa hoặc xã
hội của cá nhân. Trường hợp thông tin liên quan đến một cá nhân có thể xác định
được là trường hợp cá nhân được nhận dạng trực tiếp hoặc gián tiếp từ một hoặc
nhiều yếu tố định danh.
Xu hướng giải thích rộng
cũng được nêu trong án lệ của Tòa án Công lý Châu Âu, chẳng hạn như bản ghi thời gian làm việc bao
gồm thông tin về thời gian khi một nhân viên bắt đầu và kết thúc ngày làm việc
của mình, thời gian nghỉ hoặc thời gian không làm việc là dữ liệu cá nhân hay
thậm chí các câu trả lời bằng văn bản của một ứng viên trong một bài kiểm tra
và bất kỳ nhận xét nào từ giám khảo về những câu trả lời này cũng là dữ liệu cá
nhân vì về mặt lý thuyết, ứng viên có thể được xác định thông qua các yếu tố
trên.[36]
Trên nền tảng số, yếu tố
định danh cá nhân có thể là địa chỉ IP (internet protocol), tài khoản quảng cáo, thẻ
pixel, dấu vân tay của thiết bị…Trong những trường hợp có các yêu cầu hợp pháp
để buộc nhà cung cấp dịch vụ phải đưa thêm thông tin bổ sung cho phép xác định
người dùng cụ thể đằng sau địa chỉ IP, do đó địa chỉ IP cũng được là dữ liệu cá
nhân, được dùng để giúp xác định cá nhân.
Ngoài ra, phải lưu ý
rằng dữ liệu cá nhân không cần phải là các dữ liệu mang tính khách quan. Thông
tin chủ quan như ý kiến, nhận định hoặc ước tính, đánh giá mức độ tín nhiệm của
một người hoặc đánh giá kết quả công việc của người sử dụng lao động đều là dữ
liệu cá nhân.
Ngoài việc rà soát và
làm rõ các khái niệm quan trọng trong lĩnh vực pháp luật bảo vệ dữ liệu cá nhân,
Việt Nam cần ghi nhận đầy đủ các quyền pháp lý của chủ thể dữ liệu, các nguyên
tắc phổ quát về kiểm soát và xử lý dữ liệu, và quan trọng nhất là xây dựng các
cơ chế hữu hiệu để bảo vệ quyền chủ thể dữ liệu cá nhân, đồng thời xác lập các
ngoại lệ xử lý dữ liệu cá nhân đạt mục đích cân bằng lợi ích cá nhân của chủ
thể dữ liệu, lợi ích hợp pháp của bên xử lý dữ liệu, và lợi ích công cộng, lợi
ích Nhà nước.
Thứ hai, việc xây dựng các quy định pháp luật bảo vệ dữ liệu cá nhân tại
Việt Nam cần đảm bảo sự cân bằng giữa bảo vệ lợi ích cá nhân và lợi ích công cộng,
lợi ích quốc gia.
Trong nhiệm vụ
đấu tranh ngăn ngừa tội phạm và các hành vi xấu trục lợi của các tổ chức, công
ty, cá nhân, quốc gia nào cũng phải giải đáp một bài toán khó là dung hòa sự tôn trọng tự do
cá nhân với sự cần thiết duy trì trật tự xã hội. Nếu quá tôn trọng tự do cá
nhân thì sự bảo vệ xã hội sẽ sơ khoáng, và ngược lại, nếu đề cao quyền lợi xã
hội thì các quyền lợi cá nhân dễ bị hi sinh.
Quyền bảo vệ dữ liệu cá nhân không phải là một
quyền tuyệt đối, mà có các trường hợp hạn chế cho phép kiểm soát và xử lý dữ
liệu cá nhân trên các cơ sở hợp pháp, chính đáng. Trong mối quan hệ tương quan
với các quyền lợi khác, nhiều trường hợp xảy ra xung đột quyền lợi, cụ thể: quyền
bảo vệ dữ liệu cá nhân có thể xung đột với quyền tiếp cận thông tin, quyền bảo
vệ dữ liệu cá nhân có thể xung đột với quyền tự do ngôn luận. Một cách cơ bản,
quyền của một người yêu cầu người khác không sử dụng, và không chia sẻ thông
tin của họ hay bình luận về họ, vô hình chung là hạn chế tự do ngôn luận của
người khác trên các hình thức truyền thông, kể cả mạng xã hội và tác động vào
quyền tự do của báo chí được đăng tải và bình luận về thông tin.
Theo như Dự thảo Nghị định bảo vệ dữ liệu cá
nhân, quyền của chủ thể dữ liệu hiện quy định khá rộng lớn, bao gồm: quyền cho
phép hay không cho phép người khác xử lý dữ liệu (thu thập, lưu trữ, sử dụng dữ
liệu cá nhân); nhận thông báo nếu có người khác xử lý dữ liệu cá nhân của mình
(có thể là chính quyền, doanh nghiệp…); yêu cầu chấm dứt việc xử lý dữ liệu,
khiếu nại về hành vi vi phạm; đòi bồi thường nếu có vi phạm; được bảo vệ khỏi
việc bị tiết lộ dữ liệu cá nhân nhạy cảm hoặc dữ liệu cơ bản nhưng gây tổn hại
cho chủ thể. Cần nhìn nhận quyền của chủ thể dữ liệu là tập hợp rất nhiều nhóm
quyền, và các ngoại lệ sẽ chỉ được phép vượt qua một số nhóm quyền trong số đó
chứ không phải toàn bộ các quyền của chủ thể dữ liệu. Các ngoại lệ pháp lý
(legal exemptions) trong pháp luật bảo vệ dữ liệu cá nhân trên thế giới được
quy định rõ ràng, cụ thể trong một danh sách các trường hợp hạn chế. GDPR có
đặt ra một số ngoại lệ về xử lý thông tin cá nhân cho hoạt động của báo chí, xử
lý và tiết lộ dữ liệu cá nhân theo yêu cầu của nhà nước và cơ quan cảnh sát.
Trên cơ sở này, pháp luật của quốc gia khác trong khu vực cũng tạo ra các khung
pháp lý liên quan để can thiệp vào dữ liệu cá nhân.
Hiện nay, dự thảo Nghị định bảo vệ dữ liệu của Việt Nam có quy
định các trường hợp dữ liệu cá nhân có thể bị tiết lộ tại Điều
6 hay dữ liệu cá nhân có thể bị xử lý mà không cần chủ thể dữ liệu đồng ý tại Điều
10. Có thể nhận thấy có thể thấy là việc hy sinh quyền riêng tư công dân khi so
sánh với lợi ích quốc gia được thể hiện rõ nhất trong các quy định này. Theo đó, dữ liệu cá nhân dù có
nhạy cảm hay không cũng có thể bị tiết lộ, bị công bố, bị thông báo trên truyền
thông, miễn là có quy định của pháp luật; hoặc được cho là cần thiết vì lợi
ích, an ninh quốc gia, trật tự an toàn xã hội; hoặc vì mục đích quốc phòng, an
ninh, đạo đức xã hội; hoặc theo Luật Báo chí…Tương tự, dữ liệu cá nhân sẽ được
xử lý (khai thác, trích xuất, tổng hợp…) dù không cần có sự đồng ý của chủ thể
dữ liệu, vì lợi ích an ninh quốc gia và trật tự xã hội; hoặc trong trường hợp
khẩn cấp hay khi phục vụ điều tra, hay trường hợp khẩn cấp về tự do của chủ
thể; tính mạng, sức khỏe của chủ thể lẫn cộng đồng, hoặc phục vụ điều tra, xử
lý hành vi vi phạm pháp luật, hoặc nghiên cứu khoa học, thống kê (sau khi đã khử
thông tin nhận dạng cá nhân), hoặc theo quy định của pháp luật và các điều ước
quốc tế. Điểm cuối cùng trong quy định “theo quy định của pháp luật”
được xem là lỗ hổng để ngỏ khả năng diễn giải cho các cơ quan ở khu vực công có
khả năng xử lý dữ liệu cá nhân trong tương lai, ảnh hưởng đến tính an toàn của
dữ liệu cá nhân.
Xem xét hướng dẫn thực hiện GDPR và DPA
của Văn phòng Ủy viên Thông tin Vương quốc Anh (Information Commissioner’s
Office – ICO), ICO chỉ ra có bảy trường hợp mà chính quyền lẫn chủ thể kiểm
soát và xử lý thông tin có thể can thiệp dữ liệu cá nhân bao gồm các lĩnh vực:
⁻
Tội phạm, các vấn đề
pháp lý và bảo vệ công cộng (crime, law and public protection),
⁻
Quản lý, thẩm quyền
của nghị viện và cơ quan tư pháp (regulation, parliament and the judiciary),
⁻
Báo chí, nghiên cứu và
lưu trữ thông tin công cộng (journalism, research and archiving),
⁻
Y tế, công tác xã hội,
giáo dục và vấn đề lạm dụng trẻ em (health, social work, education and child
abuse),
⁻
Tài chính và thuế vụ
nói chung (finance, management and negotiations),
⁻
Các tham chiếu, và các
bài thi (references and exams),
⁻
Yêu cầu truy cập thông
tin có liên quan đến các cá nhân khác (subject access requests – information
about other people).
Trong đó, người tiêu dùng, chủ thể dữ liệu hoàn toàn có thể
nắm bắt được các cơ quan chức năng và bên cung cấp dịch vụ sẽ can thiệp trong
những trường hợp nào, can thiệp vào những loại thông tin gì, và quy trình can
thiệp ra sao. Từ đó, họ sẽ có quyết định cung cấp thông tin và xử lý thông tin
phù hợp khi bắt đầu sử dụng một dịch vụ nhất định. Trong trường hợp điều tra
hay truy tố tội phạm, cơ quan nhà nước có quyền yêu cầu nhà cung cấp dịch vụ
cung cấp thông tin cho mình, dựa trên cơ sở rằng quyền tự do cá nhân và quyền
được thông báo về việc tiết lộ thông tin của cá nhân đã không còn hiệu lực. Các
quy định liên quan đến trình tự tư pháp và quyền từ chối cung cấp thông tin của
bên cung cấp dịch vụ, trong trường hợp bên cung cấp dịch vụ cho rằng phía cơ
quan nhà nước không thể cung cấp lý do thuyết phục cho việc trích xuất dữ liệu.
Điều này đồng nghĩa với việc các dịch vụ liên lạc có chức năng chủ động xóa
thông tin định kỳ (như các dòng chat, ảnh chat), hoặc các dữ liệu mà người dùng
đã chủ động xóa bỏ trên hệ thống dữ liệu cloud… không được phép khôi phục, lưu
trữ hay cung cấp cho bên thứ ba dưới bất kỳ hình thức nào.
Nhìn chung, hệ thống pháp luật bảo vệ dữ liệu của nhiều
quốc gia hướng tới xây dựng một danh sách các ngoại lệ mang tính giới hạn, toàn
diện (exhaustive list) thay vì hướng tới mục tiêu quy định mở rộng thẩm quyền
can thiệp tối đa đối với dữ liệu cá nhân. Do đó, trong quá trình hoàn thiện văn
bản pháp luật điều chỉnh lĩnh vực bảo vệ dữ liệu, và tránh khả năng chồng chéo
quy định, xung đột thẩm quyền trong lĩnh vực bảo vệ dữ liệu, Việt Nam cần cân
nhắc điều chỉnh kỹ thuật lập pháp, và cách tiếp cận đối với các trường hợp được
phép xử lý dữ liệu cá nhân hợp pháp, đặc biệt là các tình huống không đòi hỏi
sự đồng ý của cá nhân. Danh sách thẩm quyền có giới hạn dành cho chính quyền
hay tổ chức kiểm soát, xử lý dữ liệu hay việc phân biệt chi tiết các nhóm quyền
cá nhân đều là những kỹ thuật lập pháp có giá trị tham khảo cao cho Việt Nam.
Tuy nhiên, việc quy định cần cân nhắc các yếu tố lợi ích mà Việt Nam hướng đến,
các giá trị bảo vệ được ưu tiên lựa chọn phù hợp với truyền thống văn hóa, quan
niệm về quyền riêng tư, quyền bảo vệ dữ liệu trong cộng đồng.
Thứ ba, để đảm bảo giám sát tuân thủ việc bảo vệ dữ liệu cá nhân từ các
công ty và tổ chức tư nhân, Việt Nam xây dựng các cơ chựng các giám sát tuân
thủ việc bảo vệ dữ liệu cá nhân từ các công ty và tổ chức tư nhânhoàn thiện các
quy định về thành lập một cơ quan giám sát, và bảo vệ dữ liệu cá nhân.
Hiện nay theo Dự thảo, cũng như trong các văn bản cùng lĩnh
vực điều chỉnh về thông tin cá nhân đã ban hành các cơ chế để ngăn ngừa hành vi
vi phạm bao gồm: cơ chế tự bảo vệ của chủ thể dữ liệu, cơ chế yêu cầu chủ thể
xâm phạm bồi thường thiệt hại, cơ chế xử phạt hành chính và cơ chế truy cứu
trách nhiệm hình sự. Tuy nhiên, điểm yếu của Dự thảo chưa giải thích rõ thế nào
là “tiết lộ dữ liệu” và có tiết lộ cho ai ngoài trường hợp tiết lộ cho công
chúng (như quy định trong Điều 6). Và trong trường hợp có những vi phạm, chủ
thể dữ liệu cần thực hiện các bước cụ thể như thế nào để xử lý kịp thời để ngăn
chặn các hành vi xử lý dữ liệu bất hợp pháp. Với tính chất thông tin trên nền
tảng trực tuyến có thể lan truyền với tốc độ nhanh chóng, do đó các thiết chế
can thiệp và ngăn chặn hành vi vi phạm cần được giảm thiểu quy trình thủ tục,
và dễ dàng cho người dùng mạng đưa ra các yêu cầu bảo vệ, hay thông báo sự vi
phạm, khiếu nại sự vi phạm đến cơ quan có thẩm quyền giám sát, xử lý.
Ngoài ra, trong quá
trình thành lập một cơ quan giám sát, và bảo vệ dữ liệu cá nhân, Việt Nam nên
tham khảo các mô hình cơ quan bảo vệ dữ liệu của các quốc gia trên thế giới, đặc
biệt nghiên cứu cách thức nâng cao tính độc lập của cơ quan này, đảm bảo tính
khách quan trong việc xem xét, giải quyết các khiếu nại vi phạm phù hợp quy
định pháp luật.
Đối với mô hình GDPR, các cơ quan giám sát bảo vệ dữ liệu cá nhân cấp quốc gia (“national supervisory authority” hay “data protection authority”
– DPAs) sẽ do nhà nước đó tự chọn mô hình và phương pháp hoạt động để thành lập,
song quốc gia phải tuân thủ các nguyên tắc cơ bản của GDPR. Pháp luật EU cho
phép các cá nhân thực hiện các quyền bảo vệ dữ liệu cụ thể và bắt buộc các tổ
chức (khu vực công hoặc tư nhân) xử lý dữ liệu của họ phải tôn trọng các quyền
này dưới sự giám sát và giải quyết khiếu nại vi phạm của DPA.
Để việc thực thi luật bảo vệ dữ liệu có hiệu quả, các DPA được
trao quyền điều tra, phát hiện và trừng phạt các hành vi vi phạm cũng như có
trách nhiệm nâng cao nhận thức về các quyền và nghĩa vụ bảo vệ dữ liệu. Ở EU,
tính hiệu quả này được củng cố bởi yêu cầu các DPA phải độc lập với bất kỳ ảnh
hưởng chính trị, chính phủ hoặc các bên khác, nghĩa là quyền ra quyết định độc
lập với mọi ảnh hưởng trực tiếp hoặc gián tiếp từ bên ngoài. Yêu cầu tính độc lập
DPA được quy định tại Điều 16.2 của Hiệp ước về hoạt động của EU (TFEU) và Điều
8.3 của Hiến chương về các quyền cơ bản của EU, và Chương VI của GDPR đã đưa ra
các quy định chi tiết về việc thành lập và hoạt động của các cơ quan giám sát độc
lập, bao gồm các quy định về các nguồn lực cần thiết để thực hiện hiệu quả các
nhiệm vụ và quyền hạn của họ. Tòa án Công lý EU luôn nhấn mạnh rằng sự kiểm
soát, giám sát của một cơ quan độc lập là một thành phần thiết yếu đối với quyền
bảo vệ dữ liệu và đã đặt ra các tiêu chí xem xét tính độc lập của DPA.
Mô hình cụ thể tại Anh, Cơ quan giám sát bảo vệ dữ liệu cá nhân của
Anh là văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) là một cơ quan độc lập,
trực thuộc Nghị viện Anh, không có trách nhiệm giải trình hay nhận bổ nhiệm từ
Chính phủ Anh, giảm thiểu tối đa khả năng can thiệp của các cơ quan Chính phủ
vào quyết định của ICO.[37]
Thụy Điển thì thiết lập cơ quan bảo vệ dữ liệu cá nhân là cơ quan
công thuộc Bộ Tư pháp Thụy Điển, tuy nhiên Bộ Tư pháp nước này có chức năng tư
pháp, là cơ quan giám sát hoạt động điều tra của các cảnh sát hay các lực lượng
công có thẩm quyền thực hiện các biện pháp cưỡng chế.[38]
Tại Nhật Bản, Ủy ban Bảo vệ Thông tin Cá nhân (PPC) được công nhận
là nơi xử lý các khiếu nại về việc các nhà điều hành doanh nghiệp xử lý thông
tin cá nhân vi phạm Đạo luật sửa đổi về Bảo vệ Thông tin Cá nhân. PPC của Nhật
Bản bao gồm chủ tịch và tám thành viên Ủy ban, do Thủ tướng Chính phủ bổ nhiệm
với sự đồng ý của Nghị viện Nhật Bản – cơ quan lập pháp lưỡng viện của Nhật Bản.
Nhiệm kỳ của Chủ tịch và các thành viên Ủy ban là 5 năm, Chủ tịch và các thành
viên Ủy ban thực hiện quyền hạn của họ một cách độc lập, và Ủy ban có trách nhiệm
báo báo cho Nghị viện Nhật Bản.
Như vậy, tùy theo mô hình, và cấu trúc quyền lực Nhà nước, mỗi quốc
gia có cách thức xây dựng cơ quan giám sát và bảo vệ dữ liệu cá nhân khác nhau,
nhưng đảm bảo tuân thủ nguyên tắc hoạt động độc lập để việc giải quyết các khiếu
nại, và giám sát tuân thủ khách quan. Tại Việt Nam, cơ quan DPA có thể được thiết
lập thuộc bộ máy Nhà nước, mang quyền lực công để đảm bảo giá trị giải quyết
các khiếu nại, nhưng cần chú trọng việc
bổ nhiệm các thành viên, trao quyền hạn độc lập để họ không bị chi phối trong
việc thực hiện quyền hạn, và hoàn toàn khách quan trong việc đưa ra các quyết định
giải quyết khiếu nại, đảm bảo tính hiệu quả và công bằng giữa các cá nhân và
các tổ chức, công ty xử lý dữ liệu cá nhân ở khu vực tư lẫn việc hướng đến cả
khu vực công trong việc xử lý dữ liệu cá nhân ở Việt Nam trong tương lai.
TÀI LIỆU THAM KHẢO
1.
Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu
2.
Đạo luật bảo
vệ dữ liệu cá nhân (PDPA) của Thái Lan
3.
Đạo
luật bảo vệ thông tin cá nhân
(APPI) của Nhật Bản
4.
Luật bảo vệ thông tin cá nhân (PIPL) của Trung Quốc
5.
Dự thảo Nghị định bảo vệ dữ liệu của Việt Nam
6.
Anirudh Burman, Upasana Sharma (2021),
Research Paper, “How Would Data
Localization Benefit India?”, Carnegie Endowment for International Peace, https://carnegieindia.org/2021/04/14/how-would-data-localization-benefit-india-pub-84291,
truy cập ngày 01/09/2021.
7.
Bạch Thị Nhã Nam (2020), Quyền được
lãng quên từ thực tiễn phán quyết trong phạm vi Liên minh châu Âu, Tạp chí Nghiên cứu lập pháp, Viện nghiên cứu lập pháp, 2020, Số
24(424), tr.38-47.
8. Báo
cáo nghiên cứu của Văn phòng Liên minh châu Âu (2010), “A comparison between US
and EU data protection legislation for law enforcement purposes”, đăng tải tại:
https://op.europa.eu/en/publication-detail/-/publication/bf448177-771e-11e5-86db-01aa75ed71a1,
truy cập ngày 01/09/2021.
9. Morrison
Foerster (2021), “Transformation of the Privacy Landscape in Asia”, https://www.mofo.com/resources/insights/210104-transformation-privacy-landscape-asia.html,
truy cập ngày 01/09/2021.
10.
Robert
E.G. Beens (2020), “The Privacy Mindset Of The EU Vs. The
US”, đăng tải tại: https://www.forbes.com/sites/forbestechcouncil/2020/07/29/the-privacy-mindset-of-the-eu-vs-the-us/?sh=7b0088d67d01,
truy cập ngày 01/09/2021.
11. Varin Khera (2021), “Data
Protection and Cybersecurity Laws In The Asia-Pacific Region”, https://itsec.group/blog-post-cybersecurity-regulations-asia-pacific.html,
truy cập ngày 01/09/2021.
[1] UNCTAD (2020), số liệu công bố bởi
UNCTAD tính đến tháng 04/2020, https://unctad.org/page/data-protection-and-privacy-legislation-worldwide,
truy cập ngày 01/09/2021.
[2] Thông tin công bố trên trang web
chính thức của Cơ quan giám sát bảo vệ dữ liệu EU tại: https://edps.europa.eu/data-protection_en,
truy cập ngày 01/09/2021.
[3] Xem Bạch Thị Nhã
Nam (2020), Quyền được
lãng quên từ thực tiễn phán quyết trong phạm vi Liên minh châu Âu, Tạp chí Nghiên cứu lập pháp, Viện nghiên cứu lập pháp, 2020, Số 24(424), tr.38-47.
[4] Robert E.G. Beens (2020), “The
Privacy Mindset Of The EU Vs. The US”, đăng tải tại: https://www.forbes.com/sites/forbestechcouncil/2020/07/29/the-privacy-mindset-of-the-eu-vs-the-us/?sh=7b0088d67d01,
truy cập ngày 01/09/2021.
[5] UNCTAD (2020), Đã dẫn.
[6] Báo cáo nghiên cứu của Văn phòng
Liên minh châu Âu (2010), “A comparison between US and EU data protection
legislation for law enforcement purposes”, tr.67, đăng tải tại: https://op.europa.eu/en/publication-detail/-/publication/bf448177-771e-11e5-86db-01aa75ed71a1,
truy cập ngày 01/09/2021.
[7] Tra cứu toàn văn GDPR tại:
https://gdpr-info.eu/, truy cập ngày 01/09/2021.
[8] Thông tin sách trắng “Chiến lược Châu Âu về Dữ liệu” tra cứu tại:
https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy,
truy cập ngày 01/09/2021.
[9] Xem xét các tu chính án của Hiến
pháp Hoa Kỳ tại: https://constitutioncenter.org, truy cập ngày 01/09/2021.
[10] https://iclg.com/practice-areas/data-protection-laws-and-regulations/usa.Ví dụ đối với gã mạng xã hội như
Facebook, FTC đã nộp đơn khiếu nại vào năm
2012 chống lại Facebook, bổ sung những vấn đề khiếu nại vào thời gian gần đây
hơn và công khai hơn – theo đó Facebook đã đồng ý giải quyết với số tiền phạt 5
tỷ đô la.
[11] Xem toàn văn đạo luật CCPA tại:
https://oag.ca.gov/privacy/ccpa, truy cập ngày 01/09/2021.
[12] Hiện có 6 tiểu bang Hoa Kỳ đã ban
hành Đạo luật quyền riêng tư dữ liệu bao gồm: California, New York, Maryland,
Masachusetts, Hawaii, North Dakota, trong khi một số tiểu bang khác ban hành Dự
thảo luật và xem xét phê chuẩn.
[13] Statista, thông
tin thống kê truy cập tại: https://www.statista.com/statistics/1023952/global-opinion-concern-internet-privacy-risk-convenience/, theo đó, thống kê mô tả người dân Hoa Kỳ
có suy nghĩ thực dụng rằng dữ liệu cá nhân của họ sẽ được lưu trữ và tiếp tục
khai thác bởi các công ty công nghệ là cái giá tương xứng họ phải trả khi dùng
mạng internet, khi được kết nối với những
nền tảng thông tin lớn nhất toàn cầu, và các tiện ích đề xuất các dịch vụ hay
hàng hóa từ các lưu trữ và thống kê đối với thói quen tiêu dùng của họ.
[14] Báo cáo nghiên cứu của Văn phòng
Liên minh châu Âu (2010), Đã dẫn, tr.59.
[15] Cox Broadcasting Corp. v. Cohn, 420 U.S. 469 (1975), tra cứu phán quyết tóm tắt
tại:
https://www.lexisnexis.com/community/casebrief/p/casebrief-cox-broad-corp-v-cohn,
truy cập ngày 01/09/2021.
[16] UNCTAD (2020), Tlđd.
[17] UNCTAD (2020), Tlđd.
[18] Các
quốc gia bao gồm Úc, Trung Quốc, Hồng Kông, Ấn Độ, Indonesia, Nhật Bản,
Kazakhstan, Kyrgyzstan, Macao, Malaysia, Nepal, New Zealand, Philippines,
Singapore, Hàn Quốc, Đài Loan, Thái Lan, Turkmenistan và Uzbekistan.
[19] Thông tin công bố tại https://www.ppc.go.jp/en/news/archives/2020/20200618/,
truy cập ngày 01/09/2021.
[20] Theo Asia Business Law Journal,
đăng tải tại: https://law.asia/data-privacy-framework-asia/, truy cập ngày
01/06/2021.
[21]Thông tin công bố tại trang web
chính thức của Bộ Tư pháp Úc:
https://www.ag.gov.au/integrity/consultations/review-privacy-act-1988,
truy cập ngày 01/09/2021.
[22] Toàn văn Bộ luật Dân sự Trung Quốc
được ban hành vào 28/05/2020, có hiệu lực vào 01/01/2021, đăng tải tại http://www.npc.gov.cn/englishnpc/c23934/202012/f627aa3a4651475db936899d69419d1e/files/47c16489e186437eab3244495cb47d66.pdf,
truy cập ngày 01/09/2021.
[23] Deloitte (2021), “Data and privacy protection in ASEAN, What
does it mean for businesses in the region?”, đăng tải tại https://www2.deloitte.com/id/en/pages/risk/articles/data-privacy-in-asean.html,
truy cập ngày 01/09/2021.
[24] Toàn văn đạo luật PDPA của Thái
Lan có thể xem tại:
https://www.dataguidance.com/notes/thailand-data-protection-overview, truy cập
ngày 01/09/2021.
[25] Varin Khera (2021), “Data Protection and Cybersecurity Laws In The Asia-Pacific Region”, https://itsec.group/blog-post-cybersecurity-regulations-asia-pacific.html,
truy cập ngày 01/09/2021.
[26] Morrison Foerster (2021),
“Transformation of the Privacy Landscape in Asia”, https://www.mofo.com/resources/insights/210104-transformation-privacy-landscape-asia.html,
truy cập ngày 01/09/2021.
[27]
Thailand PDPA Summary: What Businesses Need to Know, https://secureprivacy.ai/blog/thailand-pdpa-summary-what-businesses-need-to-know,
truy cập ngày 01/09/2021.
[28] Xem Phần 7 và phần 8 Đạo luật PDPA
của Thái Lan,
https://www.dataguidance.com/notes/thailand-data-protection-overview, truy cập
ngày 01/09/2021.
[29] Xem phần 14 của Đạo luật APPI của
Nhật Bản, đăng tải tại:
https://www.dataguidance.com/notes/japan-data-protection-overview, truy cập
ngày 01/09/2021.
[30]
Anirudh Burman, Upasana Sharma (2021), Research Paper, “How Would Data Localization Benefit India?”, Carnegie Endowment for
International Peace, https://carnegieindia.org/2021/04/14/how-would-data-localization-benefit-india-pub-84291,
truy cập ngày 01/09/2021.
[31] Anirudh Burman, Upasana Sharma
(2021), Tlđd.
[32] Luật Giao dịch điện tử số 51/2005/QH11 (ngày 29/11/2005),
Luật Điện ảnh số 62/2006/QH11 (ngày 29/6/2006), Luật Công nghệ thông tin số
67/2006 /QH11 (tháng 6/ 29 năm 2006), Luật Công nghệ thông tin số 67/2006 /
QH11 (tháng 6/ 29 năm 2006), Luật Viễn thông số 41/2009/QH12 (ngày 23 tháng 11
năm 2009), Luật các tổ chức tín dụng số 47/2010 /QH12 (ngày 16 tháng 6 năm
2010), Luật Bưu chính số 49/2010/QH12 (ngày 17 tháng 6 năm 2010), Luật Bảo vệ
quyền lợi người tiêu dùng số 59/2010/QH1 (Ngày 17 tháng 11 năm 2010), Luật Xuất
bản số 19/2012/QH13 (ngày 20 tháng 11 năm 2012), Luật Báo chí số 103/2016 /QH13
(ngày 5 tháng 4 năm 2016)...
[33] Trước khi có Dự
luật bảo vệ thông tin cá nhân, những văn bản pháp luật quy định bảo vệ quyền
riêng tư, quyền bảo vệ dữ liệu bao gồm: Quyết định của Ủy ban Thường vụ Quốc hội
Trung Quốc về việc tăng cường công tác bảo vệ thông tin mạng; Luật An ninh mạng;
và Luật Bảo vệ Quyền và Lợi ích của Người tiêu dùng.
trong khuôn khổ Chương trình hoạt động năm
2020 của Dự án “Tăng cường pháp luật và tư pháp tại Việt Nam” (EU
JULE), do Bộ Công an phối hợp Chương trình phát triển Liên hợp quốc tổ chức tại
Hà Nội ngày 09/1/2020.
[35] Thuật ngữ dữ liệu cá nhân được định
nghĩa tại Điều 4 (1), GDPR. Nguyên
văn: “Personal data are any information which are related to an identified or
identifiable natural person.”
[36] Xem giải thích Điều 4 (1), GDPR tại https://gdpr-info.eu/issues/personal-data/,
truy cập ngày truy cập ngày 01/09/2021.
[37] Thông tin công bố trên trang web
chính thức của ICO: https://ico.org.uk/,
truy cập ngày 01/09/2021.
[38] Thông tin công bố tại: https://www.government.se/government-agencies/the-swedish-data-protection-authority/,
truy cập ngày 01/09/2021.
Nhận xét
Đăng nhận xét