KHÁI NIỆM DỮ LIỆU CÁ NHÂN VÀ GÓC NHÌN TỪ GDPR
KHÁI NIỆM DỮ LIỆU CÁ NHÂN VÀ GÓC NHÌN TỪ GDPR
(PERSONAL DATA CONCEPT AND PERSPECTIVE FROM GDPR)
(Nguồn tin: Bài viết được đăng tải trên Ấn phẩm Tạp chí Nghiên cứu Lập pháp số 05 (453), tháng 03/2022.
http://lapphap.vn/Pages/TinTuc/211048/Hoan-thien-phap-luat-ve-bao-ve-du-lieu-ca-nhan.html
(Tạp chí Nhà nước & PL: Xây dựng khái niệm dữ liệu cá nhân trong pháp luật Việt Nam tham chiếu kinh nghiệm của Liên minh châu Âu, số 6(410)2022)
Bạch Thị Nhã Nam, Giảng viên Trường Đại học Kinh tế - Luật, ĐHQG TP. Hồ
Chí Minh;
NCS tại Đại học Griffith, Úc.
Email:
nambtn@uel.edu.vn
Tóm tắt: Trước tác động của cách mạng công nghệ 4.0, dữ liệu cá nhân ngày
càng trở nên quý giá và các nguy cơ xâm phạm quyền cá nhân đối với dữ liệu đã vượt
qua năng lực bảo vệ của các cơ chế pháp lý truyền thống. Tại Việt Nam, trước
những hạn chế của nhiều quy định rải rác về dữ liệu cá nhân trong các văn bản
pháp luật khác nhau, ngày 09/02/2021, dự thảo Nghị định quy định về bảo vệ dữ
liệu cá nhân do Bộ Công an chủ trì soạn thảo đã được công bố và đang tiến hành
lấy ý kiến từ công chúng. Dự thảo này đã lần
đầu tiên đề cập đến khái niệm “dữ liệu cá nhân”. Bài viết này đánh giá thực
trạng các khái niệm về thông tin cá nhân, dữ liệu cá nhân hiện có trong các văn
bản quy phạm pháp luật Việt Nam, và phân tích các yếu tố cần xem xét khi xây dựng
khái niệm về “dữ liệu cá nhân” cả trong môi trường kỹ thuật số và môi trường lưu
trữ dữ liệu truyền thống. Bài viết phân tích quy định của Liên minh châu Âu
trong Quy định chung về bảo vệ dữ liệu cá nhân (GDPR) để đề xuất các nội dung
tham khảo có giá trị cho Việt Nam.
Từ khóa: dữ liệu cá nhân, thông tin cá nhân, GDPR…
Abstract:
Under the impact of the 4.0 technology revolution, personal data is
becoming more and more precious, and the risks of infringing on personal rights
to data have surpassed the protection capacity of traditional legal mechanisms.
In Vietnam, there existed many defects among Oregulations on personal data in
different legal documents. On February 9, 2021, the draft Decree regulating
personal data protection issued by the Ministry of Public Security has been published
and collected comments from the public. This draft refers to the concept of
“personal data” for the first time. This article evaluates the current status
of the concepts of personal information and personal data in Vietnamese legal
documents, and analyzes factors to consider when developing the concept of “personal
data” both in the digital environment and the traditional data storage
environment. The article analyzes the European Union's regulation in the
General Regulation on Personal Data Protection (GDPR) to propose valuable
references for Vietnam.
Keywords: personal data, personal information, GDPR…
1. Thực trạng quy định về khái niệm dữ liệu cá nhân trong pháp luật
Việt Nam
Hiện
nay trong hệ thống văn bản pháp luật Việt Nam, khoảng gần 70 văn bản quy phạm
pháp luật Việt Nam bao gồm cả Hiến pháp 2013, Bộ luật Dân sự 2015 đã tạo ra nền
tảng cần thiết để bảo vệ quyền riêng tư và các quyền đối với dữ liệu của cá
nhân.
Quyền riêng
tư và quyền bảo vệ dữ liệu cá nhân mặc dù có mối liên hệ mật thiết với nhau,
nhưng đây là hai quyền riêng biệt. Khái niệm quyền bảo vệ dữ liệu bắt nguồn từ
quyền riêng tư và cả hai đều là công cụ để bảo tồn và thúc đẩy các giá trị và
quyền cơ bản của con người, là cơ sở để thực hiện các quyền tự do khác chẳng hạn
như quyền tự do ngôn luận, quyền tiếp cận thông tin, quyền hội họp của công dân.
Vì đời sống riêng tư của cá
nhân được đặt ở vị trí ưu tiên và cần được bảo vệ để đảm bảo cá nhân có quyền
toàn vẹn đối với đời sống chính mình,[1] do đó, trong khuôn khổ pháp luật của Liên minh châu Âu (EU), và
nhiều quốc gia, bảo vệ dữ liệu được xem là một quyền cơ bản của con người.
Về
cơ bản, các quy định của pháp luật Việt Nam về quyền bảo vệ dữ liệu cá nhân được
tiếp cận và phát triển từ quyền riêng tư – với tư cách là quyền cơ bản của con
người. Đây cũng là cách tiếp cận đã được pháp luật nhiều nước trên thế giới
công nhận và có cơ chế bảo vệ trước sự xâm phạm từ phía nhà nước cũng như từ
các chủ thể khác. Hiến pháp 2013, văn bản có giá trị pháp lý cao nhất đã ghi nhận
quyền riêng tư, cụ thể là quyền về đời sống riêng tư, bí mật cá nhân, bí mật
gia đình[2]. Tiếp theo đó, cùng cách tiếp cận dưới góc độ quyền
con người, lĩnh vực pháp luật dân sự ghi nhận quyền về đời sống riêng tư, bí mật
cá nhân, bí mật gia đình như một loại quyền nhân thân.[3] Pháp luật hành chính và pháp luật hình sự tiếp cận việc
bảo vệ dữ liệu cá nhân dưới góc độ bảo vệ quyền con người thông qua việc quy định
các chế tài hành chính, chế tài hình sự đối với các hành vi xâm phạm dữ liệu cá
nhân.[4]
Ngoài
ra, trong một số lĩnh vực cụ thể mà có khả năng tiềm ẩn nguy cơ xâm phạm dữ liệu
cá nhân, các văn bản pháp luật cũng thường có những quy định cụ thể để phòng ngừa
và bảo vệ dữ liệu cá nhân như một trong những phương thức bảo vệ quyền riêng tư. Chẳng hạn: Luật công nghệ
thông tin năm 2006 ghi nhận bảo đảm bí mật thông tin cá nhân, Luật an toàn
thông tin mạng năm 2015 quy định nguyên tắc bảo vệ thông tin cá nhân trên mạng,
Luật An ninh mạng năm 2018 quy định hành vi xâm phạm bí mật cá nhân, bí mật gia
đình và đời sống riêng tư trên không gian mạng; Luật báo chí năm 2016 quy định nghiêm cấm hành
vi “tiết lộ thông tin thuộc danh Mục bí mật nhà nước, bí mật đời tư của cá nhân
và bí mật khác theo quy định của pháp luật” (khoản 5 Điều 9)…
Tuy
nhiên, Việt Nam chưa có cách hiểu thống nhất về khái niệm và nội hàm dữ liệu
cá nhân, bảo vệ dữ liệu cá nhân. Các văn bản quy phạm pháp luật hiện hành đang
sử dụng một số thuật ngữ có liên quan đến dữ liệu cá nhân, và bảo vệ dữ liệu cá
nhân (gần 10 thuật ngữ) như: “thông tin cá nhân”; “thông tin riêng”, “thông tin
riêng tư”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin
bí mật đời tư”; “thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia
đình” …. với những cách giải thích khái niệm khác nhau.[5] Điều này dẫn đến các
cách hiểu không thống nhất, thậm chí có sự chồng chéo về khái niệm.
Ví dụ về
sự không thống nhất trong
quy định về khái niệm “thông tin cá
nhân” trong Luật An toàn thông
tin mạng năm 2015 và một số văn bản dưới luật (chẳng hạn, Nghị định số
64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Nghị định số 52/2013/NĐ-CP về thương mại điện tử). Cụ thể:
-
Khoản 15 Điều 3 Luật An toàn
thông tin mạng năm 2015: Thông tin cá nhân là thông tin gắn với việc xác định
danh tính của một người cụ thể.
-
Khoản 5 Điều 3 Nghị định số
64/2007/NĐ-CP: Thông tin cá nhân là thông tin đủ để xác định chính xác danh
tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề
nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng
minh nhân dân, số hộ chiếu.
-
Khoản 13 Điều 3 Nghị định số
52/2013/NĐ-CP: Thông tin cá nhân là các thông tin góp phần định danh một cá
nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin
y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những
thông tin khác mà cá nhân mong muốn giữ bí mật. Thông tin cá nhân trong Nghị
định này không bao gồm thông tin liên hệ công việc và những thông tin mà cá
nhân đã tự công bố trên các phương tiện truyền thông
Sự đa dạng
quy định như trên dẫn đến nhiều cách hiểu chưa đồng nhất, vậy thông tin cá nhân
là các thông tin gắn liền việc xác định danh tính, hay phải đủ để để xác định chính xác danh tính một cá
nhân hay chỉ nhằm góp phần định danh một cá nhân cụ thể?
Thậm chí
các quy định khác biệt còn dẫn đến sự mâu thuẫn lẫn nhau, ví dụ như Nghị định số 52/2013/NĐ-CP quy định về việc phát triển, ứng dụng và quản lý hoạt động thương mại
điện tử quy định tại
Khoản 13, Điều 3 rằng thông tin liên hệ công việc và những thông tin mà cá nhân
đã tự công bố trên các phương tiện truyền
thông không được coi là thông tin cá nhân; trong khi đó Nghị định số
72/2013/NĐ-CP quy định chi tiết về việc quản lý, cung cấp, sử dụng dịch vụ
Internet, thông tin trên mạng, trò chơi điện tử trên mạng; bảo đảm an toàn
thông tin và an ninh thông tin quy định rằng mọi thông tin cá nhân không phân
biệt đã công khai hay giữ bí mật đều
được coi là thông tin cá nhân.
Mới đây nhất, Dự thảo Nghị định về bảo vệ dữ liệu cá
nhân cũng đưa ra khái niệm: “Dữ liệu cá nhân là dữ liệu về cá nhân hoặc liên
quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể.” Như vậy, xu hướng
của Dự thảo áp dụng mở rộng các mức độ xác định danh tính cá nhân, có thể xác định
chính xác một cá nhân cụ thể hoặc chỉ góp phần xác định danh tính cá nhân.
Ngoài
khái niệm thông tin cá nhân được quy định chưa rõ ràng, các hành vi tác động đến
thông tin cá nhân - “xử lý thông tin cá nhân” cũng được quy định rất khác nhau. Chẳng hạn,
thuật ngữ “xử lý thông tin cá nhân” trong Luật An toàn thông tin mạng năm 2015
đã bao hàm cả nghĩa “thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ,
phát tán thông tin cá nhân”[6], tức là có
nghĩa rộng hơn so với thuật ngữ “xử lý thông tin cá nhân” trong Luật Công nghệ
thông tin năm 2006 không bao hàm nghĩa “thu thập, sử dụng thông tin cá nhân”[7].
Như vậy, nhìn chung thực trạng quy định
về khái niệm dữ liệu cá nhân trong pháp luật Việt Nam còn chưa được thống nhất
giữa các văn bản luật chuyên ngành khác nhau, giữa văn bản luật và văn bản dưới
luật, chưa làm rõ các yếu tố cơ bản để xác định thông tin hay dữ liệu đó có phải
là dữ liệu cá nhân, chưa thống nhất được thuật ngữ thông tin cá nhân hay dữ liệu
cá nhân.
Tiếp theo đó,
pháp luật hiện hành còn thiếu quy định về bảo vệ dữ liệu cá nhân nhạy cảm. Ví dụ, dữ liệu cá nhân về các dữ liệu sinh trắc học, nguồn gốc chủng
tộc hay dân tộc, quan điểm chính trị, triết lý hay tôn giáo hoặc các tổ chức xã
hội mà các cá nhân tham gia, hay những thông tin liên quan đến sức khỏe, đời sống
tình dục. Pháp luật hiện hành liên quan đến dữ liệu cá nhân chưa bắt kịp được với
thực tiễn sử dụng các dữ liệu cá nhân như dữ liệu về hình ảnh cá nhân (công nghệ
nhận diện khuôn mặt), các dữ liệu sinh trắc học (dấu vân tay, nốt ruồi…) Chính
vì vậy, liệu có cần phân loại các loại dữ
liệu cá nhân khác nhau hay không, để từ đó quy định các biện pháp bảo vệ dữ liệu
cá nhân ở các mức độ khác biệt, cụ thể việc thu thập và sử dụng dữ liệu nhạy cảm
của cá nhân như dữ liệu sinh trắc học nên được thiết lập quy trình chặt chẽ hơn
so với thông tin về số điện thoại hoặc tên, tuổi của cá nhân?[8]
Đây là những
vấn đề còn bất cập trong pháp luật hiện hành của Việt Nam, cần phải được xây dựng
và khắc phục để đảm bảo việc bảo vệ quyền của chủ thể dữ liệu cá nhân cũng như
lợi ích hợp pháp của các chủ thể khác trong việc xử lý dữ liệu cá nhân.
2. Tham
khảo khái niệm dữ liệu cá nhân trong GDPR của Liên minh châu Âu
Đạo luật bảo vệ dữ liệu được xem là tiêu biểu và hoàn thiện nhất
hiện nay là Quy định chung về bảo vệ dữ liệu (GDPR) của Liên
minh châu Âu (EU), có hiệu lực vào tháng 05/2018. [9]
GDPR là một bộ quy tắc mới được xây dựng nhằm cung cấp cho công dân EU
quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân của họ trong bối cảnh bùng nổ
của mạng Internet và các thiết bị thông minh trên quy mô lớn dựa trên nền tảng
Chỉ thị về bảo vệ dữ liệu châu Âu (95/46/EC) được ban hành trước đó vào năm
1995.
Theo các điều khoản của GDPR, không chỉ các tổ chức phải đảm bảo dữ
liệu cá nhân được thu thập hợp pháp và trong các điều kiện nghiêm ngặt, mà tất
cả những bên thu thập và quản lý dữ liệu có nghĩa vụ bảo vệ dữ liệu khỏi việc bị
lạm dụng và khai thác, cũng như tôn trọng quyền của chủ thể dữ liệu cá nhân.[10] Quyền của
chủ thể dữ liệu cá nhân bao gồm i) Quyền
được sở hữu những thông tin cá nhân, bao gồm khả năng yêu cầu chủ thể nắm giữ
chỉnh sửa nhằm bảo đảm tính toàn vẹn, chính xác của thông tin cá nhân của mình;
ii) Quyền cho phép bên thứ ba tiếp cận thông tin cá nhân của mình; iii) Quyền
yêu cầu các chủ thể có liên quan phải bảo đảm tính bí mật của thông tin, ví dụ
như vô danh hóa thông tin cá nhân,…; iv) Quyền yêu cầu chủ thể nắm giữ bồi thường
khi có hành vi xâm phạm thông tin trái pháp luật, gây thiệt hại cho cá nhân.[11]
Tham khảo quy định của GDPR, “Dữ liệu cá nhân là bất kỳ
thông tin nào liên quan đến một cá nhân xác định hoặc liên quan đến
một cá nhân có thể xác định được”.[12]
Theo đó, dữ liệu cá nhân là bất kỳ thông tin nào có liên quan đến một cá nhân cụ
thể hoặc giúp nhận dạng một cá nhân cụ thể. Việc nhận dạng cá nhân được hiểu là
một cá nhân có thể nhận dạng nếu chúng ta có thể phân biệt cá nhân đó với các
thành viên khác của cộng đồng người.
Thông tin về pháp nhân, hoặc cơ quan công quyền không phải là dữ liệu
cá nhân, không thuộc phạm vi bảo vệ của pháp luật về dữ liệu cá nhân trong
GDPR.
Xác định các thông tin định danh cá nhân
Vì thuật
ngữ dữ liệu cá nhân bao gồm “bất kỳ thông tin nào”, nên thuật ngữ này phải được
giải thích rộng, bao gồm nhưng không giới hạn các yếu tố định danh như tên, số
chứng minh nhân dân, thông tin định dang trên nền tảng số, một hoặc nhiều yếu tố
cụ thể về thể chất, sinh lý, di truyền, bản sắc tinh thần, thương mại, văn hóa
hoặc xã hội của cá nhân.
Đối với
trường hợp thông tin liên quan đến một cá nhân “có thể xác định được” là trường hợp cá nhân được nhận dạng trực tiếp hoặc gián tiếp từ một
hoặc nhiều yếu tố định danh. Do đó, bất kỳ thông tin nào có thể gián tiếp xác định
một cá nhân cụ thể đều được xem là dữ liệu cá nhân theo GDPR. Những thông tin định
danh gián tiếp cá nhân có thể là số đăng ký ô tô, số thẻ bảo hiểm y tế, số hộ
chiếu; hoặc sự kết hợp các thông tin với nhau như: tuổi, nghề nghiệp, nơi cư
trú…Điểm mấu chốt của khả năng nhận dạng gián tiếp là khi các thông tin được kết
hợp với thông tin khác thì giúp phân biệt và cho phép xác định một cá nhân cụ
thể. Do đó, những thông tin rời rạc cũng được coi là dữ liệu cá nhân bởi vì khi
các thông tin này được tổng hợp, kết hợp với nhau có thể dẫn đến việc xác định
một con người cụ thể.
Xem xét
ví dụ sau: Tên là phương tiện phổ biến nhất để xác định một người nào đó, tuy nhiên bản thân yếu tố tên gọi “Nguyễn Văn
A” rất khó để xác định cá nhân cụ thể vì có nhiều cá nhân mang tên Nguyễn Văn
A. Tuy nhiên, việc kết hợp các yếu tố tên và các yếu tố định danh khác, chẳng hạn
như địa chỉ nhà, địa chỉ cơ quan hoặc số điện thoại, đủ để xác định rõ ràng một
cá nhân.
Xem xét
tình huống tiếp theo: Một cá nhân nộp đơn xin việc tại công ty A, bộ phận nhân
sự công ty A khi nhận đơn sẽ xóa trang đầu tiên chứa tên, chi tiết liên hệ,
v.v. của cá nhân và lưu phần còn lại của biểu mẫu trong 'Thư mục 1'. Đơn xin việc
được lưu với một số đơn xin việc khác được tạo ngẫu nhiên và được gửi đến bộ phận
Quản lý tuyển dụng. Trong 'Thư mục 2' hạn chế truy cập, bộ phận nhân sự chỉ lưu
trang đầu tiên của đơn Đơn xin việc bằng ký hiệu số. Thông tin trong Thư mục 1 không cho phép nhận
dạng bất kỳ cá nhân nào, tuy nhiên, khi những thông tin này kết hợp với thông
tin trong Thư mục 2, danh tính người nộp đơn có thể được xác định, do đó bất kỳ
thông tin nào trong Thư mục 1 hay Thư mục 2 trong tình huống trên đều được xem
là dữ liệu cá nhân. [13]
Xác định ý nghĩa của cụm từ “liên quan đến”
Có nhiều
ví dụ về dữ liệu rõ ràng liên quan đến một cá nhân cụ thể, ví dụ như tiền sử bệnh
án; hồ sơ tội phạm; hồ sơ về hiệu suất của một cá nhân tại nơi làm việc; hoặc kỷ
lục về thành tích thể thao của một cá nhân, sao kê ngân hàng cá nhân, hóa đơn điện
thoại… Tuy nhiên, nhiều trường hợp dữ liệu không phải là dữ liệu cá nhân nhưng sẽ
trở thành dữ liệu cá nhân nếu dữ liệu đó được liên kết với một chủ thể khác để
cung cấp thêm thông tin nhằm xác định cụ thể danh tính cá nhân.
Yếu tố
'liên quan đến' một cá nhân được hiểu là dữ liệu được xử lý để liên kết với một
cá nhân cụ thể, và quá trình xử lý dữ liệu đó đưa ra các quyết định ảnh hưởng đến
cá nhân cụ thể.
Xem xét
ví dụ sau: dữ liệu phí điện thoại hoặc phí điện chiếu sáng tiêu dùng trong
tháng tại một địa chỉ nhà không phải là dữ liệu cá nhân. Tuy nhiên, những thông
tin về một ngôi nhà thường được liên kết với chủ sở hữu hoặc người thường trú
trong ngôi nhà. Ngay khi dữ liệu chi phí tiền điện tại một ngôi nhà được liên kết
với một cá nhân cụ thể như chủ hộ của căn nhà chẳng hạn để xác định chi phí điện
mà chủ hộ phải trả, thì dữ liệu chi phí tiền điện sẽ là dữ liệu cá nhân. Như vậy
tại thời điểm dữ liệu được sử dụng để liên kết đến một cá nhân cụ thể, dữ liệu
sẽ được xem là dữ liệu “liên quan đến” cá nhân, và là dữ liệu cá nhân.
Mục đích
việc xử lý dữ liệu có ảnh hưởng quan trọng khiến dữ liệu đang được xử lý có thể
trở thành dữ liệu cá nhân. Nếu việc xử lý dữ liệu ảnh hưởng đến trạng thái hoặc
hành vi của một cá nhân, thì đó là dữ liệu cá nhân, mặc dù nội dung của dữ liệu
không liên quan trực tiếp về cá nhân đó.
Xem xét
ví dụ sau: Một công ty sử dụng nhật ký cuộc gọi từ điện thoại bàn để giúp xác định
thời điểm người ngồi ở bàn làm việc đó ở trong văn phòng. Nhật ký cuộc gọi từ điện
thoại bàn không nhất thiết phải là thông tin liên quan đến một cá nhân, tuy
nhiên, những thông tin này khi được liên kết với cá nhân A được phân làm việc tại
khu vực điện thoại bàn đó và được sử dụng để đánh giá hiệu suất công việc của
cá nhân A. Như vậy, nhật ký cuộc gọi từ
điện thoại bàn đó là thông tin liên quan đến một cá nhân có thể nhận dạng được,
nên dữ liệu nhật ký cuộc gọi từ điện thoại bàn là dữ liệu cá nhân.
Xem xét
ví dụ tiếp theo: Các email do luật sư viết cho khách hàng để tư vấn pháp lý cho
khách hàng đều chứa thông tin về tên luật sư và nơi làm việc của luật sư, đây sẽ
là dữ liệu cá nhân của luật sư. Tuy nhiên, nội dung của các email không phải về
vấn đề cá nhân của luật sư mà là các tư vấn pháp lỳ đối với vấn đề của khách
hàng, do đó nội dung của email không phải là dữ liệu cá nhân của luật sư. Nếu
sau đó, khách hàng đưa ra khởi kiện về dịch vụ tư vấn pháp lý của luật sư, và
các email được sử dụng để làm chứng cứ cho vụ khởi kiện, khi đó các lời khuyên
pháp lý trong email sẽ sẽ trở thành dữ liệu cá nhân của luật sư.
Xác định các thông tin định danh cá nhân trong
môi trường trường kỹ thuật số
Thông
tin có thể được xử lý như lưu trữ, tiết lộ, truyền tải trong môi trường vật chất truyền thống hoặc
môi trường kỹ thuật số. Trong môi trường vật chất truyền thống, thông tin chỉ
có thể tiếp cận bởi một số lượng người nhất định, ở một nơi xác định, và thông
tin có thể bị xóa bỏ khi vật chất chứa thông tin bị tiêu hủy như giấy in, đĩa
CD… Tuy nhiên, trên môi trường kỹ thuật số, vật chất lưu trữ thông tin đa dạng
hơn (file ghi âm điện tử, trang web, nền tảng xã hội số…), đồng thời việc kiểm
soát thông tin trở nên khó khăn hơn đối với chủ thể dữ liệu cá nhân, chủ thể xử
lý dữ liệu, và chủ thể được nhắc đến trong thông tin. Nếu muốn yêu cầu xóa bỏ
thông tin tồn tại trên mạng Internet, đòi hỏi việc áp dụng các biện pháp kỹ thuật
nhất định để kiểm soát sự tiếp tục xuất hiện của các thông tin đó.
Trong
môi trường kỹ thuật số, yếu tố định danh cá nhân có thể là tên người dùng trên
mạng xã hội, địa chỉ IP (internet protocol), nhận dạng cookie, và các định danh khác như thẻ nhận
dạng tần số vô tuyến (RFID), tài khoản
quảng cáo, thẻ pixel, dấu vân tay của thiết bị…
Đối với tên người dùng
trên mạng xã hội của một cá nhân, thông tin này có vẻ ẩn danh hoặc đôi khi vô
nghĩa, tuy nhiên đây là các dữ liệu cá nhân để xác định danh tính. Bởi vì tên
người dùng giúp phân biệt cá nhân này với cá nhân khác bất kể có thể liên kết
danh tính trên nền tảng trực tuyến với một cá nhân có tên trong ‘thế giới thực’
hay không. Hay xét ví dụ đối với địa chỉ IP, trong
những trường hợp có các yêu cầu hợp pháp để buộc nhà cung cấp dịch vụ phải đưa
thêm thông tin bổ sung cho phép xác định người dùng cụ thể đằng sau địa chỉ IP,
do đó địa chỉ IP là dữ liệu cá nhân được dùng để giúp xác định danh tính cá
nhân.
Khi người
dùng sử dụng cookie hoặc các công nghệ tương tự để theo dõi hành vi của một cá
nhân trên các trang web, nhận
dạng cookie là dữ liệu cá nhân vì lịch sử hoạt
động trên các trang web liên quan đến nhận dạng người dùng trực tuyến, hoặc được
sử dụng để tạo hồ sơ của một người dùng trực tuyến riêng biệt.
Phân loại dữ liệu cơ bản
và dữ liệu nhạy cảm
GDPR phân biệt rõ ràng
giữa dữ liệu cá nhân nhạy cảm và không nhạy cảm.
GDPR thiết lập sự phân
biệt rõ ràng giữa dữ liệu cá nhân nhạy cảm và dữ liệu cá nhân không nhạy cảm.
Ví dụ về dữ liệu không nhạy cảm sẽ bao gồm giới tính, ngày sinh, nơi sinh…của
cá nhân. Mặc dù loại dữ liệu này không nhạy cảm nhưng nó có thể được kết hợp
với các dữ liệu khác để có thể xác định một cá nhân cụ thể.
GDPR thiết lập các danh
mục dữ liệu nhạy cảm vì dữ liệu nhạy cảm của cá nhân cần được bảo vệ nhiều hơn
so với dữ liệu không nhạy cảm. Điều 9 của GDPR thiết lập các danh mục dữ liệu
nhạy cảm, ví dụ gồm: nguồn gốc chủng tộc
hoặc dân tộc, quan điểm chính trị, tín ngưỡng, tôn giáo, dữ liệu di truyền hoặc
sinh trắc học, sức khỏe tâm thần hoặc sức khỏe tình dục, khuynh hướng tình dục,
thành viên công đoàn và GDPR đặt ra quy định nghiêm ngặt khi xử lý dữ liệu
cá nhân nhạy cảm so với dữ liệu phi nhạy cảm. Cụ thể, việc xử lý dữ liệu cá
nhân nhạy cảm phải có sự đồng ý rõ ràng của chủ thể dữ liệu (hoặc chủ thể đã
công khai dữ liệu cá nhân nhạy cảm); trong trường hợp không có sự đồng ý của
chủ thể dữ liệu, các dữ liệu nhạy cảm chỉ có thể được xử lý khi có các căn cứ
hợp pháp theo luật định.[14]
Ngoài ra, phải lưu ý
rằng dữ liệu cá nhân không cần phải là các dữ liệu mang tính khách quan. Thông
tin chủ quan như ý kiến, nhận định hoặc đánh giá mức độ tín nhiệm của một người
hoặc đánh giá kết quả công việc của người sử dụng lao động đều là dữ liệu cá
nhân. Và các dữ liệu cá nhân phản ánh quan điểm chính trị, tín ngưỡng, tôn giáo
của cá nhân đều được xem là dữ liệu nhạy cảm của cá nhân.
Nguyên tắc xem xét thông tin nghi ngờ
là dữ liệu cá nhân
Bởi vì
cách giải thích rộng liên quan đến “bất kỳ thông tin cá nhân nào” nên GDPR khuyến
cáo các bên xử lý dữ liệu nên xem bất kỳ thông tin nào nghi ngờ là dữ liệu cá
nhân là các dữ liệu cá nhân. Bởi vì bất kỳ thông tin nào về cá nhân có thể giúp
suy luận điều gì đó về một cá nhân cụ thể nếu nó được công khai và kết hợp với
các thông tin do các chủ thể khác hay tổ chức khác nắm giữ. Do đó các thông tin
bất kỳ này có thể là dữ liệu cá nhân. GDPR khuyến cáo khi bên xử lý dữ liệu có
nghi ngờ về việc xác định thông tin đang được xử lý có phải là dữ liệu cá nhân,
bên xử lý dữ liệu cá nhân phải bảo mật thông tin; bảo vệ thông tin khỏi việc bị
tiết lộ không phù hợp; và đảm bảo có lý do hợp pháp trong quá trình xử lý; và
thông báo việc đang xử lý dữ liệu cá nhân.
3.
Khuyến nghị hoàn thiện khái niệm về dữ liệu cá nhân trong pháp luật Việt Nam
Dự thảo
Nghị định quy định về bảo vệ dữ liệu cá nhân đã đưa ra khái niệm “Dữ liệu cá nhân là dữ liệu
về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá
nhân cụ thể”. Về cơ bản khái niệm này đã
phản ánh sự tham khảo quy định chung được thừa nhận phổ quát trên thế giới, tuy
nhiên vẫn còn vài điểm hạn chế như nội hàm “dữ liệu về cá nhân” là gì hay yếu tố
“có thể xác định” cần được làm rõ. Dựa trên việc tham khảo quy định về khái niệm
dữ liệu cá nhân của GDPR, Việt Nam cần lưu ý những nội dung sau trong quá trình
xây dựng khái niệm “dữ liệu cá nhân” và pháp luật về bảo vệ dữ liệu cá nhân:
Thứ nhất, về
kỹ thuật lập pháp, Việt Nam hiện không có một đạo luật riêng biệt, toàn diện và
nhất quán về bảo vệ dữ liệu cá nhân. Thay
vào đó, nội dung này được quy định rải rác trong các luật và nghị định khác
nhau như Bộ luật Dân sự, Bộ luật Dình sự, Bộ luật tố tụng dân sự, Bộ luật tố tụng
hình sự, Luật Giao dịch điện tử, Luật Công nghệ thông tin, Luật Bảo vệ quyền lợi
người tiêu dùng, Luật an toàn thông tin
mạng năm 2015, Luật an ninh mạng năm 2018, Nghị định số 52/2013/ND-CP về Thương mại điện tử và Nghị định
số 72/2013/ND-CP về quản lý, cung cấp và
sử dụng dịch vụ Internet và thông tin trên mạng… Tuy nhiên, các quy định này phần
lớn chỉ bảo vệ quyền riêng tư nói chung. Gần đây, một số đạo luật chuyên ngành
mới đã đưa ra một số quy định dành riêng cho việc bảo vệ thông tin cá nhân,
nhưng chủ yếu dưới dạng các nguyên tắc chung và chưa đủ cụ thể.
Với
tốc độ tăng trưởng nhanh chóng của công nghệ số thì các quy định về bảo vệ dữ liệu
cá nhân hiện đang chưa đáp ứng đủ yêu cầu từ thực tế. Bên cạnh đó, các quy định
không chỉ thiếu sót, hạn chế mà còn thiếu tập trung gây nên sự chồng chéo và trở
ngại cho việc tra cứu, áp dụng luật. Do đó, Việt Nam cần nghiên cứu để ban hành
Luật bảo vệ dữ liệu cá nhân để khắc phục sự chồng chéo, mâu thuần về quy định
trong các văn bản luật hiện hành. Khi đó, khái niệm dữ liệu cá nhân được ban hành
trong văn bản luật sẽ tạo ra hiệu lực pháp lý áp dụng thống nhất cho tất cả các
lĩnh vực pháp luật khác nhau có điều chỉnh về dữ liệu cá nhân.
Thứ hai, về nội dung khái niệm dữ liệu cá nhân, đề xuất trong
Dự thảo Nghị định về bảo vệ dữ liệu cá nhân hiện
hành vẫn còn hạn chế, cụ thể nên xem xét bỏ nội dung “Dữ liệu cá nhân là dữ liệu
về cá nhân” chưa thực sự làm rõ ý nghĩa,
thay vào đó nên giữ lại nội dung quy định cụ thể cách tiếp cận hai khả năng cụ
thể: một là
dữ liệu liên quan đến một cá nhân cụ thể, hai là dữ liệu liên quan đến việc có
thể xác định một cá nhân cụ thể. Dự thảo
Nghị định hiện tại cũng đã có phân loại dữ liệu thành dữ liệu cá nhân cơ bản và
dữ liệu cá nhân nhạy cảm. Trong đó, dữ liệu cá nhân cơ bản gồm: a) Họ, chữ đệm và tên khai sinh,
bí danh (nếu có); b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất
tích; c) Nhóm máu, giới tính; d) Nơi sinh, nơi đăng ký khai sinh, nơi thường
trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, địa chỉ thư điện tử; đ) Trình độ
học vấn; e) Dân tộc; g) Quốc tịch; h) Số điện thoại; i) Số chứng minh nhân dân,
số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số
thuế cá nhân, số bảo hiểm xã hội; k) tình trạng hôn nhân; l) Dữ liệu phản ánh
hoạt động hoặc lịch sử hoạt động trên không gian mạng. Các dữ liệu nhạy cảm được quy định gồm nhiều loại thông tin hơn
GDPR như dữ liệu cá nhân về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi
các cơ quan thực thi pháp luật; dữ liệu cá nhân về tài chính, dữ liệu cá nhân về
vị trí là thông tin về vị trí địa lý thực tế của cá nhân ở quá khứ và hiện tại;
dữ liệu cá nhân về các mối quan hệ xã hội…Quy định phân loại dữ liệu phản ánh sự
hài hòa với các quy định phổ quát trong các đạo luật về bảo vệ dữ liệu nhằm xác
lập các mức độ bảo vệ khác nhau đối quyền
của chủ thể dữ liệu cá nhân.
Việt Nam
cần quan tâm để bổ sung thêm các thông tin định danh cá nhân trong môi trường
trường kỹ thuật số như tên người dùng trên mạng xã hội, địa chỉ IP (internet
protocol), nhận dạng cookie, và các
định danh khác như thẻ nhận dạng tần số vô tuyến (RFID), tài khoản quảng cáo, thẻ pixel, dấu vân tay của thiết bị, ảnh,
video hoặc bản ghi âm…
Đồng thời
có các hướng dẫn cụ thể trong văn bản dưới luật để làm rõ hơn ý nghĩa của các
thuật ngữ như “liên quan đến”, “có thể xác định được” trong khái niệm như cách
giải thích về ý nghĩa thuật ngữ của GDPR trong các văn bản recitals (nhằm nói
rõ bối cảnh, mục đích, lý do hay ý nghĩa quy định pháp luật).
Tóm lại,
quy định về khái niệm dữ liệu cá nhân ở Việt Nam còn rất nhiều bất cập, không
thống nhất, thậm chí còn tồn tại quy định mâu thuẫn lẫn nhau. Do đó, Việt Nam cần
hoàn thiện quy định khái niệm dữ liệu cá nhân trong các văn bản pháp luật, từ
đó xây dựng khuôn khổ pháp lý phù hợp để thiết lập quyền và nghĩa vụ của chủ thể
dữ liệu cá nhân, quyền và nghĩa vụ của bên xử lý dữ liệu, và các cơ chế đảm bảo
thực thi các quyền nói trên đáp ứng nhu cầu bùng nổ trong việc xử lý thông tin hiện
nay.
TÀI LIỆU
THAM KHẢO
1. Hiến pháp năm 2013
2. Bộ luật dân sự năm 2015
3. Nghị định số 167/2013/NĐ-CP
quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh, trật tư, an toàn xã
hội; phòng, chống tệ nạn xã hội; phòng cháy và chữa cháy; phòng, chống bạo lực
gia đình;
4. Bộ luật Hình sự năm
2015, sửa đổi bổ sung 2017
5. Bộ luật Tố tụng hình sự năm 2015
6.
Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu
7.
Dự thảo Nghị định bảo vệ dữ liệu của Việt Nam
8.
Bạch Thị Nhã Nam (2020), Quyền được
lãng quên từ thực tiễn phán quyết trong phạm vi Liên minh châu Âu, Tạp chí Nghiên cứu lập pháp, Viện nghiên cứu lập pháp, 2020, Số
24(424), tr.38-47.
9.
Vũ
Công Giao, Lê Trần Như Tuyên (2020), Bảo vệ quyền đối với dữ liệu cá nhân trong
pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt
Nam, Tạp chí Nghiên cứu Lập pháp số 09 (409), tháng 5/2020.
10. Chu Thị Hoa
(2020), Báo cáo rà soát pháp luật về bảo
vệ dữ liệu cá nhân tại Việt Nam, tr. 7. (Tài liệu tại Hội thảo trong khuôn
khổ Chương trình hoạt động năm 2020 của Dự án “Tăng cường pháp luật và tư pháp
tại Việt Nam” (EU JULE), do Bộ Công an phối hợp Chương trình phát triển Liên hợp
quốc tổ chức tại Hà Nội ngày 09/1/2020.
11. Nguyễn Văn Cương
(2020), “Thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện
nay và hướng hoàn thiện”, Tạp chí
Nghiên cứu Lập pháp, số 15 (415), tháng 8/2020.
[1] Xem Bạch Thị Nhã
Nam (2020), Quyền được
lãng quên từ thực tiễn phán quyết trong phạm vi Liên minh châu Âu, Tạp chí Nghiên cứu lập pháp, Viện nghiên cứu lập pháp, 2020, Số 24(424), tr.38-47.
[2] Điều 21 Hiến pháp năm 2013 quy định:
"1. Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá
nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của minh. Thông tin về
đời sống riêng tư, bí mật cá nhân,
bí mật gia đình được pháp luật bảo đảm an toàn. 2. Mọi người có quyền bí mật
thư tín, điện thoại, điện tín và các
hỉnh thức trao đổi thông tin riêng tư khác. Không ai được bóc mở, kiểm
soát, thu giữ trái luật thư tín, điện thoại,
điện tín và các hỉnh thức trao đổi thông tin riêng tư của người khác".
[3] Khoản 1 Điều 38 Bộ luật dân sự năm
2015 quy định: “Đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả
xâm phạm và được pháp luật bảo vệ”
[4] Nghị định số 167/2013/NĐ-CP Quy định
xử phạt vi phạm hành chính trong lĩnh vực an ninh, trật tư, an toàn xã hội;
phòng, chống tệ nạn xã hội; phòng cháy và chữa cháy; phòng, chống bạo lực gia
đình; Bộ luật hình sự năm 2015 (Điều 159 quy định về tội xâm phạm bí mật hoặc
an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng
tư khác của người khác; Điều 288 quy định bảo vệ quyền riêng tư, bí mật cá
nhân, bí mật gia đình trong môi trường mạng xã hội); Bộ luật tố tụng hình sự
năm 2015 (Điều 12).
[5] Chu Thị Hoa (2020), Báo cáo rà
soát pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam, tr. 7. (Tài liệu tại Hội
thảo
trong khuôn khổ Chương trình hoạt động năm 2020 của Dự án “Tăng cường pháp luật
và tư pháp tại Việt Nam” (EU
JULE), do Bộ Công an phối hợp Chương trình phát triển Liên hợp quốc tổ chức tại
Hà Nội ngày 09/1/2020.
[6] Khoản 17 Điều 3 Luật An toàn thông
tin mạng năm 2015 quy định: “Xử lý thông tin cá nhân là việc thực hiện một
hoặc một số thao tác thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ,
phát tán thông tin cá nhân trên mạng
nhằm mục đích thương mại”.
[7] Xem thêm Điều 21, 22 Luật Công nghệ
thông tin năm 2006.
[8] Nguyễn Văn Cương (2020), “Thực
trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và hướng
hoàn thiện”, Tạp chí Nghiên cứu Lập pháp số 15 (415), tháng 8/2020.
[9] Tra cứu toàn văn GDPR tại:
https://gdpr-info.eu/, truy cập ngày 20/10/2021.
[10] Vũ Công Giao, Lê Trần Như Tuyên
(2020),Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật ở
một số quốc gia và giá trị tham khảo cho Việt Nam, Tạp chí Nghiên cứu Lập pháp số 09 (409), tháng 5/2020.
[11]European Commission, “What is
personal data?”, https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en, truy cập ngày 20/10/2021.
[12] Thuật ngữ dữ liệu cá nhân được định
nghĩa tại Điều 4 (1), GDPR. Nguyên văn:
“Personal data are any information which are related to an identified or
identifiable natural person.”
[13] Xem giải thích Điều 4 (1), GDPR tại https://gdpr-info.eu/issues/personal-data/,
truy cập ngày truy cập ngày 01/09/2021.
[14] Xem Điều 6 và Điều 9 GDPR,
https://www.privacy-regulation.eu/en/article-6-lawfulness-of-processing-GDPR.htm
và
https://www.privacy-regulation.eu/en/article-9-processing-of-special-categories-of-personal-data-GDPR.htm,
truy cập ngày 20/10/2021.
Nhận xét
Đăng nhận xét