TS. Nguyễn Thu Hương chủ trì tọa đàm
Mở đầu, TS. Nguyễn Thu Hương trình bày tham luận “Bảo vệ dữ liệu cá nhân và quyền riêng tư”. Tiến sĩ đưa ra các ý kiến để khẳng định dữ liệu cá nhân (DLCN) và quyền riêng tư có mối quan hệ với nhau. Quyền riêng tư là quyền nhân thân cơ bản của cá nhân, phạm vi quyền bị hạn chế trong một số trường hợp. Bên cạnh đó, DLCN là một yếu tố đóng vai trò then chốt trong sự tiến bộ của xã hội và là thuật ngữ phổ biến trong khoa học pháp lý ngày nay. DLCN là vấn đề liên quan chặt chẽ đến quyền con người, quyền công dân, an ninh mạng, an toàn thông tin, chính phủ điện tử và nhiều vấn đề khác.
Về mặt khoa học, có nhiều khái niệm về quyền riêng tư mà một trong số đó là quyền được sống như mong muốn của cá nhân, không chịu ảnh hưởng bởi bất cứ chủ thể nào khác và cá nhân có thể sinh hoạt theo sở thích của mình trong môi trường, không gian riêng. Đây cũng là quyền cá nhân được phép giữ kín thông tin, tư liệu gắn liền với cá nhân của mình như quyền bất khả xâm phạm về thân thể, thư tín, điện thoại và các thông tin khác. Các quan điểm trên đã chỉ ra những nội dung của quyền riêng tư phù hợp với nhận thức về quyền này trên bình diện quốc tế. Tuy nhiên, những quan điểm trên mới là sự liệt kê mang tính gần gũi nhất với đời sống riêng tư chứ chưa phải là bản chất của quyền này.
Tóm lại, quyền riêng tư được kết hợp trên hai yếu tố là quyền (pháp luật và xã hội công nhận cho được hưởng, được làm và được đòi hỏi) và sự riêng tư. Đây là quyền mang nét đặc trưng cơ bản của con người, có tầm quan trọng ngang với các quyền khác bởi lẽ nếu tước bỏ hoặc hạn chế đều tác động tiêu cực đến nhân phẩm, giá trị và sự phát triển của con người. Yếu tố thứ hai là sự riêng tư, riêng của từng người và quyền của từng cá nhân.
Quyền riêng tư và DLCN dưới góc nhìn của pháp luật quốc tế. Quyền riêng tư và DLCN được pháp luật bảo vệ và bất khả xâm phạm, đây là quyền nhân thân gắn liền với cá nhân. Theo đó, quyền riêng tư nói chung và quyền bảo vệ DLCN nói riêng là quyền cơ bản của con người được luật hóa cụ thể tại Điều 12 Tuyên ngôn Nhân quyền Quốc tế năm 1948, “Không ai phải chịu sự can thiệp một cách tùy tiện vào cuộc sống riêng tư. Mọi người đều được pháp luật bảo vệ chống lại sự xúc phạm và can thiệp như vậy”. Bên cạnh đó, Điều 17 Công ước về các quyền dân sự, chính trị năm 1966 cũng khẳng định cụ thể quyền này và cùng với đó đã làm rõ các chi tiết như: mục đích để ngăn chặn các hành vi xâm phạm tùy tiện, bất hợp pháp; các quốc gia thành viên có nghĩa vụ ngăn chặn các quan chức nhà nước, các thể nhân, pháp nhân khác xâm phạm tùy tiện, bất hợp pháp cũng như những trường hợp ngoại lệ để có thể xâm phạm quyền này.
Tiếp theo, tọa đàm lắng nghe phần trình bày tham luận của ThS. Phạm Hồng Nhật với chủ đề “Khung pháp lý bảo vệ dữ liệu cá nhân tại Việt Nam: Thực trạng, thách thức và định hướng hoàn thiện”. Trước năm 2023, các quy định về bảo vệ DLCN nằm rải rác và không có sự thống nhất trong các đạo luật như Luật Công nghệ thông tin 2006, Luật An toàn thông tin mạng 2015, Luật An ninh mạng 2018 cho đến khi Chính phủ ban hành Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ DLCN. Đây là văn bản quy phạm pháp luật đánh dấu bước tiến lớn trong nỗ lực xây dựng hành lang pháp lý nhằm bảo vệ DLCN tại Việt Nam, được coi là văn bản nền móng, tiến tới xây dựng Luật Bảo vệ DLCN. Bên cạnh DLCN cơ bản, Nghị định số 13/2023/NĐ-CP có một số điều khoản riêng quy định về DLCN nhạy cảm, điều này cho thấy các nhà làm luật Việt Nam cũng dành sự quan tâm đặc biệt đối với nhóm dữ liệu này. Cụ thể, Điều 2 Khoản 4 quy định: “DLCN nhạy cảm là DLCN gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân”.
Danh mục DLCN nhạy cảm tại Nghị định 13/2023/NĐ-CP bao gồm nhiều nhóm dữ liệu, trong đó có những nhóm dữ liệu khác nhau về bản chất và đòi hỏi cách thức bảo vệ khác nhau. Ví dụ, dữ liệu về quan điểm chính trị, tôn giáo, nguồn gốc chủng tộc… là các dữ liệu gắn liền với các quyền cơ bản của cá nhân, do đó cần ưu tiên quyền kiểm soát của chủ thể dữ liệu đối với việc xử lý dữ liệu. Trong khi đó, đối với thông tin về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật thì việc xử lý dữ liệu cần được trao quyền nhất định cho các cơ quan thực thi, đảm bảo sự cân bằng giữa quyền riêng tư của cá nhân và sự cần thiết xử lý thông tin để thực thi pháp luật. Do đó, việc gộp các nhóm dữ liệu này vào chung một điều khoản để áp dụng chung một cơ chế bảo vệ là chưa thật sự phù hợp.
Từ việc phân tích một số quy định về bảo vệ DLCN nhạy cảm theo Nghị định số 13/2023/NĐ-CP, ThS. Phạm Hồng Nhật nhìn nhận, Chính phủ đã ghi nhận DLCN nhạy cảm cần có sự bảo vệ đặc biệt do tính chất đặc thù của nhóm dữ liệu này có ảnh hưởng lớn tới quyền lợi của chủ thể dữ liệu. Nghị định đã bước đầu xây dựng những quy định riêng về việc bảo vệ DLCN, tuy nhiên, phân tích nội dung các quy định này cho thấy cơ chế bảo vệ dành cho nhóm dữ liệu nhạy cảm chủ yếu mới dùng lại ở mặt hình thức, thiếu các biện pháp cụ thể, rõ ràng; do đó chưa đảm bảo sự bảo vệ thích đáng cần thiết cho nhóm dữ liệu đặc thù này. Tác giả đã đề xuất một số chính sách để định hướng cho việc xây dựng Luật Bảo vệ DLCN, đó là: (i) Thống nhất quy định pháp luật về các thuật ngữ pháp lý liên quan tới DLCN và bảo vệ DLCN; (ii) Quy định cụ thể các quyền và nghĩa vụ của chủ thể dữ liệu; (iii) Hoàn thiện quy định về bảo vệ DLCN trong quá trình xử lý dữ liệu; (iv) Hoàn thiện quy định bảo đảm các điều kiện, biện pháp bảo vệ DLCN.
TS. Nguyễn Tiến Đức (bên phải) và ThS. Phạm Hồng Nhật
Sau đó, tọa đàm tiếp tục diễn ra với báo cáo của TS. Nguyễn Tiến Đức, “Quy định chung về bảo vệ dữ liệu cá nhân của Liên minh châu Âu: Bài học kinh nghiệm và ứng dụng cho Việt Nam”. Để giải quyết các quy định còn yếu về bảo vệ dữ liệu và hài hòa các luật liên quan đến dữ liệu giữa các quốc gia thành viên, vào năm 2016, Liên minh châu Âu (EU) đã ban hành Quy định chung về bảo vệ dữ liệu (GDPR) có hiệu lực pháp lý kể từ năm 2018. GDPR được coi là luật bảo vệ dữ liệu toàn diện và nghiêm ngặt nhất trên toàn cầu, còn được gọi là “luật của mọi thứ” bởi phạm vi áp dụng rộng khắp trên mọi lĩnh vực.
Ý tưởng cốt lõi của GDPR là trao quyền cho các cá nhân có khả năng kiểm soát tốt hơn đối với DLCN của họ với một loạt các quyền được coi là mạnh mẽ nhất từ trước tới nay trong lĩnh vực pháp luật bảo vệ DLCN, đồng thời GDPR cũng áp đặt các yêu cầu pháp lý nghiêm ngặt về xử lý DLCN đối với các chủ thể liên quan. Văn bản này có tác động lớn không chỉ đối với các cá nhân, tổ chức hoạt động trong phạm vi EU mà còn đối với bất kỳ thực thể nào đang tiến hành xử lý DLCN của cư dân EU, dù cho họ đang ở đâu. Không chỉ giới hạn trong phạm vi EU, tác động của GDPR đối với các luật và thủ tục bảo vệ dữ liệu còn mở rộng trên toàn thế giới. Hiệu ứng ngoài lãnh thổ của GDPR thúc đẩy nhiều công ty trên toàn thế cầu đánh giá lại tính tương thích giữa các quy trình xử lý dữ liệu của họ và các biện pháp bảo vệ dữ liệu theo GDPR để tránh khoản tiền phạt khổng lồ từ phía EU. Ngoài ra, GDPR đã tạo ra những cuộc thảo luận chuyên sâu và rộng khắp về quyền dữ liệu và quyền riêng tư trong thời đại kỹ thuật số, từ đó nâng cao nhận thức cộng đồng và đòi hỏi tất cả các chủ thể phải cẩn trọng hết mức khi tiến hành thu thập, sử dụng và trao đổi dữ liệu.
GDPR gồm 11 Chương, 99 điều, tập trung vào các nội dung liên quan đến: Phạm vi điều chỉnh; nguyên tắc liên quan đến xử lý DLCN; quyền của chủ thể DLCN; quyền và nghĩa vụ của chủ thể kiểm soát và chủ thể xử lý DLCN; dịch chuyển DLCN đến một nước thứ ba hoặc các tổ chức quốc tế; các chủ thể có thẩm quyền giám sát; các biện pháp khắc phục; trách nhiệm pháp lý và các hình thức xử lý vi phạm; cơ chế thực thi. Theo GDPR, DLCN là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. DLCN bao gồm DLCN cơ bản và DLCN nhạy cảm. Một người có thể được nhận diện một cách trực tiếp (directly identifiable) khi việc nhận diện được thực hiện hoàn toàn trên các thông tin mà bạn đang có; nhận diện một cách gián tiếp (indirectly identifiable) là khi việc nhận diện không thể được thực hiện trên thông tin mà bạn đang có mà cần phải sử dụng thêm các thông tin ở các nguồn khác. Như vậy, những thông tin, ngay cả khi không chứa đựng tên của cá nhân, nhưng nếu chúng giúp hiểu rõ về cá nhân đó hoặc có tác động lên cá nhân đó thì có thể được coi là thông tin cá nhân.
Pháp luật Việt Nam sử dụng thuật ngữ “thông tin cá nhân” để chỉ về DLCN. Thông tin cá nhân được điều chỉnh bởi pháp luật trong lĩnh vực công nghệ thông tin, an toàn thông tin mạng. Theo quy định của khoản 15 Điều 3 Luật An toàn thông tin mạng 2015, thông tin cá nhân được hiểu là thông tin gắn với việc xác định danh tính của một người cụ thể. Khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước quy định: “Thông tin cá nhân là thông tin đủ để xác định danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác”.
Có thể thấy rằng, thông tin cá nhân theo quy định của pháp luật Việt Nam có nội hàm hẹp hơn so với định nghĩa về DLCN của EU. Việc xác định thông tin cá nhân trong quy định của EU còn hướng tới các yếu tố văn hóa, xã hội của cá nhân có liên quan, bên cạnh các yếu tố nhằm nhận diện trực tiếp cá nhân. Ngoài ra, dù cả hai hệ thống pháp luật đều hướng tới những thông tin nhằm nhận diện cá nhân, nhưng pháp luật của EU nêu rõ về cách thức nhận diện, bao gồm cả nhận diện trực tiếp và nhận diện gián tiếp thông qua các công cụ nhận diện. Trong khi đó, pháp luật Việt Nam không giải thích rõ về cách thức xác định thông tin cá nhân.
Toàn cảnh buổi tọa đàm
Về nguyên tắc đối với xử lý DLCN, TS. Nguyễn Tiến Đức cho biết, theo quy định của GDPR, mỗi tổ chức xử lý DLCN phải bảo đảm dữ liệu đó đáp ứng được 07 nguyên tắc cơ bản, đó là: (i) Tính hợp pháp, công bằng và minh bạch; (ii) Giới hạn ở mục đích sử dụng; (iii) Giảm thiểu dữ liệu; (iv) Độ chính xác; (v) Giới hạn lưu trữ; (vi) Tính toàn vẹn và bảo mật; (vii) Trách nhiệm giải trình. Cụ thể với nguyên tắc thứ hai, việc xử lý dữ liệu phải được thực hiện theo các mục đích hợp pháp và đã được nêu rõ cho chủ thể DLCN biết khi tiến hành thu thập, DLCN cần phải được giới hạn ở mục đích mà chúng được xử lý. Với nguyên tắc giới hạn lưu trữ, chủ thể xử lý dữ liệu chỉ có thể lưu trữ DLCN trong thời gian cần thiết cho mục đích sử dụng, thời gian mà DLCN được lưu trữ được giới hạn ở mức tối thiểu, DLCN không bị lưu giữ lâu hơn mức cần thiết, người kiểm soát nên thiết lập các giới hạn thời gian để xóa hoặc đánh giá định kỳ.
Pháp luật Việt Nam không quy định cụ thể về các nguyên tắc xử lý thông tin cá nhân giống như EU. Tuy nhiên, thông qua các quy định về nghĩa vụ, trách nhiệm của tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân, Luật Công nghệ thông tin 2006, Luật An toàn thông tin mạng 2015 và Nghị định số 52/2013/NĐ-CP đặt ra yêu cầu: sử dụng đúng mục đích sau khi có sự đồng ý của chủ thể thông tin cá nhân; lưu trữ trong một khoảng thời gian nhất định; không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.
Tác giả cũng giới thiệu những nội dung cơ bản khác của GDPR và liên hệ đến pháp luật Việt Nam về các vấn đề: Quyền của chủ thể DLCN; nghĩa vụ, trách nhiệm của chủ thể kiểm soát, chủ thể xử lý DLCN.
Một tham luận nữa tại tọa đàm có chủ đề về bảo vệ DLCN trong hoạt động giao dịch thương mại điện tử (TMĐT) của TS. Phạm Thị Hương Giang. DLCN và giao dịch TMĐT có mối quan hệ mật thiết với nhau. DLCN là thành tố quan trọng, quyết định một giao dịch TMĐT có thực hay không thông qua việc xem xét và đánh giá những giá trị mà dữ liệu mang lại. Sự tiện ích của giao dịch TMĐT càng nhiều thì những rủi ro về thông tin cá nhân cũng gia tăng tương ứng. Để đảm bảo sự phát triển của TMĐT, các quốc gia trên thế giới đều chú trọng đến việc thiết lập các hàng rào bảo vệ DLCN, bảo vệ người tiêu dùng trước những xâm hại về dữ liệu, giúp người tiêu dùng yên tâm và tự tin hơn khi sử dụng các phương tiện điện tử trong giao dịch hàng ngày.
Báo cáo đã phân tích các quy định pháp luật tại Hoa Kỳ, Nhật Bản và các nước trong EU về bảo vệ DLCN trong giao dịch TMĐT. Trong đó, Nhật Bản đã ban hành một đạo luật riêng áp dụng cho các vấn đề riêng tư trực tuyến là Luật Bảo vệ thông tin cá nhân (APPI) có hiệu lực vào ngày 01/4/2004. Kể từ đó, APPI đã trải qua hai đợt sửa đổi, gần nhất là năm 2020 với những cải biến thích hợp để thống nhất với GDPR của Châu Âu về bảo vệ quyền riêng tư cá nhân. Cách định nghĩa “thông tin cá nhân” trong pháp luật Nhật Bản có ý nghĩa bao hàm rộng hơn, khái quát hơn so với một số quốc gia khác trên thế giới. Cụ thể, thông tin cá nhân là thông tin về cá nhân còn sống có thể giúp xác định cụ thể cá nhân đó. Trong khi đó, khái niệm “DLCN” được đề cập đến tại khoản 4 Điều 2 APPI lại bị giới hạn ở dạng thông tin cá nhân được mã hóa và được phép truy xuất. Khái niệm này cho thấy, phạm trù của DLCN nhỏ hơn nhiều so với thông tin cá nhân. APPI đã tạo ra khuôn khổ pháp lý để hình thành Ủy ban Bảo vệ thông tin cá nhân, cơ quan giúp bảo đảm thực thi pháp luật một cách hiệu quả trên thực tiễn, đồng thời liên tục thực hiện nghiên cứu để có thể đưa ra những định hướng sửa đổi, bổ sung. Đây là một trong những kinh nghiệm để Việt Nam học hỏi.
Từ những phân tích về quy định pháp luật và thực tiễn thực hiện ở các quốc gia nêu trên, TS. Hương Giang gợi mở một số giải pháp để nâng cao hiệu quả thực thi pháp luật về bảo vệ DLCN trong giao dịch TMĐT mà một trong số đó là Hội đồng thẩm phán Tòa án nhân dân tối cao cần cân nhắc ban hành án lệ với nội dung về: xác định thuật ngữ, xác định bản chất của DLCN, xác định một số hành vi mới xuất hiện mà các văn bản pháp luật chưa kịp cập nhật.
TS. Phạm Thị Thúy Nga (bên phải) phát biểu ý kiến
Trao đổi tại tọa đàm, TS. Phạm Thị Thúy Nga đặt câu hỏi về việc bảo vệ quyền riêng tư, dữ liệu cá nhân của người đã chết như thế nào, phạm vi điều chỉnh ra sao. TS. Nguyễn Tiến Đức cho biết, người đã chết nằm ngoài phạm vi áp dụng của GDPR, việc bảo vệ DLCN của người đã chết được điều chỉnh bởi pháp luật của các quốc gia thành viên EU. Chẳng hạn, ở Đức, các chủ thể muốn sử dụng DLCN của người đã chết thì cần phải xin phép những người theo thứ tự thừa kế của người đã mất. Với pháp luật Việt Nam, ThS. Phạm Hồng Nhật cho biết, Điều 19 Nghị định số 13/2023/NĐ-CP quy định, việc xử lý thông tin của người được tuyên bố là mất tích hoặc đã chết phải được sự đồng ý của vợ, chồng hoặc con thành niên của người đó; trong trường hợp không có những người này thì cần phải có sự đồng ý của cha, mẹ của người đó. Nghị định này cũng quy định về việc có thể sử dụng dữ liệu thông tin của người đó mà không cần xin phép trong các trường hợp vì lợi ích của nhà nước, cộng đồng hoặc trong trường hợp cấp thiết.
PGS.TS. Dương Quỳnh Hoa chỉ ra độ vênh giữa Nghị định số 13/2023/NĐ-CP với văn bản luật chuyên ngành khi dẫn chứng các văn bản pháp luật về tài chính, ngân hàng cho phép các tổ chức tín dụng được quyền sử dụng các thông tin cá nhân của khách hàng làm cơ sở dữ liệu để phân tích và tư vấn các dịch vụ cho khách hàng, trong khi đó Nghị định này lại quy định khi sử dụng DLCN thì cần phải có sự đồng ý của chủ thể quyền. Vấn đề này sẽ tác động đến việc đầu tư, kinh doanh của các doanh nghiệp nước ngoài tại Việt Nam. Như vậy, trong thời gian tới, khi đề xuất xây dựng dự thảo Luật Bảo vệ DLCN cần phải có các quy định để hài hòa với thông lệ và pháp luật quốc tế.
PGS.TS. Dương Quỳnh Hoa (giữa) trao đổi tại tọa đàm
Hội thảo cũng thu nhận những ý kiến của TS. Phan Thanh Hà, ThS. Bùi Thị Hường, ThS. Nguyễn Thanh Tùng và các nhà khoa học khác về các vấn đề: Phân biệt giữa quyền bảo vệ DLCN và quyền bảo vệ bí mật đời tư; tiếp cận việc bảo vệ DLCN dưới nhiều góc độ: quản lý nhà nước, quyền con người, quan hệ giữa các chủ thể tư; DLCN trong hồ sơ y tế…