Bài viết Hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trình bày quy định về dữ liệu cá nhân trong pháp luật Việt Nam; Tham khảo khái niệm dữ liệu cá nhân trong pháp luật của Liên minh châu Âu; Khuyến nghị hoàn thiện các quy định về dữ liệu cá nhân trong pháp luật Việt Nam.
THỰC TIỄN PHÁP LUẬT HOÀN THIỆN PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN Bạch Thị Nhã Nam ThS GV Khoa Luật, Trường Đại học Kinh tế - Luật, ĐHQG TP Hồ Chí Minh Thơng tin viết: Từ khóa: Dữ liệu cá nhân, thơng tin cá nhân, bảo vệ liệu cá nhân Lịch sử viết: Nhận Biên tập Duyệt : 24/10/2021 : 14/12/2021 : 15/12/2021 Article Infomation: Keywords: Personal data, personal information, personal data protection Article History: Received Edited Approved : 24 Oct 2021 : 14 Dec 2021 : 15 Dec 2021 Tóm tắt: Các quy định pháp luật liệu cá nhân Việt Nam cịn nhiều bất cập, khơng thống nhất, chí cịn tồn mâu thuẫn Trên sở tham khảo quy định pháp luật Liên minh châu Âu bảo vệ liệu cá nhân, Việt Nam cần hoàn thiện quy định liệu cá nhân văn pháp luật, từ xây dựng khn khổ pháp lý phù hợp để thiết lập quyền nghĩa vụ chủ thể liệu cá nhân, quyền nghĩa vụ bên xử lý liệu, chế đảm bảo thực thi quyền Abstract: The legal regulations on personal data in Vietnam are still inadequate, inconsistent, and even contradictory With reference to the provisions of the European Union law on personal data protection, it is recommended that Vietnam needs to review and improve the legal regulations on personal data, thereby developing a legal framework to establish the rights and obligations of personal data subjects, the rights and obligations of data processors, and management mechanisms to ensure the enforcement of these rights Quy định liệu cá nhân pháp luật Việt Nam Quyền riêng tư quyền bảo vệ liệu cá nhân có mối liên hệ mật thiết với nhau, hai quyền riêng biệt Quyền bảo vệ liệu bắt nguồn từ quyền riêng tư hai công cụ để bảo tồn thúc đẩy giá trị quyền người, sở để thực quyền tự khác, chẳng hạn quyền tự ngôn luận, quyền tiếp cận thơng tin, quyền hội họp cơng dân Vì đời sống riêng tư cá nhân đặt vị trí ưu tiên cần bảo vệ để đảm bảo cá nhân có quyền tồn vẹn đời sống mình1 Do đó, khn khổ pháp luật Liên minh châu Âu (EU) nhiều quốc gia, bảo vệ liệu xem quyền người Về bản, quy định pháp luật Việt Nam bảo vệ liệu cá nhân tiếp cận phát triển từ quyền riêng tư – với tư cách quyền người Đây cách tiếp cận pháp luật nhiều nước giới công nhận có chế bảo vệ trước xâm phạm từ phía nhà nước từ chủ thể khác Hiến pháp năm 2013 ghi nhận quyền riêng tư, cụ thể quyền đời sống Xem Bạch Thị Nhã Nam (2020), Quyền lãng quên từ thực tiễn phán phạm vi Liên minh châu Âu, Tạp chí Nghiên cứu lập pháp, Số 24(424), tr.38-47 50 Số 05 (453) - T3/2022 THỰC TIỄN PHÁP LUẬT riêng tư, bí mật cá nhân, bí mật gia đình2 Tiếp theo đó, cách tiếp cận góc độ quyền người, lĩnh vực pháp luật dân ghi nhận quyền đời sống riêng tư, bí mật cá nhân, bí mật gia đình loại quyền nhân thân3 Pháp luật hành pháp luật hình tiếp cận việc bảo vệ liệu cá nhân góc độ bảo vệ quyền người thông qua việc quy định chế tài hành chính, chế tài hình hành vi xâm phạm liệu cá nhân4 Ngoài ra, số lĩnh vực cụ thể có khả tiềm ẩn nguy xâm phạm liệu cá nhân, văn pháp luật thường có quy định cụ thể để phịng ngừa bảo vệ liệu cá nhân phương thức bảo vệ quyền riêng tư Chẳng hạn: Luật Công nghệ thông tin năm 2006 ghi nhận bảo đảm bí mật thơng tin cá nhân; Luật An tồn thơng tin mạng năm 2015 quy định nguyên tắc bảo vệ thông tin cá nhân mạng; Luật An ninh mạng năm 2018 quy định hành vi xâm phạm bí mật cá nhân, bí mật gia đình đời sống riêng tư khơng gian mạng; Luật Báo chí năm 2016 quy định nghiêm cấm hành vi “tiết lộ thông tin thuộc danh Mục bí mật nhà nước, bí mật đời tư cá nhân bí mật khác theo quy định pháp luật” (khoản Điều 9)… Tuy nhiên, Việt Nam chưa có cách hiểu thống khái niệm nội hàm liệu cá nhân, bảo vệ liệu cá nhân Các văn quy phạm pháp luật hành sử dụng số thuật ngữ có liên quan đến liệu cá nhân bảo vệ liệu cá nhân (gần 10 thuật ngữ) như: “thông tin cá nhân”; “thông tin riêng”, “thông tin riêng tư”, “thông tin số”; “thông tin cá nhân môi trường mạng”; “thơng tin bí mật đời tư”; “thơng tin đời sống riêng tư, bí mật cá nhân, bí mật gia đình” với cách giải thích khái niệm khác nhau5 Điều dẫn đến cách hiểu khơng thống nhất, chí có chồng chéo khái niệm, cụ thể: - Khoản 15 Điều Luật An tồn thơng tin mạng năm 2015 quy định thơng tin cá nhân thông tin gắn với việc xác định danh tính người cụ thể - Khoản Điều Nghị định số 64/2007/ NĐ-CP Chính phủ ứng dụng công nghệ thông tin hoạt động quan nhà nước quy định thông tin cá nhân thơng tin đủ để xác định xác danh tính cá nhân, bao gồm nội dung thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa liên hệ, địa thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu - Khoản 13 Điều Nghị định số 52/2013/ NĐ-CP Chính phủ thương mại điện tử quy định thông tin cá nhân thơng tin góp Điều 21 Hiến pháp năm 2013 quy định: “1 Mọi người có quyền bất khả xâm phạm đời sống riêng tư, bí mật cá nhân bí mật gia đình; có quyền bảo vệ danh dự, uy tín Thơng tin đời sống riêng tư, bí mật cá nhân, bí mật gia đình pháp luật bảo đảm an tồn” “2 Mọi người có quyền bí mật thư tín, điện thoại, điện tín hình thức trao đổi thơng tin riêng tư khác Khơng bóc mở, kiểm sốt, thu giữ trái luật thư tín, điện thoại, điện tín hỉnh thức trao đổi thông tin riêng tư người khác” Khoản Điều 38 Bộ luật Dân năm 2015 quy định: “Đời sống riêng tư, bí mật cá nhân, bí mật gia đình bất khả xâm phạm pháp luật bảo vệ” Nghị định số 167/2013/NĐ-CP Chính phủ quy định xử phạt vi phạm hành lĩnh vực an ninh, trật tư, an tồn xã hội; phịng, chống tệ nạn xã hội; phòng cháy chữa cháy; phòng, chống bạo lực gia đình; Bộ luật Hình năm 2015 (Điều 159 quy định tội xâm phạm bí mật an tồn thư tín, điện thoại, điện tín hình thức trao đổi thông tin riêng tư khác người khác; Điều 288 quy định bảo vệ quyền riêng tư, bí mật cá nhân, bí mật gia đình mơi trường mạng xã hội); Bộ luật Tố tụng hình năm 2015 (Điều 12) Chu Thị Hoa (2020), Báo cáo rà soát pháp luật bảo vệ liệu cá nhân Việt Nam, tr Tài liệu Hội thảo khn khổ Chương trình hoạt động năm 2020 dự án “Tăng cường pháp luật tư pháp Việt Nam” (EU JULE), Bộ Công an phối hợp Chương trình phát triển Liên hợp quốc tổ chức Hà Nội ngày 09/1/2020 Số 05 (453) - T3/2022 51 THỰC TIỄN PHÁP LUẬT phần định danh cá nhân cụ thể, bao gồm tên, tuổi, địa nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin giao dịch tốn cá nhân thơng tin khác mà cá nhân mong muốn giữ bí mật Thơng tin cá nhân Nghị định không bao gồm thông tin liên hệ công việc thông tin mà cá nhân tự công bố phương tiện truyền thông Quy định dẫn đến nhiều cách hiểu chưa đồng nhất, thông tin cá nhân thông tin gắn liền với việc xác định danh tính, hay phải đủ để xác định xác danh tính cá nhân hay nhằm góp phần định danh cá nhân cụ thể? Thậm chí quy định khác biệt cịn dẫn đến mâu thuẫn lẫn nhau, ví dụ khoản 13 Điều Nghị định số 52/2013/NĐ-CP Chính phủ quy định thơng tin liên hệ cơng việc thông tin mà cá nhân tự công bố phương tiện truyền thông không coi thơng tin cá nhân Trong đó, theo Nghị định số 72/2013/NĐ-CP Chính phủ quy định chi tiết việc quản lý, cung cấp, sử dụng dịch vụ Internet, thơng tin mạng, trị chơi điện tử mạng; bảo đảm an tồn thơng tin an ninh thơng tin, thơng tin cá nhân khơng phân biệt cơng khai hay giữ bí mật coi thông tin cá nhân Trước tác động cách mạng công nghiệp 4.0, liệu cá nhân ngày trở nên quý giá nguy xâm phạm quyền cá nhân liệu vượt qua lực bảo vệ chế pháp lý truyền thống Tại Việt Nam, trước hạn chế quy định bảo vệ liệu cá nhân văn pháp luật khác nhau, Chính phủ xây dựng Nghị định quy định bảo vệ liệu cá nhân Ngày 09/02/2021, Bộ Công an, quan chủ trì soạn thảo Dự thảo Nghị định quy định bảo vệ liệu cá nhân (Dự thảo Nghị định) công bố Dự thảo Nghị định tiến hành lấy ý kiến từ công chúng6 Dự thảo Nghị định quy định bảo vệ liệu cá nhân đưa khái niệm: “Dữ liệu cá nhân là liệu cá nhân hoặc liên quan đến việc xác định xác định cá nhân cụ thể”7 Như vậy, xu hướng Dự thảo áp dụng mở rộng mức độ xác định danh tính cá nhân, xác định xác cá nhân cụ thể góp phần xác định danh tính cá nhân Ngồi khái niệm thơng tin cá nhân chưa quy định rõ ràng, hành vi tác động đến thông tin cá nhân - “xử lý thông tin cá nhân” quy định khác Chẳng hạn, thuật ngữ “xử lý thông tin cá nhân” Luật An tồn thơng tin mạng năm 2015 bao hàm nghĩa “thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ, phát tán thông tin cá nhân”8, tức có nghĩa rộng so với thuật ngữ “xử lý thông tin cá nhân” Luật Công nghệ thông tin năm 2006 không bao hàm nghĩa “thu thập, sử dụng thơng tin cá nhân”9 Nhìn chung, thực trạng quy định khái niệm liệu cá nhân pháp luật Việt Nam chưa thống văn luật chuyên ngành khác nhau, văn luật văn luật, chưa làm rõ yếu tố để xác định thơng tin hay liệu có phải liệu cá nhân, chưa thống thuật ngữ thông tin cá nhân hay liệu cá nhân Bên cạnh đó, pháp luật hành cịn thiếu quy định bảo vệ liệu cá nhân nhạy cảm Ví dụ, liệu cá nhân liệu sinh trắc học, nguồn gốc chủng tộc hay dân tộc, quan http://www.bocongan.gov.vn/vanban/Pages/van-ban-moi.aspx?ItemID=519 Khoản Điều Dự thảo Nghị định quy định bảo vệ liệu cá nhân Khoản 17 Điều Luật An tồn thơng tin mạng năm 2015 quy định: “Xử lý thông tin cá nhân việc thực thao tác thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ, phát tán thông tin cá nhân mạng nhằm mục đích thương mại” Xem Điều 21, 22 Luật Công nghệ thông tin năm 2006 52 Số 05 (453) - T3/2022 THỰC TIỄN PHÁP LUẬT điểm trị, triết lý hay tôn giáo tổ chức xã hội mà cá nhân tham gia, hay thơng tin liên quan đến sức khỏe, đời sống tình dục Các quy định pháp luật hành liên quan đến liệu cá nhân chưa bắt kịp với thực tiễn sử dụng liệu cá nhân liệu hình ảnh cá nhân (cơng nghệ nhận diện khuôn mặt), liệu sinh trắc học (dấu vân tay, nốt ruồi…) Chính vậy, có cần phân loại loại liệu cá nhân khác hay khơng, để từ quy định biện pháp bảo vệ liệu cá nhân mức độ khác biệt; cụ thể việc thu thập sử dụng liệu nhạy cảm cá nhân liệu sinh trắc học nên thiết lập quy trình chặt chẽ so với thông tin số điện thoại tên, tuổi cá nhân10? Đây vấn đề bất cập pháp luật hành Việt Nam, cần phải xây dựng khắc phục để đảm bảo việc bảo vệ quyền chủ thể liệu cá nhân lợi ích hợp pháp chủ thể khác việc xử lý liệu cá nhân Tham khảo khái niệm liệu cá nhân pháp luật Liên minh châu Âu Đạo luật bảo vệ liệu xem tiêu biểu hoàn thiện Quy định chung bảo vệ liệu (GDPR) Liên minh châu Âu (EU), có hiệu lực vào tháng 05/201811 GDPR quy tắc xây dựng nhằm cung cấp cho cơng dân EU quyền kiểm sốt nhiều liệu cá nhân họ bối cảnh bùng nổ mạng Internet thiết bị thông minh quy mô lớn dựa tảng Chỉ thị bảo vệ liệu châu Âu (95/46/EC) ban hành trước vào năm 1995 Theo GDPR, không tổ chức phải đảm bảo liệu cá nhân thu thập hợp pháp điều kiện nghiêm ngặt, mà tất chủ thể thu thập chủ thể quản lý liệu có nghĩa vụ bảo vệ liệu khỏi việc bị lạm dụng khai thác, tôn trọng quyền chủ thể liệu cá nhân12 Quyền chủ thể liệu cá nhân bao gồm i) Quyền sở hữu thông tin cá nhân, bao gồm khả yêu cầu chủ thể nắm giữ chỉnh sửa nhằm bảo đảm tính tồn vẹn, xác thơng tin cá nhân mình; ii) Quyền cho phép bên thứ ba tiếp cận thơng tin cá nhân mình; iii) Quyền yêu cầu chủ thể có liên quan phải bảo đảm tính bí mật thơng tin, ví dụ vơ danh hóa thơng tin cá nhân,…; iv) Quyền yêu cầu chủ thể nắm giữ bồi thường có hành vi xâm phạm thông tin trái pháp luật, gây thiệt hại cho cá nhân13 Tham khảo quy định GDPR, “Dữ liệu cá nhân thông tin liên quan đến cá nhân xác định liên quan đến cá nhân xác định được”14 Theo đó, liệu cá nhân thơng tin có liên quan đến cá nhân cụ thể giúp nhận dạng cá nhân cụ thể Việc nhận dạng cá nhân hiểu cá nhân nhận dạng phân biệt cá nhân với thành viên khác cộng đồng người Thông tin pháp nhân, quan công quyền liệu cá nhân, không thuộc phạm vi bảo vệ pháp luật liệu cá nhân GDPR Nguyễn Văn Cương (2020), “Thực trạng pháp luật bảo vệ thông tin cá nhân Việt Nam hướng hồn thiện”, Tạp chí Nghiên cứu Lập pháp, số 15 (415), tháng 8/2020 11 Tra cứu toàn văn GDPR tại: https://gdpr-info.eu/, truy cập ngày 20/10/2021 12 Vũ Công Giao, Lê Trần Như Tuyên (2020), Bảo vệ quyền liệu cá nhân pháp luật quốc tế, pháp luật số quốc gia giá trị tham khảo cho Việt Nam, Tạp chí Nghiên cứu Lập pháp số 09 (409), tháng 5/2020 13 European Commission, “What is personal data?”, https://ec.europa.eu/info/law/law-topic/data-protection/ reform/what-personal-data_en, truy cập ngày 20/10/2021 14 Thuật ngữ liệu cá nhân định nghĩa Điều (1), GDPR Nguyên văn: “Personal data are any information which are related to an identified or identifiable natural person” 10 Số 05 (453) - T3/2022 53 THỰC TIỄN PHÁP LUẬT - Xác định thơng tin định danh cá nhân Vì thuật ngữ liệu cá nhân bao gồm “bất kỳ thông tin nào”, nên thuật ngữ phải giải thích rộng, bao gồm khơng giới hạn yếu tố định danh tên, số chứng minh nhân dân, thông tin định danh tảng số, nhiều yếu tố cụ thể thể chất, sinh lý, di truyền, sắc tinh thần, thương mại, văn hóa xã hội cá nhân Đối với trường hợp thơng tin liên quan đến cá nhân “có thể xác định được” trường hợp cá nhân nhận dạng trực tiếp gián tiếp từ nhiều yếu tố định danh Do đó, thơng tin gián tiếp xác định cá nhân cụ thể xem liệu cá nhân theo GDPR Những thông tin định danh gián tiếp cá nhân số đăng ký tơ, số thẻ bảo hiểm y tế, số hộ chiếu; kết hợp thông tin với như: tuổi, nghề nghiệp, nơi cư trú… Điểm mấu chốt khả nhận dạng gián tiếp thông tin kết hợp với thông tin khác giúp phân biệt cho phép xác định cá nhân cụ thể Do đó, thơng tin rời rạc coi liệu cá nhân thơng tin tổng hợp, kết hợp với dẫn đến việc xác định người cụ thể Xem xét ví dụ: Tên phương tiện phổ biến để xác định người đó, nhiên thân yếu tố tên gọi “Nguyễn Văn A” khó để xác định cá nhân cụ thể có nhiều cá nhân mang tên Nguyễn Văn A Tuy nhiên, việc kết hợp yếu tố tên yếu tố định danh khác, chẳng hạn địa nhà, địa quan số điện thoại, đủ để xác định rõ ràng cá nhân Xem xét tình huống: Một cá nhân nộp đơn xin việc công ty A, phận nhân công ty A nhận đơn xóa trang chứa tên, chi tiết liên hệ, v.v cá nhân lưu phần lại biểu mẫu ‘Thư mục 1’ Đơn xin việc lưu với số đơn xin việc khác 15 tạo ngẫu nhiên gửi đến phận quản lý tuyển dụng Trong ‘Thư mục 2’ hạn chế truy cập, phận nhân lưu trang đơn Đơn xin việc ký hiệu số Thông tin Thư mục không cho phép nhận dạng cá nhân Tuy nhiên, thông tin kết hợp với thơng tin Thư mục 2, danh tính người nộp đơn xác định, thông tin Thư mục hay Thư mục tình xem liệu cá nhân15 - Xác định ý nghĩa cụm từ “liên quan đến” Có nhiều ví dụ liệu rõ ràng liên quan đến cá nhân cụ thể, ví dụ tiền sử bệnh án; hồ sơ tội phạm; hồ sơ hiệu suất cá nhân nơi làm việc; kỷ lục thành tích thể thao cá nhân, kê ngân hàng cá nhân, hóa đơn điện thoại… Tuy nhiên, nhiều trường hợp liệu liệu cá nhân trở thành liệu cá nhân liệu liên kết với chủ thể khác để cung cấp thêm thông tin nhằm xác định cụ thể danh tính cá nhân Yếu tố “liên quan đến” cá nhân hiểu liệu xử lý để liên kết với cá nhân cụ thể q trình xử lý liệu đưa định ảnh hưởng đến cá nhân cụ thể Xem xét ví dụ sau: liệu phí điện thoại phí điện chiếu sáng tiêu dùng tháng địa nhà liệu cá nhân Tuy nhiên, thông tin nhà thường liên kết với chủ sở hữu người thường trú nhà Ngay liệu chi phí tiền điện ngơi nhà liên kết với cá nhân cụ thể chủ hộ nhà chẳng hạn để xác định chi phí điện mà chủ hộ phải trả, liệu chi phí tiền điện liệu cá nhân Như thời điểm liệu sử dụng để liên kết đến cá nhân cụ thể, liệu xem liệu “liên quan đến” cá nhân liệu cá nhân Xem giải thích Điều (1), GDPR https://gdpr-info.eu/issues/personal-data/, truy cập ngày 01/09/2021 54 Số 05 (453) - T3/2022 THỰC TIỄN PHÁP LUẬT Mục đích việc xử lý liệu có ảnh hưởng quan trọng khiến liệu xử lý trở thành liệu cá nhân Nếu việc xử lý liệu ảnh hưởng đến trạng thái hành vi cá nhân, liệu cá nhân, nội dung liệu không liên quan trực tiếp cá nhân Xem xét ví dụ sau: Một cơng ty sử dụng nhật ký gọi từ điện thoại bàn để giúp xác định thời điểm người ngồi bàn làm việc văn phòng Nhật ký gọi từ điện thoại bàn không thiết phải thông tin liên quan đến cá nhân, thông tin liên kết với cá nhân A phân làm việc khu vực điện thoại bàn sử dụng để đánh giá hiệu suất công việc cá nhân A Như vậy, nhật ký gọi từ điện thoại bàn thơng tin liên quan đến cá nhân nhận dạng được, nên liệu nhật ký gọi từ điện thoại bàn liệu cá nhân Xem xét ví dụ tiếp theo: Các email luật sư viết cho khách hàng để tư vấn pháp lý cho khách hàng chứa thông tin tên luật sư nơi làm việc luật sư, liệu cá nhân luật sư Tuy nhiên, nội dung email vấn đề cá nhân luật sư mà tư vấn pháp lý vấn đề khách hàng, nội dung email khơng phải liệu cá nhân luật sư Nếu sau đó, khách hàng đưa khởi kiện dịch vụ tư vấn pháp lý luật sư email sử dụng để làm chứng cho vụ khởi kiện, lời khuyên pháp lý email sẽ trở thành liệu cá nhân luật sư - Xác định thông tin định danh cá nhân môi trường trường kỹ thuật số Thông tin xử lý lưu trữ, tiết lộ, truyền tải môi trường vật chất truyền thống môi trường kỹ thuật số Trong môi trường vật chất truyền thống, thơng tin tiếp cận số lượng người định, nơi xác định, thơng tin bị xóa bỏ vật chất chứa thông tin bị tiêu hủy giấy in, đĩa CD… Tuy nhiên, môi trường kỹ thuật số, vật chất lưu trữ thông tin đa dạng (file ghi âm điện tử, trang web, tảng xã hội số…), đồng thời việc kiểm sốt thơng tin trở nên khó khăn chủ thể liệu cá nhân, chủ thể xử lý liệu chủ thể nhắc đến thông tin Nếu muốn u cầu xóa bỏ thơng tin tồn mạng Internet, đòi hỏi việc áp dụng biện pháp kỹ thuật định để kiểm soát tiếp tục xuất thơng tin Trong mơi trường kỹ thuật số, yếu tố định danh cá nhân tên người dùng mạng xã hội, địa IP (internet protocol), nhận dạng cookie, định danh khác thẻ nhận dạng tần số vô tuyến (RFID), tài khoản quảng cáo, thẻ pixel, dấu vân tay thiết bị… Đối với tên người dùng mạng xã hội cá nhân, thơng tin ẩn danh vô nghĩa Tuy nhiên, liệu cá nhân để xác định danh tính Bởi vì, tên người dùng giúp phân biệt cá nhân với cá nhân khác liên kết danh tính tảng trực tuyến với cá nhân có tên “thế giới thực” hay khơng Hay xét ví dụ địa IP, trường hợp có yêu cầu hợp pháp để buộc nhà cung cấp dịch vụ phải đưa thêm thông tin bổ sung cho phép xác định người dùng cụ thể đằng sau địa IP, địa IP liệu cá nhân dùng để giúp xác định danh tính cá nhân Khi người dùng sử dụng cookie công nghệ tương tự để theo dõi hành vi cá nhân trang web, nhận dạng cookie liệu cá nhân lịch sử hoạt động trang web liên quan đến nhận dạng người dùng trực tuyến, sử dụng để tạo hồ sơ người dùng trực tuyến riêng biệt - Phân loại liệu liệu nhạy cảm GDPR phân biệt rõ ràng liệu cá nhân nhạy cảm không nhạy cảm GDPR thiết lập phân biệt rõ ràng liệu cá nhân nhạy cảm liệu cá nhân khơng nhạy cảm Ví dụ liệu không nhạy cảm Số 05 (453) - T3/2022 55 THỰC TIỄN PHÁP LUẬT bao gồm giới tính, ngày sinh, nơi sinh… cá nhân Mặc dù loại liệu khơng nhạy cảm kết hợp với liệu khác để xác định cá nhân cụ thể GDPR thiết lập danh mục liệu nhạy cảm liệu nhạy cảm cá nhân cần bảo vệ nhiều so với liệu không nhạy cảm Điều GDPR thiết lập danh mục liệu nhạy cảm, ví dụ gồm: nguồn gốc chủng tộc dân tộc, quan điểm trị, tín ngưỡng, tơn giáo, liệu di truyền sinh trắc học, sức khỏe tâm thần sức khỏe tình dục, khuynh hướng tình dục, thành viên cơng đồn GDPR đặt quy định nghiêm ngặt xử lý liệu cá nhân nhạy cảm so với liệu phi nhạy cảm Cụ thể, việc xử lý liệu cá nhân nhạy cảm phải có đồng ý rõ ràng chủ thể liệu (hoặc chủ thể công khai liệu cá nhân nhạy cảm); trường hợp khơng có đồng ý chủ thể liệu, liệu nhạy cảm xử lý có hợp pháp theo luật định16 Ngoài ra, lưu ý rằng, liệu cá nhân không cần phải liệu mang tính khách quan Thơng tin chủ quan ý kiến, nhận định đánh giá mức độ tín nhiệm người đánh giá kết công việc người sử dụng lao động liệu cá nhân Và liệu cá nhân phản ánh quan điểm trị, tín ngưỡng, tơn giáo cá nhân xem liệu nhạy cảm cá nhân - Nguyên tắc xem xét thông tin nghi ngờ liệu cá nhân Do cách giải thích rộng liên quan đến “bất kỳ thơng tin cá nhân nào” nên GDPR khuyến cáo bên xử lý liệu nên xem thông tin nghi ngờ liệu cá nhân liệu cá nhân Bởi vì, thơng tin cá nhân giúp suy luận điều cá nhân cụ thể công khai kết hợp với thông tin chủ thể khác hay tổ chức khác nắm giữ Do thơng tin liệu cá nhân GDPR khuyến cáo bên xử lý liệu có nghi ngờ việc xác định thơng tin xử lý có phải liệu cá nhân, bên xử lý liệu cá nhân phải bảo mật thông tin; bảo vệ thông tin khỏi việc bị tiết lộ không phù hợp; đảm bảo có lý hợp pháp q trình xử lý; thông báo việc xử lý liệu cá nhân Khuyến nghị hoàn thiện quy định liệu cá nhân pháp luật Việt Nam Dự thảo Nghị định quy định bảo vệ liệu cá nhân đưa khái niệm “Dữ liệu cá nhân là liệu cá nhân hoặc liên quan đến việc xác định xác định cá nhân cụ thể” Về bản, khái niệm phản ánh tham khảo quy định chung thừa nhận phổ quát giới, vài điểm hạn chế nội hàm “dữ liệu cá nhân” hay yếu tố “có thể xác định” cần làm rõ Dựa việc tham khảo quy định khái niệm liệu cá nhân GDPR, Việt Nam cần lưu ý nội dung sau trình xây dựng khái niệm “dữ liệu cá nhân” pháp luật bảo vệ liệu cá nhân: Thứ nhất, kỹ thuật lập pháp, Việt Nam khơng có đạo luật riêng biệt, toàn diện quán bảo vệ liệu cá nhân Thay vào đó, nội dung quy định rải rác luật nghị định khác Bộ luật Dân năm 2015; Bộ luật Hình năm 2015 sửa đổi, bổ sung năm 2017; Bộ luật Tố tụng dân năm 2015; Bộ luật Tố tụng hình năm 2015; Luật Giao dịch điện tử năm 2005; Luật Công nghệ thông tin năm 2006; Luật Bảo vệ quyền lợi người tiêu dùng năm 2010; Luật An toàn thông tin mạng năm 2015; Luật An ninh mạng năm 2018; Nghị định Xem Điều Điều GDPR, https://www.privacy-regulation.eu/en/article-6-lawfulness-of-processingGDPR.htm https://www.privacy-regulation.eu/en/article-9-processing-of-special-categories-of-personaldata-GDPR.htm, truy cập ngày 20/10/2021 16 56 Số 05 (453) - T3/2022 THỰC TIỄN PHÁP LUẬT số 52/2013/NĐ-CP thương mại điện tử, Nghị định số 72/2013/NĐ-CP quản lý, cung cấp sử dụng dịch vụ Internet thông tin mạng… Tuy nhiên, quy định phần lớn bảo vệ quyền riêng tư nói chung Gần đây, số đạo luật chuyên ngành đưa số quy định dành riêng cho việc bảo vệ thông tin cá nhân, chủ yếu dạng nguyên tắc chung Với tốc độ tăng trưởng nhanh chóng cơng nghệ số quy định bảo vệ liệu cá nhân chưa đáp ứng yêu cầu từ thực tế Bên cạnh đó, quy định khơng thiếu, hạn chế mà nằm rải rác gây nên chồng chéo trở ngại cho việc tra cứu, áp dụng luật Do đó, Việt Nam cần nghiên cứu để ban hành Luật Bảo vệ liệu cá nhân nhằm khắc phục chồng chéo, mâu thuẫn văn luật hành Thứ hai, nội dung khái niệm liệu cá nhân, thấy đề xuất dự thảo Nghị định bảo vệ liệu cá nhân hạn chế, cụ thể nên xem xét bỏ nội dung “Dữ liệu cá nhân là liệu cá nhân” chưa thực làm rõ ý nghĩa; thay vào nên quy định cụ thể: là, liệu liên quan đến cá nhân cụ thể; hai là, liệu liên quan đến việc xác định cá nhân cụ thể Dự thảo Nghị định có phân loại liệu thành liệu cá nhân liệu cá nhân nhạy cảm Trong đó, liệu cá nhân gồm: a) Họ, chữ đệm tên khai sinh, bí danh (nếu có); b) Ngày, tháng, năm sinh; ngày, tháng, năm chết tích; c) Nhóm máu, giới tính; d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tại, quê quán, địa liên hệ, địa thư điện tử; đ) Trình độ học vấn; e) Dân tộc; g) Quốc tịch; h) Số điện thoại; i) Số chứng minh nhân dân, số hộ chiếu, số cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội; k) tình trạng nhân; l) Dữ liệu phản ánh hoạt động lịch sử hoạt động không gian mạng Các liệu nhạy cảm quy định gồm nhiều loại thông tin GDPR liệu cá nhân tội phạm, hành vi phạm tội thu thập, lưu trữ quan thực thi pháp luật; liệu cá nhân tài chính, liệu cá nhân vị trí thơng tin vị trí địa lý thực tế cá nhân khứ tại; liệu cá nhân mối quan hệ xã hội… Tuy nhiên, Việt Nam cần bổ sung thêm thông tin định danh cá nhân môi trường trường kỹ thuật số tên người dùng mạng xã hội, địa IP (internet protocol), nhận dạng cookie định danh khác thẻ nhận dạng tần số vô tuyến (RFID), tài khoản quảng cáo, thẻ pixel, dấu vân tay thiết bị, ảnh, video ghi âm… Đồng thời, Việt Nam cần có hướng dẫn cụ thể văn luật để làm rõ ý nghĩa thuật ngữ như: “liên quan đến”, “có thể xác định được” khái niệm liệu cá nhân cách giải thích ý nghĩa thuật ngữ GDPR văn recitals (nhằm nói rõ bối cảnh, mục đích, lý hay ý nghĩa quy định pháp luật) Ví dụ lịch trình di chuyển người ghi nhận lại ứng dụng du lịch trở thành thơng tin cá nhân chúng phù hợp với mục đích sử dụng tổ chức này: theo dõi đưa đề xuất khách sạn gần nhất; ngược lại, thông tin khơng xem thơng tin cá nhân chúng không cần thiết ứng dụng nghe nhạc điện thoại. Như vậy, mục đích sử dụng thơng tin cá nhân có ảnh hưởng quan trọng đến việc xác định liệu xử lý liệu cá nhân Tóm lại, để xác định thơng tin thông tin định danh, Việt Nam cần cân nhắc đến yếu tố như: (a) nội dung thông tin có liên quan trực tiếp đến người hoạt động họ hay khơng; (b) mục đích việc truy cập xử lý liệu; (c) hệ tác động đến chủ thể liệu sau liệu truy cập và xử lý ■ Số 05 (453) - T3/2022 57 ... Nam chưa có cách hiểu thống khái niệm nội hàm liệu cá nhân, bảo vệ liệu cá nhân Các văn quy phạm pháp luật hành sử dụng số thuật ngữ có liên quan đến liệu cá nhân bảo vệ liệu cá nhân (gần 10... cá nhân liệu vượt qua lực bảo vệ chế pháp lý truyền thống Tại Việt Nam, trước hạn chế quy định bảo vệ liệu cá nhân văn pháp luật khác nhau, Chính phủ xây dựng Nghị định quy định bảo vệ liệu cá. .. hợp; đảm bảo có lý hợp pháp q trình xử lý; thơng báo việc xử lý liệu cá nhân Khuyến nghị hoàn thiện quy định liệu cá nhân pháp luật Việt Nam Dự thảo Nghị định quy định bảo vệ liệu cá nhân đưa