Khoá luận tốt nghiệp: Pháp luật Việt Nam về bảo vệ dữ liệu cá nhân và kinh nghiệm từ một số quốc gia trên thế giới

Bài viết này chỉ ra nhu cầu điều chỉnh về mặt pháp lý đối với việc tiếp nhận thông tin và xử lý đữ liệu cá nhân trên cơ sở đánh giá tổng quan các quy định pháp luật hiện hành, đốisánh vớ

BỘ TƯ PHÁP BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC LUẬT HÀ NỘI

PHẠM GIA LƯU PHƯƠNG

442530

MOT SO QUOC GIA TREN THE GIỚI

KHOA LUAN TOT NGHIEP

Hà Nội - 2023

BỘ TƯ PHÁP BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC LUẬT HÀ NỘI

PHẠM GIA LƯU PHƯƠNG

442530

PHÁP LUAT VIỆT NAM VE BẢO VE DU

LIEU CA NHAN VA KINH NGHIEM TU MOT SO QUOC GIA TREN THE GIỚI

Chuyên ngành: Pháp luật Kinh té

NGƯỜI HƯỚNG DẪN KHOA HỌC ThS NGUYÊN THỊ LONG

Hà Nội — 2023

LOI CAM DOAN

Tôi xin cam đoan đây la công trình nghiên cứu của riêng tôi, các kết luận, sô liệu trong khóa luận tot nghiệp là trung thực, dam bao độ tin cay./.

Xác nhận cua Tác giả khóa luận tốt nghiệpgiảng viên hướng dan (Ký và ghi rõ họ tên)

il

DANH MỤC KI HIỆU HOẶC CAC CHỮ VIET TAT

Dữ liệu cá nhân

Liên minh Châu ÂuGeneral Data Protection Regulations (Bộ quy định chung về

bảo vệ dir liệu cá nhân của Liên minh Châu Au)

Bộ Nguyên tắc chung Luật Dân sự của Cộng hòa Nhân dân

Trung Hoa

Tổ chức Hop tác và Phát triển Kinh tế Châu Âu

Thông tin cá nhân

China ”s Personal Information Protection Law (Luật Bảo vệ thông tin cá nhân Trung Quôc)

1H

MỤC LỤC

TRANG PHỤ BÌA i

LOI CAM DOAN ii

MUC LUC iv

A LỜI NÓI DAU 1

1 Tinh cấp thiết của việc nghiên cứu đề tai ecceccecccssesesssessssssssssessvssecsessecsecsessessesssssesscssesucsussnssessneaeeaee 1

2 Tinh hinh nghién CWU 0 2

3.Ý nghĩa khoa học và thực CHEN oes eececececececececececscscscecscscvavevevscsvscscscscscacacacacacacacececscececusssvavsavavevacscavaceees 6

C0 90i19)0/:-0).i1xìNẼẲRiaiẳađắẳiáaaũŨŨẠỤẶẰỤẰAỲ 7

5 Đối tượng và phạm vi nghiên Cứu 2- 2s SE EE+EE+EE+EE+EE2EE2EE2EE2E2E711171117111111111111 1 c0.7

6 Phuong phap nghién CU 0n 8

7 Kết cầu của khoá WAN .eececeseccesececsececsesesecsesececsesucsesececsvsrcecssucseseucassueaeavsueacsusasavsusasseensevavsucatensesees 9

B NỘI DUNG 10 CHƯƠNG 1: MOT SO VAN DE LÝ LUẬN VE PHÁP LUẬT BẢO VE DU LIEU CÁ NHÂN 10

1.1 Khai quát chung về bao vệ đữ liệu cá nhân 2-2 2 2+ 2 £+E£+E£+E£EE£EE+EESEEEEEEEEEEEEEEEE2221222 22222, 10

1.1.1 Khái quát chung về đữ liệu cá nhân 2-2 ® sSE+EE+EE+EE2EE2EE2EE2EE2EE2E12E121171712711111 11 1E xe 10

1.1.1.1 Khái niệm dit liệu cá nhân 2-2 £ % %+EE£2EE9EE£EEEE12E1971121121171121121111111 11111 1x xe 10 1.1.1.2 Đặc điểm dữ liệu cá nhân - 2-2 ® SE E+EE2EE2EE2EE2E12E12E22112171717171111111111111 111.1 6 12 1.1.1.3 Phân loại đữ liệu cá nhân 2-2 ¿+ £+SE£EE£EEE+EE£EEEEEE9EE921122127171121117171121111111 21.12 Xe 13 1.1.1.4 Mối quan hệ giữa quyền đối với dữ liệu cá nhân và quyền riêng tưư -2- 2 5¿©5z22+2cx+£2 14

1.1.2 Khái quát chung về bảo vệ dữ liệu cá nhân ¿2 2 £+S+E+E£*E£EE£EEEEEEEEEEEEEEEE1211211211211 1e Xe l6

1.1.2.1 Khái niệm bảo vệ dữ liệu cá nhân - - - G EE E2231111111111EE8533811 11 1 111885355111 kg 16

1.1.2.2 Đặc điểm bảo vệ đữ liệu cá nhân 2 2© £+S£+SE#EE2EE£EE£EEEEEE2E171121121171121121171.21 12 xe 17

1.1.2.3 Phân loại bảo vệ dữ liệu cá nhân - - (G2133 2221183329231 31 2531113 8311111 211111 82111116221 re 19

1.2 Khái quát chung về pháp luật bảo vệ đữ liệu cá nhân ¿+ + +EE£EE+EE+EE£EE+EE+EE2EEzEEzEEzEezxee 21

1.2.1 Khái niệm về pháp luật bảo vệ dữ liệu cá nhân 2 2 2 £+E£+E£EE£EE+EE£EESEEEEEEEEEEEEEEEEErErrrree BÃI 1.2.2 Đặc điểm pháp luật bảo vệ dif liệu cá nhân - 2 2 E©E£2E£+EE£EEtEEEEEEEEEEEEEEEEEEErErrrrrkeee 22 1.2.3 Phân loại pháp luật bảo vệ dit liệu cá nhân 2-2 ¿+ £+EE+EE£2EE+EE£EEEEEE2EE971221221712222222 xe 23

1.2.4 Cấu trúc pháp luật về bảo vệ dit liệu cá nhân - ¿22 2+®+EE++£+E++EE+EEEEEESEEEEE2EEEEE2E2Exerkree 25 1.2.5 Nội dung pháp luật về bảo vệ đữ liệu cá nhân -¿- S2 St+E+E32E2EEEE2E2E3112E151112111121151112121 1e 2xxE 26

098 43⁄069:10/9))000 8 29 CHƯƠNG 2: PHÁP LUẬT VIỆT NAM VÀ PHÁP LUẬT MỘT SO QUOC GIA TREN THE GIỚI

VE BẢO VỆ DU LIEU CÁ NHÂN - 22-22 2S222122121102112711271121121111111111121211 11c 30 2.1 Cấu trúc pháp luật Việt Nam hiện hành - 2 2 2 + S£+E£+E£EE£+E£EE£EEEEEEEEEEEEEEEE121121121121121121e2Xe2 30

2.2 Nội dung pháp luật Việt Nam về bảo vệ dữ liệu cá nhân - ¿+ +St+E+E£EE+EEEEEEEEEEEEEeEerkrErrererrrrs 31

IV

2.1.1 Quy định pháp luật Việt Nam về dữ liệu cá nhân ¿2E SE+EE£EE£EE£EEEEEEEEEEEEEEEEEZEErEerree 31

2.1.2 Quy định pháp luật Việt Nam về chủ thé liên quan đến bảo vệ dữ liệu cá nhân - 35 2.1.3 Quy định pháp luật Việt Nam về các phương thức bảo vệ dit liệu cá nhân 2- 2 2 22 22 +2 38

PS P© luii 8ốẶ 38

P 6.40 203i 0n 41 2.1.3.3 Các biện pháp hành chith ccecsceesscesseeseceeeeseceseeeseeeseeensecssecesecseeseeeseeeceseceeeseesseeeneeenseees 42 2.1.4 Quy định pháp luật Việt Nam về các nguyên tắc bảo vệ dit liệu cá nhân - 2-2 s+sz+sz+s+2 42 2.3 Thực tiễn thực hiện pháp luật Việt Nam về bảo vệ đữ liệu cá nhân - 2-2 s2 2+£s+£+z£z+£zz£zzs+2 43 2.3.1 Thành tựu ¿2c ©5£ %9SE£EE9EEE9EEEEE2E15719711211271711211211111211111171111 1111.1111.111 11.1 xe 43

2.3.2 Hạn chế của pháp luật về bảo vệ dit liệu cá nhân và nguyên nhân 2-2 s2 s22 £E2£++E+2 22 +2 46

2.4 Pháp luật một số quốc gia trên thé giới về bảo vệ dit liệu cá nhân và kinh nghiệm cho Việt Nam 50

2.4.1 Quy định chung về bảo vệ dữ liệu Châu Âu (GIDPR) - ¿2-2 S+SE£EE£EE+EE£EE#EE2EE2EE2EE2EEzEezxee 50 2.4.1.1 Cấu trúc pháp luật về bảo vệ dữ liệu của liên minh châu Âu -2- 2 2 +2 22 ++£+z£zEz+£zzs+2 50

2.4.1.2 Nội dung pháp luật về bảo vệ dữ liệu cá nhân của liên minh châu Âu (GDPR) 2 ¿ 51

2.4.2 Pháp luật Nhật Ban về bao vệ dữ liệu cá nhân - 2 2 9S +S+E£EE£EE#EEEEESEEEEEEEEEEEEEEEEEEEEEerree 55

2.4.2.1 Cau trúc pháp luật về bảo vệ dữ liệu cá nhân của Nhật Bản 2-2-2 s2 22 £+E++£++EzEzz£zzsz2 55

2.4.2.2 Nội dung pháp luật về bảo vệ dữ liệu cá nhân của Nhật Bản 22 SE+E+EvEE2E+EEEEzEEEEzEzzrez 55

2.4.3 Pháp luật Trung Quốc về bảo vệ dit liệu cá nhân 2-2 5¿©5£+SE+EE+2EE+EE£EE2EESEEeEEzEezrxerxee 58

2.4.3.1 Cấu trúc pháp luật về bao vệ dữ liệu cá nhân của Trung Quốc - 2-2 +2 £+£++£++£+zE++E++xe2 58

2.4.3.2 Nội dung pháp luật về bảo vệ dữ liệu cá nhân của Trung Quốc - 2-22 s+x++z+zx+zxe2 59

2.5 Một số kinh nghiệm hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân 2-2 2 22 63 2.5.1 Gia oi ao in oaaâỘŨỒỦỮ 63

2.5.2 Giá trị tham khảo về nội dunig 2: ¿22 ®+2x2E£+EE£EE2EEEEEEEE2E1221711211221211211271711211 222 2x 2 64

TIỂU KẾT CHƯNG 2 2-2 S222 92E9EE2E1221711211211711211111121111 1111111 1111111 11111 xe 65 CHUONG 3: MỘT SO ĐÈ XUẤT HOÀN THIỆN PHÁP LUAT VE BẢO VỆ DU LIEU CÁ NHÂN

TẠI VIỆT NAM 2 - 5< S121 2112E1571121121121121121111211 2111111121111 11.101.11.11 re 66 3.1 Đề xuất lộ trình xây dựng và hoàn thiện pháp luật về bao vệ dữ liệu cá nhân tại Việt Nam 66

3.2 Một số đề xuất về cấu trúc pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam 2-2 2 22552 67

3.3 Một số đề xuất về nội dung pháp luật về bảo vệ đữ liệu cá nhân - 2 2 s+s£+£+£E+£x++z+z++zxe2 69

TIỂU KET CHUONG Â - 2 2 S2 9EEEEE2E1921711211221711211111121111 111111 1111 11 1.1.1 72

C KET LUAN 018 73

D DANH MỤC TÀI LIEU THAM KHAO - 2-52 £S£+S9E£EE£EEEEEEEEEEEEEEEEE2EE21121121121e1ee2 74

99:00 79

A LỜI NÓI ĐẦU

1 Tính cấp thiết của việc nghiên cứu đề tài

Hiện nay, đữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia

sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ chỉ tiết khác nhau Thực

tế cũng cho thay, tình trạng lộ dữ liệu cá nhân đã và đang diễn ra phố biến trên không gian

mạng Người sử dụng chưa có ý thức bảo vệ đữ liệu cá nhân, đăng tải công khai hoặc lộ trong

quá trình chuyền giao, lưu trữ, trao đối phục vụ hoạt động kinh doanh hoặc do biện pháp bảo

vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai! Theo đại điện của Bộ Công

an trong Phiên họp toàn thé lần thứ 5 — Tham tra dự thảo luật bảo vệ dữ liệu cá nhân, hiện tìnhtrạng lộ, mua bán đữ liệu cá nhân hiện đang diễn ra công khai, phổ biến trên không gian mạng.Chỉ trong 2 năm từ 2019-2020, Bộ Công an đã phát hiện hàng trăm cá nhân, tổ chức liên quanbán đữ liệu cá nhân, trong đó có một số đường dây chiêm đoạt, mua bán dữ liệu quy mô lớntại Việt Nam Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tớigan 1.300 GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm”

Một trong những vụ việc tiêu biéu nhất là vụ án “Lai Thi Phương (Giám đốc Công tyVNIT TECH, có trụ sở tại Ba Đình, Hà Nội) và chông là Dư Anh Quy, bị khởi lô về tội “Đưa

9999

hoặc sử dung trai phép thông tin mang máy tính, mang viên thông ””° Qua điều tra, lực lượngchức năng xác định các đối tượng đã thu thập, chiếm đoạt, mua bán, sử dụng trái phép gần1.300GB dữ liệu, chứa hàng tỷ thông tin về các cá nhân, tô chức trên toàn quốc là: khách hàng

điện lực; phụ huynh, học sinh tại các trên cả nước; khách hàng của nhiều ngân hàng, trong đó

có các ngân hàng lớn nhất Việt Nam; thông tin đăng ký kinh doanh, nhân sự cơ quan nhànước, bảo hiểm, hộ khâu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng Viễn thông

lớn nhất Việt Nam; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách

hàng điện máy trên toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính,chứng khoán, khách hàng các ngành spa, nha khoa, thời trang, thầm mỹ viện Những dữ liệunày bị rao bán công khai thông qua nhiều trang web, tài khoản, trang, nhóm trên mạng xã hội

Facebook, Zalo, Telegram, diễn đàn tin tặc”

Nguyên nhân của những hạn chế trên một phan do sự chủ quan của người dùng khi sử

! Song Hà, 2023, “Báo vệ đữ liệu cá nhân”, Báo điện tử Đại biểu Nhân dân Truy cập tại:

https://daibieunhandan.vn/chinh-sach-va-cuoc-song/bao-ve-du-lieu-ca-nhan-i316065/ Truy cập ngày: 20/03/2023.

2 Trọng Quynh, 2023, “Cẩn sớm ban hành một văn bản quy phạm pháp luật vê bảo vệ dit liệu cá nhân”, Công thông tin điện tử Quốc hội, truy cập ngày 28/02/2023 Truy cập tại: https://quochoi.vn/tintuc/Pages/tin-hoat-dong-cua-quoc-

hoi.aspx?ItemID=72933 Truy cập ngày: 20/03/2023.

3 Theo Phóng viên (TTXVN), 2021, “Khởi t6 vụ án mua bán, sử dung, trai phép 1.300GB dit liệu cá nhân”, Báo Việt Nam

Plus Truy cập tại hfttps:⁄/www.vietnamplus.vn/khoi-fo-vu-an-mua-ban-su-dung-trai-phep- nhan/713451.vnp Truy cập ngày: 20/03/2023.

I300gb-du-lieu-ca-dụng mạng máy tính, một phần do các hacker tân công mạng Tuy nhiên, phần nhiều do nhữnghạn chế của quy định pháp luật Mặc dù đã có nhiều văn bản quy phạm pháp luật quy định vềvan đề bảo vệ dữ liệu cá nhân như Luật An ninh mang 2018, Luật An toàn thông tin mạngnăm 2015, tuy nhiên quy định hiện tại còn bộc lộ nhiều hạn chế.

Một trong những hạn chế đầu tiên là chưa thống nhất được nội hàm các thuật ngữ liênquan dé thông nhất xây dựng khung pháp lý Việc sử dụng các thuật ngữ không rõ ràng vàkhác nhau trong các văn bản pháp luật đã gây ra sự mơ hồ và gây khó khăn cho các co quan

chức năng trong việc thực thi luật Bên cạnh đó, Việt Nam cũng chưa xây dựng được một hệ

thống khung pháp lý đồng bộ, thống nhất trong lĩnh vực bảo vệ dữ liệu cá nhân Hệ qua là hiệuquả thực thi của pháp luật về bảo vệ dữ liệu cá nhân chưa cao Ngoài ra, việc thiếu các nghiêncứu lý luận có thể dẫn đến sự mơ hồ và khó khăn trong việc giải quyết các tranh chấp pháp lýliên quan đến bảo vệ dit liệu cá nhân Điều này gây khó khăn trong việc xây dung các chính

sách, pháp luật mới và thực hiện các quy định đã có trong lĩnh vực này.

Ở Việt Nam, Chính phủ nước ta hiện nay cũng đang thực hiện chính sách đây mạnh,làm mới dé thúc day Chính phủ số Điều đó cũng đồng nghĩa là nước ta phải day mạnh việcbảo vệ dữ liệu cá nhân cho phù hợp với nhu cầu của Nhà nước Chính những hạn chế và nhucầu cấp bách này đã dẫn đến yêu cầu cần điều chỉnh, b6 sung một cách toàn diện cơ chế bảo

vệ đữ liệu cá nhân, các quy định liên quan đến quản lý dữ liệu cá nhân; trách nhiệm và xử lý

vi phạm đối với các cá nhân, tô chức liên quan đến việc làm rò ri dữ liệu cá nhân và đảm bảo

được đữ liệu cá nhân được bảo vệ và sử dụng đúng mục đích.

Xuất phát từ nhu cầu phát triển kinh tế, hội nhập của Việt Nam, việc nghiên cứu, tìmhiểu nhằm đưa ra các giải pháp hữu hiệu dé hoàn thiện quy định về bảo vệ dit liệu cá nhân làmột đòi hỏi cấp thiết, khách quan Nhận thức được tính cấp thiết và ý nghĩa thực tiễn của đềtài, tác giả đã lựa chọn nghiên cứu van đề “Pháp luật Việt Nam về bảo vệ dit liệu cá nhân vàkinh nghiệm từ một số quốc gia trên thé gió?” làm đề tài khóa luận tốt nghiệp của mình

2 Tình hình nghiên cứu

Van dé bảo vệ đữ liệu cá nhân trong giai đoạn cách mạng số vừa là van dé quan tronglại vừa là nhiệm vụ cần thiết của các quốc gia trên thé giới không chỉ riêng Việt Nam Thông

qua việc xây dựng chính sách tích cực, chính phủ của các nước nói chung và của Việt Nam

nói riêng luôn đề cao tính sáng tạo, thúc đây các nhà khoa học, nghiên cứu sinh thực hiện các

công trình nghiên cứu chuyên sâu trong đó có những công trình khoa học pháp lý đã được thực hiện.

2.1 Các công trình nghiên cứu trong nước

Liên quan đến nội dung nghiên cứu về đữ liệu cá nhân tại Việt Nam hiện nay đã cócác công trình nghiên cứu về van dé về này Một số công trình có thê được kê đến như:

2

Luận văn, luận an:

iF Lê Đình Nghị, 2008, “Quyên bi mật đời tư theo quy định của pháp luật Dân

sự Việt Nam”, Luận án tiễn sĩ luật học, Trường Đại học Luật Hà Nội

Công trình này nghiên cứu về sự phát triển của pháp luật Việt Nam cũng như các quyđịnh của pháp luật Việt Nam về quyền bí mật đời tư Tuy nhiên, công trình này nghiên cứu vềquyền bảo vệ bí mật đời tư ở một phạm vi rộng hơn so với đữ liệu cá nhân trong ngành luật

Dân sư Bệnh cạnh đó, công trình này được thực hiện khi BLDS năm 2005 đang có hiệu lực

thi hành nên phạm vi, đối tượng mà công trình này nghiên cứu đã có nhiều thay đổi

2 Tran Hoàng Đức, 2016, “Quyên riêng tư dưới góc độ lý luận và pháp luật thực

định”, Luận văn thạc sĩ luật học, Trường Dai học Luật Hà Nội.

Công trình này đi sâu tìm hiéu, nghiên cứu về bản chất của quyên riêng tư, từ đó hướngtới tìm ra phương hướng hoàn thiện hệ thống quy định pháp luật Việt Nam, đồng thời nângcao nhận thức của người dân về Quyên riêng tư trong thời kỳ mới, bối cảnh xã hội mới

3 Dang Hồng Minh, 2022, “Quyên riêng tư của cá nhân trong môi Irường mang

xã hội ở Việt Nam và thực tiễn thực hiện tại mạng xã hội Facebook, Luận văn thạc sĩ luật

học, Trường Đại học Luật Hà Nội.

Công trình cho thay một góc nhìn thực tiễn về việc thực hiện các quy định nhằm bảo

vệ quyền riêng tư cá nhân, đồng thời góp phần nâng cao cảnh giác, cảnh tỉnh các cá nhân về ýthức tự bảo vệ quyền riêng tư cá nhân của mình khi tham gia mạng xã hội trong bồi cảnh hiệnnay, nhất là mạng xã hội Facebook do tính phô biến của nó, ké từ lúc ra đời đến hiện nay đãtrở thành một “công cụ hỗ tro” không thé thiếu trong cuộc sống sinh hoạt của con người, từ

việc giải trí, kinh doanh, liên lac,

4 Tran Thi Hồng Hạnh, 2018, “Hoàn thiện pháp luật về bảo vệ thông tin cả nhân

ở Việt Nam hiện nay”, Luận án tiễn sĩ, Học viện Chính trị Quốc gia Hồ Chí Minh

Nghiên cứu này đã làm rõ khái niệm, đặc điểm và vai trò của pháp luật thông tin cánhân Tác giả đã phân tích được các yếu tố ảnh hưởng và các tiêu chí đánh giá mức độ hoànthiện của pháp luật bảo vệ thông tin cá nhân, đồng thời Bên cạnh đó, nghiên cứu cho chúng

ta góc nhìn tổng quan về van dé bảo vệ thông tin cá nhân trên thé giới và rút ra những bài họckinh nghiệm cho Việt Nam Từ việc đánh giá thực trạng pháp luật Việt Nam về bảo vệ thôngtin cá nhân, tác giả đưa ra những giải pháp nhăm hoàn thiện bảo vệ dữ liệu cá nhân

5 Phạm Hoàng Thanh, 2022, “Bảo vệ dit liệu cá nhân — Một số vấn dé lý luận

va thuc tiên”, Luận văn thạc sĩ luật học, Trường Đại học Luật Hà Nội

Công trình nghiên cứu các van đề lý luận về đữ liệu cá nhân va bảo vệ dữ liệu cá nhân,trên cơ sở phân tích những điểm tích cực và hạn chế của pháp luật hiện hành về bảo vệ đữ liệu

cá nhân, cũng như những tích cực và hạn chế của việc thực hiện các quy định pháp luật về bảo

3

vệ đữ liệu cá nhân trên thực tế, từ đó đề xuất những giải pháp, kiến nghị hoàn thiện quy địnhcủa pháp luật về bảo vệ đữ liệu cá nhân và nâng cao hiệu quả thực thi quy định pháp luật.

Bài viết, tạp chí:

1 Vũ Công Giao, 2020, Lê Trần Như Tuyên, “Bảo vệ quyên đối với dit liệu cánhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và gid trị tham khảo cho Việt Nam”,Tạp chí nghiên cứu lập pháp, số 9/2020

Nội dung bài viết phân tích sâu sắc về khái niệm quyền được bảo vệ đữ liệu cá nhâncũng như chỉ ra nội dung cốt lõi của loại quyền này Bên cạnh đó, tác giả đưa ra góc nhìn nhậnchung của pháp luật thê giới về bảo vệ quyền đối với đữ liệu cá nhân và đồng thời chỉ ra đặctrưng pháp lí về bảo vệ quyền đối với đữ liệu cá nhân của hai khu vực địa lý tiêu biểu là Liênminh Châu Âu và Hoa Kỳ Từ những phân tích trên, tác giả đưa ra đánh giá về tình hình phápluật Việt Nam về bảo vệ quyền đối với đữ liệu cá nhân đồng thời đưa ra các giải pháp gợi mở

dé hoàn thiện quy định pháp luật hiện hành

2 TS Lê Minh Hồng, TS Đỗ Tiến Dũng, 2020, “Pháp luật quốc tế về bảo vệthông tin cá nhân “, Trang thông tin Ban cơ yếu Chính Phủ An toàn thông tin

Bài viết khái quát các mô hình pháp luật bảo vệ thông tin cá nhân của một số tô chức,quốc gia trên thế giới (Mô hình Châu Âu, mô hình Hòa Kỳ, mô hình hỗ hợp Đồng thời tácgiả chỉ ra các tiếp cận, cơ chế pháp lý và cách thức bảo vệ thông tin cá nhân Tác giả đã chỉ racách tiếp cận bảo vệ thông tin cá nhân trên quan điểm bảo vệ quyền riêng, cơ chế pháp lý và

cách thức bảo vệ thông tin cá nhân dựa trên việc phân loại thông tin cá nhân, mục đích sử

dụng, hoạt động của thông tin, đồng thời thiết lập cơ chế bảo vệ tong thé thông tin cá nhân,trong đó đề cao quyền kiểm soát của chê thể thông tin cá nhân

3 TS Dương Kim Thế Nguyên, ThS Huỳnh Thiên Tứ, ThS Lê Thùy Khanh,ThS Mai Nguyễn Dũng, 2021, “Cai cách pháp luật đáp ứng nhu cau bảo vệ dữ liệu cả nhân

trong chuyén đối số.” Bộ sưu tập Book Series, Truong Dai học Luật H6 Chi Minh

Bài viết này chỉ ra nhu cầu điều chỉnh về mặt pháp lý đối với việc tiếp nhận thông tin

và xử lý đữ liệu cá nhân trên cơ sở đánh giá tổng quan các quy định pháp luật hiện hành, đốisánh với các quy định bảo vệ dữ liệu cá nhân của một số nước trên thế giới Bên cạnh đó,nhóm tác giả còn đề xuất hai nhóm nguyên tắc lập quy nhằm cân bằng lợi ích giữa các chủthể, đồng thời đề xuất sửa đối, bổ sung các quy định pháp luật hiện hành theo hướng thôngnhất ghi nhận quyền nhân thân đối với thông tin cá nhân, tách bạch cơ chế điều chỉnh giữaquan hệ xử lý đữ liệu cá nhân với dữ liệu công nghiệp, trung hòa xung đột thông qua cơ chếquy chuẩn, kiểm định, đánh giá tín nhiệm số đối với các chủ thê xử lý đữ liệu

Đề tài nghiên cứu khoa học:

1 Bùi Duy Khánh, Dương Yến Nhi, Trần Duy Phú, 2020, Pháp luật Việt Nam

4

về bdo vệ dữ liệu cá nhân trong giai đoạn cách mang 4.0— bài học kinh nghiệm cua các quốcgia thé giới Đề tài NCKH cấp trường, Trường Dai học Luật Hà Nội.

Bài viết phân tích sâu sắc van dé ly luận về pháp luật bảo vệ dit liệu cá nhân trong giaiđoạn cách mạng 4.0, trong đó chỉ ra những thách thức về bao vệ đữ liệu cá nhân trong đoạn

cách mạng 4.0 Bên cạnh đó, nhóm tác giả đã đánh giá thực trạng pháp luật Việt Nam (lý luận

và thực tiễn) về bảo vệ dữ liệu cá nhân và đồng thời nhóm tác giả nghiên cứu pháp luật củamột số khu vực trên thé giới về bảo vệ dữ liệu cá nhân, từ đó đưa ra những giá tri, bài học kinhnghiệm cho Việt Nam Từ những phân tích trên, bài viết đưa ra kiến nghị hoàn thiện pháp luật

và đồng thời đưa ra các giải pháp nhằm nâng cao hoạt động bảo vệ dữ liệu cá nhân

2.2 Công trình nước ngoài

Tạp chí:

1 Emmanuel Pernot-Leplay, 2020, “C?na s Approach on Data Privacy Law:

A Third Way Between the U.S and the EU?” , Penn State Journl of Law & International Affairs, 117 trang’.

Công trình này chỉ ra cách tiếp cận của Hoa kỳ va EU về van đề bao vệ dữ liệu cánhân/thông tin cá nhân Đồng thời bài viết so sánh các luật về quyền riêng tư dữ liệu của TrungQuốc với các cách tiếp cận chủ đạo đến từ EU và cách tiếp cận tối giản của Hoa Kỳ - các môhình phương Tây Kết quả so sánh thay rằng cách tiếp cận của Trung quốc trước đây giốngnhư cách tiếp cận của Hoa Kỳ song dan dan thay đổi đi theo hướng đi của EU Từ những phântích trên, tác giả đặt ra câu hỏi “con đường tiếp cận của Trung Quốc — con đường thứ ba giữa

3 Serge Gutwirth, Ronald Leenes, Paul De Hert (Editors), 2016, “Data Protection on the Move: Current Developments in ICT and Privacy/Data Protection”, NXB: Springer Netherlands, 492 trang.

Cuốn sách khám phá các khái niệm, quyên, giá trị cốt lõi trong quy định bảo vệ đữ liệu

và tính đầy đủ theo quan điểm của các sự phát triển như “Dữ liệu lớn và Mở”, bao gồm: quyền

bị lãng quên, siêu dữ liệu và ấn danh Cuốn sách thảo luận về các phương pháp và công cụthúc day quyền riêng tư như phương pháp lập mô hình hệ thống chính thức, quyền riêng tư

4 Truy cập tại: https://elibrary.law.psu.edu/cgi/viewcontent.cgi?article=1244&context=jlia.

5

theo thiết kế dưới nhiều hình thức (rô bét, thanh toán ân danh), cơ hội và gánh nặng của việc

tự quản lý quyền riêng tư, vai trò khác biệt của quyền riêng tư có thé đóng trong đôi mới Cuốnsách cũng thảo luận về các chính sách của EU đối với Dữ liệu lớn và Mở Ngoài ra, các quy

định cũng đang được chú ý như “EU-cookie law” - “luật cookie của EU” và các trường hợp

cụ thể như Châu Âu và Facebook Cuốn sách liên ngành này được viết trong giai đoạn cuốicùng của quá trình sửa đổi Luật bảo vệ dữ liệu của EU thông qua đề xuất “Gói bảo vệ dit liệu”của Ủy ban Châu Âu Đồng thời thảo luận về các vẫn đề mở và cách tiếp cận táo bạo và tươnglai về quyên riêng tư và bảo vệ dữ liệu

4 Mor Bakhoum, Beatriz Conde Gallego, Mark-Oliver Mackenrodt, Gintarẻ Surblyte-Namaviciené, 2018, Personal Data in Competition, Consumer Protection and Intellectual Property towards a Holistic Approach.

Cuốn sách này xác định các thiếu sót, các đặc điểm chung và kha năng phối hop cóthé có giữa các lĩnh vực pháp lý khác nhau nhân mạnh nhu cầu và các bước khả thi dé pháttrién một phương pháp quản lý toàn diện liên quan đến đữ liệu cá nhân Cách tiếp cận tích hợpnhư vậy sẽ là kết quả của sự đánh đồi giữa các mục tiêu và giá trị pháp lý khác nhau Mặc dùviệc phát triển các sản phẩm và dịch vụ đôi mới dựa trên đữ liệu mới là quan trọng, nhưngviệc xem xét các khía cạnh quyền cơ bản của dữ liệu cá nhân và bảo vệ quyên riêng tư cũngquan trọng không kém Từ góc độ thê chế, các mục tiêu và cơ sở lý luận của từng lĩnh vực luậtđược dự tính cần được tính đến một cách hợp lý

5 Orla Lynskey, 2015, “The Foundation of EU Data Protection Laws”, Oxford Studies in European Law.

Cuốn sách của Orla Lynskey rất kịp thời, đặc biệt hơn là vì EU đã tham gia vào cảicách lập pháp trong lĩnh vực này thông qua công cụ là GDPR thay thế cho Chỉ thị trước đó

Bề rộng của GDPR đã gây tranh cãi cả về mặt tư pháp và học thuật, với các lập trường đối lậpđược thông qua về mặt này Cuốn sách cung cấp phản hồi cho lời chỉ trích răng luật bảo vệ dữliệu của EU đã trở nên quá rộng và cần được định nghĩa lại do những thay đổi trong côngnghệ Nó cũng phân tích mối quan hệ giữa quyền bảo vệ đữ liệu và quyền riêng tư, đồng thời

đề xuất một khung khái niệm đề phân biệt giữa chúng, từ đó tạo điều kiện phát triển quyềnđộc lập đối với bảo vệ dữ liệu

3 Ý nghĩa khoa học và thực tiễn

Đề tài cung cấp tài liệu phục vụ cho việc nghiên cứu và giảng dạy của giảng viên và

sinh viên trong Trường Đại học Luật Hà Nội, các cơ sở đào tạo, viện nghiên cứu cũng như các

cá nhân, tô chức có quan tâm đến đề tài này

Ý nghĩa về mặt lý luận

Đây là đề tài nghiên cứu về pháp luật về bảo vệ DLCN trên thế giới và đề xuất phù

6

hợp cho Việt Nam, trong đó làm rõ vấn đề lý luận pháp lý về pháp luật bảo vệ DLCN, phântích cau trúc, nội dung pháp luật và cơ chế vận hành của pháp luật Việt Nam và pháp luật một

số quốc gia trên thế giới về bảo vệ DLCN, từ đó tạo tiền đề xây dựng, hoàn thiện mô hình

pháp luật bảo vệ DLCN tại Việt Nam.

Ý nghĩa về lập pháp

Những kết quả nghiên cứu của đề tài có thê được tham khảo, vận dụng vào quá trìnhxây dựng, hoàn thiện các các quy định pháp luật về bảo vệ DLCN Đặc biệt tác giả đề xuấtmột số khuyến nghị nhằm xây dựng nội dung và cau trúc pháp luật về bảo vệ DLCN phù hợp

cho Việt Nam.

Ý nghĩa về thực tiễn

Đề tài là nguồn giá trị tham khảo quan trọng phục vụ quá trình nghiên cứu, trau dồi trithức về pháp luật bảo vệ DLCN Trước thực trạng vẫn còn nhiều hạn chế trong quy định phápluật và hoạt động áp dụng pháp luật về bảo vệ DLCN tại Việt Nam, đề tài đề xuất hướng hoànthiện pháp luật bảo vệ DLCN cho Việt Nam sao cho đạt hiệu quả tối ưu nhất

4 Mục đích nghiên cứu

Mot là, có một sự hiểu biết, nhận thức sâu sắc về một số van dé lý luận về pháp luậtbảo vệ DLCN cũng như tìm hiểu được hệ thống học thuyết nền tảng của từng pháp luật cácquốc gia, khu vực này

Hai là, đánh giá thực trạng quy định pháp luật Việt Nam về bảo vệ DLCN, cũng nhưpháp luật về bảo vệ dữ liệu cá nhân của một số quốc gia trên thế giới, từ đó làm rõ ưu và nhượcđiểm thực thi pháp luật, đồng thời định vị được “khoảng trông” cấp thiết cần phải sửa đối

Ba là, từ việc nghiên cứu pháp luật bảo vệ DLCN của Việt Nam và một số quốc giatrên thé giới và thực trạng van đề tại Việt Nam, tác giả đề xuất xây dựng một số van đề về cầu

trúc và nội dung phù hợp cho Việt Nam, từ đó xây dựng lộ trình hoàn thiện pháp luật Việt

Nam về bảo vệ DLCN

5 Đối tượng và phạm vi nghiên cứu

5.1 Đối trong nghiên cứu

Trong khuôn khô khoá luận tốt nghiệp, tác giả tập trung nghiên cứu về:

Một là, một số van đề lý luận về đữ liệu cá nhân, bảo vệ dit liệu cá nhân, và pháp luật

về bảo vệ đữ liệu cá nhân

Hai là, hệ thông pháp luật Việt nam về dit liệu cá nhân va bảo vệ dit liệu cá nhân trongmột số văn bản khác nhau như BLDS năm 2015, BLHS năm 2015, Luật Xử ly vi phạm chính

2012, Luật An ninh mạng 2018, Luật an toàn thông tin mạng 2015 và các văn bản có liên quan khác Tuy nhiên, nội dung công trình sẽ tập trung vào các phương thức bảo vệ dữ liệu cá nhân dưới góc độ pháp luật dân sự.

Ba là, nghiên cứu pháp luật một số quốc gia, khu vực trên thế giới về bảo vệ DLCN

và đề xuất các giá trị tham khảo cho Việt Nam

5.2 Phạm vi nghiên cứu

Trong giới hạn nghiên cứu của dé tài khóa luận tốt nghiệp của sinh viên, tác giả tiềnhành thực hiện đề tài này trong giới hạn văn bản pháp luật có liên quan, giới hạn không gian,thời gian cu thé:

Vé phạm vi văn bản pháp luật, tác giả nghiên cứu các quy định liên quan đến van đềpháp lý trong lĩnh vực bảo vệ dữ liệu cá nhân tại Việt Nam trong hệ thống pháp luật hiện hành,

bao gồm: BLDS năm 2015, BLHS năm 2015, Luật An ninh mạng 2016, Luật an toàn thông

tin mạng 2015 và các văn bản có liên quan khác Ngoài ra, tác giả cũng hướng tới nghiên cứu

các quy định pháp luật về bảo vệ đữ liệu cá nhân trong Bộ quy định chung về bảo vệ dữ liệu

cá nhân (Genaral Data Protection Regulations năm 2016) của Châu Âu, Luật Bảo vệ thông tin

cá nhân (Personal Information Protection Law 2021) Trung Quốc, Đạo luật Bảo vệ thông tin

cá nhân (Act on the Protection of Personal Information 2022) Nhật Bản.

Về không gian, tác giả thực hiện nghiên cứu hệ thống pháp luật về bảo vệ dữ liệu cánhân trong lãnh thô Việt Nam, đồng thòi, tham khảo hệ thống pháp luật bảo vệ dữ liệu cá nhân

của một số quốc gia, khu vực trên thế giới như Châu Âu, Nhật Bản, và Trung Quốc.

Về thời gian, tac giả chủ yêu nghiên cứu các hệ thông pháp luật và hoạt động thực thipháp luật trong giai đoạn pháp luật về bảo vệ dit liệu cá nhân thé giới có nhiều sự chuyên biến

mạnh mẽ, đặc biệt là trong khoảng thời gian từ năm 2015” trở lại đây.

6 Phương pháp nghiên cứu

Đề tai vận dụng các nguyên lý của chủ nghĩa Mac-Lénin và tư tưởng Hồ Chí Minh về

duy vật biện chứng và duy vật lịch sử Trong đó, nhóm tác giả đặc biệt chú trọng vận dụng các

phương pháp nghiên cứu cụ thê như phương pháp hệ thống và phân tích; phương pháp so sánh

- đối chiêu; phương pháp suy luận logic; phương pháp thống kê; phương pháp lấy ý kiếnchuyên gia và điều tra xã hội học Cụ thẻ:

Chương 1, chủ yêu sử dụng phương pháp hệ thống va phân tích dé làm sáng tỏ nhữngvan dé lý luận, pháp lý và thực tiễn van đề lý luận các học thuyết khoa học, kiến thức chuyênngành về bảo vệ dữ liệu cá nhân

Chương 2, phương pháp so sánh - đối chiếu được sử dung dé nghiên cứu, đánh giáđiểm tương đồng cũng như khác biệt trong pháp luật bảo vệ dữ liệu cá nhân Việt Nam và phápluật bảo vệ dit liệu cá nhân của một số quốc gia trên thé giới Trong khi đó, phương pháp suyluận logic lại được sử dụng nhăm rút ra những đánh giá, nhận xét về pháp luật từng quốc gia

5 Năm 2015 đánh dấu sự ra đời của Luật An toàn Thông tin mạng 2015 Đây là bước chuyên mình quan trọng của pháp

luật Việt Nam trong việc đón nhận các thay đôi của khoa học — công nghệ.

8

và thực tiễn thực hiện pháp luật đảm bảo an toàn dit liệu cá nhân của một sỐ quốc gia Phươngpháp lay ý kiến chuyên gia được sử dụng khi nghiên cứu về pháp luật và những vụ việc thực

tiễn

Chương 3, phương pháp suy luận logic được sử dung dé nghiên cứu, đánh giá thựctrạng áp pháp luật về bảo vệ đữ liệu cá nhân, từ đó, đưa ra các giải pháp lâu dài, hợp lí và phùhợp với thực tiễn tình hình kinh tế - xã hội Việt Nam hiện tại và xu thế phát triển trong tương

lai.

7 Kết cầu của khoá luận

Dé đạt được những mục tiêu nghiên cứu đã đặt ra, dé tài được kết cấu thành 3 chương,

cụ thể như sau:

Chương 1: Một số van dé lý luận về pháp luật bảo vệ dữ liệu cá nhân

Chương 2: Pháp luật Việt Nam và pháp luật một số quốc gia trên thé giới về bảo vệ dữ

liệu cá nhân.

Chương 3: Một số đề xuất hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam

B NỘI DUNG CHUONG 1:

MOT SO VAN DE LY LUAN VE PHAP LUAT BAO VE DU LIEU CA NHAN1.1 Khái quát chung về bảo vệ dữ liệu cá nhân

1.1.1 Khái quát chung về dữ liệu cá nhân

1.1.1.1 Khái niệm dữ liệu cá nhân

Về phương diện ngôn ngữ học, theo Từ điển Tiếng Việt của tác giả Hoàng Phê xuấtban năm 2020, hai từ “dữ liệu” và “cá nhân” được định nghĩa như sau “Dữ liệu” là: “(i) Số

liệu, tư liệu đã cho, đã có, được dua vào để giải quyết một van de; (ii) Những thông tin như

văn bản, số liệu, âm thanh, hình ảnh được biểu dién trong máy tính dưới dang quy ước,nhằm tạo ra sự dé dang cho việc lưu trữ, xứ lý” “Ca nhân” được định nghĩa trong cuốn từđiển này là: “Nguoi riêng lẻ; phân biệt với tập thể"

Như vậy, dưới góc độ ngôn ngữ học, có thé hiệu “dữ liệu cá nhân” là “Nhiing thôngtin của một người riêng lẻ được thể hiện dưới dạng văn bản, s6 liệu, âm thanh, hình ảnh được biểu diễn trong máy tinh dưới dang quy ước, nhằm tao ra sự để dàng cho việc lưu trữ,

xu hy’

ya phương diện pháp lý, có hai công cụ pháp lý đã được phát triển và được sử dung

phô biến trên thế giới, trong đó đặt ra một số quy tắc cụ thé chi phối việc thu thập và xử lý đữliệu cá nhân, bao gồm: (i) Công ước năm 1981 của Hội đồng châu Âu về bảo vệ cá nhân liênquan đến việc xử lý dữ liệu cá nhân tự động và (ii) Hướng dan của Tổ chức Hop tác va Pháttriển Kinh tế (OECD) điều chỉnh việc bảo vệ quyền về sự riêng tư và việc chuyên đổi dữ liệu

cá nhân xuyên biên giới” Đây là những văn bản pháp lý đầu tiên đưa ra khái niệm “dit liéu cánhân” (personal data) và găn nó với bảo vệ quyền riêng tư

Công ước năm 1981 của Hội đồng châu Âu về bảo vệ cá nhân liên quan đến việc xử

ly dữ liệu cá nhân tự động đưa ra khái niệm: “"đ liệu cá nhân" có nghĩa là bat kỳ thông tinnào liên quan đến một cá nhân đã được xác định hoặc có thể xác định được” Tương tự,Hướng dẫn bảo vệ bí mật cá nhân và chuyên giao đữ liệu cá nhân do Tổ chức Hop tác và Pháttriển Kinh tế (OECD) ban hành quy định: “Dữ liệu cá nhân có nghĩa là bất kỳ thông tin liênquan đến một cá nhân được xác định hoặc có thể nhận dang được (chủ thể dữ liệu) ”5 Day

là một khái niệm có phạm vi rộng, theo đó, DLCN được hiểu là bat kỳ thông tin có thé dùng

5 Hoàng Phê, 2020, “Tir điển Tiếng Viér’, NXB Đà Nẵng.

7Vũ Công Giao, Lê Tran Như Tuyên, 2020, “Bảo vệ quyén đối với dit liệu cá nhân trong pháp luật quốc tế, pháp luật ở

một số quốc gia và giá trị tham khảo cho Việt Nam”,Tạp chí Nghiên cứu Lập pháp số 09 (409), tháng 5/2020 Truy cập tai: https://hpu.vn/thong-tin-khoa-hoc/bao-ve-quyen-doi-voi-du-lieu-ca-nhan-trong-phap-luat-quoc-te-phap-luat-o-mot-so- quoc-gia-va-gia-tri-tham-khao-cho-viet-nam-8661.html Truy cập ngày: 20/03/2023.

8 Điều 1.a OECD Guidelines on the Protection of Privacy and Transborder Data Flows of Personal Data (Các Nguyên tắc

của OECD về Bảo vệ Quyền riêng tư va Luồng Dữ liệu Xuyên Biên giới của Dữ liệu Cá nhân)

10

dé xác định hoặc nhận dạng một cá nhân.

Chi thị 95/46/EC của châu Âu nêu: “Dé liéu cá nhân có nghĩa là bat kỳ thông tin liênquan đến một người được xác định hoặc có thể xác định; một nguoi có thể được xác định,trực tiếp hoặc giản tiếp, đặc biệt bằng cách tham chiếu đến một số nhận dạng, cho một hoặc

nhiễu yếu lỗ đặc trưng cho bản sắc của họ về thể chát, sinh lý, tâm thân, kinh tế, văn hóa, xã

ho’ DLCN được hiểu là thông tin đến một người mà có thé xác định, nhận diện trực tiếphoặc gián tiếp Khái niệm đã khái quát được DLCN là gì nhưng còn mơ hồ, chưa rõ ràng

Ở Việt Nam, thuật ngữ “dit liệu cá nhân chưa được quy định chính thức trong các

văn bản pháp lý hiện hành mà chỉ được định nghĩa trong hai bản dự thảo Nghị định bảo vệ dữ

liệu cá nhân của Bộ Công an Dữ liệu cá nhân theo ban dự thảo đầu tiên được hiểu là “Dit liéu

cá nhân là dữ liệu về thông tin dưới dạng kỷ hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặcdang tương tự thuộc về cá nhân ” Trong bản dự thảo Nghị định lần 02, định nghĩa dữ liệu cánhân đã được tai khang định với một chút thay đối, theo đó “Dé liệu cá nhân là dit liệu về cánhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể” Như vậy,theo cách quy định tại dự thảo Nghị định lần 02 hiện tại, khái niệm về dữ liệu cá nhân khôngchỉ bao hàm đến các thông tin giúp trực tiếp xác định một cá nhân cụ thể mà còn hướng tới

bao quát cả các nguồn thông tin mà dựa trên nó có thê xác định được danh tính của một cá

nhân cụ thể trên thực tế Tuy nhiên, khái nệm này vẫn chưa thực sự làm rõ được thế nào là

“dit liệu”.

Theo quan điểm của tác giả Phạm Hoàng Thanh, đữ liệu cá nhân là “#6 hợp thong tin

về mot cả nhan cụ thể, duoc thu thập, xử lý, lưu trữ dưới dang ky hiệu, chữ viết, chữ số, hình

anh, am thanh hoặc các dạng tương tự mà có thể dung dé nhận dang, xac dinh, dinh danhđược các cá nhân đó trong moi quan hệ xã hội”!0 Khái niệm này đưa ra đặc trưng về dit liệu

cá nhân, bao gồm: dạng thức ton tại (tổ hợp thông tin), dạng thức được thu thập, xử lý, lưu trữ,

và mục đích của dit liệu cá nhân (dé nhận dạng, xác định, định danh các cá nhân) Mặc dù vậy,khái niệm này có phần chưa thực sự chặt chẽ, bởi đữ liệu cá nhân được xác định là “t6 hopthông tin về một cá nhân cụ thể” Điều này có thê dẫn đến tranh cãi về việc liệu dữ liệu cá nhânbắt buộc phải là một tổ hợp thông tin về cá nhân, hay có thê là bất ky thông tin nào giúp định

danh cá nhân đó?

Từ những định nghĩa trên, có thé thay, DLCN mang một số nội dung sau đây:

Mot là, DLCN là thông tin liên quan đến cá nhân Hai /a, DLCN có thê sử dụng để

? Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals

with regard to the processing of personal data and on the free movement of such data (Chi thị 95/46 / EC của Nghị viện va

Hội đồng Chau Âu ngày 24 tháng 10 năm 1995 về việc bảo vệ chủ thé dit liệu trong quá trình xử lý DLCNva di chuyên tự

do của dữ liệu đó.)

10 Phạm Hoàng Thanh, 2022, “Bao vệ dit liệu cá nhân — Một số van đề về lý luận và thực tiễn”, Luận văn Thạc sĩ Luật học

Trường Đại học Luật Hà Nội Truy cập ngày: 20/03/2023

11

phân biệt cá nhân này với cá nhân khác Ba /à, DLCN là bất kỳ thông tin nào liên quan hoặc

có thể liên quan đến một cá nhân dé có thể định danh (hoặc định danh được) một cá nhân đo.Bốn là, DLCN có thé được thu thập băng nhiều hình thức khác nhau như thông tin điện tử,thông tin bằng hình ảnh, âm thanh

Từ những quan điểm về định nghĩa trên, tác giả xây dung khái niệm về đữ liệu cá nhânnhư sau: “Dé liệu cá nhân là bất kỳ thông tin liên quan (hoặc có thể liên quan) của mộtngười riêng biệt giúp định danh (hoặc có thể định danh) người đó, được thu thập và xử ly,được lưu trữ định dạng dưới dạng văn bản, số liệu, âm thanh, hình ảnh hoặc các dạng

tuong tụt”.

Hiện nay, có nhiều luồng quan điểm học thuật khác nhau liên quan đến mối quan hệgiữa DLCN và TTCN Theo quan điểm của tác giả, từ góc độ của một khái niệm tương đốithống nhất về DLCN, ý nghĩa cơ bản của TTCN và DLCN là giống nhau, và sự khác biệt nằm

ở sự khác biệt trong cách diễn đạt Ở các quốc gia châu Á như Trung Quốc, thuật ngữ TTCNthường được sử dụng, trong khi tại phương Tây, trong luật pháp quốc gia hoặc quốc tế, thuậtngữ thường được sử dụng là DLCN Như vậy, trong nội dung của công trình này, tác giả đồngtình với quan điểm rằng TTCN và DLCN có nội hàm tương đồng nhau

1.1.1.2 Đặc điểm dữ liệu cá nhân

Thue nhất, dit liệu cá nhân là bat kỳ thông tin nào về cá nhân Day là những thông tinliên quan (hoặc có thé liên quan) tới một cá nhân cụ thê Có thé chia những thông tin này thành

ba nhóm:

(i) Nhóm thông tin về đời sống riêng tur Thông tin về sức khỏe; Thông tin về tình trạnghôn nhân; Khuynh hướng tình dục (như quan hệ đồng tính/song tính); Quan điểm hoặc ý kiếncủa người khác về cá nhân (ii) Nhóm những thông tin riêng: Thông tin mô tả tự nhiên (Sinh

trac học; Dau vân tay, di truyền ); Thông tin nhận dang (Số y tế: Số bảo hiểm xã hội; Số an

sinh xã hội; (iii) Nhóm thông tin về gia đình: Thông tin về đặc tính sức khỏe (Lịch sử sức khỏegia đình, Thông tin bệnh di truyền); Thông tin về bí mật gia đình (Con riêng mà chỉ ngườitrong gia đình mới biết); Thông tin về dòng họ, gia tộc (Nguồn gốc, lịch sử, gia pha; Thôngtin liên quan đến chính trị, tôn giáo của dòng họ }”!1

Thứ hai, dit liệu cá nhân là công cu để xác định, nhận dang danh tính cá nhân Dữliệu cá nhân mang thông tin về về một cá nhân và từ những thông tin đó chủ thê dữ liệu có thênhận dạng trực tiếp hoặc liên kết với các dữ liệu khác dé xác định được danh tính của họ Mặc

dù những dữ liệu này có thé đúng hoặc không đúng thông tin về cá nhân (sự thật), tuy nhiên

‘| Ngô Hà Chi, Nguyễn Hà Giang, Lê Thị Diễm Hang, Tran Mai Huyén, 2022, “Nhận diện cơ bản về thông tin cá nhân và

hành vi xâm phạm thông tin cá nhân”, truy cập tại: vi-xam-pham-thong-tin-ca-nhan5893.html Truy cập ngày: 20/03/2023.

https://tapchitoaan.vn/nhan-dien-co-ban-ve-thong-tin-ca-nhan-va-hanh-12

nếu cá nhân có thé nhận dạng được từ những thông tin được truyền tải đó, thì dữ liệu cần được thiết lập cơ chế bảo vệ goi là bảo vệ dữ liệu cá nhân.

Thứ ba, dữ liệu ca nhán có tính da dang về nội dung và hình thức Tu là đữ liệu cánhân phát sinh từ nhiều mối quan hệ của cá nhân và thuộc các lĩnh vực khác nhau trong đời

sống xã hội như các lĩnh vực dân sự, hình sự, hành chính, kinh tế, giáo dục, y tế, công nghê

thông tin, viễn thông, an ninh Đồng thời, TTCN có thể được chứa đựng trong nhiều loạihình của vật mang tin như trong văn bản, hồ sơ, tài liệu có sẵn, tồn tại dưới dang bản viết, bản

in, ban điện tử, tranh, ảnh, bản vẽ, băng, đĩa, bản ghi hình, ghi âm hoặc các dạng khác theo quy định của pháp luật.

1.1.1.3 Phân loại dữ liệu cá nhân

Dựa vào các đặc trưng của đữ liệu cá nhân có thê có nhiều cách phân loại dữ liệu cánhân Việc phân loại có nhiều ý nghĩa khác nhau giúp nhằm xác định hướng điều chỉnh của

hoạt động bảo vệ dữ liệu cá nhân.

Một là, dựa vào mức độ ton hại của việc tiết lộ dit liệu cá nhân

Dữ liệu cá nhân thông thường là những dữ liệu đề cập đến thông tin mang tính tongquát về cá nhân Các thông tin này được công khai sẽ ít nguy cơ gây thiệt hại cho chủ thê đữliệu Ví dụ như họ tên ngày tháng năm sinh, dân tộc, quốc tịch

Dữ liệu cá nhân nhạy cảm là những tư liệu về một cá nhân, một khi dữ liệu bị rò ri,cung cấp hoặc sử dụng bất hợp pháp, có thể gây nguy hiểm đến an toàn cá nhân và tài sản, cóthé dễ dẫn đến tôn hại đến danh tiếng cá nhân, sức khỏe thé chất và tinh thần hoặc bị phân biệtđối xử Ví dụ như dữ liệu về tài khoản ngân hàng, xu hướng tình dục, tiểu sử phạm tội, thôngtin về sinh trắc học cá nhân

Y nghĩa của việc phân loại: Phân loại dựa trên mức độ tôn hại nêu dit liệu cá nhân bị

sử dung trái pháp luật nhằm định hướng cho hoạt động xây dựng các quy định pháp luật vềđiều kiện thu thập, xử lý, chuyền giao phù hợp với từng loại đữ liệu Do nguy cơ gây thiệt hạilớn cho chủ thê dữ liệu, dit cá nhân nhạy cảm sẽ hạn chế tối đa quyên truy cập và thiết lập mức

độ bảo vệ cao hơn.

Hai là, dựa vào lĩnh vực, ngành nghệ kinh doanh trong đời sống

Trên cơ sở này, có thể chia đữ liệu cá nhân thành:

Dữ liệu cá nhân ngành ngân hàng là đữ liệu cá nhân liên quan đến hoạt động của cánhân trong lĩnh vực ngân hàng Ví dụ : số tài khoản ngân hang, lich sử giao dịch

Dữ liệu cá nhân ngành y tế là đữ liệu cá nhân liên quan đến hoạt động của cá nhântrong lĩnh vực y tế Ví dụ : số thẻ bảo hiểm y tế, hồ sơ bệnh án, ngày nhập viện, ra viện

Tương tự như vậy có đữ liệu cá nhân ngành giáo dục, dữ liệu cá nhân ngành truyền

thông

13

Y nghĩa của việc phân loại: Phân loại dựa trên ngành nghề, lĩnh vực kinh doanh dégiúp xây dựng khung pháp lý phù hợp với các quan hệ phát sinh của từng chủ thể tham giatrong các ngành nghề, lĩnh vực khác nhau Ở Hòa Kỳ, pháp luật về bảo vệ đữ liệu cá nhânđược chia theo các chuyên ngành tương ứng như ngân hàng, y tế giáo duc Đây là các tiếpcận đặc thù pháp luật Hoa Kỳ về bảo vệ đữ liệu cá nhân Ví dụ: Theo pháp luật Việt Nam, dữliệu y tế được điều chỉnh bởi luật Khám bệnh, chữa bệnh năm 2009, dữ liệu về ngân hàng

được quy định trong Luật Ngân hang Nhà nước năm 2010,

Ba là, dựa vào kha năng nhận dang cá nhân.

Dữ liệu định danh trực tiếp:là loại dir liệu cá nhân có thé xác định danh tính trực tiếp

cá nhân từ dữ liệu đó Ví dụ như số tài khoản ngân hàng, số căn cước công dân

Dữ liệu có liên kết : là một thuộc tính của dit liệu cá nhân, cần phải kết hợp với các ditliệu khác thì mới có thê xác định được danh tính cá nhân Ví dụ như đữ liệu về tên tuôi kết hợp

với địa chỉ nơi làm việc, địa chỉ nơi cư trú

Y nghĩa việc phân loại: Phân loại dua trên khả năng nhận dang cá nhân là cơ sở xácđịnh mức độ bảo vệ tương ứng đối với từng dir liệu được coi là dữ liệu cá nhân Nếu chưachắc đữ liệu mà chủ thể đang nắm giữ có phải đữ liệu cá nhân hay không thì chủ thê cũng phảithiết lập cơ chế bảo vệ dit liệu đó

Bốn là, dựa vào dang lưu trữ dit liệu cá nhân

Dữ liệu cá nhân điện tử là dữ liệu đưới các dang ký hiệu, chữ viết, chữ số, hình ảnh,

âm thanh hoặc dạng tương tự được tạo ra, lưu trữ, truyền đi hoặc nhận được bởi phương tiện

điện tử Việc thu thập, sử dụng hoặc tiết 16 đữ liệu cá nhân sử dụng thông qua các phương tiệnđiện tử, mạng máy tính, mạng viễn thông, hoặc thiết bị điện tử khác

Dữ liệu ca nhân phi điện tur là dữ liệu cá nhần được chứa đựng trên các phương tiện

không phải là các thiết bị điện tử như giấy tờ, hình ảnh Đối dữ liệu cá nhân phi điện tử, việcchuyền giao đữ liệu được thực hiện theo cách truyền thống (truyền tay, truyền miệng)

Ý nghĩa của việc phân loại: Phân loại trên cơ sở dang lưu trữ đữ liệu cho thấy, ngoài

việc tuân thủ chung các quy định bảo vệ dữ liệu cá nhân, đữ liệu cá nhân điện tử và dit liệu cá

nhân phi điện tử có những cơ chế xử lý riêng biệt Ví dụ khi mục đích của việc sử dụng dữliệu không còn, dữ liệu cá nhân điện tử có thê được xóa trên phương điện điện tử lưu trữ hoặcchuyền thành dif liệu ân danh Đối với đữ liệu cá nhân phi điện tử việc xóa bỏ dữ liệu bằng

cách tuy hủy phương tiện lưu trữ.

1.1.1.4 Mối quan hệ giữa quyền đối với dữ liệu cá nhân và quyền riêng tư

Dựa trên cơ sở lý thuyết tiền dé, theo tác giả: “Quyên đối với dữ liệu cá nhân là các lợiich của moi người riêng biệt phát sinh từ bat kỳ thông tin liên quan (hoặc có thể liên quan)giúp định danh (hoặc có thể định danh) người đó, được pháp luật công nhận và bảo đảm thực

14

Quyền riêng tư, được công nhận là một quyền cơ bản của con người, được định nghĩatại Điều 12 Tuyên ngôn Quốc tế về Nhân Quyên, có thé được hiểu là quyền mà “không aiphải chịu sự can thiệp? một cách tuy tiện vào cuộc sống riêng tu, gia đình, nơi ở hoặc thư tin,

cũng nh bị xúc phạm danh dự hoặc uy tín cá nhân”.

Đánh giá từ luật pháp của các quốc gia khác nhau, sự đồng thuận học thuật hiện tại làkhái niệm DLCN được bắt nguồn từ thuật ngữ “bảo vệ dit liệu” (“data protection”) do “Hộinghị Quốc tế về Nhân quyền” của Liên Hợp Quốc năm 1968 đề xuất!3 Các khái niệm về bảo

vệ dữ liệu và quyền riêng tư mang bản chất xã hội vì chúng dựa trên ý tưởng rằng một cá nhânkhông chỉ đơn thuần là một đơn vị thiết yêu và cơ bản của xã hội mà còn được hưởng một SỐ

loại quyền tự chủ và bảo vệ đối với cá nhân của mình cuộc sông riêng tư và cá nhan"4

Trên thực tế, quyền riêng tư giải quyết các tình huống liên quan đến lĩnh vực thê chấthoặc tâm lý của một cá nhân và liên quan đến các môi quan hệ, đặc biệt là giữa một người với

xã hội rộng lớn hơn và cũng là nhà nước Quyền riêng tư giả định trước một số loại quyền tựchủ đối với một cá nhân với tư cách là một thực thé độc lập và đảm nhận một số loại kiểmsoát đối với người khác Quyên riêng tư không chỉ liên quan đến cuộc sông vật chat của mộtngười mà còn đảm bảo cho các cá nhân một số hình thức bảo vệ ý tưởng và thông tin của họ.Quyền riêng tư liên quan đến thông tin có cách “tiến hóa” riêng ít nhất là ở châu Âu, dẫn đến

sự phát triển của quy định bảo vệ dit liệu

Quyền đối với dữ liệu cá nhân liên quan đến các quy tắc pháp lý quy định việc sử dụngthông tin cá nhân bằng cách đảm bảo rằng đữ liệu của chính cá nhân đó được sử dụng theocách phù hợp mà không vi phạm tính toàn ven và quyên riêng tư cá nhân Tuy nhiên, như đã

đề cập, chỉ có quyên riêng tư mới được công nhận là quyền cơ bản của con người trong cáccông ước quốc tê về quyền con người nên trong một thời gian dai không phải lúc nào cũngtồn tại hai khái niệm tách biệt và do đó, bảo vệ dữ liệu đã được xem xét với tư cách là một tậphợp con của quyên riêng tư, không phải là một khái niệm độc lập

Xu hướng này có thé được chỉ ra rõ ràng trong quan điểm luật học của CJEU! và

2 Điều 12, Tuyên ngôn Quốc tế về Nhân quyên Truy cập tại:

https://www.un.org/en/about-us/universal-declaration-of-human-rights Truy cập ngày: 20/03/2023

13 Aqniu, 2017,“Current Status of Personal Information and Privacy Protection Laws and Regulations Report” Truy cập

tai: https://www.aqniu.com/industry/26330.html Truy cập ngày: 20/03/2023.

!4 Maryna Manteghi, 2017, “The Relationship between Data Protection and the Right to Privacy and the Prospects of These

Rights to Counterbalance the Risks Posed by the Surveillance Society”, Paper SSRN, truy cập ngày 28/02/2022 Truy cập tại: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3082387 Truy cập ngày: 20/03/2023.

1S CJEU (Court of Justice of the European Union - Toa án Công lý châu Au) là tòa án cao nhất của Liên minh châu Âu va

có trách nhiệm giải quyết các tranh chấp pháp lý giữa các quôc gia thành viên của Liên minh CJEU đảm bảo áp dụng và giải thích các quy định pháp luật của Liên minh châu Âu, đồng thời làm việc với các cơ quan khác của Liên minh để đảm bảo sự nhất quán trong việc áp dụng các quy định pháp luật này.

15

ECtHR'°, được đặc trưng bởi sự kết hợp nhất quán giữa quyền riêng tư và quyền bảo vệ dữliệu!” Chang hạn, trong vụ án Rundfunk!Š, CJEU bang cách kiểm tra tính hợp pháp của luậtquốc gia về xử lý dữ liệu cá nhân của nhân viên trong lĩnh vực công cộng đã bỏ qua các tiêuchuẩn cụ thể của Chỉ thị bảo vệ đữ liệu và chỉ tập trung vào câu hỏi liệu có sự can thiệp nàovào quyền riêng tư trái với Điều 8 của ECHR" Trên thực tế, cả hai Tòa án đều coi quyềnriêng tư là cốt lõi của việc bảo vệ dữ liệu.

1.1.2 Khái quát chung về bảo vệ dữ liệu cá nhân

1.1.2.1 Khái niệm bảo vệ dữ liệu cá nhân

Hiện nay, pháp luật Việt Nam chưa có quy định cụ thê về định nghĩa thế nào là bảo vệ

DLCN Theo Từ điền Tiếng Việt 2003 của Viện Ngôn ngữ học có định nghĩa “Bảo vệ” là: “7.

Chống lại mọi sự xâm phạm để giữ cho luôn luôn được nguyên vẹn; 2 Bênh vực bằng ly lé dégiữ vững ý kiến, quan điểm, v.v'”?0,

Theo đó, có thé hiểu răng, bảo vệ DLCN là chống lại mọi sự xâm phạm đến dữ liệu

của một cá nhân, giữ cho DLCN được nguyên vẹn Bảo vệ DLCN được xem là bảo vệ từng

cá nhân không bị thiệt thòi trong quyên tự quyết định về thông tin của chính mình thông quaviệc sử dụng đữ liệu liên quan đến cá nhân họ Điều này đồng nghĩa với việc cá nhân có thê

tự quyết định người nào, khi nào va DLCN nao của mình được người khác thu thập, xử lý

Trong một bài nghiên cứu được thực hiện bởi Mike Dutch, một chuyên gia kỹ thuật

hàng đầu tại Hiệp hội Công nghiệp Mạng Lưu trữ (SNIA) vào năm 2010 có chỉ ra răng, phạm

vi, giới hạn ma “bảo vệ DLCN” nên bao trùm van chưa thực sự rõ ràng Việc tao ra và quản

lý một bản sao dữ liệu tưởng chừng dễ dàng nhưng lại là một van đề còn tồn tại nhiều bat cập

mà rất nhiều doanh nghiệp, người tiêu dùng vẫn đang gặp phải Qua đó, tác giả muốn đưa ramột định nghĩa toàn diện, đồng thời dé hiểu về bảo vệ DLCN như sau: “Bảo vệ DLCN cónghĩa là bảo dam rang dit liệu không bị lỗi, chỉ được sử dung cho những mục đích hợp pháp

và phải tuân theo các yêu câu luật định Dữ liệu được bảo vệ nên được sử dung đúng với mụcdich ban đâu ”2!

!6 ECtHR (European Court of Human Rights - Tòa án Nhân quyén Chau Au) là tòa án châu Âu có trách nhiệm giải quyết

các tranh chấp liên quan đến quyền con người và nhân quyền trong các quôc gia thành viên của Hội đồng Châu Âu Tòa

án này được thành lập dựa trên Hiến chương Châu Âu về Nhân quyền, và có thâm quyền nhận đơn kiện từ các cá nhân, tổ chức và quốc gia.

17 Maryna Manteghi, 2017, “The Relationship between Data Protection and the Right to Privacy and the Prospects of These

Rights to Counterbalance the Risks Posed by the Surveillance Society’, Paper SSRN Truy cập tại: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3082387 Truy cập ngày: 20/03/2023.

!8 Osterreichischer Rundfunk and others, CJEU, Case C-139/01, 2003, ECR I-4989 Truy cập tại:

https://gdprbeetle.eu/osterreichischer-rundfunk-others/ Truy cập ngày 20/3/2023.

9 ECHR (European Convention on Human Rights): Công ước Châu Âu về Nhân quyền Truy cập tại:

https://www.echr.coe.int/documents/convention_eng.pdf Truy cập ngày 20/3/2023.

20 Hoàng Phê (chủ biên), “Tu điển Tiếng Việt", Viện Ngôn ngữ học, 2003 tr 40.

?! Mike Dutch (2010), “A Data Protection Taxonomy”, SNIA, tr 3, truy cập tại:

https://snia.org/sites/default/files/A_Data_ Protection Taxonomy V51.pdf Truy cập ngày: 20/03/2023.

16

Một trong những người đi đầu và có cách tiếp cận về khái niệm bảo vệ DLCN toàndiện nhất va được nhiều học giả trên thé giới đánh giá cao, áp dụng, phải kế đến nghiên cứu

năm 2002 của giáo sư người Na Uy Lee A Bygrave Theo Bygrave, bảo vệ dữ liệu là "mort

tập hop các biện pháp (pháp lý và/hoặc không mang tính chất pháp lý) nhằm bảo vệ chủ thểdit liệu khỏi bị thiệt hai do việc xử lý thông tin vê họ và thể hiện tat cả hoặc hau hết các nhómnguyên tắc xử ly thông tin cá nhân ”?2 Định nghĩa của Bygrave rất hữu ích vì nó rút ra mộtliên kết cơ bản giữa bảo vệ đữ liệu và xử lý dữ liệu: bảo vệ đữ liệu là bảo vệ các cá nhân khỏicác ảnh hưởng tiêu cực của việc thông tin cá nhân về họ không được sử dụng đúng mục đích

Ngoài ra, định nghĩa được đưa ra kha mở, trong đó bao trùm cả các biện pháp pháp ly và các biện pháp phi pháp lý cũng như quy trình xử ly thông tin cá nhân trên máy vi tinh và thu công”.

Như vậy, hiểu một cách chung nhất, “Bao vệ DLCN là hoạt động chủ thé dit liệu,hoặc các cơ quan nhà nước có thẩm quyên, hoặc chủ thể theo quy định của luật có quyên

áp dụng những biện pháp pháp lý hoặc không mang tính chất pháp ly để phòng ngừa,ngăn chặn hoặc khắc phục hậu quả xấu do hành vi xâm phạm dữ liệu cá nhân gây ra’*”.1.1.2.2 Đặc điểm bảo vệ dữ liệu cá nhân

Bên cạnh những đặc điểm pháp lý riêng biệt, bảo vệ DLCN cũng giống với bat kỳ hoạtđộng bảo vệ quyên và lợi ích hợp pháp nao khác, do đó, hoạt động này vừa có những đặc điểmchung giống với các hoạt động bảo vệ quyên, lợi ích khác và những yếu tô nhận diện riêng

dé này, khi mà các hành vi ăn cắp DLCN, sử dụng DLCN bat hợp pháp diễn ra ngày càng phổbiến, dưới nhiều dạng thức tinh vi và được trợ giúp bởi công nghệ cao Chính vì lẽ đó, không

?2 Lee A Bygrave, 2002, “Data Protection Law: Approaching Its Rationale, Logic and Limits (The Hague, Kluwer Law

International: 2002)”, tr 22 Truy cap tai: logic-and-limits/ocle/308173186 Truy cập ngày: 20/03/2023.

https://www.worldcat.org/title/data-protection-law-approaching-its-rationale-?3 Liane Colonna, 2016, “Legal Implications of Data Mining - Assessing the European Union s Data Protection Principles

in Light of the United States Government's National Intelligence Data Mining Practices”, Stockholm University, tr 33 Truy cập tại https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2924541 https://www.worldcat.org/title/data- protection-law-approaching-its-rationale-logic-and-limits/oclc/308173186 Truy cập ngày: 20/03/2023.

24 Nguyễn Ngọc Hoà, Nguyễn Bá Tuấn, Phạm Gia Lưu Phương, 2022, “Mot số mô hình pháp luật về bảo vệ dit liệu cá nhân trên thé giới và dé xuất cho Việt Nam”, công trình nghiên cứu khoa học cấp trường.

17

chỉ có chủ thé dữ liệu mà ngay cả các cơ quan nhà nước có thâm quyền và các chủ thê khác

theo quy định của pháp luật cũng phải có trách nhiệm hỗ trợ bảo vệ dữ liệu của các cá nhân

Đối với các cơ quan có thâm quyên, việc bảo vệ DLCN vừa là quyên lợi, vừa là trách nhiệm

vì các cơ quan nhà nước cũng là một chủ thé nắm giữ các DLCN quan trong dé phục vụ lợiích công Các chủ thể khác theo quy định của pháp luật — các bên xử lý dữ liệu và bên nhậnchuyền giao dữ liệu, cũng có trách nhiệm, nghĩa vụ riêng trong việc bảo vệ DLCN được xử lý

dé sử dụng các biện pháp pháp lý như là khởi tố, điều tra truy tố, yêu cầu bồi thường thiệt haitùy với từng mức độ của hành vi Ngoài ra, cơ quan nhà nước thực hiện việc bảo vệ này bằngcách ban hành ra các điều luật buộc công dân nước mình phải tôn trọng và thực thi một cáchnghiêm chỉnh Khi chủ thể có hành vi xâm phạm đến DLCN của người nào đó thì phải chịuchế tài theo quy định của pháp luật Hiện nay ở Việt Nam đã có những văn bản pháp luật trongcác lĩnh vực quy định về việc bảo vệ dit liệu cá nhân: Hiến pháp, Hình sự, Hành chính, Dân

sự

Thứ ba, bảo vệ DLCN là hoạt động nhằm ngăn chặn nguy cơ xâm phạm hoặc đánhcap dit liệu hoặc khắc phục hậu quả xấu do hành vi vi phạm pháp luật ve DLCN gây ra

Các biện pháp bảo vệ DLCN có thé được sử dung dé phòng ngừa trước các hành vi

xâm hai, và sau khi bị xâm phạm Trừ trường hợp pháp luật có quy định khác, thì các hành vi

liên quan tới việc sử dụng DLCN trái với mong muốn của chủ thê mang DLCN thì phải chịutrách nhiệm dân sự, hành chính, hình sự và bồi thường thiệt hại theo quy định của pháp luật

Các chủ thé như cơ quan báo chí; bệnh viện, cơ sở y tế, trường học; doanh nghiệp, chủ sử dụng

lao động; luật sư; cơ quan nhà nước; các tổ chức, cá nhân phải chịu trách nhiệm dân sự, hànhchính, hình sự, bồi thường thiệt hại theo mức độ, phạm vi của các hành vi vi phạm theo quyđịnh của pháp luật về bảo vệ DLCN?'

25 Trần Thị Hồng Hạnh, 2018, “Hoàn thiện pháp luật về bảo vệ thông tin ca nhân ở Việt Nam hiện nay”, Luận an tiễn sĩ,

Học viện Chính trị Quôc gia Hồ Chí Minh, tr.45.

18

1.1.2.3 Phan loại bảo vệ dữ liệu cá nhân

Bắt nguồn từ sự đa dạng của DLCN và hoạt động thu thập, xử lý DLCN, các phươngthức bảo vệ dữ liệu cá nhân cũng rất đa dạng Dựa trên các tiêu chí khác nhau thì việc phânloại hoạt động bảo vệ DLCN là khác nhau, cụ thé:

Thủ nhất, căn cứ vào chủ thé áp dung các phương thức bảo vệ, hoạt động bảo vệ

DLCN được phân thành:

Một là, hoạt động bảo vệ DLCN do chính chủ thể dit liệu thực hiện Chủ thé dữ liệu là

cá nhân năm giữ quyên sở hữu đối với các dit liệu có liên quan tới mình, nói theo cách khácthì chủ thê nay được dit liệu phản ánh, xác định, định danh Một chủ thé đữ liệu có thé thựchiện các biện pháp tự bảo vệ được nêu tại mục 2.2 của Chương này nhằm mục đích bảo vệ

chính DLCN của mình.

Hai là, hoạt động bao vệ dit liệu do cơ quan nhà nước có thấm quyên thực hiện Bên

cạnh hoạt động tự bảo vệ của chủ thé dữ liệu, cơ quan nhà nước có thầm quyền cũng tham giatích cực trong công tác phòng ngừa, ngăn chặn, xử lý các hành vi xâm phạm đữ liệu của tổchức, cá nhân thu thập, xử lý DLCN của người khác một cách bất hợp pháp Tùy thuộc vàomức độ nghiêm trong của hành vi mà các cơ quan nhà nước có thâm quyên sẽ có sự tham giađộc lập hoặc cùng nhau dé bảo vệ dữ liệu

Thứ hai, dựa vào thời điểm áp dụng các biện pháp bảo vệ DLCN, hoạt động bảo vệ

DLCN được phán thành hai loại:

Một là, bảo vệ DLCN trước khi có hành vi thu thập, xử ly DLCN bất hợp pháp xảy ra

Ở giai đoạn này, hoạt động bảo vệ DLCN thường được thực hiện bởi chu thê đữ liệu và các

cơ quan quan ly đữ liệu Đối với các cơ quan quan ly dit liệu, ví dụ nồi bật cho việc thực hiện

hoạt động này là việc quan ly dữ liệu của cơ quan quản lý hộ tịch, theo đó bảo vệ dt liệu bằng

việc mã hoá, lưu kho, chủ thê đữ liệu cài đặt mật khâu, tường lửa

Hai là, bảo vệ dữ liệu cá nhân được thực hiện sau khi xuất hiện hành vi xâm phạm ditliệu Đôi với giai đoạn này, do đã có hành vi vi pháp luật xảy ra nên rất cần sự thiệp của các

cơ quan nhà nước có thầm quyền để có thé áp dụng các biện pháp pháp ly cần thiết dé kịp thờingăn chặn, xử lý hành vi vi phạm, đồng thời bảo vệ nhanh chóng, hiệu quả quyền và lợi íchcủa chủ thé dữ liệu Tùy vào mức độ nghiêm trọng của từng hành vi vi phạm mà các cơ quan

nhà nước sẽ áp dụng các phương thức xử phạt khác nhau Trong trường hợp có thiệt hại xảy

ra, chủ thé dữ liệu có thê yêu cầu đòi bồi thường thiệt hại tại Tòa án có thâm quyền

Thứ ba, dựa vào nhu cau can bảo vệ DLCN đổi với từng lĩnh vực cụ thể, hoat động

bao vệ DLCN.

Mỗi cá nhân sé sở hữu rất nhiều những mang đữ liệu nhỏ lẻ khi tham gia vào một sốnhững lĩnh vực nhất định trong quá trình tham gia vào các giao dịch hoặc hoạt động đời sống

19

thường nhật Đối với DLCN nằm trong từng lĩnh vực như lại đòi hỏi mức độ bảo vệ, cách thứcbảo vệ, chủ thể bảo vệ và nội dung bảo vệ rất khác nhau Những lĩnh vực này có thể sẽ khôngđược quy định đồng nhất giữa các quốc gia trên thế giới với nhau Tại Việt Nam, tín dụng, bảo

vệ quyền lợi người tiêu dùng là một số những lĩnh vực tiêu biêu có thé được nêu ra dé lay

ví dụ cho tiêu chí phân loại nêu trên.

Thứ tu, căn cứ vào phạm vi lãnh thổ, hoạt động bao vệ dit liệu

Một là, bảo vệ DLCN trong phạm vi lãnh thổ Việt Nam Điều này có nghĩa răng hoạtđộng bảo vệ DLCN được áp dụng đối với những hoạt động thu thập, xử lý dữ liệu trong lãnhthổ quốc gia Việt Nam Các cơ quan có thâm quyền sẽ mặc nhiên được áp dụng pháp luật ViệtNam dé ngăn chặn, xử lý các hành vi xâm phạm dữ liệu diễn tra trong phạm vi lãnh thô nêu

trên.

Hai là, bảo vệ DLCN ngoài phạm vi lãnh thổ Việt Nam (trong dòng cháy dit liệu xuyênbiên giới) Các đữ liệu cá nhân hiện nay đều được số hoá và có thê được thu thập, xử lý bởichủ thể xử lý dir liệu nằm ngoài lãnh thô Việt Nam khi các cá nhân tham gia trình duyệt, đồng

ý với các chính sách bảo mật tại các trang web nước ngoài này Bên cạnh đó, hoạt động ban

DLCN mặc dù bị cắm tại Việt Nam nhưng vẫn có thể xảy ra bởi đây là một hành vi được thực

hiện trên không gian mạng, được hỗ trợ bởi thiết bị vi tính, mạng kết nỗi chất lượng cao nênrất khó có thể quản lý Vậy van đề được đặt ra là, khi DLCN ở Việt Nam có thé chuyền đến,lưu trữ ở các trung tâm đữ liệu tại một quốc gia khác, nếu có hành vi xâm hai đữ liệu xảy ra,làm thế nào dé một cơ quan thực thi pháp luật ở Việt Nam bảo vệ được quyền lợi hợp phápcủa cá nhân khi vi phạm đó, về mặt kỹ thuật, xảy ra ở một quốc gia khác?5 Đây là một bàitoàn không mới nhưng vẫn là một vấn đề vẫn còn chưa được pháp luật Việt Nam điều chỉnh

cụ thé cho đến thời điểm hiện tại

Thứ năm, dựa vào biện pháp bao vệ dit liệu cá nhân, hoạt động bao vệ dit liệu các nhân.

Tùy thuộc vào mức độ nghiêm trong của các hành vi vi phạm mà cơ quan nha nước

và chủ thê dữ liệu có thé bảo vệ DLCN băng pháp luật Dân sự, Hành chính hoặc Hình sự Đốivới môi biện pháp nêu trên, các văn bản pháp luật chuyên ngành sẽ quy định về những mức,hình thức xử phạt, chế tài khác nhau Bên cạnh pháp luật quốc gia, DLCN còn có thê đượcbảo vệ bởi các biện pháp kỹ thuật (mang tính chất tự bảo vệ và có thê được áp dụng rộng rãi,phô biến bởi tất cả các chủ thê dữ liệu) hoặc pháp luật khu vực, các điều ước, hiệp định quốc

tế mà Việt Nam là thành viên tham gia

26 Theo Phóng viên, 2021, “Việt Nam còn khoảng trồng pháp lý về chuyển giao dữ liệu cá nhân ra khỏi biên giới”, Công

thông tin Bộ Thông tin và Truyên thông.

20

1.2 Khái quát chung về pháp luật bảo vệ dữ liệu cá nhân

1.2.1 Khái niệm về pháp luật bảo vệ dữ liệu cá nhân

Luật bảo vệ đữ liệu cá nhân và quyền riêng tư đang nhanh chóng thích ứng với sự thayđôi của thé giới khách quan Sự thay đổi này đặc biệt đáng chú ý khi bước vào nền cách mạngcông nghiệp 4.0 Mối quan tâm đặc biệt đến quyền riêng tư và bảo vệ dit liệu xuất hiện ké khi

có sự ra đời và phát triển của khoa học máy tính, bat đầu từ những năm 70 của thé ki XX Vớikhả năng giám sát mạnh mẽ của các hệ thông máy tính đã thúc đây nhu cầu đặt ra các quy tắc

về quan lý việc thu thập và xử ly dit liệu cá nhân Về nguồn góc, luật bảo vệ dit liệu đầu tiêntrên thế giới được ban hành tại Bang Land of Hessen ở Đức vào năm 1970, tiếp đến là ThụyĐiền (1973), Hoa Kỳ (1974), Đức (1977) và Pháp (1978) 2” Hiện tai, đang có hai xu hướngtrong việc ban hành quy định về bảo vệ đữ liệu cá nhân Một số quốc gia đã ban hành duy nhấtmột luật chuyên biệt điều chỉnh về hoạt động bảo vệ dtr liệu cá nhân như EU, Nhật Bản, Hàn

Quốc, Trung Quốc Trong khi đó, tại một sé quốc gia khác, các quy định về bảo vệ dữ liệu

cá nhân đang được quy định rải rác tại các văn bản pháp luật khác nhau, ví dụ như Việt Nam, Hoa Kỳ

Đứng trước ngưỡng cửa sự trỗi dậy của nền kinh tế số với những vấn đề pháp lý liêntục nay sinh, nhu cầu về sự điều chỉnh đối với van đề bảo vệ dữ liệu cá nhân ngày càng trênnên sâu sắc Những nhu cầu này đã dẫn đến một điều tất yêu là sự ra đời của pháp luật về bảo

vệ đữ liệu cá nhân Pháp luật về bảo vệ dữ liệu cá nhân là lĩnh vực pháp luật điều chỉnh mốiquan hệ giữa chủ thê sở hữu đữ liệu cá nhân và các chủ thể sử dụng đữ liệu cá nhân, quy địnhcác quyền của chủ thể dữ liệu, trách nhiệm của chủ thê sử dụng đữ liệu và trách nhiệm quản

lý của cơ quan nhà nước.

Dé xây dựng khái niệm pháp luật về bảo vệ dữ liệu cá nhân, trước hết cần hiểu thé nào

là pháp luật Theo đó, pháp luật được hiểu là “hé thong quy tắc xử sự chung do nhà nước đặt

ra hoặc thừa nhận và bảo đảm thực hiện dé điều chỉnh các quan hệ xã hội theo muc dich, định

hướng của nhà nubc?®”.

Như vậy, pháp luật về bảo vệ dữ liệu cá nhân có thé định nghĩa như sau: ““Pháp luật

vé bảo vệ dữ liệu cá nhân là một lĩnh vực pháp luật bao gầm hệ thông các nguyên tac vàquy phạm pháp luật điều chính việc triển khai các biện pháp thích hop để bảo vệ chong lạiviệc tiết lộ, sửa doi hoặc phá hủy dữ liệu giúp định danh (hoặc có thể định danh được) một

cá nhân một cách cô ý hoặc vô ý”.

27 Privacy International, 1999, “Privacy and Human Rights - An International Survey of Privacy Laws and Practice”,

Global Internet Liberty Campaign.

?8 Trường Đại học Luật Ha Nội, 2020, “Giáo trình Lý luận chung về Nhà nước và Pháp luật”, Tái bản lần thứ tư, có sửa

đối, bố sung, Nhà xuất ban Tư pháp, tr.212.

21

1.2.2 Đặc điểm pháp luật bảo vệ dữ liệu cá nhân

Là một bộ phận trong hệ thống pháp luật Việt Nam, pháp luật về bảo vệ dữ liệu cánhân cũng có những đặc điểm cơ bản như: có tính bắt buộc chung, tính quy phạm phô biến,

do Nhà nước ban hành va đảm bảo thực hiện, Bên cạnh đó, pháp luật về bảo vệ đữ liệu cánhân còn mang những đặc điểm riêng của pháp luật chuyên ngành

Một là, đối tượng điều chỉnh của pháp luật bảo vệ đữ liệu cá nhân là các quan hệ xãhội phát sinh giữa các chủ thể liên quan đến dit liệu cá nhân Nhìn chung, trong các quan hệ

xã hội phát sinh từ đữ liệu cá nhân, có hai nhóm đối tượng chủ yêu mà pháp luật bảo vệ DLCNhướng tới, đó là chủ thể đữ liệu và chủ thể quản lý hoặc xử lý đữ liệu Các quan hệ xã hội phátsinh giữa các chủ thé này dién ra trong rất nhiều lĩnh vực khác nhau của đời sống xã hội như:dân sự, hình sự, hành chính, kinh doanh, dịch vụ, thương mại, y tế, giáo dục, hôn nhân giađình Đối với chủ thé dữ liệu, đây là chủ thé “sở #w” các nhóm thông tin giúp định danhhoặc định danh được bản thân Do đó, đây được xem là trung tâm của pháp luật về bảo vệDLCN Trai lại, chủ thé quan lý hoặc xử ly dit liệu là các chủ thé trực tiếp làm việc, và có théthu được lợi ích từ đữ liệu cá nhân của người khác Do đó, đây là đối tượng mà luật bảo vệDLCN hướng tới điều chỉnh, đặt ra các quy định, điều kiện, thủ tục nhất định, đồng thời, xâydựng các chế tài trong trường hợp xảy ra hành vi xâm phạm

Hai là, pháp luật vê bảo vệ dit liệu cá nhân có nguôn áp dung da dang Pháp luật vềbảo vệ dt liệu cá nhân nên là một ngành luật độc lập và có một khung pháp ly chung điềuchỉnh các van đề cơ bản về dit liệu cá nhân và bảo vệ dữ liệu cá nhân Bên cạnh đó, liên quanđến dit liệu cá nhân thuộc các lĩnh vực chuyên ngành khác nhau pháp luật về bảo vệ dữ liệu

cá nhân sẽ có các điều khoản chuyên tiếp đến các quy phạm pháp luật chuyên ngành Khinghiên cứu pháp luật về bảo vệ đữ liệu cá nhân không thê tách rời với các luật chuyên ngành

có quy định về lĩnh vực này Các quy định về bảo vệ dit liệu cá nhân có thê được quy địnhtrong các quy phạm tại nhiều lĩnh vực, ngành Luật như: công nghệ thông tin, giao dịch điện

tử, an ninh mạng, thuế, tín dụng, bảo hiểm nhưng phải tương đồng với văn bản được coi làluật khung về bảo dữ liệu cá nhân Trong trường hợp các luật chuyên ngành không quy địnhhoặc có quy định nhưng vi phạm các nguyên tắc cơ bản thì áp dụng quy định của luật bảo vệ

dữ liệu cá nhân Các văn bản pháp luật về bảo vệ dữ liệu cá nhân do các chủ thê có thâm quyềnkhác nhau ban hành, có giá trị pháp lý khác nhau xong đều trực tiếp hoặc gián tiếp quy định

về các van đề liên quan đến bảo vệ dữ liệu cá nhân

Thứ ba, mục đích điều chỉnh của pháp luật bảo vệ dit liệu cá nhân là giải quyết các

mối quan hệ xoay quanh van dé về dữ liệu cá nhân Pháp luật bảo vệ đữ liệu cá nhân được đặt

ra nhằm ngăn chặn các hành vi vi phạm dữ liệu cá nhân của con người, bảo vệ danh dự vànhân phẩm cũng như quyên và lợi ích kinh tế của con người thông qua việc quy định các

22

quyên và nghĩa vụ cụ thé của các chủ thé tham gia vào quan hệ pháp luật bảo vệ đữ liệu cánhân, từ đó các chủ thê có căn cứ pháp lý đề thực hiện các quyền và nghĩa vụ của mình, tránh

vi phạm pháp luật, phát hiện và tố cáo các hành vi vi phạm luật Quy định của pháp luật bảo

vệ dữ liệu cá nhân là cơ sở dé giải quyết các tranh chấp phát sinh và xử lý vi phạm nhằm mụcđích răn đe, giáo dục đối với các hành vi vi phạm pháp luật về bảo vệ đữ liệu cá nhân Bêncạnh đó, pháp luật về bảo vệ dữ liệu cá nhân còn có mục đích xây dựng, nâng cao ý thức tôntrọng pháp luật, tôn trọng quyền cá nhân nói chung và bảo vệ đữ liệu cá nhân của người kháccủa các chủ thê như cơ quan nhà nước, tô chức, doanh nghiệp và cá nhân trong đời sống

1.2.3 Phân loại pháp luật bảo vệ dữ liệu cá nhân

Một là, pháp luật bao vệ dit liệu cả nhân theo phạm vi lãnh thổ

Pháp luật bảo vệ dit liệu cá nhân toàn cầu hoặc khu vực: Những pháp luật này ápdụng cho toàn bộ hoặc một khu vực nhất định trên thế giới Ví dụ như Nghị định bảo vệ dữliệu chung của Liên minh châu Âu (GDPR) áp dụng cho tất cả các quốc gia trong Liên minhchâu Âu

Pháp luật bảo vệ đữ liệu cá nhân quốc gia: Những pháp luật này chỉ áp dụng cho mộtquốc gia cụ thé Ví du như Luật bảo vệ thông tin cá nhân của Nhật Bản chỉ áp dụng cho Nhật

Bản.

Ý nghĩa của việc phân loại: Việc phân loại pháp luật bảo vệ dữ liệu cá nhân theo phạm

vi lãnh thé là rất quan trọng dé dam bảo tính hiệu lực và thực thi được các quy định bảo vệ dữliệu cá nhân Việc phân loại pháp luật bảo vệ dữ liệu cá nhân theo phạm vi lãnh thô giúp chocác quy định bảo vệ dữ liệu cá nhân trở nên rõ ràng và dé dàng thực thi hơn Điều này giúpcác tô chức và cá nhân hiểu rõ quy định bảo vệ dữ liệu cá nhân đang áp dụng ở khu vực mình

hoạt động và đảm bảo tuân thủ các quy định đó.

Hai là, pháp luật bảo vệ dit liệu ca nhán theo ngành.

Pháp luật bảo vệ dữ liệu cá nhân trong lĩnh vực y tế: Những pháp luật này tập trungvào bảo vệ thông tin cá nhân của bệnh nhân và các thông tin liên quan đến sức khỏe Ví dụnhư Luật bảo vệ thông tin y tế của Mỹ (HIPAA)

Pháp luật bảo vệ đữ liệu cá nhân trong lĩnh vực tài chính: Những pháp luật này tập trung vào bảo vệ thông tin cá nhân trong các giao dịch tài chính Ví dụ như Luật bảo vệ thông tin tài chính của Mỹ (GLBA).

Pháp luật bảo vệ dit liệu ca nhán trong lĩnh vực truyen thông điện tu: Những phap

luật này tập trung vào bảo vệ thông tin cá nhân trong các hoạt động truyền thông điện tử Ví

dụ như Chỉ thị về bảo vệ dữ liệu cá nhân trong lĩnh vực truyền thông điện tử của Liên minhchâu Âu (ePrivacy Directive)

Ngoài ra, các luật bảo vệ dữ liệu cá nhân trong các lĩnh vực khác nhau sẽ có nội dung

23

và quy định khác nhau tùy theo mục đích và đối tượng sử dụng.

Ý nghĩa của việc phân loại: Việc phân loại pháp luật bảo vệ đữ liệu cá nhân theo ngànhgiúp cho việc áp dụng và tuân thủ pháp luật trở nên dé dang hơn đối với các doanh nghiệp và

tô chức trong các lĩnh vực khác nhau Mỗi ngành có các quy định cụ thê về việc thu thập, sửdụng và chia sẻ dữ liệu cá nhân, cũng như các yêu cầu bảo vệ dữ liệu khác nhau Việc phân

loại pháp luật bảo vệ dữ liệu cá nhân theo ngành còn giúp cho các cơ quan chức năng như cơ

quan giám sát và kiểm tra đễ dàng hơn trong việc giám sát và đánh giá việc tuân thủ của các

tổ chức, doanh nghiệp trong ngành đó Ngoài ra, việc phân loại pháp luật bảo vệ dữ liệu cánhân theo ngành còn giúp cho các chuyên gia và nhà nghiên cứu có thê nghiên cứu và đưa ra

những giải pháp bảo vệ dữ liệu cá nhân hiệu quả trong từng ngành đặc thù, từ đó giup cho việc bảo vệ dir liệu cá nhân trở nên chính xác và hiệu quả hơn.

Ba la, phân loại pháp luật về bảo vệ dit liệu cá nhân theo khu vực công và khu vực tu

nhân.

Ở khu vực công: các quy định bảo vệ đữ liệu cá nhân thường được quy định cụ thêtrong các pháp luật, quy định của chính phủ, các cơ quan quản lý nhà nước và các tô chứccông cộng Việc phân loại riêng biệt cho khu vực công giúp các tổ chức công cộng thực hiệncác nhiệm vụ của họ một cách hiệu quả, đồng thời bảo vệ dữ liệu cá nhân của người dân được

an toàn và đảm bảo.

Ở khu vực tu: Các quy định bảo vệ dữ liệu cá nhân được quy định trong các pháp luật,quy định của các tổ chức, doanh nghiệp, và cá nhân Việc phân loại riêng biệt cho khu vực tưnhân giúp các tô chức và doanh nghiệp tuân thủ các quy định bảo vệ dữ liệu cá nhân một cáchchính xác và đảm bảo tính hợp pháp, đồng thời cung cấp cho người dùng cá nhân kiến thức

về quyền riêng tư của họ và cách bảo vệ dữ liệu cá nhân của mình trong quá trình giao dịchvới các tô chức và doanh nghiệp

Ý nghĩa của việc phân loại: Việc phân loại pháp luật về bảo vệ đữ liệu cá nhân theo

khu vực công và khu vực tư nhân giúp phân biệt và định hướng các quy định bảo vệ đữ liệu

cho các tô chức, doanh nghiệp và cá nhân tại từng lĩnh vực khác nhau Việc phân loại pháp

luật bảo vệ dữ liệu cá nhân theo khu vực công và khu vực tư nhân cũng giúp cho các cơ quan

chức năng có thê kiểm tra và xử lý vi phạm bảo vệ đữ liệu cá nhân trong từng khu vực một

cách hiệu quả và phù hợp với quy định của pháp luật.

Bốn là, phân loại pháp luật về bảo vệ dit liệu cá nhân dua trên phương pháp điều

chính Việc phân loại này dựa trên ba phương pháp chính: Phương pháp thoả thuận dân sự,

phương pháp mệnh lệnh — phục tùng”, phương pháp quyền lực - phục tùng?9

? Trường Đại học Luật Hà Nội, 2018, “Giáo trinh Luật Hình sự Việt Nam, Phân Chung”, NXB Công an Nhân dân, Tr 14.

3° Trường Đại học Luật Hà Nội, 2019, “Giáo trình Luật Hành chính Việt Nam”, NXB Công an Nhân dân, Tr.23.

24

Phương pháp thoả thuận dân sự: Phương pháp này chủ yếu tập trung vào quyền tựquyết của chủ sở hữu dữ liệu cá nhân, đồng thời đưa ra các biện pháp pháp lý dé bảo vệ quyềnlợi và lợi ích của chủ sở hữu dữ liệu cá nhân, như đòi lại thiệt hại, yêu cầu ngưng sử dụng hoặc

xóa dir liệu cá nhân bị lạm dụng, sử dụng trái phép Phương pháp này thường được áp dụng

trong các trường hợp mà việc xâm phạm đến quyên lợi của chủ sở hữu đữ liệu cá nhân không

phải là hành vi phạm tdi.

Phương pháp mệnh lệnh — phục ting: Phương pháp này, trên cơ sở áp dụng của Luật

Hình sự, áp dụng hình phạt đối với các hành vi xâm phạm đến quyền sở hữu dữ liệu cá nhân,

đặc biệt là các hành vi trái phép, lạm dụng, phá hoại hoặc truy cập trái phép vào dữ liệu cá

nhân Phương pháp này tập trung vào việc ngăn chặn và trừng phạt các hành vi xâm phạm đếnquyền sở hữu dữ liệu cá nhân, từ đó dam bảo tính bảo mật và an toàn cua đữ liệu

Phương pháp quyên lực — phục tùng: Phương pháp này, trên cơ sở áp dụng của LuậtHành chính, tập trung vao việc kiểm soát và giám sát việc thu thập, xử lý và lưu trữ dữ liệu cánhân bởi các tô chức, tô chức, doanh nghiệp, đảm bảo tính minh bạch và trách nhiệm của cácbên liên quan Nếu các tô chức hoặc tô chức vi phạm các quy định về bảo vệ dữ liệu cá nhân,phương pháp này cung cấp các biện pháp pháp lý dé xử lý hành vi vi phạm, như phạt tiền hoặctước quyền sử dụng dữ liệu

Y nghĩa phân loại: Phân loại pháp luật về bảo vệ dit liệu cá nhân dựa trên phương phápđiều chỉnh, có ý nghĩa quan trong trong việc xác định cơ chế pháp ly dé bảo vệ dit liệu cá nhân.Việc phân loại pháp luật về bảo vệ đữ liệu cá nhân theo phương pháp điều chỉnh là cách dé

xác định cách thức áp dụng các quy định và biện pháp pháp lý phù hợp với từng trường hợp

vi phạm, từ đó đảm bảo tính hiệu quả và đồng nhất trong việc bảo vệ đữ liệu cá nhân

1.2.4 Cau trúc pháp luật về bảo vệ dữ liệu cá nhân

Theo tác giả, cầu trúc pháp luật được hiểu như sau: “Cấu tric pháp luật là sự tổ chức

và bố trí các quy định, quy tắc, nguyên tắc và tiêu chuẩn trong một văn bản pháp luật, baogom các phan chính, các mục, điều khoản và các hệ thống liên quan trong văn bản pháp luật

äđ”!,

Dưới góc độ nhìn nhận cấu trúc của pháp luật bảo vệ DLCN, nhăm đảm bảo đầy đủcác chương bao gồm các chế định về bảo vệ DLCN, cấu trúc pháp luật về bảo vệ DLCN đượccầu thành bởi ba bộ phận chính sau đây:

Bộ phận thứ nhất: Gom các quy định chung về dữ liệu nói chung và bảo vệ dữ liệu cánhân nói riêng: Đây là những quy định chung về khái niệm các thuật ngữ có liên quan, các

nguyên tac chung về xử lý, chuyên giao và bảo vệ dữ liệu cá nhân, phạm vi và đôi tượng điêu

31 Nguyễn Bá Tuấn, Nguyễn Ngọc Hoà, Phạm Gia Lưu Phương, 2022, “Mot số mô hình pháp luật về bảo vệ dit liệu cá

nhân trên thê giới va dé xuất cho Việt Nam”, Dé tài nghiên cứu khoa học cap trường, đã trích dan.

25

chỉnh của pháp luật về bảo vệ đữ liệu cá nhân.

Bộ phận thứ hai: Bao gầm các quy định của pháp luật bảo vệ dit liệu cá nhân về quyên

và nghĩa vụ của các chủ thể trong quan hệ xã hội liên quan đến DLCN: Trong phần này, phápluật về bảo vệ dit liệu cá nhân sẽ quy định về các chủ thé tham gia, năng lực chủ thé, quyền vànghĩa vụ của các chủ thể, giới hạn thực hiện quyên, các hành vi nghiêm cam không được thựchiện voi đữ liệu cá nhân và các trường hợp ngoại lệ trong quá trình xử lý, khai thác, chuyển

giao dữ liệu ca nhân.

Bộ phận thứ ba là các quy định về điều kiện, trình tự, các thủ tục pháp lý, chế tài xửphạt và thẩm quyên áp dụng chế tài xử phạt đối với dit liệu cá nhân: Trong bộ phận thứ banày có thê xác định rõ những quy định là điều kiện nhất định đối với việc bảo vệ DLCN Quyđịnh về các biện pháp bảo vệ DLCN là những quy định về điều kiện, trình tự cũng như thủ tụcpháp lý cụ thê tương ứng với từng biện pháp bảo vệ DLCN Khi xảy ra vi phạm, phát sinhtranh chap thì pháp luật về bảo vệ DLCN cũng dé ra hình thức xử ly bằng những chế tài khácnhau, quy định về thầm quyền áp dụng chế tài xử phạt đối với việc bảo vệ dit liệu cá nhân.Phan ba của pháp luật về bảo vệ DLCN sẽ là căn cứ quan trọng dé cá nhân, tổ chức tiễn hànhcác hoạt động bảo vệ DLCN hiệu quả, triệt dé các mâu thuẫn, tranh chap phát sinh liên quanđến DLCN

Bên cạnh đó, cau trúc pháp luật về bảo vệ DLCN còn được nhìn nhận dưới góc độ baogồm tập hợp các văn bản pháp luật về bảo vệ DLCN (bao gồm nhiều văn bản pháp luật) Theo

đó, cau trúc pháp luật về bảo vệ DLCN có thể bao gồm: (i) Một luật chung quy định toàn diện

về bảo vệ DLCN; (ii) Các Luật, Nghị định quy định về bảo vệ DLCN theo từng lĩnh vực cụ

thê Trong đó, mỗi văn bản nêu trên sẽ lại có cầu trúc theo từng chế định như được phân tích

tại Mục này.

1.2.5 Nội dung pháp luật về bảo vệ dữ liệu cá nhân

Theo tác gia, nội dung pháp luật được định nghĩa là “tat cả các quy định, nguyên tắc

và quy tac được ghi trong các văn bản pháp luật Nó bao gom các điều khoản, mục, chương,phan, các tiêu chuẩn kỹ thuật, các hướng dân, chỉ thị của cơ quan nhà nước hoặc t6 chức, cánhân có thẩm quyên” 32 Định nghĩa này nhân mạnh rang nội dung pháp luật là tập hợp cácquy định, nguyên tắc và quy tắc được ghi trong các văn bản pháp luật và cũng bao gồm cáchướng dẫn, chỉ thị của các cơ quan nhà nước hoặc tổ chức có thâm quyên

Nội dung pháp luật bảo vệ DLCN nhìn chung sẽ được xây dựng dựa trên các chương,

chế định pháp luật, bao hàm các quy định pháp luật cụ thể về bảo vệ DLCN Nội dung pháp

32 Nguyễn Bá Tuấn, Nguyễn Ngọc Hòa, Phạm Gia Lưu Phương, 2022, “Một số mô hình pháp luật về bảo vệ dữ liệu cá

nhân trên thế giới và dé xuất cho Việt Nam”, Đề tài giải Nhì cuộc thi Giải thưởng khoa học và công nghệ đành cho sinh

viên trong các cơ sở giáo dục đại học năm 2023

26

luật về bảo vệ DLCN sẽ bao gồm các nội dung chính về:

(i) Khái nệm DLCN;

(ii) Các nguyên tắc cơ bản về bảo vệ DLCN;

(iii) Các quy định về các chủ thê liên quan đến bảo vệ DLCN;

(iv) Các phương thức bảo vệ đữ liệu cá nhân;

Nội dung pháp luật bảo vệ dữ liệu các nhân được nghiên cứu theo khía cạnh các

nguyên tắc cơ bản của pháp luật bảo vệ thông tin cá nhân

Một là, nguyên tac bat khả xâm phạm quyên riêng tư, quyên bảo vệ dữ liệu cá nhân.Nguyên tắc bất khả xâm phạm về đữ liệu cá nhân yêu cầu Nhà nước có trách nhiệmbảo vệ sự bí mật về đời sống riêng tư, về cá nhân, về gia đình, về thư tín, về điện thoại, điệntín và các hình thức trao đôi thông tin riêng tư khác Day được coi là một trong những nguyêntắc quan trọng nhất của các quy phạm pháp luật điều chỉnh bảo vệ đữ liệu cá nhân

Hai là, nguyên tắc bình đăng trước pháp luật của các chủ thể trong việc bảo vệ dit liệu

ca nhân.

Nguyên tắc này khăng định quyền được đối xử một cách như nhau, công bằng giữamoi chủ thê trước pháp luật trong việc bảo vệ dữ liệu cá nhân Bình dang trước pháp luật trongbảo vệ dữ liệu cá nhân thê hiện ở hai khía cạnh: một là bình đẳng khi tham gia vào các quan

hệ pháp luật mà đữ liệu cá nhân cần được bảo vệ và hai là, bình đẳng khi giải quyết các tranhchấp nảy sinh khi có vi phạm pháp luật về bảo vệ dif liệu cá nhân Sự bình đăng thê hiện ở chỗmọi người có quyền được bảo vệ dữ liệu cá nhân như nhau, quyền và nghĩa vụ của các chủthể phải tuân theo sự quy định của pháp luật; trước pháp luật, cơ quan Nhà nước và cá nhân

có quyền lợi và nghĩa vụ bình đăng trong việc bảo vệ dữ liệu cá nhân

Ba là, nguyên tac bảo vệ dit liệu cá nhân không được xâm phạm loi ích quốc gia, dântộc; quyên và lợi ích hợp pháp của người khác

Nguyên tắc này thê hiện nghĩa vụ của mỗi cá nhân đối với cộng đồng, xã hội, quốc giacủa mình Mỗi cá nhân khi được bảo vệ dữ liệu cá nhân cũng phải đảm bảo rằng họ tôn trọng

trật tự xã hội, lợi ích của cộng đồng và các cá nhân khác Nguyên tắc này đã được thừa nhận

trong nhiều văn kiện quốc tế như Tuyên ngôn thé giới về Quyền con người, Công ước quốc

tế về các quyền dân sự chính tri, cũng như trong pháp luật của nhiều quốc gia và cũng lànguyên tắc hiến định trong pháp luật Việt Nam

Bốn là, nguyên tắc bảo vệ dit liệu cá nhân có thé bị hạn chế trong những trường hopnhất định

Quyền riêng tư và quyền bảo vệ dữ liệu cá nhân không phải là quyền tuyệt đối, vì vậyviệc bảo vệ dữ liệu cá nhân cũng có những giới hạn nhất định Trong Bình luận chung số 16

27

của Ủy ban Giám sát thực hiện ICCPR33 đã nêu răng: “Với tat cả mọi người sống trong xãhội, việc bảo vệ bí mật riêng tư chỉ mang tính chất tương đối Tuy nhiên, các nhà chức trách

có thẩm quyên chỉ có quyên thu thập thông tin về đời tư của công dân khi những thông tin đó

là cân thiết dé bảo đảm lợi ích của cộng dong như được quy định trong Công ước'”? Nhưvậy, ở bất kỳ quốc gia thành viên nào của ICCPR thì trong một số trường hợp nhất định đượcquốc gia quy định cụ thé, nhà nước có quyền khai thác dit liệu cá nhân mà không cần có sựđồng ý của họ Trong một xã hội dan chủ, hạn chế này chỉ áp dung trong trường hợp cần thiết

và nhằm mục đích vì phúc lợi chung cộng đồng: vì lý do quốc phòng, an ninh quốc gia, trật

tự, an toàn xã hội, đạo đức xã hội, sức khoẻ của cộng đồng.

Nam là, nguyên tắc công khai, minh bach trong quản lý dit liệu cá nhân

Quản lý dữ liệu cá nhân là trách nhiệm của các cơ quan nhà nước và các chủ thể cótrách nhiệm khác trong việc bảo vệ dữ liệu cá nhân Các chủ thê này phải bảo đảm tính côngkhai, minh bach trong quan lý dữ liệu cá nhân Theo đó cần phải có các biện pháp phù hợp débảo đảm sự tuân thủ pháp luật về bảo vệ đữ liệu cá nhân trong hoạt động của mình Việc quản

lý dữ liệu cá nhân đòi hỏi phải bảo đảm sự công khai, minh bạch trong quá trình thu thập và

lưu trữ dữ liệu cá nhân, về loại dữ liệu cá nhân mà các chủ thé đó thu thập lưu trữ, về cách thứcthu thập và lưu trữ, về mục đích thu thập, lưu trữ, sử dung hay công bố dit liệu cá nhân

33 JCCPR (International Covenant on Civil and Political Rights - Công ước Quốc tế về các Quyền Dân sự và Chính trị) là một công ước quốc tế do Đại Hội đồng Liên Hợp Quốc thông qua ngày 16 tháng 12 năm 1966 và có hiệu lực từ ngày 23

tháng 3 năm 1976, nêu tổng quan các quyền dân sự và chính trị cơ bản của con người.

34 Human Rights Committee, General Comment No 16 - Article 17 (The right to respect of privacy, family, home

and correspondence, and protection of honour and reputation), Truy cap tai:

http://tbinternet.ohchr.org/_layouts/treatybodyexternal/TBSearch.aspx?Lang=en& TreatyID=8&DocTypeID=11 Truy cap ngay 20/03/2023.

35 Nguyễn Ngọc Hoà, Nguyễn Bá Tuấn, Pham Gia Lưu Phương, 2022, “Mér số mô hình pháp luật về bảo vệ dữ liệu cả

nhân trên thé giới và dé xuất cho Việt Nam”, công trình nghiên cứu khoa học cấp trường.

28

TIỂU KẾT CHƯƠNG 1Tại chương 1, với nội dung nghiên cứu chủ yếu về một số van dé lý luận về bảo vệ dirliệu cá nhân, tác giả đã phân tích và đưa ra một số kết luận sau:

Thi nhất, tác giả đã tìm hiểu những khái niệm khác nhau về dit liệu cá nhân ở dướigóc độ ngôn ngữ cũng như góc độ pháp lý từ một số văn bản pháp luật trên thế giới, từ đó rút

ra những điểm chung nhất của các khái niệm này Đồng thời, tác giả đã xây dựng một kháiniệm cụ thể về DLCN, cũng như đề ra các tiêu chí phân loại của DLCN và ý nghĩa phân loạicủa từng tiêu chí này Trên cơ sở này, tác giả làm rõ mối liên hệ giữa quyền đối với DLCN vàquyên riêng tư

Thứ hai, tác giả đã đưa ra khái niệm về bảo vệ DLCN và các chủ thé liên quan đến bảo

vệ DLCN Tác giả cũng đã xây dựng các tiêu chí phân loại và ý nghĩa phân loại của từng tiêu

CHƯƠNG 2:

PHÁP LUAT VIET NAM VÀ PHÁP LUẬT MOT SO QUOC GIA

TREN THE GIỚI VE BAO VE DU LIEU CA NHÂN2.1 Cau trúc pháp luật Việt Nam hiện hành

Tại Việt Nam hiện nay van đề bảo vệ DLCN được tiếp cận trong đa dạng các văn bản

quy phạm pháp luật với mức độ khác nhau ở Hiến pháp, Luật, Nghị định

Ở cap độ Hiến pháp, van đề bảo vệ bí mật đời sống riêng tư và bí mật cá nhân từ banHiến pháp năm 1959, 1980, 1992 và mới nhất là Hiến pháp năm 2013

Ở cấp độ luật, hiện nay, vẫn đè về bảo vệ đữ liệu cá nhân đã được quy định rải ráctrong nhiều quy định của pháp luật chuyên ngành, chắng hạn:

Trong lĩnh vực công nghệ, Luật Công nghệ thông tin năm 2006 phi nhận bao đảm bí

mật TTCN;

Trong lĩnh vực an ninh mạng, Luật An toàn thông tin mang năm 2015 quy định

nguyên tắc bảo vệ TTCN trên mạng; Luật An ninh mang năm 2018 quy định hành vi xâmphạm bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mang;

Trong lĩnh vực báo chí, Luật Báo chí năm 2016 quy định nghiêm cam hành vi “tiét 16

thông tin thuộc danh Mục bí mật nhà nước, bí mật đời tư của cá nhân và bí mật khác theo quy định của pháp luật °6.

Ngoài ra, trong các lĩnh vực riêng biệt có các quy định riêng điều chỉnh về van đề bảo

Trong lĩnh vực thương mại, Nghị định 52/2013/NĐ-CP về thương mại điện tử (đượcsửa đôi, bô sung bởi Nghị định 85/2021/NĐ-CP) đặt ra các yêu cầu cụ thê đối với việc bảo vệ

thông tin cá nhân trong hoạt động thương mại điện tử.

Trong lĩnh vực an ninh mạng, Nghị định 25/2014/NĐ-CP về quy định phòng chong

tội phạm và vi phạm pháp luật khác có sử dụng công nghệ cao cũng đặt ra quy định liên quan

đến việc bảo vệ thông tin cá nhân

Tương tự, trong các lĩnh vực khác các Nghị định hướng dẫn của Luật cũng đưa ra các

quy định bồ sung liên quan đến vấn đề bảo vệ dữ liệu cá nhân trong lĩnh vực đó

36 Khoản 5 Điều 9 Luật Báo chí năm 2016.

30

2.2 Nội dung pháp luật Việt Nam về bảo vệ dữ liệu cá nhân

2.1.1 Quy định pháp luật Việt Nam về dữ liệu cá nhân

Thứ nhất, về khái niệm của dit liệu cá nhân

Hiện nay, trong hệ thông pháp luật Việt Nam không tồn tại một khái niệm chính thức

về DLCN Theo thống kê của Bộ Công an, có tổng số 68 văn bản quy phạm pháp luật liênquan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 04 Bộ luật;

39 Luật, 01 Pháp lệnh; 18 Nghị định; 04 Thông tư/Thông tư liên tịch; 01 Quyết định của Bộ

trưởng Tuy nhiên, dù có tới 68 văn bản nhưng tất cả đều không thống nhất về khái niệm và

nội ham đữ liệu cá nhân, bảo vệ dữ liệu cá nhân””.

Pháp luật Việt Nam đang sử dụng ít nhất 10 thuật ngữ có liên quan đến dit liệu cá nhân

9938 ce 99 66 Ano 6

như “thong tin ca nhân”, “thông tin riêng”, “thông tin sở”, “thông tin ca nhân trên môi trường mạng”, “thông tin bí mật đời tư, “co sở dit liệu điện tử, “bi mật ca nhân, bí mật gia

dink’ Thực trạng trên cho thay chủ thể lập pháp tại Việt Nam dang ling túng trong việc

định danh dữ liệu cá nhân.

Có thé thay TTCN hay DLCN là các khái niệm tương đối trừu tượng và mang tínhđịnh tính cao Yêu cầu đưa ra một khái niệm chính xác nhất đối với thuật ngữ là cực kỳ khókhăn, do sự phát triển như vũ bão của khoa học kỹ thuật luôn đưa ra những vấn đề mới tronglưu trữ và định đạng thông tin Tuy nhiên, trong hệ thống pháp luật Việt Nam đang tồn tại quánhiều các thuật ngữ liên quan, dẫn đến việc các nhà lập pháp gặp phải không ít khó khăn trongviệc xây dựng định nghĩa về DLCN

Hiện nay, Việt Nam đang nỗ lực xây đựng văn bản quy phạm pháp luật đầu tiên quyđịnh về dữ liệu cá nhân nói chung và bảo vệ đữ liệu cá nhân nói riêng Tại Dự thảo Nghị định

về bảo vệ dữ liệu cá nhân số 029 dang được lấy ý kiến trên cổng thông tin điện tử của ChínhPhu thi dữ liệu cá nhân được định nghĩa: “Dir liệu cá nhan là dit liệu về cá nhân hoặc liênquan đến việc xác định hoặc có thé xác định một cá nhân cụ thé” Đây là cách định nghĩa chưathực sự khoa học vì lấy “dit liệu” định nghĩa cho chính “đZ# /ệu”, chưa thực sự mô tả được cácdau hiệu nhận diện dữ liệu Trong khi đó GDPR 2016 của EU đã thành công trong việc đưa

ra định nghĩa về dữ liệu theo phương thức kết hợp giữa mô tả và liệt kết

Thứ hai, về bản chất pháp lý của dữ liệu cá nhân

Hiện nay có nhiều luồng quan điểm trái ngược về việc xác định bản chất pháp lý

37 Trọng Quỳnh, 2023, “Can sớm ban hành một văn bản quy phạm pháp luật về bảo vệ dit liệu cá nhân”, Công thông tin điện tử Quốc hội Nước Cong hoà Xã hội Chủ nghĩa Việt Nam Truy cập tại: https://quochoi.vn/tintuc/Pages/tin-hoat-dong-

cua-quoc-hol.aspx?ItemID=72933 Truy cập ngày: 20/3/2023.

38 Khoản 15 Điều 3 Luật An toàn thông tin mạng 2015.

39 Bộ luật Dân sự 2015, Luật Tiếp cận thông tin 2016

40 Dự thảo Nghị định về bảo vệ dữ liệu cá nhân số 02 Link truy cập:

https://thuvienphapluat.vn/van-ban/Congnghe-thong-tin/Du-thao-Nghi-dinh-quy-dinh-ve-bao-ve-du-lieu-ca-nhan-465 185.aspx Truy cập ngày: 20/3/2023.

4! Khoản 1 Điều 4 GDPR.

3]

của DLCN, trong đó quan điểm coi quyền đối với DLCN là một quyền nhân thân được thêhiện rõ nhất trong BLDS năm 2015 Cụ thê, điều 32 và 38 nằm trong chương 2 quy định vềquyên nhân thân của bộ luật này đã chỉ rõ các hình ảnh, thông tin liên quan đến đời sống riêng

tư, bí mật cá nhân, bí mật gia đình, thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các

hình thức trao đôi thông tin riêng tư khác của cá nhân là một quyền nhân thân được bảo vệ

một cách tuyệt đối Tương tự như vậy, một số các văn bản khác cũng thê hiện quan điểm coi

DLCN như là một quyền nhân thân, có thé kế đến như Luật Khám bệnh, chữa bệnh năm 2009cũng quy định những dit liệu về tình trạng sức khoẻ và đời tư của người bệnh được ghi trong

hồ sơ bệnh án phải được bảo vệ và giữ bí mật cũng như không thé thay đổi, tây, xóa Đặc trưng

“oắn liên với chủ thể mang quyên ” và “không thể chuyển giao” nằm trong nhóm các dau hiệu

mô tả giá trị nhân thân Như vậy, dữ liệu cá nhân đa phần được nhìn nhận là những gia trị nhân

than*?.

Tuy nhiên, việc coi DLCN là một quyền nhân thân lại tồn tại nhược điểm lớn khi xuấthiện các hành vi chuyên giao dữ liệu cá nhân, cụ thé là mua ban dir liệu cá nhântrên các nền tảng đa phương tiện Như vậy, thực tế chứng minh DLCN có thê chuyểngiao được, có thé định giá được thành tiền trong các “hop đồng mua bán dit liệu” Vậynếu coi DLCN là đối tượng của quyền nhân thân thì pháp luật sẽ không bao quát đượccác hiện tượng đang xảy ra trên thực tế Do đó xuất hiện nhóm quan điểm thứ hai chính

là quan điểm coi DLCN là tài sản Quan điểm này xuất phát từ quy định của BLDS năm

2015 về quyền tài sản: “Quyên tài sản là quyên trị giá được bằng tiên, bao gôm quyên tài sảnđối với đối tượng quyên sở hữu trí tuệ, quyên sử dụng dat và các quyên tài sản khác ”*3 Theo

đó quyền tai sản là quyền trị giá được thành tiền và DLCN cũng có thé trị giá được thành tiền

Mặc dù vậy, hiện nay tại Việt Nam vẫn chưa có một văn bản quy phạm pháp luật nào

hướng tới việc nhận diện một cách cụ thé bản chất pháp lý của dữ liệu cá nhân Do đó, nộidung này cần được bồ sung, làm rõ trong thời gian sắp tới

Thứ ba, quy định về các loại đữ liệu Hiện nay, pháp luật Việt Nam chưa có quy định

cụ thé nao về các loại dữ liệu cá nhân Van dé này mới chỉ được dé cập lần trong trong Dựthao 02 Nghị định về Bảo vệ Dữ liệu cá nhân của Bộ Công an“* Theo đó, Dự thảo 02 đã

hướng tới phân loại DLCN thành 02 nhóm: “Da liệu cá nhân cơ ban và “Dữ liệu cá nhân

nhạy camTM®, Quy định về 02 nhóm dit liệu cá nhân nay, dự thao áp dụng phương pháp liệt kê

4 Clarisse, 2020, “Các tiêu chuẩn quốc tế và thông lệ tốt nhất về bảo vệ dữ liệu cá nhân trong môi trường 86, trong tam la

các nhóm đối tượng yếu thé tại Việt Nam”, Kỷ yêu Hội thao chia sẻ kinh nghiệm về bảo vệ dit liệu cá nhân trên không gian mạng, tập trung vào nhóm đối tượng yếu thế tại Việt Nam, Hà Nội ngày 9/12/2020.

3 Điều 115 BLDS 2015.

44 Dự thảo 2 Nghị định Quy định về Bảo vệ đữ liệu cá nhân Truy cập tại:

https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Du-thao-N ghi-dinh-quy-dinh-ve-bao-ve-du-lieu-ca-nhan-465185.aspx.

45 Khoản 2 Điều 2 Dự thao 2 Nghị định Quy định về Bao vệ dữ liệu cá nhân.

46 Khoản 3 Điều 2 Dự thao 2 Nghị định Quy định về Bao vệ dữ liệu cá nhân.

32

đối với từng loại đữ liệu, cụ thẻ:

“Dit liệu ca nhân cơ bản” bao gôm:

Dữ liệu cá nhân cơ bản

1 Họ, chữ đệm và tên khai sinh, bí danh (nêu

3 Nhóm máu, giới tính 9 Sô chứng minh nhân dân, sô hộ chiêu, sô

căn cước công dân, sô giây phép lái xe, sô biên sô xe, sô mã sô thuê cá nhân, sô bảo hiém xã hội.

4 Nơi sinh, nơi đăng ký khai sinh, nơi

thường trú, nơi ở hiện tại, quê quán, địa chỉ

liên hệ, địa chỉ thư điện tử.

10 Tình trạng hôn nhân.

hoạt động trên không gian mạng.

6 Dân tộc.

“Dit liệu cá nhân nhạy cam” bao gôm:

Dữ liệu cá nhan nhạy cam

1 Dữ liệu cá nhân vê quan điêm chính trị,

tôn giáo.

2 Dữ liệu cá nhân về tội phạm, hành vi phạm

tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật.

3 Dữ liệu cá nhân về tình trạng sức khỏe là

thông tin liên quan đến trạng thái sức khỏe

thé chất hoặc tinh thần của chủ thé đữ liệu

được thu thập, xác định trong quá trình đăng

ký hoặc cung cấp dịch vụ y tế

4 Dữ liệu cá nhân về tài chính là thông tinđược sử dụng để xác định tài khoản, thẻ,công cụ thanh toán do tổ chức tài chính cungcấp cho chủ thê dữ liệu hoặc thông tin về mốiquan hệ giữa tô chức tài chính, dữ liệu tiềngốc với chủ thê dit liệu, bao gồm cả hồ sơ,

tình trạng tài chính, lịch sử tín dụng, mức thu nhập.

5 Dữ liệu cá nhân vê di truyền là thông tin

liên quan đến các đặc điểm di truyền được

thừa hưởng hoặc có được của cá nhân.

6 Dữ liệu cá nhân về vi trí là thông tin vê vịtrí địa lý thực tế của cá nhân ở quá khứ và

hiện tại.

33

7 Dữ liệu cá nhân về sinh trắc học là thông

tin về thuộc tính vật lý, đặc điểm sinh học

riêng của môi ca nhân.

8 Dữ liệu cá nhân về các môi quan hệ xã hội.

9 Dữ liệu cá nhân về tinh trạng giới tính là

thông tin về người được xác định có giới tính

nam, nữ, người kêt hợp giữa nữ và nam,

10 Dữ liệu cá nhân khác được pháp luật quy

định là đặc thù và cần có biện pháp bảo mật

cân thiết.

không phải nữ hoàn toàn hoặc nam toàn

toàn, không phải nữ cũng không phải nam

hoặc là tình trạng của chủ thé dữ liệu có ý

thức về giới tính không phù hợp với giới tính

được xác định khi sinh.

11 Dữ liệu cá nhân vê đời sông, xu hướng

tình dục.

Cách thức xây dựng điều khoản phân loại đữ liệu bằng phương pháp liệt kê này vừa

có những ưu điểm, vừa có nhược điểm nhất định Ưu điểm là, phương pháp này giúp ngườidân có thé dé dang nắm bắt, nhận điện các nhóm dit liệu thuộc từng loại riêng biệt Điều nàygiup giảm thiểu sự nhầm lẫn, mơ hồ trong nhận diện dữ liệu Mặc dù vậy, nhược điểm củaphương thức này là việc có thê bị thiếu sót trong quá trình liệt kê Thêm vào đó, với sự pháttriển liên tục không ngừng nghỉ của xã hội, khoa học công nghệ, các nhóm dữ liệu mới hoàntoàn có thê phát sinh trong tương lai gần Khi đó, việc áp dụng pháp luật sẽ trở nên khó khăn

hơn do có những nhóm dữ liệu không thuộc trường hợp của cả dữ liệu cơ bản và dữ liệu nhạy cảm.

Ngoài ra, dự thảo này vẫn chưa đề cập đến một nhóm dữ liệu tương đối quan trọng

khác, đó là dữ liệu mật danh (pseudonymized data) Day là nhóm dt liệu đã được xây dựng

trong GDPR“? Đây là dữ liệu được mật danh hoá bằng cách thay thé thông tin cá nhân nhưtên, địa chỉ, số điện thoại, hoặc thông tin nhận dạng khác bằng một mã hoặc một giá trị khác

Dữ liệu mật danh thường bị nhằm lẫn với dữ liệu ấn danh (anonymous data) Tuy nhiên, vềban chất, hai nhóm dữ liệu nay là hoàn toàn khác nhau Theo đó, dữ liệu 4n danh là những dữliệu không thể giúp trực tiếp hoặc gián tiếp định danh một cá nhân cụ thể Dữ liệu ân danhkhông phải là đối tượng điều chỉnh của GDPR

Mục đích của việc mật danh là đê bảo vệ thông tin cá nhân và quyên riêng tư của chủ

47 GDPR Điều 4.(5): “'Mật danh' có nghĩa là việc xử ly dit liệu ca nhân theo cách ma dit liệu ca nhân không còn có thé được quy cho một chủ thé dữ liệu cụ thé ma không sử dung thông tin bổ sung, với điều kiện là thông tin bổ sung đó được

lưu giữ riêng biệt và tuân theo các biện pháp kỹ thuật và tổ chức dé dam bảo rang dit liệu cá nhân không được quy cho một thé nhân đã được xác định hoặc có thé nhận dạng”.

34