Nhận thấy đây là một định nghĩa quan trọng, được áp dụng xuyên suốt trong các văn bản quy phạm pháp luật nhưng hiện tại vẫn chưa được lưu ý, do đó, với mục đích tìm hướng hoàn thiện nhữn
CƠ SỞ LÝ LUẬN VÀ QUY ĐỊNH CỦA PHÁP LUẬT VỀ DỮ LIỆU CÁ NHÂN
Cơ sở lý luận
Theo GDPR, "dữ liệu cá nhân" là bất kỳ thông tin nào liên quan đến một cá nhân có thể nhận dạng được, trực tiếp hoặc gián tiếp, thông qua các yếu tố như tên, số chứng minh thư, dữ liệu vị trí, và các đặc điểm khác về bản sắc Định nghĩa này bao gồm thông tin cơ bản hàng ngày và các thông tin sinh học, xã hội, cũng như thông tin trực tuyến Tuy nhiên, phạm vi của GDPR chỉ áp dụng cho cá nhân còn sống; thông tin của người đã chết không thuộc điều chỉnh của GDPR Đôi khi, một số thông tin riêng lẻ không đủ để xác định một cá nhân, ví dụ như tên "Hoa" có thể thuộc về nhiều người, do đó cần kết hợp với các yếu tố khác như ngày sinh hoặc nơi cư trú để xác định chính xác cá nhân đó.
2 Tác giả sử dụng từ “dữ liệu” và “thông tin” với cùng một ý nghĩa trong suốt bài viết của mình
4 Information Commission’s Office (2018), Guide to the General Data Protection Regulation, p 11
Luật Bảo vệ dữ liệu cá nhân của Hồng Kông, tương tự như GDPR, định nghĩa dữ liệu cá nhân là thông tin liên quan đến một cá thể sống, có thể xác định danh tính cá nhân đó, và được lưu trữ ở dạng mà quyền truy cập hoặc xử lý dữ liệu có thể thực hiện được.
Luật Bảo vệ người tiêu dùng của bang California, Hoa Kỳ, không định nghĩa rõ ràng về thông tin cá nhân, nhưng cơ quan tư pháp hiểu rằng thông tin này là "thông tin xác định, liên quan hoặc có thể được liên kết một cách hợp lý với cá nhân hoặc hộ gia đình của cá nhân đó." Điều này bao gồm tên, số an sinh xã hội, địa chỉ email, lịch sử mua sắm, lịch sử duyệt internet, dữ liệu vị trí, dấu vân tay và các suy luận từ thông tin khác tạo nên hồ sơ về sở thích và đặc điểm cá nhân Điểm chung trong các định nghĩa về dữ liệu cá nhân là yếu tố "liên quan" đến cá nhân; nếu thiếu yếu tố này, thông tin không thể được coi là dữ liệu cá nhân.
Dữ liệu cá nhân được hiểu là thông tin liên quan đến một cá nhân cụ thể, không phải tổ chức hay pháp nhân Theo quan điểm của tác giả, thông tin của cả người sống và người đã chết đều cần được xem là dữ liệu cá nhân và cần được bảo vệ theo luật bảo vệ dữ liệu cá nhân Mức độ bảo vệ này có thể phụ thuộc vào tầm quan trọng của thông tin và ảnh hưởng đến chủ thể dữ liệu cùng những cá nhân liên quan Mặc dù quy định có thể khác nhau giữa các quốc gia, nhưng vẫn phải tuân thủ các nguyên tắc chung của pháp luật Việt Nam.
Pháp luật của các nước quy định không có nhiều điểm khác biệt quá lớn về
6 Article 2(1) Hong Kong Personal Data (Privacy) Ordinance
Thông tin liên quan đến cá nhân đã chết có thể được xử lý theo các quy định pháp luật về thừa kế, vì nó có thể ảnh hưởng đến những người sống xung quanh họ như vợ, chồng, con cái, và anh chị em Vào năm 2018, Liên hợp quốc đã ban hành các quy tắc chung nhằm bảo vệ dữ liệu cá nhân và quyền riêng tư, với mục tiêu tạo sự hài hòa trong khung pháp lý của các quốc gia, từ đó tạo ra một môi trường xử lý dữ liệu đáng tin cậy và bảo vệ quyền riêng tư của chủ thể dữ liệu.
Cách hiểu về dữ liệu cá nhân tại Việt Nam tương đồng với pháp luật quốc tế, tuy nhiên, định nghĩa vẫn còn hạn chế và chủ yếu dựa trên phương pháp liệt kê Trong Dự thảo Nghị định Bảo vệ dữ liệu cá nhân, các nhà làm luật đã tái định nghĩa khái niệm dữ liệu cá nhân.
Dữ liệu cá nhân được định nghĩa là thông tin liên quan đến việc xác định một cá nhân cụ thể, bao gồm các trường hợp cụ thể và các loại dữ liệu khác được pháp luật quy định là đặc thù, cần có biện pháp bảo mật cần thiết Đây là một bước tiến quan trọng trong việc bảo vệ dữ liệu cá nhân tại Việt Nam, khi mà dữ liệu cá nhân cuối cùng cũng được quy định bởi một văn bản pháp luật riêng.
1.1.2 Phân loại các mức độ xâm phạm dữ liệu cá nhân
Bài viết đề cập đến bốn nhóm mức độ xâm phạm dữ liệu cá nhân cơ bản, bao gồm: thu thập thông tin, xử lý và tổng hợp thông tin, hành vi phổ biến thông tin đã được xử lý, và cuối cùng là xâm phạm đời tư của cá nhân mà không nhất thiết cần thông tin cá nhân Những mức độ này thường dễ nhận thấy trong cuộc sống hàng ngày và có thể diễn ra âm thầm cho đến khi chúng ảnh hưởng đến cuộc sống của chúng ta Tác giả sẽ tập trung vào ba nhóm xâm phạm đầu tiên, trong khi nhóm cuối cùng, mặc dù có tác động tiêu cực, không được đề cập do không yêu cầu dữ liệu cá nhân.
8 UN High-Level Committee on Management, UN Principles on Personal Data Protection
9 Ví dụ khái niệm về thông tin cá nhân được quy định ở Điều 3(5) Nghị định 64/2007/NĐ-CP
10 Ví d ụ như tên, tuổ i, s ố ch ứ ng minh nhân dân, s ố điệ n tho ạ i,…
12 Ví dụ như hành vi theo dõi, chụp hình, ghi hình lại
Mức độ đầu tiên trong việc thu thập thông tin cá nhân là khá đơn giản và ai cũng có thể thực hiện Thông tin về một cá nhân, bao gồm cả hình ảnh, có thể được thu thập qua các phương tiện ghi âm, ghi hình hoặc ghi chép thủ công Ví dụ điển hình là camera giám sát tại nơi công cộng, biểu mẫu khảo sát tại siêu thị, hoặc khi đăng ký tài khoản mạng xã hội Thực tế cho thấy, thông tin cá nhân có thể được thu thập ở bất kỳ nơi nào có sự hiện diện của con người Tuy nhiên, việc thu thập thông tin này không nhất thiết vi phạm quyền riêng tư; ví dụ, camera tại nơi công cộng có thể giúp điều chỉnh hành vi con người, giảm thiểu tội phạm và hỗ trợ cơ quan chức năng xác định danh tính của những người thực hiện hành vi bất chính.
Ở mức độ tiếp theo, thông tin cá nhân được xử lý, làm cho dữ liệu trở nên nhạy cảm hơn khi đã rõ ràng về danh tính của chủ thể Hành vi xâm phạm thường gặp là tổng hợp thông tin cá nhân và sử dụng cho mục đích khác, chẳng hạn như khi khách hàng đăng ký tài khoản ngân hàng mà không mong muốn thông tin của mình bị bên thứ ba khai thác Tại giai đoạn này, dữ liệu cá nhân đã được cụ thể hóa và gắn liền với cá nhân, cho phép các tổ chức hiểu rõ hơn về bạn, bao gồm vị trí, thu nhập, và các thông tin khác Đây là giai đoạn quan trọng trong các văn bản pháp luật về bảo vệ dữ liệu cá nhân, vì thông tin này trở nên hữu ích và có giá trị kinh tế cao Trong bối cảnh ngân hàng phát triển và mở rộng sang lĩnh vực bảo hiểm, việc lọc thông tin khách hàng tiềm năng để tiếp thị đúng đối tượng trở thành một chiến lược quan trọng.
Việc phổ biến thông tin được thu thập xảy ra khi cơ quan, cá nhân hoặc tổ chức không đảm bảo an toàn cho thông tin cá nhân, dẫn đến việc thông tin bị rò rỉ hoặc phát tán một cách vô tình.
Việc cố ý tiết lộ dữ liệu ra bên ngoài đang trở thành một hành vi phổ biến trong cộng đồng mạng hiện nay Người dùng thường gặp phải những tình huống như bị lạm dụng thông tin và hình ảnh nhạy cảm để tống tiền hoặc đe dọa Một ví dụ điển hình là vụ việc Văn Mai Hương bị lộ video nhạy cảm tại nhà riêng vào năm 2019, cho thấy sự nghiêm trọng của việc phổ biến thông tin cá nhân.
Mức độ xâm phạm dữ liệu cá nhân ảnh hưởng trực tiếp đến quyền riêng tư của từng cá nhân, bất kể là thấp hay cao Trong phần tiếp theo, tác giả sẽ phân tích quan điểm của các học giả nổi tiếng về khái niệm "quyền riêng tư" và làm rõ mối liên hệ giữa quyền riêng tư và bảo vệ dữ liệu cá nhân.
1.1.3.1 Quyền được để một mình
Quyền riêng tư, được định nghĩa nổi tiếng bởi Samuel Warren và Louis Brandeis vào tháng 12 năm 1890, được xem là quyền được để một mình (the right to let be alone) Định nghĩa này đã đặt nền tảng cho pháp luật về quyền riêng tư tại Hoa Kỳ Trong bài viết của họ trên một tạp chí luật học nổi tiếng, Warren và Brandeis đã khẳng định tầm quan trọng của quyền riêng tư trong xã hội hiện đại.
Brandeis nhấn mạnh tầm quan trọng của sức khỏe tinh thần thông qua quyền riêng tư mà mỗi người có thể tận hưởng Quyền sở hữu trí tuệ, đã được chú trọng trong bối cảnh phát triển thương mại, bảo vệ quyền lợi của các tác giả và khuyến khích họ cống hiến cho xã hội Quyền riêng tư cũng đóng vai trò tương tự, bảo vệ cá nhân khỏi sự dò xét và phán đoán từ bên ngoài, tạo ra không gian an toàn để phát triển bản thân Khi cảm thấy tự do và an toàn, con người mới có thể thoải mái sáng tạo và theo đuổi đam mê Samuel Warren và Louis Brandeis đã lập luận rằng quyền riêng tư trong các án lệ trước đây được hiểu như một quyền kèm theo trong các mối quan hệ hợp đồng, với án lệ Pollard v Photographic Co (1888) là một ví dụ tiêu biểu.
16 Vụ hacker tung clip đời tư Văn Mai Hương: Bị phát tán clip thì phải làm gì? (2019), Người Lao Động Online,
ngày t ruy cập 1/11/2021
Các quy định của pháp luật về bảo vệ dữ liệu cá nhân và quyền riêng tư trên thế giới
1.2.1 Hướng dẫn chung của OECD 1980 và bản chỉnh sửa 2013 31
Các nước phát triển như Hoa Kỳ và châu Âu đã từ lâu chú trọng đến việc bảo vệ quyền riêng tư và thông tin cá nhân, cả trong nước lẫn quốc tế OECD nhấn mạnh rằng việc bảo vệ quyền riêng tư và tự do cá nhân là yếu tố quan trọng cho sự phát triển kinh tế thông qua tự do thông tin Tổ chức này đã xác định tám nguyên tắc nền tảng trong việc thu thập và xử lý dữ liệu theo pháp luật nội địa.
Nguyên tắc thu thập giới hạn yêu cầu các chủ thể chỉ được thu thập thông tin một cách hợp pháp và cần có sự đồng ý của chủ thể dữ liệu Điều này giúp giảm thiểu rủi ro liên quan đến việc thu thập quá nhiều thông tin “nhạy cảm”, có thể dẫn đến phân biệt đối xử Tuy nhiên, các chuyên gia vẫn chưa đưa ra định nghĩa rõ ràng về thông tin “nhạy cảm”, vì cách hiểu về nó có thể khác nhau tùy thuộc vào hoàn cảnh sử dụng.
Nguyên tắc chất lượng dữ liệu yêu cầu rằng dữ liệu phải phù hợp và liên quan đến mục đích sử dụng, đồng thời cần phải chính xác và được cập nhật thường xuyên.
Nguyên tắc thứ ba trong bảo vệ quyền riêng tư là sử dụng dữ liệu đúng mục đích, yêu cầu dữ liệu phải có một mục đích sử dụng cụ thể không khác biệt so với thời điểm thu thập Cả nguyên tắc thứ hai và thứ ba đều nhấn mạnh tầm quan trọng của mục đích sử dụng dữ liệu, cho thấy đây là một trong những nguyên tắc quan trọng trong pháp luật bảo vệ quyền riêng tư của các nước thuộc OECD.
Nguyên tắc sử dụng hạn chế yêu cầu rằng dữ liệu không được tiết lộ hoặc sử dụng cho mục đích khác ngoài mục đích ban đầu, trừ khi có sự cho phép của chủ thể dữ liệu hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.
Thứ năm, nguyên tắc an toàn nhấn mạnh tầm quan trọng của việc bảo vệ dữ liệu, nhằm ngăn chặn các nguy cơ truy cập trái phép, mất cắp hoặc chỉnh sửa thông tin.
31 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
Thứ sáu là nguyên tắc mở, nguyên tắc này yêu cầu các quy định, thông tin, cách dùng liên quan đến dữ liệu đều phải tiếp cận được
Thứ bảy là nguyên tắc sự tham gia của mỗi cá nhân, với mỗi người là một chủ thể dữ liệu độc lập, do đó họ có quyền quyết định về thông tin của mình Họ cần được thông báo về những thông tin nào đã bị thu thập và có quyền yêu cầu cập nhật, chỉnh sửa hoặc xóa bỏ thông tin đó Nguyên tắc thứ sáu và bảy có mối liên hệ chặt chẽ, trong đó nguyên tắc trước là điều kiện tiên quyết cho nguyên tắc sau Chỉ khi các chủ thể quản lý nắm rõ thông tin công khai mà họ đang giữ, người dùng mới có thể truy xuất và thực hiện quyền của mình.
Nguyên tắc chịu trách nhiệm yêu cầu người quản lý dữ liệu phải đảm bảo tuân thủ các quy định liên quan đến dữ liệu mà họ đang nắm giữ.
OECD khuyến khích các thành viên áp dụng những nguyên tắc này, không chỉ giới hạn cho các quốc gia thành viên Hướng dẫn này nhấn mạnh tầm quan trọng của các nguyên tắc quốc tế trong bối cảnh mạng lưới thông tin toàn cầu hóa qua internet, dẫn đến việc chuyển giao thông tin ra khỏi lãnh thổ quốc gia là điều không thể tránh khỏi Do đó, pháp luật cần được điều chỉnh phù hợp để hỗ trợ chính phủ, người dân và doanh nghiệp trong việc giảm thiểu rủi ro từ việc lộ thông tin cá nhân.
1.2.2 Một số đạo luật về bảo vệ thông tin cá nhân ở Hoa Kỳ
Hoa Kỳ được công nhận là một trong những hệ thống pháp luật tiên tiến nhất thế giới, với các quy định về quyền riêng tư và an toàn thông tin cá nhân được thiết lập từ rất sớm Trong khi 33 quốc gia khác không có nguyên tắc chung về quyền riêng tư trong một đạo luật cụ thể, Hoa Kỳ lại quy định quyền riêng tư theo từng lĩnh vực pháp luật Thông thường, các lĩnh vực có sự thu thập thông tin cá nhân sẽ đi kèm với các đạo luật bảo vệ quyền riêng tư tương ứng, như trong lĩnh vực bảo mật thông tin.
"The Right to Privacy" của Samuel Warren và Louis Brandeis đã đặt nền tảng cho các quy định về quyền riêng tư tại Hoa Kỳ, bao gồm các lĩnh vực như tài chính, ngân hàng, sức khỏe, thông tin liên lạc và giáo dục Đặc biệt, Hoa Kỳ có Đạo luật về quyền riêng tư, với mục đích chính là bảo vệ quyền riêng tư của công dân.
Đạo luật này nhấn mạnh việc bảo vệ lợi ích cá nhân trong khi vẫn thừa nhận nhu cầu thông tin hợp pháp của nhà nước, nhằm ngăn chặn sự thiên vị và lạm quyền khi nhà nước nắm giữ quá nhiều thông tin về công dân Thông tin như tiền án, giới tính, nghề nghiệp có thể dẫn đến phân biệt đối xử nếu bị tiết lộ Trách nhiệm dân sự thuộc về tổ chức, trong khi trách nhiệm hình sự thuộc về cá nhân công chức khi xảy ra sai phạm Phạm vi điều chỉnh chỉ áp dụng cho thông tin cá nhân, không bao gồm tổ chức tư nhân Định nghĩa thông tin cá nhân trong đạo luật rất rộng, bao gồm nhiều loại thông tin như trình độ học vấn, tiền sử y tế và tội phạm Cá nhân có quyền biết và yêu cầu chỉnh sửa thông tin của mình, nhưng luật không quy định rõ về quyền xóa thông tin, có thể hiểu rằng việc chỉnh sửa có thể bao gồm cả xóa thông tin không liên quan đến mục đích sử dụng.
Tại Hoa Kỳ, bên cạnh hệ thống pháp luật liên bang về quyền riêng tư, mỗi bang đều có các đạo luật riêng áp dụng trong phạm vi của mình California là một trong những bang đi đầu trong việc thiết lập các quy định về quyền riêng tư Luật bảo vệ quyền riêng tư của người tiêu dùng tại California năm 2018 yêu cầu các doanh nghiệp nắm giữ thông tin cá nhân của khách hàng phải có nghĩa vụ thông báo cho họ về việc thu thập và sử dụng thông tin này.
34 White & Case (2021), Data Protection Laws and Regulations USA 2021 – 2022, ICGL
ngày truy c ậ p 20/3/2022
36 James Beverage (1976), The Privacy Act Of 1974: An Overview, Duke Law Journal, Vol 1976, No 2, Seventh Annual Administrative Law Issue, p 301
38 James Beverage (1976), The Privacy Act Of 1974: An Overview, Duke Law Journal, Vol 1976, No 2, Seventh Annual Administrative Law Issue, p 316
Luật California Consumer Privacy Act 2018 yêu cầu doanh nghiệp thông báo cho người dùng về loại thông tin cá nhân nào được thu thập và mục đích sử dụng chúng, bao gồm cả việc chia sẻ hoặc bán thông tin nhạy cảm Người dùng có quyền yêu cầu doanh nghiệp cung cấp thông tin đã thu thập và nguồn gốc của chúng Họ cũng có quyền yêu cầu xóa bỏ hoặc chỉnh sửa thông tin không chính xác Luật này nghiêm cấm hành vi phân biệt đối xử với khách hàng khi họ thực hiện quyền lợi của mình, nhằm bảo vệ người tiêu dùng khỏi việc doanh nghiệp lợi dụng thông tin cá nhân.
Tại Hoa Kỳ, thông tin cá nhân chưa được công nhận trực tiếp như một loại tài sản, nhưng nhiều học giả cho rằng nó nên được xem là tài sản cá nhân, giúp người dùng có quyền tự do quyết định Một số thẩm phán cũng đã thừa nhận rằng thông tin cá nhân "có thể" được coi là tài sản của cá nhân, bên cạnh việc công nhận chúng là tài sản của doanh nghiệp.
1.2.3 Quy tắc chung về bảo vệ dữ liệu cá nhân tại Châu Âu
Một số quy định về bảo vệ dữ liệu cá nhân và quyền riêng tư tại Việt
1.3.1 Những nguyên tắc chung về quyền riêng tư trong hệ thống pháp luật Việt Nam
Việt Nam ghi nhận quyền riêng tư của mỗi cá nhân tại Điều 21 Hiến pháp 2013:
Mọi người có quyền được bảo vệ về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; đồng thời, họ cũng có quyền bảo vệ danh dự và uy tín của bản thân.
Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn
2 Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác
Không ai được phép can thiệp, kiểm soát hay thu giữ trái phép thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác.
Pháp luật Việt Nam công nhận quyền riêng tư là quyền nhân thân bất khả xâm phạm, đảm bảo cuộc sống bình yên cho cá nhân và gia đình Quyền này chỉ có thể bị xâm phạm trong những trường hợp ngoại lệ vì lợi ích cộng đồng Ngay cả trong các quy trình tố tụng hình sự, quyền riêng tư của cá nhân vẫn được bảo vệ, bao gồm bí mật thư tín, điện thoại và điện tín Những nguyên tắc này đã hình thành khung pháp lý vững chắc để bảo vệ dữ liệu và thông tin cá nhân.
Tiếp theo đó, quyền riêng tư, bí mật về thông tin còn được quy định tại BLDS
Năm 2015, Bộ luật dân sự đã điều chỉnh các quan hệ giao dịch dân sự và hợp đồng, trong đó Điều 38 nhấn mạnh nguyên tắc bảo vệ quyền riêng tư theo hiến pháp Cụ thể, việc thu thập, lưu giữ, sử dụng và công khai thông tin cá nhân chỉ được thực hiện khi có sự đồng ý của người liên quan Đối với thông tin về bí mật gia đình, cần có sự đồng ý của các thành viên trong gia đình, trừ khi luật quy định khác Bộ luật cũng liệt kê các hành động liên quan đến việc xử lý thông tin này.
53 Điều 12, Bộ luật tố tụng hình sự 2015
Việc “thu thập”, “lưu giữ”, “sử dụng” và “công khai” thông tin cá nhân có sự tương đồng với các quy định quốc tế, nhưng phạm vi bảo vệ chỉ giới hạn ở “bí mật cá nhân” Điều này có nghĩa là thông tin không thuộc về bí mật cá nhân hoặc không liên quan đến đời sống riêng tư sẽ khó được bảo vệ theo quy định này Để đảm bảo nguyên tắc bảo mật đời tư, các bản án công khai trên mạng hiện nay phải được mã hóa tên và địa chỉ của các bên, cho thấy đây là những dữ liệu cá nhân được pháp luật bảo vệ.
1.3.2 Các khái niệm về thông tin cá nhân
Luật Công nghệ thông tin 2006 có vai trò quan trọng trong việc điều chỉnh mối quan hệ về thông tin cá nhân tại Việt Nam, với hai điều luật chính là Điều 21 và Điều 22 Ngoài ra, Điều 72 cũng đề cập đến khái niệm thông tin riêng hợp pháp Tuy nhiên, luật không định nghĩa rõ ràng "thông tin cá nhân" Khái niệm này được làm rõ hơn trong Nghị định số 64/2007/NĐ-CP, trong đó "thông tin cá nhân" được xác định cụ thể hơn.
Thông tin cần thiết để xác định danh tính một cá nhân bao gồm họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân và số hộ chiếu Ngoài ra, các thông tin thuộc bí mật cá nhân như hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và các bí mật cá nhân khác cũng cần được bảo vệ.
Khái niệm thông tin cá nhân được quy định trong Luật An toàn thông tin mạng 2015, với Điều 3(16) định nghĩa rằng "Thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể." Mặc dù định nghĩa này ngắn gọn và tổng quát, nhưng nó chưa đủ cụ thể để phân loại rõ ràng các loại thông tin cá nhân Một số thông tin như sở thích, thói quen mua sắm, tiêu dùng và quan điểm chính trị, mặc dù không trực tiếp xác định danh tính, vẫn có thể được coi là thông tin cá nhân.
54 Điều 21: Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng
55 Điều 22: Lưu trữ, cung cấp thông tin cá nhân trên môi trường mạng
Thông tin riêng hợp pháp của tổ chức và cá nhân được trao đổi, truyền đưa và lưu trữ trên môi trường mạng phải được bảo đảm bí mật theo quy định của pháp luật.
Theo Điều 3(5) Nghị định 64, thông tin cá nhân được xác định dựa vào mục đích sử dụng của bên thu thập Ngược lại, thông tin xác định danh tính có thể không được coi là thông tin cá nhân nếu không đáp ứng mục đích của bên lưu trữ hoặc xử lý dữ liệu.
Khi so sánh hai quy định, Nghị định 64 và Luật An toàn thông tin mạng, có sự khác biệt lớn về khái niệm dữ liệu cá nhân Nghị định 64 định nghĩa thông tin cá nhân là “thông tin đủ để xác định một người” và bị giới hạn bởi các yếu tố cụ thể Trong khi đó, Luật An toàn thông tin mạng mở rộng khái niệm này, xác định thông tin cá nhân là “thông tin gắn với việc xác định một người cụ thể” Sự khác biệt này đặt ra câu hỏi về cách hiểu và áp dụng khái niệm dữ liệu cá nhân khi thực thi Luật An toàn thông tin mạng.
1.3.3 Các nguyên tắc trong việc lưu trữ, xử lý, sử dụng dữ liệu cá nhân
Mặc dù luật chưa có định nghĩa thống nhất về thông tin cá nhân, nhưng các quy định hiện hành đã gần gũi với các nguyên tắc quốc tế về xử lý thông tin cá nhân Cụ thể, Điều 21 quy định về việc thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng.
Tổ chức và cá nhân muốn thu thập, xử lý và sử dụng thông tin cá nhân của người khác trên mạng cần phải có sự đồng ý của người đó, trừ khi có quy định khác từ pháp luật.
2 Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân của người khác có trách nhiệm sau đây: a) Thông báo cho người đó biết về hình thức, phạm vi, địa điểm và mục đích của việc thu thập, xử lý và sử dụng thông tin cá nhân của người đó; b) Sử dụng đúng mục đích thông tin cá nhân thu thập được và chỉ lưu trữ những thông tin đó trong một khoảng thời gian nhất định theo quy định của pháp luật hoặc theo thoả thuận giữa hai bên;
Thông tin về thói quen mua sắm, tiêu dùng và thu nhập của cá nhân giúp các sàn thương mại điện tử hiểu rõ và đưa ra đề xuất phù hợp với thị hiếu người dùng Mục tiêu chính của sàn thương mại điện tử là đánh giá chính xác nhu cầu để nâng cao trải nghiệm mua sắm thông minh và tăng doanh thu Tuy nhiên, thông tin này có thể không mang tính cá nhân trong các ứng dụng xem phim hay nghe nhạc.
THỰC TRẠNG TRONG BẢO VỆ DỮ LIỆU CÁ NHÂN HIỆN
Thực trạng trong bảo vệ dữ liệu cá nhân hiện nay ở Việt Nam trong mối tương quan với quyền riêng tư
Trong cuộc sống hiện đại, việc chia sẻ thông tin cá nhân trên mạng xã hội và các trang web trở nên phổ biến, nhưng liệu các dịch vụ này có thực sự "miễn phí"? Trong nền kinh tế số hiện nay, thông tin trở thành tài sản quý giá, với những công ty công nghệ lớn như Apple, Facebook, Google và Amazon dẫn đầu Đại dịch Covid-19 đã làm nổi bật vai trò của internet trong mọi khía cạnh của cuộc sống, từ sức khỏe đến công việc Tuy nhiên, sự tiện lợi này đi kèm với rủi ro khi thông tin không được bảo vệ Chúng ta thường ngạc nhiên khi thấy quảng cáo trên Facebook phù hợp với nhu cầu của mình, điều này đặt ra câu hỏi về cách mà các nền tảng mạng xã hội thu thập và sử dụng dữ liệu người dùng Mặc dù các dịch vụ này có vẻ miễn phí, nhưng thực tế có thể chúng ta đang phải đánh đổi nhiều điều khác.
Vào năm 1996, trong danh sách 67 công ty hàng đầu Fortune 500, 10 công ty có doanh thu lớn nhất thế giới chủ yếu thuộc ngành sản xuất ô tô và khai thác dầu khí.
Trong bảng xếp hạng Fortune 500 năm 2021, Apple và Amazon đều nằm trong top 10 công ty có doanh thu lớn nhất thế giới Việc sử dụng cookie trên các trang web giúp người dùng vô tình cung cấp thông tin về sở thích và thói quen mua sắm của họ Tất cả thông tin này được sử dụng để hướng đến quảng cáo thông minh, nhằm nắm bắt thị hiếu người dùng và cung cấp thông tin chính xác đến đúng đối tượng Ngành công nghiệp khai thác dữ liệu đang trở nên ngày càng phổ biến và có giá trị lớn.
Mạng xã hội hiện nay là nguồn thông tin người dùng phong phú, với Facebook, Instagram, Tiktok và Youtube là những nền tảng phổ biến tại Việt Nam Facebook đã gây chú ý toàn cầu với vụ bê bối lộ dữ liệu cá nhân liên quan đến Cambridge Analytica vào năm 2016, khi hơn 87 triệu người dùng bị ảnh hưởng, dẫn đến sự phẫn nộ vì cách thức sử dụng dữ liệu Vụ việc này đã tác động đến kết quả bầu cử tổng thống Hoa Kỳ khi thông tin tiêu cực về đối thủ được gửi đến cử tri Facebook bị chỉ trích nặng nề và điều trần trước các nghị sĩ EU vì vi phạm GDPR, đồng thời phải chịu mức phạt 5 tỷ đô la tại Hoa Kỳ Tuy nhiên, cổ phiếu của Facebook vẫn tăng mạnh, cho thấy sức hấp dẫn của ngành công nghiệp khai thác dữ liệu chưa bao giờ giảm.
Vào đầu tháng 9 năm 2019, Facebook lại để lộ máy chủ chứa dữ liệu của hơn
Với 419 triệu người dùng toàn cầu, trong đó có hơn 50 triệu tài khoản từ Việt Nam, việc bảo mật thông tin trên các máy chủ vẫn còn nhiều hạn chế Điều này dẫn đến nguy cơ lộ thông tin cá nhân, khi ai cũng có thể dễ dàng truy xuất dữ liệu.
69 “Cookies can store data on an Internet user’s own computer to make websites “appear” to remember the user’s interest.”, Martha A Bridegam, J.D (2003), The Right to Privacy, Chelsea House Publishers, p 46
70 Paul Bernal, Internet Privacy rights: Rights to protect autonomy, p.11
71 Facebook revenues soar despite $5.1bn in fines and new antitrust investigation, The Guardian News
Facebook hiện chưa thiết lập máy chủ hoặc hiện diện thương mại tại Việt Nam, dẫn đến việc xử lý vi phạm có thể gặp khó khăn do thiếu quy định rõ ràng Đến thời điểm hiện tại, chưa có cơ quan nhà nước nào ở Việt Nam áp dụng hình phạt cho các vi phạm của Facebook.
Sau những sự kiện đó, Facebook đã chú ý xây dựng cho mình một hình ảnh
Facebook cam kết tuân thủ các chính sách về quyền riêng tư để bảo vệ thông tin người dùng Họ cung cấp thông tin chi tiết về các loại dữ liệu mà họ thu thập, đặc biệt là những dữ liệu nhạy cảm như quan điểm chính trị và niềm tin tôn giáo Những thông tin này có thể được bảo vệ đặc biệt theo pháp luật của từng quốc gia Tuy nhiên, tại Việt Nam, quan điểm chính trị và niềm tin tôn giáo có thể chưa được coi là thông tin cá nhân theo định nghĩa trong Luật an toàn thông tin mạng và Nghị định 64.
Tìm kiếm thông tin về "dữ liệu khách hàng" trên Google có thể cho ra 111 triệu kết quả, chủ yếu là các trang web kinh doanh thông tin cá nhân mà không cung cấp thông tin cụ thể về cá nhân hay doanh nghiệp Điều này đặt ra nghi ngờ về tính hợp pháp của những doanh nghiệp này Mặc dù Luật An toàn thông tin mạng quy định rõ các hành vi bị cấm liên quan đến việc thu thập và sử dụng trái phép thông tin cá nhân, nhưng các quy định bảo vệ quyền riêng tư hiện tại dường như chưa đủ hiệu quả để xử lý triệt để các vi phạm này.
Gần đây, có thông tin về việc gần 10.000 căn cước công dân và chứng minh nhân dân của người dân Việt Nam bị rao bán trên mạng Các tài liệu này được cho là có nguồn gốc từ kho lưu trữ chứng minh nhân dân và căn cước công dân từ nhiều địa phương, trong đó có thể bao gồm dữ liệu từ các kho lưu trữ khác nhau.
72 Zack Whittaker, A huge database of Facebook’s users found online, Tech Crunch
truy cập ngày 17/11/2021
73 Chính sách dữ liệu của Facebook, Facebook truy cập ngày 10/10/2021
Vụ việc liên quan đến việc xâm phạm thông tin cá nhân đang được điều tra kéo dài nhiều tháng, cho thấy sự nghiêm trọng và phức tạp trong xử lý tội phạm công nghệ cao Thông tin cá nhân được coi là tài sản đặc biệt, tương tự như tài sản trí tuệ, và một khi đã bị tiết lộ thì rất khó để thu hồi Mặc dù pháp luật Việt Nam có quy định xử phạt hành vi xâm phạm thông tin cá nhân, nhưng vẫn thiếu khung pháp lý riêng biệt cho vấn đề này Thay vì áp dụng các quy định cấm, cần xem xét quy định về quyền tài sản đối với dữ liệu cá nhân, vì cấm đoán không phải là biện pháp hiệu quả cho dòng chảy thông tin.
Tác giả cho rằng, bên cạnh các biện pháp quản lý hành chính, việc thiết lập thị trường dữ liệu cá nhân sẽ mang lại lợi ích cho mọi bên và đảm bảo quyền riêng tư Thông tin cá nhân được xem như tài sản đặc biệt, cho phép mỗi người có quyền quyết định và khai thác giá trị từ dữ liệu của mình Họ có thể lựa chọn trao đổi thông tin để nhận phí hoặc trao đổi miễn phí để nhận lợi ích khác, tùy thuộc vào sự thỏa thuận giữa các bên tham gia, giống như một "hợp đồng dân sự" đặc biệt.
Một số cân nhắc khi xem dữ liệu cá nhân như tài sản
2.2.1 Lợi ích có thể đạt được là gì?
Việc thu thập và xử lý thông tin cá nhân không chỉ mang lại lợi ích cho doanh nghiệp mà còn giúp người tiêu dùng tiết kiệm thời gian và tìm kiếm sản phẩm, dịch vụ phù hợp hơn Khi doanh nghiệp tiếp cận đúng đối tượng có nhu cầu cụ thể, họ có thể giảm chi phí quảng cáo so với các hình thức truyền thống như truyền hình hay báo chí Do đó, nhiều doanh nghiệp đang nỗ lực cải thiện trải nghiệm cá nhân của người dùng thông qua việc phân tích lịch sử dữ liệu, biến dữ liệu cá nhân thành một tài sản quý giá cho mỗi người dùng.
Gần 10.000 CMND và CCCD của người Việt đã bị rao bán trên mạng, theo thông tin từ Bộ Công an Việc này không chỉ đặt ra vấn đề an ninh thông tin mà còn cho thấy sự gia tăng trong việc khai thác dữ liệu cá nhân Người dùng có thể chọn nhận quảng cáo theo sở thích, đồng thời tạo ra nguồn thu nhập thụ động từ việc chia sẻ dữ liệu của mình Một nghiên cứu chỉ ra rằng giá trị của mỗi tài khoản và dữ liệu cá nhân trên Facebook có thể dao động từ 90 đến 120 USD.
USD, 77 và con số này có thể tăng cao hơn nữa khi giá trị trên sàn chứng khoán của Facebook tăng lên.
Việc xem dữ liệu cá nhân như một tài sản không chỉ mang lại lợi ích lớn cho người dùng mà còn tạo ra cơ hội thu nhập thụ động thông qua việc cấp phép trao đổi dữ liệu Thị trường dữ liệu hiện nay đã trở thành một không gian công bằng, nơi mọi người dùng đều có quyền sở hữu dữ liệu của chính mình, thay vì chỉ tập trung vào các công ty công nghệ Tuy nhiên, việc xác định giá trị của dữ liệu cá nhân vẫn đặt ra nhiều câu hỏi, như liệu dữ liệu của tất cả người dùng có giá trị giống nhau hay không và dựa trên tiêu chí nào để đánh giá giá trị đó Một nghiên cứu về hành vi người dùng trên Facebook cho thấy những người ý thức rõ về quyền sở hữu dữ liệu thường định giá tài sản này cao hơn so với những người khác.
Quyền tài sản gắn liền và không thể chuyển giao đối với dữ liệu cá nhân giúp cá nhân nhận thức rõ giá trị của dữ liệu của mình Khi nhận ra giá trị này, chúng ta có xu hướng bảo vệ những gì mình coi là quan trọng và quý giá, so với các tài sản vô hình khác như thời gian và sức khỏe Sự nhận thức này cũng khiến chúng ta cẩn trọng hơn trước các chiêu trò thu thập thông tin và xâm phạm quyền riêng tư, cả trên không gian mạng và trong cuộc sống hàng ngày.
76 Paul M Schwartz (2004), “Property, Privacy, and Personal Data”, Harvard Law Review Association
77 Sarah Spiekermann, Jana Korunovska, Christine Bauer (2012), “Psychology Of Ownership And Asset
Defense: Why People Value Their Personal Information Beyond Privacy”, SSRN Electronic Journal, p 2
Quyền sở hữu trí tuệ và thông tin cá nhân có những điểm tương đồng, mặc dù chúng không hoàn toàn giống nhau Trong khi quyền sở hữu trí tuệ liên quan đến thông tin được tạo ra từ quá trình lao động trí óc, thông tin cá nhân thường là thông tin thông thường Cả hai đều là thông tin gắn liền với người tạo ra và có khả năng sinh lợi nhuận, đồng thời dễ dàng chuyển giao với chi phí thấp Sự phát triển của ngành công nghiệp khai thác thông tin đã thu hút sự quan tâm và đầu tư từ nhiều công ty công nghệ Khi thông tin cá nhân được coi là tài sản, một nhánh pháp luật mới sẽ hình thành để điều chỉnh loại tài sản đặc biệt này, từ đó làm phong phú thêm các quy định bảo vệ dữ liệu cá nhân với sự tham gia của nhiều bên Điều này cũng góp phần nâng cao ý thức của mỗi cá nhân về quyền tài sản đối với thông tin của chính mình, làm cho việc bảo vệ quyền riêng tư trở nên hiệu quả hơn.
Khi quyền tài sản đối với thông tin cá nhân được công nhận tương đương với quyền sở hữu trí tuệ, các công ty công nghệ sẽ phải nỗ lực phát triển công nghệ để tuân thủ chính sách pháp lý và bảo vệ dữ liệu người dùng Hiện nay, nhiều công ty đã công khai và rõ ràng trong việc xây dựng chính sách quyền riêng tư, nhằm bảo vệ thông tin cá nhân của người tiêu dùng tốt hơn Việc xem thông tin là tài sản cá nhân buộc các tổ chức phải đàm phán công bằng khi sử dụng dữ liệu, đồng thời cải tiến công nghệ để cạnh tranh hiệu quả hơn Điều này không chỉ mang lại lợi ích cho chủ sở hữu dữ liệu mà còn thúc đẩy sự phát triển công nghệ chung.
2.2.2 Một số quan điểm phản đối còn tồn tại
Mặc dù có nhiều lợi ích từ việc tài sản hóa dữ liệu cá nhân, nhưng vẫn tồn tại nhiều quan điểm phản đối Những quan điểm này chủ yếu tập trung vào sự thiếu hụt của thị trường thông tin cá nhân và những lo ngại về đạo đức khi thông tin cá nhân trở thành hàng hóa Khi việc trao đổi thông tin bị lạm dụng, cá nhân sẽ là những người đầu tiên chịu ảnh hưởng tiêu cực từ việc thông tin bị tiết lộ.
79 Pamela Samuelson (2000), “Privacy As Intellectual Property?”, Stanford Law Review, JSTOR
80 Nadezda Purtova (2010), “Property in Personal Data: a European Perspective on the Instrumentalist Theory of Propertisation”
Khi thông tin cá nhân trở thành hàng hóa trên thị trường, chúng ta có thể mất đi tính "cá nhân" của mình Có sự chênh lệch về thông tin và định giá tài sản thông tin cá nhân, khiến những người không nhận thức đầy đủ về giá trị dữ liệu của mình chịu mức định giá thấp hơn Điều này dẫn đến việc thị trường đánh giá thấp giá trị dữ liệu cá nhân, làm giảm sự chú trọng của các công ty vào công nghệ bảo vệ dữ liệu Sự bất đối xứng thông tin giữa người dùng và tổ chức thu thập dữ liệu cũng thể hiện rõ qua các chính sách quyền riêng tư của các công ty lớn như Google và Facebook, khi người dùng chỉ có lựa chọn đồng ý hoặc từ chối mà không có cơ hội thương lượng Ngoài ra, dữ liệu cá nhân còn được xem như hàng hóa công, tương tự như không khí sạch, không thể tạo ra qua thị trường hàng hóa thông thường Việc trao đổi thông tin cá nhân có thể xói mòn các giá trị đạo đức và quyền riêng tư, nhưng thị trường cho các hàng hóa từng được xem là công như quyền phát thải đã dần phát triển và trở nên hữu ích.
82 Paul Bernal, Internet Privacy rights: Rights to protect autonomy, p 11
83 Paul M Schwartz (2004), “Property, Privacy, and Personal Data, Harvard Law Review Association”, p
Việc tài sản hóa dữ liệu cá nhân có thể là bước khởi đầu quan trọng để phát triển một thị trường thông tin minh bạch và nghiêm túc Thay vì chỉ giới hạn trong các tổ chức thu thập và xử lý thông tin hiện tại, cần có quy định cụ thể để điều chỉnh và quản lý thị trường này, từ đó tạo ra thặng dư cho xã hội.
Từ mô hình đề xuất của Schwartz đến áp dụng vào hệ thống pháp luật Việt Nam
Khung pháp lý về bảo vệ dữ liệu cá nhân ở Việt Nam hiện nay thiếu sự đồng bộ và thống nhất, dẫn đến việc định nghĩa và áp dụng luật khác nhau giữa các văn bản quy phạm pháp luật Đặc biệt, khái niệm thông tin cá nhân có ít nhất hai cách giải thích từ các luật và nghị định khác nhau Do đó, cần có một luật chung quy định về dữ liệu cá nhân, bảo vệ quyền riêng tư của người dùng và nghĩa vụ của người xử lý dữ liệu Tác giả đề xuất rằng quyền đối với dữ liệu cá nhân nên được coi là quyền tài sản, tương tự như quyền sở hữu trí tuệ, cho thấy dữ liệu cá nhân có thể được xem như tài sản đặc biệt và có thể giao dịch trên thị trường Quyền về hình ảnh cá nhân theo Điều 32 BLDS 2015 cũng khẳng định thông tin cá nhân là một loại tài sản có thể trao đổi và thương mại.
Việc sử dụng hình ảnh cá nhân cho mục đích thương mại yêu cầu phải trả thù lao cho chủ sở hữu hình ảnh, trừ khi có thỏa thuận khác giữa các bên liên quan.
Mô hình nổi bật được giới thiệu bởi học giả Schwartz bao gồm 5 yếu tố cơ bản để tài sản hóa dữ liệu cá nhân Mô hình này không chỉ giúp bảo vệ quyền riêng tư của người dùng mà còn đảm bảo tính bền vững trong việc quản lý dữ liệu.
Theo Nghị định 64, thông tin cá nhân được định nghĩa là "thông tin đủ để xác định một người", trong khi Luật An toàn thông tin mạng lại xác định thông tin cá nhân là "thông tin gắn với việc xác định một người cụ thể" Các yếu tố quan trọng trong tính dân chủ bao gồm: giới hạn việc chuyển giao thông tin cá nhân, quy tắc đồng thuận mặc định tự động, quyền hủy bỏ dữ liệu cá nhân của chủ thể, bồi thường thiệt hại, và sự tham gia của các tổ chức như chính phủ và các bên thu thập, xử lý dữ liệu Chính sách bảo vệ quyền riêng tư và thông tin cá nhân tại Việt Nam hoàn toàn có khả năng đạt được các yêu cầu này.
Nhiều nhà cung cấp hiện nay áp dụng chính sách “đồng thuận một lần cho tất cả”, nhưng họ vẫn giữ quyền hiệu chỉnh chính sách quyền riêng tư bất cứ lúc nào Khi người dùng chọn “đồng ý” cho việc thu thập thông tin cá nhân, họ mất khả năng kiểm soát thông tin đó, bao gồm cả việc biết thông tin sẽ được sử dụng vào mục đích gì và liệu có bên thứ ba nào nhận được thông tin hay không Để cải thiện tình hình, nguyên tắc sử dụng hạn chế có thể được áp dụng, nhằm hạn chế việc chuyển giao dữ liệu cá nhân mà không có sự đồng thuận từ người dùng Do đó, nguyên tắc đồng thuận cần được thiết lập ở nhiều mức độ khác nhau, cho phép người dùng lựa chọn đồng thuận toàn bộ, một phần hoặc không đồng thuận với chính sách của nhà cung cấp.
Cần thay đổi quy tắc đồng thuận mặc định trong việc sử dụng dữ liệu người dùng, đặc biệt trong ngành quảng cáo Hiện tại, quảng cáo hàng loạt và gửi email quảng cáo đến danh sách người dùng là phương pháp phổ biến, trừ khi người dùng yêu cầu không nhận thông tin Để bảo vệ quyền riêng tư và giảm thiểu sự chênh lệch thông tin, quy tắc này không nên được duy trì Nếu sự đồng thuận được đặt ra ở mức cao, quy tắc cần được đảo ngược; chỉ khi có sự đồng ý rõ ràng của chủ thể dữ liệu, thông tin của họ mới được sử dụng cho mục đích tiếp thị.
Theo nguyên tắc 85 Theo D, dữ liệu cá nhân chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc được sự cho phép của cơ quan có thẩm quyền theo quy định của pháp luật.
86 Opt-out default Ảnh minh họa 1
Quyền hủy bỏ, giống như quyền được lãng quên, là quyền thiết yếu giúp người dùng bảo vệ quyền nhân thân liên quan đến dữ liệu cá nhân khi tham gia vào thị trường quyền tài sản Tương tự như quyền hình ảnh và quyền sở hữu trí tuệ, người sử dụng có thể chuyển nhượng quyền tài sản, nhưng không được phép xâm phạm hình ảnh cá nhân hoặc phá hủy tác phẩm trí tuệ của người khác mà không có sự đồng ý Sự tương đồng giữa các quyền này nằm ở chỗ quyền nhân thân không thể chuyển nhượng, ngay cả khi thông tin đã được trao đổi, mua bán hoặc sử dụng bởi các bên lưu trữ và xử lý dữ liệu.
Bồi thường thiệt hại là một vấn đề quan trọng liên quan đến tài sản hóa dữ liệu cá nhân, được nhiều học giả quan tâm Trong Bộ luật Dân sự, có quy định về bồi thường thiệt hại khi hình ảnh cá nhân bị xâm phạm, nhưng chưa có chế định cụ thể cho việc bồi thường thiệt hại liên quan đến quyền riêng tư Điều này cho thấy nhà làm luật gặp khó khăn trong việc đo lường mức độ thiệt hại trong lĩnh vực này, dẫn đến việc mức bồi thường cho xâm phạm quyền riêng tư vẫn chưa được xác định rõ ràng Việc vi phạm bảo vệ dữ liệu cá nhân đang trở thành một vấn đề cần được giải quyết kịp thời.
Dự thảo chỉ xử lý vi phạm hành chính, thuộc quyền lực nhà nước, nhưng cần mở rộng chế định bồi thường thiệt hại, thường áp dụng trong giao dịch dân sự, cho dữ liệu cá nhân.
Sự tham gia của cá nhân và tổ chức từ cả khu vực công lẫn tư là yếu tố quyết định cho sự phát triển mô hình thị trường dữ liệu Các tổ chức tư nhân đóng góp vào việc hình thành cơ chế thị trường, trong khi các tổ chức công và phi chính phủ thực hiện vai trò giám sát, điều hành và tư vấn để hoàn thiện mô hình này.
Khi xem xét mô hình của Schwartz, có thể thấy rằng pháp luật Việt Nam đã thiết lập các quy định bảo vệ quyền riêng tư và dữ liệu cá nhân tương tự Cụ thể, Luật Công nghệ thông tin 2006 quy định rằng tổ chức và cá nhân phải tuân thủ các quy định khi thu thập, xử lý và sử dụng thông tin cá nhân.
87 Đã được đề cập ở mục 1.2.1.3
88 Thường được biết đến như “moral-right” ở một số nước thông luật
89 Pamela Samuelson (2000), Paul M Schwartz (2004), Jacob M Victor (2013), etc
90 Paul M Schwartz (2004), “Property, Privacy, and Personal Data”, Harvard Law Review Association, p
Theo quy định hiện hành, việc sử dụng thông tin cá nhân của người khác trên môi trường mạng cần có sự đồng ý của cá nhân đó, trừ khi có quy định pháp luật khác Cá nhân có quyền yêu cầu tổ chức, cá nhân lưu trữ thông tin của mình xóa bỏ thông tin đó Đồng thời, cá nhân cũng có quyền yêu cầu bồi thường thiệt hại do hành vi vi phạm liên quan đến thông tin cá nhân Do đó, việc công nhận dữ liệu cá nhân như một loại tài sản mới là khả thi, tuy nhiên cần có sự chỉnh sửa, bổ sung và quy định thống nhất hơn trong văn bản luật.
Trong chương này, tác giả phân tích thực trạng bảo vệ thông tin cá nhân tại Việt Nam, đồng thời chỉ ra những lợi ích và nhược điểm khi coi dữ liệu cá nhân là tài sản Tác giả kết luận rằng dữ liệu cá nhân cần được xem như một loại tài sản đặc biệt, với quyền sở hữu rõ ràng cho người nắm giữ Để hiện thực hóa ý tưởng này, tác giả tham khảo mô hình nghiên cứu của Schwartz nhằm áp dụng vào khung pháp lý về dữ liệu cá nhân ở Việt Nam.
91 Điề u 21.1 Lu ậ t Công ngh ệ thông tin
KẾT LUẬN
Việc hoàn thiện khung pháp lý về dữ liệu cá nhân là cần thiết để đáp ứng nhu cầu xã hội trong bối cảnh khoa học công nghệ phát triển mạnh mẽ Sự phát triển của ngành công nghiệp khai thác thông tin toàn cầu đòi hỏi các quy định phù hợp, không chỉ riêng tại Việt Nam.
Chúng ta cần tự trang bị kiến thức về bảo vệ dữ liệu cá nhân để tránh những tác động tiêu cực từ ngành công nghiệp này, đồng thời bảo vệ quyền riêng tư – một quyền hiến định quan trọng Thực tế cho thấy, thị trường dữ liệu cá nhân đã trở nên quen thuộc với các công ty công nghệ, với việc trao đổi và mua bán thông tin diễn ra liên tục Do đó, việc xây dựng cơ chế xác định quyền tài sản của dữ liệu cá nhân là cần thiết.
Việt Nam đã có nhiều quy định liên quan đến thu thập và xử lý thông tin cá nhân, cùng với các hình phạt cho hành vi vi phạm, nhưng sự chú trọng đến vấn đề này chỉ mới gia tăng gần đây, đặc biệt sau khi GDPR 2018 có hiệu lực, giúp ngăn chặn xâm phạm quyền riêng tư của người dùng Dữ liệu cá nhân, nếu được coi là tài sản vô hình, cần có các quy định rõ ràng về quyền sở hữu và khai thác lợi nhuận Việc công nhận quyền sở hữu dữ liệu cá nhân mà không cho phép người dùng khai thác lợi ích từ dữ liệu của chính mình không phải là giải pháp tối ưu cho một hệ thống pháp luật công bằng.
Việc tham khảo các quy định pháp luật từ những khu vực tiên tiến như EU và các hướng dẫn của các tổ chức lớn trên thế giới có thể mang lại bài học quý giá cho Việt Nam trong việc xây dựng quy định về quyền riêng tư và bảo vệ dữ liệu cá nhân Các tình huống liên quan đến an toàn dữ liệu cá nhân mà Việt Nam đang đối mặt có nhiều điểm tương đồng với các quốc gia khác Mặc dù quy định hiện tại vẫn còn trong giai đoạn phát triển, mỗi ý kiến đóng góp từ người dân về việc áp dụng các quy định mới sẽ là nguồn tư liệu quan trọng để cải tiến và hoàn thiện luật pháp trong lĩnh vực này.
Bài viết đã đề xuất một số giải pháp cho vấn đề khung pháp lý về dữ liệu cá nhân tại Việt Nam, tuy nhiên, cần có thêm nghiên cứu sâu hơn để củng cố và phản biện quan điểm của tác giả, nhằm nâng cao chất lượng quy định pháp luật trong lĩnh vực này Mặc dù tham khảo một số tài liệu, bài viết chủ yếu phản ánh quan điểm cá nhân, do đó có thể chứa đựng yếu tố chủ quan từ góc nhìn hạn chế của tác giả Tác giả rất mong nhận được ý kiến đóng góp từ thầy cô và độc giả để cải thiện và bổ sung cho chủ đề này.
D DANH MỤC TÀI LIỆU THAM KHẢO
I Danh mục văn bản pháp luật
1 Hiến pháp nước Cộng hòa Xã hội ChủNghĩa Việt Nam năm 2013
3 Luật công nghệ thông tin 2006
4 Luật An toàn thông tin mạng 2015
5 Luật bảo vệ quyền lợi người tiêu dùng 2010
6 Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước
7 Dự thảo Nghị định bảo vệ dữ liệu cá nhân
10 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
II Danh mục các tài liệu tham khảo
(a) Tài liệu tham khảo bằng tiếng Việt
1 Báo điện tử Chính phủ (2021), “Cần coi dữ liệu cá nhân là một loại tài sản phi truyền thống”
2 Nguyễn Văn Cương (2020), “Thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và hướng hoàn thiện”, Tạp chí Nghiên cứu Lập pháp số
3 Trần Thị Hồng Hạnh (2018), “Vi phạm pháp luật về bảo vệ thông tin cá nhân ở
Việt Nam hiện nay - thực trạng, nguyên nhân và giải pháp”, Lý luận chính trị
4 Lê Thị Diễm Hằng, Ngô Hà Chi, Nguyễn Hà Giang, Trần Mai Huyền (2022),
“Nhận diện cơ bản về thông tin cá nhân và hành vi xâm phạm thông tin cá nhân”, Tạp chí tòa án nhân dân
5 Nguyễn Hương Ly (2020), “Pháp luật hiện hành của Việt Nam về bảo vệ dữ liệu, thông tin cá nhân và quyền riêng tư”, Cục Quản Lý Mật Mã Dân Sự và
Kiểm Định Sản Phẩm Mật Mã
6 Trần Thị Minh (2021), “Bàn về khái niệm tài sản và tặng cho tài sản theo pháp luật Việt Nam”, Tạp chí Công Thương
7 D Trọng, Đ Thiện (2021), “Gần 10.000 CMND, CCCD người Việt bị rao bán trên mạng: Bộ Công an lên tiếng”, Tuổi Trẻ Online
(b) Tài liệu tham khảo bằng tiếng Anh
8 Daniel J Solove (2008), “Understanding Privacy”, Harvard University Press
9 Henry Hansmann and Reinier Kraakman (2002), “Property, Contract, And Verification: The Numerus Clausus Problem And The Divisibility Of Rights”,
10 In re Northwest Airlines Privacy Litigatio (2004)
11 Information Commissioner’s Office, “Guide to the General Data Protection
12 Jacob M Victor (2013), “The EU General Data Protection Regulation: Toward a Property Regime for Protecting Data Privacy”, The Yale Law Journal
13 James Beverage (1976), “The Privacy Act Of 1974: An Overview”, Duke Law Journal, Vol 1976, No 2, Seventh Annual Administrative Law Issue
14 Joseph Raz (1988), “The Morality of Freedom”, Oxford University Press
15 Kean Birch, DT Cochrane, Callum Ward (2021), “Data as asset? The measurement, governance, and valuation of digital personal data by Big Tech”,
16 Martha A Bridegam, J.D (2003), “The Right to Privacy”, Chelsea House Publishers
17 Nadezda Purtova (2010), “Property in Personal Data: a European Perspective on the Instrumentalist Theory of Propertisation”
18 Pamela Samuelson (2000), “Privacy As Intellectual Property?”, Stanford Law Review, JSTOR
19 Paul Bernal (2014), “Internet Privacy rights: Rights to protect autonomy”,
20 Paul M Schwartz (2004), “Property, Privacy, and Personal Data”, Harvard