Bài viết này phân tích sự tác động của kỹ thuật số đến quyền đối với dữ liệu cá nhân; đánh giá các quy định của pháp luật quốc tế và pháp luật ở một số quốc gia về việc bảo vệ quyền này trong bối cảnh mới và nêu ra một số giá trị mà Việt Nam có thể tham khảo.
KINH NGHIỆM QUỐC TẾ BẢo VỆ Quyền đỐi VỚi dỮ LiỆu cá nhân PháP Luật QuỐc tẾ, PháP Luật Ở MỘt SỐ QuỐc giA VÀ giá trị thAM KhẢo cho ViỆt nAM Vũ Công Giao* Lê Trần Như Tuyên** * PGS.TS Khoa Luật, Đại học Quốc gia Hà Nội * * ThS Khoa Luật, Đại học Quốc gia Hà Nội Thơng tin viết: Từ khóa: Kỹ thuật số, quyền riêng tư, quyền liệu cá nhân Lịch sử viết: Nhận : 17/12/2019 Biên tập : 12/01/2020 Duyệt : 14/01/2020 Article Infomation: Key words: Digital, right to privacy, right to personal data Article History: Received : 17 Dec 2020 Edited : 12 Jan 2020 Approved : 14 Jan 2020 Tóm tắt: Thế kỷ XXI ghi dấu bước ngoặt lớn phát triển nhân loại Đây kỷ kỹ thuật số, nơi mà tiến công nghệ thông tin, thiết bị kết nối với Internet phân tích liệu diễn với tốc độ chóng mặt, nhanh thời điểm khác lịch sử loài người Sự phát triển kỹ thuật số mở kỷ nguyên cho khoa học cơng nghệ, yếu tố đóng vai trị cốt lõi thúc đẩy Cách mạng công nghiệp 4.0, với tác động vô sâu rộng tới xã hội, làm thay đổi lối sống người Tuy nhiên, phát triển kỹ thuật đồng thời gây tác động phức tạp việc bảo vệ quyền riêng tư người, đặc biệt quyền liệu cá nhân Bài viết phân tích tác động kỹ thuật số đến quyền liệu cá nhân; đánh giá quy định pháp luật quốc tế pháp luật số quốc gia việc bảo vệ quyền bối cảnh nêu số giá trị mà Việt Nam tham khảo Abstract: The 20th century marked a major turning point in the development of mankind This is the century of digital, where advances in communication technologies, devices connected to the Internet and data analytics are occurring at a breakneck pace and much quicker than at any other time in history The growth of digital has resulted in broad social impacts and widespread lifestyle changes, and it has opened up a new era of science and technology development, contributing to the promoting the 4.0 Eevolution However, the digital also pose incredibly complex risks to the right to privacy, especially the right to the protection of personal data This article analyzes the impact of digital on the right to the protection of personal data; assess the provisions on protecting this right of international law and the laws of some countries in the new context and point out some values that Vietnam should consult NGHIÊN CỨU Số 9(409) - T5/2020 LẬP PHÁP 55 KINH NGHIỆM QUỐC TẾ Quyền liệu cá nhân Cách mạng công nghiệp 4.0 Quyền liệu cá nhân (the right to personal data, hay quyền bảo vệ liệu cá nhân/quyền riêng tư với liệu cá nhân) phần cốt yếu quyền riêng tư (the right to privacy) người Quyền riêng tư quyền người bản, có tầm quan trọng thiết yếu để bảo đảm tự chủ bảo vệ phẩm giá người Quyền giúp cá nhân tạo lập kiểm soát ranh giới đáng với người khác, từ bảo vệ thân trước can thiệp tùy tiện sống, đồng thời cho phép cá nhân xác định cách thức mà thân muốn tương tác với giới xung quanh Đối với xã hội, bảo vệ quyền riêng tư thành viên tạo lập bảo vệ tảng đời sống cộng đồng Một cộng đồng tồn thành viên khơng bảo vệ khỏi hình thức lạm dụng Theo nghĩa đó, bảo vệ quyền riêng tư cá nhân góp phần bảo đảm tính dân chủ, văn minh phát triển ổn định, hài hịa xã hội Vì thế, quyền riêng tư ngày trở thành vấn đề nhân quyền quan trọng Dữ liệu yếu tố đóng vai trị then chốt cho tiến thời đại ngày Điều dựa phát triển công nghệ lưu trữ loại cảm biến mà cho phép thu thập khối lượng liệu lớn từ đời sống xã hội Tuy nhiên, điều đặt yêu cầu phải bảo đảm để người kiểm sốt thơng tin hay liệu cá nhân Do đó, thuật ngữ liệu cá nhân ghi nhận trở nên phổ biến khoa học pháp lý Theo Ủy ban châu Âu, liệu cá nhân thơng tin có liên quan nhằm xác định nhận dạng cá nhân Bên cạnh đó, phần thông tin rời rạc khác thu thập dẫn đến việc xác định người cụ thể coi liệu cá nhân1 Quyền liệu cá nhân bao gồm khía cạnh2: i) Quyền sở hữu thông tin cá nhân, bao gồm khả yêu cầu chủ thể nắm giữ chỉnh sửa nhằm bảo đảm tính tồn vẹn, xác thơng tin cá nhân mình; ii) Quyền cho phép bên thứ ba tiếp cận thơng tin cá nhân mình; iii) Quyền u cầu chủ thể có liên quan phải bảo đảm tính bí mật thơng tin, ví dụ vơ danh hóa thơng tin cá nhân,…; iv) Quyền u cầu chủ thể nắm giữ bồi thường có hành vi xâm phạm thông tin trái pháp luật, gây thiệt hại cho cá nhân Cùng với phát triển Cách mạng công nghiệp 4.0, liệu cá nhân ngày trở thành loại hàng hoá, tổ chức, cá nhân tìm kiếm, sử dụng để khai thác cho mục đích thương mại, đồng thời nhà nước sử dụng với mục đích quản lý người dân Trong bối cảnh công nghệ thông tin phát triển, ngày có nhiều chương trình, hệ thống, biện pháp thu thập thông tin, theo dõi, giám sát cá nhân diện rộng, cấp độ quốc gia, chí quy mơ tồn cầu Vấn đề có nhiều chương trình, hệ thống quan nhà nước, thực thể kinh tế, thương mại, công nghệ số thực thể khác xây dựng vận hành tràn lan, xâm phạm nghiêm trọng đến quyền riêng tư cá nhân Một vụ việc tiêu biểu gây chấn động liên quan đến việc thu thập lưu European Commission, “What is personal data?”, https://ec.europa.eu/info/law/law-topic/data-protection/reform /what-personal-data_en PGS.TS.NGƯT Chu Hồng Thanh, “Nhận thức pháp lý quyền riêng tư”, PGS.TS Nguyễn Thị Quế Anh, PGS.TS Vũ Công Giao, TS Ngô Minh Hương& TS Lã Khánh Tùng (eds), Quyền riêng tư, Nxb Chính trị quốc gia thật, Hà Nội, 2018, tr 48 56 NGHIÊN CỨU LẬP PHÁP Số 9(409) - T5/2020 KINH NGHIỆM QUỐC TẾ trữ liệu cá nhân trái phép tiết lộ Edward Snowden, nhân viên hợp đồng Cơ quan Tình báo Trung ương Hoa Kỳ (CIA), Cơ quan An ninh quốc gia (NSA) Hoa Kỳ tạo lập sở liệu bí mật khổng lồ chứa thông tin hàng triệu người sống nơi từ việc thu thập thông tin qua công nghệ máy tính ngày Rõ ràng cơng nghệ tạo hội cho nhiều chủ thể, bao gồm phủ cơng ty, dễ dàng thu thập liệu theo dõi, giám sát đàm thoại, trao đổi, giao dịch thương mại, hoạt động thói quen cá nhân Sự riêng tư cá nhân, chí quyền tự người, khơng cịn chủ khác quan sát tất hoạt động họ, dự báo hành động tương lai họ từ định hướng, kiểm sốt sống họ Điều làm trầm trọng cân quyền lực cá nhân thiết chế, thiết chế công tư, xã hội đại Tóm lại, quyền liệu cá nhân nói riêng, quyền riêng tư nói chung quyền người có ý nghĩa to lớn để cá nhân khẳng định phẩm giá, tự chủ nhân trạng Cơng nghệ thơng tin với khả thu thập, phân tích phổ biến liệu cá nhân ngày tinh vi đặt nhu cầu cấp bách bảo vệ quyền với liệu cá nhân nói riêng quyền riêng tư nói chung Các tổ chức quốc tế quốc gia cần nhận thức thách thức to lớn phát triển Cách mạng công nghệ 4.0 để có biện pháp giải hiệu quả, cụ thể ban hành sách văn pháp luật nhằm bảo vệ liệu cá nhân trước vi phạm chủ thể nào, kể quan công quyền thiết chế tư nhân Pháp luật quốc tế số quốc gia bảo vệ quyền liệu cá nhân 2.1 Pháp luật quốc tế bảo vệ quyền liệu cá nhân Ở cấp độ toàn cầu, quy định bảo vệ quyền riêng tư tìm thấy Tun ngơn Nhân quyền phổ quát năm 1948 (UDHR), có Điều 12 bảo vệ quyền riêng tư Từ nội dung Điều 12 UDHR, thấy nội hàm giá trị riêng tư cần bảo vệ không sống riêng tư cá nhân, mà cịn bao gồm khía cạnh đời sống có gắn kết mật thiết với cá nhân, cụ thể gia đình, nơi ở, thư tín giá trị định tính danh dự, uy tín cá nhân Tiếp theo UDHR, nhiều cơng ước quốc tế quyền người công nhận quyền riêng tư quyền bản, cụ thể như: Công ước quốc tế quyền dân trị (ICCPR) (Điều 17); Cơng ước quyền người lao động nhập cư (Điều 14); Công ước quyền trẻ em (Điều 16); Công ước quyền người khuyết tật (Điều 22) Dù vậy, phát triển công nghệ Cách mạng cơng nghiệp 4.0 mà kèm với tiềm giám sát ngày tinh vi hệ thống máy tính đặt yêu cầu với bảo vệ liệu cá nhân Để đáp ứng u cầu này, có hai cơng cụ pháp lý quốc tế phát triển, đặt số quy tắc cụ thể chi phối việc thu thập xử lý liệu cá nhân, bao gồm: Công ước năm 1981 Hội đồng châu Âu bảo vệ cá nhân liên quan đến việc xử lý liệu cá nhân tự động3 Hướng dẫn Tổ chức Hợp tác Phát triển Kinh tế (OSCD) điều chỉnh việc bảo vệ quyền riêng tư việc chuyển đổi Convention on the Protection of Individuals with regard to the Automatic Processing of Personal Data Convention, ETS No 108, Stasbourg, 1981 NGHIÊN CỨU Số 9(409) - T5/2020 LẬP PHÁP 57 KINH NGHIỆM QUỐC TẾ liệu cá nhân xuyên biên giới4 Các văn kiện mô tả thông tin cá nhân liệu bảo vệ bước, từ thu thập đến lưu trữ phổ biến Quyền người truy cập sửa đổi liệu khía cạnh quy tắc Biểu bảo vệ liệu hai văn kiện nêu tương đồng, khác mức độ, theo tất yêu cầu thơng tin cá nhân thì: i) Chỉ thu thập cách cơng hợp pháp; ii) Chỉ sử dụng cho mục đích ban đầu biết rõ; iii) Bảo đảm tính đầy đủ, phù hợp khơng vượt q mục đích; iv) Bảo đảm tính xác cập nhật; v) Phải loại bỏ sau mục đích sử dụng hồn thành Hai văn kiện nêu có tác động sâu sắc đến việc xây dựng áp dụng luật pháp bảo vệ liệu cá nhân tồn giới, khơng giới hạn nước châu Âu quốc gia thành viên OECD Tuy nhiên, nói rằng, luật pháp quốc tế tương đối tụt hậu so với phát triển vũ bão công nghệ Điều khiến cho việc bảo vệ quyền liệu cá nhân người thực tế cịn khó khăn Tính đến thời điểm nay, chưa có điều ước quốc tế tồn cầu bảo vệ quyền liệu cá nhân Hai văn kiện bảo vệ liệu cá nhân nêu (Công ước Hội đồng châu Âu năm 1981 Hướng dẫn OECD) nguyên tắc có tác động khu vực châu Âu với nước thành viên OECD Không vậy, Bản hướng dẫn OECD có tính chất khuyến nghị, khơng có hiệu lực pháp lý ràng buộc 2.2 Pháp luật châu Âu Hoa Kỳ bảo vệ quyền liệu cá nhân Đứng trước yêu cầu bảo vệ quyền riêng tư trước tốc độ phát triển chóng mặt cơng nghệ thơng tin, nhiều khu vực quốc gia củng cố khung pháp luật vấn đề Mặc dù vậy, khu vực quốc gia có cách thức bảo vệ liệu riêng tư khác Một số khu vực quốc gia xây dựng thành công chế bảo vệ liệu riêng tư mạnh mẽ thông qua luật pháp, nhiều khu vực quốc gia khác lên kế hoạch xây dựng pháp luật vấn đề 2.2.1 Luật bảo vệ liệu cá nhân châu Âu Quyền riêng tư phần Công ước châu Âu quyền người năm 1950, tuyên bố, người có quyền tơn trọng riêng tư sống gia đình, nhà thư từ Từ sở đó, nước Liên minh châu Âu (EU) tìm cách đảm bảo quyền thông qua việc xây dựng văn pháp luật chung, đặc biệt Internet xuất Vào năm 1995, EU thông qua Chỉ thị bảo vệ liệu châu Âu (95/46/EC), thiết lập tiêu chuẩn bảo mật riêng tư liệu tối thiểu để quốc gia thành viên thực thi cách đưa vào pháp luật nước Tuy nhiên, Chỉ thị năm 1995 soạn thảo vào giai đoạn Internet sử dụng 1% dân số giới Vì vậy, Internet bùng nổ, xuất yêu cầu phải có văn pháp luật để giải vấn đề nảy sinh bảo vệ liệu cá nhân từ việc sử dụng Internet thiết bị thông minh quy mô lớn Đây lý dẫn đến đời Quy định chung bảo vệ liệu (GDPR) Ủy ban châu Âu xây dựng, với mục đích vạch kế hoạch cải cách bảo vệ liệu cá nhân toàn Liên minh châu Âu Về chất, GDPR quy tắc mới, xây dựng nhằm cung cấp cho cơng dân EU quyền kiểm sốt nhiều liệu cá nhân họ Theo điều khoản GDPR, không tổ chức OECD, Guidelines governing the Protection of Privacy and Transborder Data Flows of Personal Data, Paris, 1981 58 NGHIÊN CỨU LẬP PHÁP Số 9(409) - T5/2020 KINH NGHIỆM QUỐC TẾ phải đảm bảo liệu cá nhân thu thập hợp pháp điều kiện nghiêm ngặt, mà tất bên thu thập quản lý liệu có nghĩa vụ bảo vệ liệu khỏi việc bị lạm dụng khai thác, tôn trọng quyền chủ sở hữu liệu Tiền phạt hành vi trái với quy định GDPR cao Theo có hai cách thức phạt, tối đa 20 triệu Euro 4% doanh thu toàn cầu (tùy theo mức cao hơn), cộng với việc chủ thể liệu có quyền yêu cầu bồi thường thiệt hại GDPR bước tiến pháp lý lớn xác định liệu cá nhân Dữ liệu cá nhân liệu cá nhân nhạy cảm hai khái niệm tảng GDPR Dữ liệu cá nhân định nghĩa “bất kỳ thông tin liên quan đến thể nhân (‘data subject’) nhận định danh tính, nhận định danh tính, dù trực tiếp hay gián tiếp, cụ thể cách định danh tên, số định danh, liệu vị trí, định danh mạng, hay nhiều yếu tố định danh tính cá nhân mang tính vật lý, sinh lý, di truyền, tâm lý, kinh tế, văn hoá, xã hội” Định nghĩa tương đồng với định nghĩa đưa Chỉ thị năm 1995 EU, có mở rộng hơn, bao gồm “địa IP” hay “giả danh tính” (pseudonymisation) Dữ liệu cá nhân nhạy cảm quy định dạng hạng mục liệu cá nhân đặc biệt GDPR, xem là: “Bất kỳ liệu tiết lộ chủng tộc sắc tộc, tư tưởng trị, đức tin tôn giáo, quan niệm triết lý, thành viên cơng đồn, việc xử lý liệu di truyền sinh trắc nhằm mục đích định danh, liệu liên quan đến sức khoẻ, tình trạng sinh dục, xu hướng tính dục”5 Việc xử lý phân tích liệu nhạy cảm hồn tồn bị cấm GDPR Một số trường hợp ngoại lệ cho phép xử lý liệu cá nhân nhạy cảm, bao gồm có đồng thuận từ chủ thể liệu, để bảo vệ quyền lợi cá nhân, để phục vụ công tác y tế dự phòng y tế nghiệp vụ, lợi ích cơng cộng Xét điều kiện đó, việc Facebook Google đối tác kinh doanh thu thập xử lý liệu cá nhân nhạy cảm có khả vi phạm GDPR cao Trong tình vi phạm, GDPR cho phép cá nhân có quyền nộp đơn khiếu nại đến Cơ quan Quản lý Dữ liệu đặt quốc gia thành viên nơi cá nhân làm việc sinh sống, nơi việc vi phạm diễn Các cá nhân sau thẩm định quyền bị xâm hại xử lý đền bù theo định Cơ quan Quản lý Dữ liệu, theo tinh thần định đưa Hội đồng Bảo vệ Dữ liệu châu Âu (EDPB) Tính đến tháng 5/2019, khoản tiền phạt lớn áp dụng theo GDPR 50 triệu Euro Ví dụ, Cơ quan giám sát bảo vệ liệu Pháp (CNIL), định án phạt cho Google vào tháng 1/2019 sau đến kết luận gã khổng lồ công cụ tìm kiếm phá vỡ quy tắc GDPR tính minh bạch sở pháp lý hợp lệ xử lý liệu người cho mục đích quảng cáo6 GDPR thiết lập nguyên tắc cần tuân thủ xử lý liệu: 1) Tính hợp pháp, cơng minh bạch: Việc xử lý liệu phải hợp pháp, công minh bạch chủ thể liệu; 2) Giới hạn mục đích: Mục đích xử lý liệu phải hợp pháp thể rõ ràng cho chủ thể liệu thu thập; 3) Giảm thiểu liệu: Chỉ thu thập xử lý liệu thực cần thiết cho mục đích định; 4) Độ xác: Phải bảo đảm liệu cá nhân xác cập nhật; 5) Khoản 1, Điều Quy định chung bảo vệ liệu Liên minh châu Âu Danny Palmer, “What is GDPR? Everything you need to know about the new general data protection regulations”, 2019, https://www.zdnet.com/article/gdpr-an-executive-guide-to-what-you-need-to-know/ NGHIÊN CỨU Số 9(409) - T5/2020 LẬP PHÁP 59 KINH NGHIỆM QUỐC TẾ Giới hạn lưu trữ: Chỉ lưu trữ liệu nhận dạng cá nhân thời gian cần thiết cho mục đích định; 6) Tính tồn vẹn bảo mật: Việc xử lý liệu phải thực sở đảm bảo tính bảo mật, tính tồn vẹn bảo mật thích hợp (ví dụ: cách sử dụng mã hóa); 7) Trách nhiệm giải trình: Người kiểm sốt liệu có trách nhiệm chứng minh tuân thủ GDPR với tất nguyên tắc GDPR quy định “quyền lãng quên” - cụ thể quyền xóa liệu cho người muốn xóa liệu cá nhân họ khơng cịn để lưu giữ liệu GDPR áp dụng cấp độ nước với hiệu lực lập tức, ngày có hiệu lực việc áp dụng luật quốc gia không ảnh hưởng đến hiệu lực Tuy nhiên, GDPR cho phép quốc gia thành viên linh hoạt đến mức độ định áp dụng số quy định Trong thực tế, nước thành viên EU sửa đổi luật bảo vệ liệu họ để tuân thủ yêu cầu GDPR Ví dụ, Pháp điều chỉnh luật pháp nước theo GDPR với việc ban hành Luật số 2018-493 (FDPA) ngày 20/6/2018 bảo vệ liệu cá nhân, thay logic thủ tục trước (thơng báo ủy quyền trước CNIL) dựa triết lý trách nhiệm giải trình nâng cao bên liên quan GDPR Nước Anh thông qua Luật Bảo vệ liệu quốc gia (DPA) có hiệu lực vào ngày 25/5/2018, cho phép tiếp tục áp dụng GDPR kể nước rời Liên minh châu Âu DPA chuyển đổi Chỉ thị thực thi pháp luật ((EU) 2016/680) thành luật pháp Vương quốc Anh, tạo chế độ bảo vệ liệu dành riêng cho việc xử lý liệu cá nhân quan thực thi pháp luật, Phần DPA cập nhật chế độ bảo vệ liệu để xử lý an ninh quốc gia; Phần đưa phạm vi nhiệm vụ quyền hạn Ủy viên Thông tin, đồng thời quy định số tội hình liên quan đến xử lý liệu cá nhân 2.2.2 Luật Bảo vệ liệu cá nhân Hoa Kỳ Cho đến nay, Hoa Kỳ chưa có đạo luật riêng cấp liên bang bảo vệ liệu cá nhân, song vấn đề nêu nhiều văn pháp luật ban hành theo ngành, đối tượng Ví dụ: Luật Bảo vệ quyền riêng tư trực tuyến trẻ em (COPPA) - cung cấp cho phụ huynh quyền kiểm sốt thơng tin mà trang web thu thập từ họ; Luật Trách nhiệm giải trình trách nhiệm bảo hiểm y tế (HIPPA) - đảm bảo tính bảo mật bệnh nhân tất liệu liên quan đến chăm sóc sức khỏe; Luật Bảo vệ quyền riêng tư video - ngăn chặn việc tiết lộ sai thông tin cá nhân xuất phát từ việc cho thuê mua tài liệu nghe nhìn họ Theo cách tiếp cận Hoa Kỳ, việc bảo vệ liệu quyền riêng tư dựa kết hợp luật pháp, quy định tự điều chỉnh, thay có can thiệp nhà nước7 Pháp luật thường áp dụng cho tình cá nhân khơng thể tự kiểm sốt việc sử dụng liệu cá nhân họ Sau GDPR thông qua, số tiểu bang Hoa Kỳ đề xuất luật bảo vệ liệu riêng họ, thiết lập số quyền giống GDPR Luật Sự riêng tư người tiêu dùng bang California (CCPA) thông qua vào tháng 6/2018 sau vụ bê bối Cambridge Analytica8, dự kiến trở thành luật quyền riêng tư liệu toàn diện Hoa Kỳ Giống GDPR, văn luật thiết lập số quyền định cho người tiêu dùng, bao gồm “quyền HG.org, “Data Protection Law”, https://www.hg.org/data-protection.html 60 NGHIÊN CỨU LẬP PHÁP Số 9(409) - T5/2020 KINH NGHIỆM QUỐC TẾ biết”, “quyền tiếp cận”, “quyền từ chối” “quyền xóa bỏ” Ngồi ra, CCPA mở rộng đáng kể định nghĩa thông tin cá nhân, từ địi hỏi cơng ty phải có thay đổi đáng kể cách thức hoạt động Văn luật này, khơng giống luật bảo vệ liệu ban hành trước Hoa Kỳ , yêu cầu có lựa chọn trang web công ty phép người tiêu dùng từ chối chia sẻ liệu cho bên thứ ba Văn luật cho phép quyền hành động riêng tư trường hợp vi phạm liệu cho phép Bộ trưởng Tư pháp California áp dụng hình phạt hành lên tới 7.500 đô la cho lần vi phạm mà khơng có giới hạn tối đa Khơng California, 11 bang khác Hoa Kỳ bao gồm Maryland, New Jersey Washington… gần đưa dự thảo văn pháp luật tương tự Những dự luật có phiên riêng quyền từ chối yêu cầu công bố mà khác chút so với GDPR CCPA Nếu ban hành, luật dẫn đến tăng chi phí đáng kể cho doanh nghiệp phải cố gắng hiểu đưa khung bảo mật tuân thủ quy định của luật Trên thực tế, mức độ phức tạp không chắn thay đổi khung pháp lý khiến doanh nghiệp kêu gọi Quốc hội Hoa Kỳ ban hành thực thi luật bảo mật liệu cá nhân áp dụng cho toàn quốc Đáp ứng lời kêu gọi đó, Quốc hội Hoa Kỳ đưa số dự luật quyền riêng tư liệu để thực tiêu chuẩn bảo mật liệu liên bang Hoa Kỳ Ví dụ, Luật Phổ biến Dữ liệu Hoa Kỳ (S 142) áp đặt yêu cầu quyền riêng tư nhà cung cấp dịch vụ Internet tương tự yêu cầu áp đặt cho quan Liên bang theo Luật quyền riêng tư năm 1974 Luật bảo vệ quyền riêng tư quyền lợi người tiêu dùng phương tiện truyền thông xã hội năm 2019 (S 189), yêu cầu chủ thể: 1) cung cấp cho người dùng miễn phí dạng điện tử liệu cá nhân mà nhà điều hành xử lý 2) thông báo cho người dùng vòng 72 sau biết liệu người dùng bị truyền mà vi phạm tảng bảo mật9 Tóm lại, trước tác động Cách mạng công nghiệp 4.0, nhiều khu vực quốc gia có động thái tích cực hiệu mặt lập pháp để bảo vệ quyền riêng tư liệu cá nhân Đây xu hướng chung giới mà tất nước, có Việt Nam Những giá trị tham khảo cho Việt Nam 3.1 Khái quát thực trạng pháp luật Việt Nam bảo vệ quyền liệu cá nhân Vấn đề bảo vệ giá trị riêng tư cá nhân ghi nhận từ nước Việt Nam Dân chủ Cộng hòa thành lập, mà thể bật quy định quyền bảo vệ nhà thư tín Điều thứ 11 Hiến pháp năm năm 1946 Xuyên suốt hiến pháp (1959, 1980, 1992) có quy định bảo vệ quyền riêng tư, dù cách diễn đạt nội dung nhiều khác Hiến pháp năm 2013 tiếp tục ghi nhận quyền riêng tư cá nhân mở rộng, bám sát nội dung quyền luật nhân quyền quốc Wikipedia, “Facebook–Cambridge Analytica data scandal”, https://en.wikipedia.org/wiki/ Facebook%E2%80%93 Cambridge_Analytica_data_scandal U.S GAO, “Report: INTERNET PRIVACY: Additional Federal Authority Could Enhance Consumer Protection and Provide Flexibility”, 2019, GAO-19-52 NGHIÊN CỨU Số 9(409) - T5/2020 LẬP PHÁP 61 KINH NGHIỆM QUỐC TẾ tế Theo quy định Điều 21 Hiến pháp năm 2013, người có quyền bất khả xâm phạm đời sống riêng tư, bao gồm bí mật cá nhân, bí mật gia đình, bí mật thư tín, điện thoại, điện tín hình thức trao đổi thơng tin riêng tư khác Nhìn chung, khái niệm đời sống riêng tư Điều 21 Hiến pháp 2013 hiểu theo nghĩa rộng, bao gồm tất gắn với danh dự, uy tín cá nhân Đây cách quy định rộng chi tiết so với quy định quyền Hiến pháp trước Khơng vậy, Điều 22 Hiến pháp năm 2013 quy định quyền bất khả xâm phạm chỗ ở, đồng thời nêu rõ “Không tự ý vào chỗ người khác khơng người đồng ý”, “Việc khám xét chỗ luật định” Những quy định để bảo vệ quyền riêng tư Việc bảo vệ quyền riêng tư nói chung Việt Nam cịn cụ thể hố nhiều đạo luật chuyên ngành khác nhau, phụ thuộc vào chất vấn đề, ví dụ Bộ luật Dân sự, Bộ luật Hình sự, Bộ luật Tố tụng hình sự, Bộ luật Tố tụng dân sự, Luật Bưu chính, Luật Viễn thơng, Luật Xuất bản, Luật Phòng, chống HIV/AIDS… Dù vậy, Việt Nam chưa có văn pháp luật thống điều chỉnh vấn đề liên quan bảo vệ quyền liệu cá nhân Thay vào đó, quyền bảo vệ nhiều văn pháp luật khác Luật Giao dịch điện tử, Luật Công nghệ thông tin, Luật Bảo vệ quyền lợi Người tiêu dùng, Luật An tồn thơng tin mạng, Luật An ninh mạng, Nghị định số 52/2013/ND-CP thương mại điện tử Nghị định số 72/2013/ND-CP quản lý, cung cấp sử dụng dịch vụ Internet thông tin mạng… Trong nỗ lực tăng cường khung pháp lý quyền riêng tư thông tin, Việt Nam ban hành Luật An tồn thơng tin mạng năm 2015 Luật nêu định nghĩa thông tin cá nhân, nguyên tắc bảo vệ quyền riêng tư liệu, quy định thu thập, sử dụng, sửa đổi, xóa thơng tin cá nhân với trách nhiệm phủ việc bảo vệ liệu riêng tư Tương tự văn pháp luật nêu trên, Luật An tồn thơng tin mạng u cầu cần có đồng ý chủ sở hữu trước xử lý thông tin cá nhân (bao gồm thu thập, chỉnh sửa, sử dụng, lưu trữ, cung cấp, chia sẻ lan truyền), đồng thời quy định tổ chức, cá nhân xử lý thơng tin cá nhân có trách nhiệm bảo mật thơng tin phải cơng bố sách sử dụng bảo vệ thông tin xử lý10 Luật An ninh mạng năm 2018 lần yêu cầu doanh nghiệp cung cấp dịch vụ không gian mạng Việt Nam phải thông báo trực tiếp cho người dùng liệu họ bị vi phạm, bị hư hỏng bị mất11 Quy định tương đồng với yêu cầu đặt GDPR Liên minh châu Âu Tuy nhiên, xét chung, Luật An ninh mạng 2018 không giống luật tương tự châu Âu Hoa Kỳ, mà có nhiều điểm tương đồng với Luật An ninh mạng Trung Quốc, thể việc chủ yếu nhằm tăng cường khả nhà nước việc kiểm sốt luồng thơng tin bảo vệ sở hạ tầng thông tin quan trọng Tóm lại, thấy rằng, với Hiến pháp, hệ thống pháp luật Việt Nam xác lập tảng pháp lý ban đầu để bảo vệ quyền riêng tư, bao gồm quyền liệu cá nhân nhiều lĩnh vực Tuy nhiên, trước ảnh hưởng sâu rộng Cách mạng công nghiệp 4.0 nay, 10 Điều 17, Luật An tồn thơng tin mạng 2015 11 Điểm c, khoản 1, Điều 41 Luật An ninh mạng năm 2018 62 NGHIÊN CỨU LẬP PHÁP Số 9(409) - T5/2020 KINH NGHIỆM QUỐC TẾ so với quy định pháp luật quốc tế pháp luật nhiều quốc gia, pháp luật Việt Nam lĩnh vực số hạn chế, cụ thể sau: Thứ nhất, khung pháp lý thiếu văn riêng quy định cụ thể quyền riêng tư liệu bảo vệ thông tin cá nhân Thứ hai, số quy định pháp luật hành bảo vệ quyền liệu cá nhân cịn thiếu rõ ràng, nặng ngun tắc, dẫn đến hiểu áp dụng sai Thứ ba, quy định chế tài với hành vi vi phạm quyền với liệu cá nhân chưa tương xứng, chưa đảm bảo tính răn đe Mức phạt tiền nặng vi phạm quyền riêng tư pháp luật hành Việt Nam 70 triệu đồng (Điều 66 Nghị định số 174/2013/NĐCP), pháp luật hình 200 triệu đồng (Điều 288 Bộ luật Hình 2015, sửa đổi, bổ sung năm 2017) Trong đó, đề cập, GDPR áp dụng mức phạt lên tới 20 triệu Euro (tương đương 500 tỷ VNĐ) Từ so sánh này, thấy mức phạt luật pháp Việt Nam nhẹ so với mức độ nguy hại hậu hành vi xâm phạm quyền 3.2 Những kinh nghiệm gợi mở cho việc hoàn thiện pháp luật bảo vệ quyền với liệu cá nhân Việt Nam Từ thực trạng pháp luật nước, đối chiếu với quy định pháp luật châu Âu Hoa Kỳ, gợi mở số giải pháp nhằm hoàn thiện pháp luật quyền bảo vệ bí mật liệu cá nhân nước ta sau: Thứ nhất, xây dựng văn pháp luật riêng bảo vệ liệu cá nhân Như đề cập, trước bối cảnh Cách mạng công nghiệp 4.0, châu Âu có văn pháp luật chung EU nhiều nước khu vực ban hành văn pháp luật riêng bảo vệ quyền riêng tư, đặc biệt bảo vệ liệu cá nhân Hoa Kỳ xây dựng đạo luật liên bang riêng vấn đề Trong đó, quy định bảo vệ quyền liệu cá nhân Việt Nam nằm rải rác nhiều văn pháp luật khác nhau, dẫn đến tình trạng vừa chồng chéo, vừa thiếu thống khó khăn cho việc áp dụng pháp luật Vì thế, Nhà nước cần nghiên cứu xây dựng, ban hành văn pháp luật riêng để bảo vệ liệu cá nhân, quy định đầy đủ khái niệm, nguyên tắc, thể chế thiết chế bảo vệ liệu riêng tư người Luật bảo vệ liệu cá nhân cần quy định rõ giới hạn quyền, điều kiện hạn chế đặt với việc khai thác, sử dụng, phổ biến liệu cá nhân, quy định quan chuyên trách theo dõi, giám sát, giải khiếu nại, tố cáo quyền thực tế Thứ hai, sửa đổi, bổ sung quy định bảo mật thông tin/dữ liệu luật chuyên ngành Luật Cơng nghệ thơng tin, Luật An tồn thơng tin mạng, Luật An ninh mạng… Như đề cập, quy định vấn đề pháp luật châu Âu Hoa Kỳ cụ thể chặt chẽ, văn pháp luật Việt Nam dừng lại mức quy định nguyên tắc chung nên hiệu áp dụng thực tế thấp Vì vậy, việc sửa đổi, bổ sung quy định vấn đề cần thiết Thứ ba, sửa đổi, bổ sung quy định chế tài với hành vi vi phạm Như phân tích, chế tài xử phạt vi phạm quyền riêng tư nói chung liệu riêng tư nói riêng Việt Nam thấp so với chế tài châu Âu quốc gia khác, chưa tương xứng với mức độ nghiêm trọng hành vi vi phạm, chưa đảm bảo tính răn đe Vì vậy, Nhà nước cần sửa đổi văn pháp luật có liên quan để quy định hình thức chế tài nghiêm khắc hơn, đặc biệt hành dân sự, với quan, NGHIÊN CỨU Số 9(409) - T5/2020 LẬP PHÁP 63 KINH NGHIỆM QUỐC TẾ tổ chức, doanh nghiệp cá nhân vi phạm quyền liệu riêng tư Thứ tư, bảo đảm nghĩa vụ tôn trọng, bảo vệ thúc đẩy quyền riêng tư Như phân tích phần trên, quyền riêng tư quyền người bản, có ý nghĩa quan trọng, cơng nhận bảo vệ luật nhân quyền quốc tế pháp luật hầu hết quốc gia Sự phát triển công nghệ cải thiện đáng kể đời sống người, song nguy lớn với quyền riêng tư, công nghệ trở thành cơng cụ để nhiều chủ thể, có nhà nước, giám sát can thiệp đời sống riêng tư người Ở Việt Nam, quyền riêng tư bảo vệ Hiến pháp nhiều luật chuyên ngành, song thực tế bảo vệ Nhà nước với quyền thiếu hiệu quả, nỗ lực thực chưa tương xứng với tầm quan trọng Đặc biệt, Luật An ninh mạng cịn có lỗ hổng tiềm ẩn khả quan nhà nước tuỳ tiện can thiệp vào đời tư thông qua việc thu thập liệu riêng tư cá nhân Vì vậy, thời gian tới, Nhà nước cần tiếp tục xây dựng, hoàn thiện hệ thống pháp luật để thúc đẩy bảo vệ hiệu quyền riêng tư nói chung, quyền liệu cá nhân nói riêng theo tinh thần Hiến pháp năm 2013 điều ước quốc tế mà Việt Nam tham gia n Tài liệu tham khảo 10 11 12 13 14 15 16 17 64 Amber Pariona, “What Was the Digital Revolution?”, 2017, https://www.worldatlas.com/ articles/whatwas-the-digital-revolution.html European Commission, “What is personal data?”, https://ec.europa.eu/info/law/law-topic/dataprotection/reform/what-personal-data_en Cẩm Thi, “Tràn lan tình trạng mua bán thơng tin cá nhân”, 2018, https://kiemsat.vn/tran-lan-tinh-trangmua-ban-thong-tin-ca-nhan-50866.html Convention fn the Protection of Individuals with regard to the Automatic Processing of Personal Data Convention, ETS No 108, Stasbourg, 1981 Chính phủ, Dự thảo Nghị định quy định chi tiết số điều Luật an ninh mạng, 31/10/2018 Danny Palmer, “What is GDPR? Everything you need to know about the new general data protection regulations”, 2019, https://www.zdnet.com/article/gdpr-an-executive-guide-to-what-you-need-to-know/ Global Internet liberty campaign, “Privacy and human rights - An International Survey of Privacy Laws and Practice”, 2004, http://gilc.org/privacy/survey/intro.html HG.org, Data Protection Law, https://www.hg.org/data-protection.html Hoàng Thị Ngọc Lan, “Những thành tựu cách mạng công nghiệp lịch sử giới”, 2019, http://vtec.edu.vn/index.php?option=com_content&view= article&id=995:nh-ng-thanh-t-uco-b-n-c-a-cac-cu-c-cach-m-ng-cong-nghi-p-trong-l-ch-s-th-gi-i&catid=93&Itemid=492 John Rose, Christine Barton & Rob Souza, “The Trust Advantage: How to Win with Big Data”, Boston Consulting Group, 2013, https://www.bcg.com/publications/2013/marketing-sales-trust-advantage-winwith-big-data.aspx OECD, Guidelines governing the Protection of Privacy and Transborder Data Flows of Personal Data, Paris, 1981 Chu Hồng Thanh, “Nhận thức pháp lý quyền riêng tư”, trongQuyền riêng tư, Nxb Chính trị quốc gia thật, Hà Nội, 2018 Richard Hodson, “Digital revolution: An explosion in information technology is remaking the world, leaving few aspects of society untouched”, 2018, https://www.nature.com/articles/ d41586-018-07500-z RMIT University, “what is Industry 4.0?”, https://www.rmit.edu.au/industry/develop-yourworkforce/tailored-workforce-solutions/c4de/industry-40 Simon Davies, “Re-engineering the right to privacy: how privacy has been transformed from a right to a commodity”, in Agre and Rotenberg (ed) “Technology and Privacy: the new landscape”, MIT Press, 1997, p 143 U.S GAO, “Report: INTERNET PRIVACY: Additional Federal Authority Could Enhance Consumer Protection and Provide Flexibility”, 2019, GAO-19-52 Ủy ban Nhân quyền, Bình luận chung số 16 quyền riêng tư, 1988 NGHIÊN CỨU LẬP PHÁP Số 9(409) - T5/2020 ... nhằm bảo vệ liệu cá nhân trước vi phạm chủ thể nào, kể quan công quyền thiết chế tư nhân Pháp luật quốc tế số quốc gia bảo vệ quyền liệu cá nhân 2.1 Pháp luật quốc tế bảo vệ quyền liệu cá nhân Ở. .. Nam Những giá trị tham khảo cho Việt Nam 3.1 Khái quát thực trạng pháp luật Việt Nam bảo vệ quyền liệu cá nhân Vấn đề bảo vệ giá trị riêng tư cá nhân ghi nhận từ nước Việt Nam Dân chủ Cộng hòa... NGHIỆM QUỐC TẾ Quyền liệu cá nhân Cách mạng công nghiệp 4.0 Quyền liệu cá nhân (the right to personal data, hay quyền bảo vệ liệu cá nhân /quyền riêng tư với liệu cá nhân) phần cốt yếu quyền riêng