Trong phạm vi bài viết này, tác giả phân tích những thành tựu, chỉ rõ những hạn chế cơ bản của pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và đề xuất phương hướng, giải pháp khắc phục.
THỰC TIỄN PHÁP LUẬT THỰC TRẠNG PHÁP LUẬT VỀ BẢO VỆ THÔNG TIN CÁ NHÂN Ở VIỆT NAM HIỆN NAY VÀ HƯỚNG HOÀN THIỆN Nguyễn Văn Cương TS Viện trưởng Viện Khoa học pháp lý, Bộ Tư pháp Thông tin viết: Từ khóa: Thơng tin cá nhân, bảo vệ thông tin cá nhân, pháp luật bảo vệ thông tin cá nhân, quyền đời sống riêng tư Lịch sử viết: Nhận : 20/6/2020 Biên tập : 04/7/2020 Duyệt : 07/7/2020 Article Infomation: Key words: Personal information, protection of personal information, laws on protection of personal information, right to privacy Article History: Received : 20 Jun 2020 Edited : 04 Jul 2020 Approved : 07 Jul 2020 Tóm tắt: Gần đây, nhiều vụ lộ, lọt thơng tin cá nhân chủ thể kinh doanh nắm giữ tình trạng mua bán, chuyển nhượng trái phép thông tin cá nhân đề cập phương tiện thông tin đại chúng Tuy nhiên, hiệu lực, hiệu điều chỉnh pháp luật bảo vệ thông tin cá nhân nước ta nhiều bất cập Trong phạm vi viết này, tác giả phân tích thành tựu, rõ hạn chế pháp luật bảo vệ thông tin cá nhân Việt Nam đề xuất phương hướng, giải pháp khắc phục Abstract: Recently, various forms of violations in the field of protection of personal information were reported by public media However, effectiveness and efficiency of relevant legal regulation seem to be quite limited This article provides analysis of achievements and clearly points out basic shortcomings of the current legal regulations on protection of personal information in Vietnam and proposes solutions to overcome these shortcomings Quy định pháp luật hành bảo vệ thông tin cá nhân Thông tin cá nhân (TTCN) loại thông tin mà người nắm thông tin xác định danh tính cá nhân người cụ thể Những TTCN thường nhắc đến bao gồm: họ tên, ngày sinh, địa nơi ở, địa nơi làm việc, số điện thoại cá nhân, thư điện tử, số tài khoản ngân hàng, số thẻ tín dụng, số chứng minh nhân dân, thơng tin hồ sơ y tế v.v Các thông tin này, tiếp cận doanh nghiệp, trở thành nguồn liệu có giá trị thương mại thông qua hoạt 36 NGHIÊN CỨU LẬP PHÁP Số 15 (415) - T8/2020 động truyền thông, quảng bá, tiếp thị hoạt động cạnh tranh thương trường Vì vậy, doanh nghiệp muốn nắm bắt, thu thập, sử dụng, phân tích, khai thác TTCN khách hàng khách hàng tiềm Tuy nhiên, chiều cạnh khác, để bảo đảm sống riêng tư, tự cần thiết đời sống thường nhật, nhìn chung, cá nhân khơng muốn TTCN bị lộ, lọt vào tay người mà người có TTCN khơng biết họ sử dụng thơng tin cho mục đích Nói cách khác, cá nhân khơng muốn TTCN bị rơi vào tay người lạ Chính thế, THỰC TIỄN PHÁP LUẬT cá nhân thường có nhu cầu kiểm sốt (hoặc tìm cách kiểm sốt) lan truyền TTCN liên quan tới thân Đáp ứng mối lo ngại đó, thập niên gần đây, pháp luật nhiều quốc gia giới thiết lập chuẩn mực việc tiếp cận, sử dụng TTCN giao dịch cá nhân với doanh nghiệp cá nhân với quan công quyền Việt Nam ngoại lệ Ở Việt Nam, thuật ngữ “TTCN” nhắc tới Luật Dược năm 2005 yêu cầu bảo mật “TTCN” lĩnh vực hàng không đề cập Luật Hàng không dân dụng năm 20061 Tuy nhiên, quy định cụ thể bảo vệ TTCN thực xuất Luật Công nghệ thông tin năm 2006 (Luật CNTT) Mặc dù vậy, Luật CNTT quy định việc bảo vệ TTCN môi trường mạng không quy định chung cho việc bảo vệ TTCN Theo quy định khoản Điều 21 Luật CNTT, tổ chức, cá nhân “thu thập, xử lý sử dụng TTCN người khác môi trường mạng phải người đồng ý trừ trường hợp pháp luật có quy định khác” Khi thu thập, xử lý sử dụng TTCN người khác, chủ thể thực hành vi có trách nhiệm: “a) Thơng báo cho người biết hình thức, phạm vi, địa điểm mục đích việc thu thập, xử lý sử dụng TTCN người đó; b) Sử dụng mục đích TTCN thu thập lưu trữ thơng tin khoảng thời gian định theo quy định pháp luật theo thoả thuận hai bên; c) Tiến hành biện pháp quản lý, kỹ thuật cần thiết để bảo đảm TTCN không bị mất, đánh cắp, tiết lộ, thay đổi phá huỷ; d) Tiến hành biện pháp cần thiết nhận yêu cầu kiểm tra lại, đính hủy bỏ theo quy định khoản Điều 22 Luật này; không cung cấp sử dụng TTCN liên quan thơng tin đính lại” Ngoại lệ cho việc thu thập, xử lý sử dụng TTCN người khác mà khơng cần đồng ý người đặt “trong trường hợp TTCN sử dụng cho mục đích sau đây: a) Ký kết, sửa đổi thực hợp đồng sử dụng thông tin, sản phẩm, dịch vụ mơi trường mạng; b) Tính giá, cước sử dụng thông tin, sản phẩm, dịch vụ môi trường mạng; c) Thực nghĩa vụ khác theo quy định pháp luật”2 Khoản Điều 22 Luật CNTT quy định quyền chủ thể thông tin việc kiểm tra, yêu cầu đính hủy bỏ TTCN chủ thể khác lưu trữ Theo đó, “cá nhân có quyền yêu cầu tổ chức, cá nhân lưu trữ TTCN mơi trường mạng thực việc kiểm tra, đính hủy bỏ thơng tin đó”3 Khoản Điều 22 Luật CNTT quy định “tổ chức, cá nhân không cung cấp TTCN người khác cho bên thứ ba, trừ trường hợp pháp luật có quy định khác có đồng ý người đó” Thêm vào đó, “cá nhân có quyền yêu cầu bồi thường thiệt hại hành vi vi phạm việc cung cấp TTCN”4 Có thể nói rằng, quy định kể hàm ý rằng, việc “thu thập, xử lý, sử dụng, chuyển nhượng TTCN” tổ chức, cá nhân môi trường mạng phải bảo đảm yêu cầu “tính hợp pháp” Chủ thể TTCN có số quyền định tổ chức, cá nhân thu thập, xử lý, sử dụng chuyển nhượng TTCN Tuy nhiên, thuật ngữ “thông tin cá nhân” sử dụng khoản Điều 57 Luật Dược năm 2005 dù khơng có giải thích Khoản 2đ Điều 126 Luật Hàng khơng dân dụng năm 2006 có quy định “Doanh nghiệp kinh doanh hệ thống đặt giữ chỗ máy tính phải tuân thủ nguyên tắc sau đây: … Bảo mật thông tin cá nhân khách hàng, trừ trường hợp theo yêu cầu quan nhà nước có thẩm quyền” Khoản Điều 21 Luật Công nghệ thông tin năm 2006 Khoản Điều 22 Luật Công nghệ thông tin năm 2006 Khoản Điều 22 Luật Công nghệ thông tin năm 2006 NGHIÊN CỨU Số 15 (415) - T8/2020 LẬP PHÁP 37 THỰC TIỄN PHÁP LUẬT Điểm đáng nói là, Luật CNTT khẳng định nghĩa vụ ràng buộc pháp lý kể việc thu thập, xử lý, lưu trữ, chuyển nhượng TTCN mơi trường mạng Do đó, đạo luật để lại khoảng trống pháp lý việc bảo vệ TTCN không môi trường mạng (tức môi trường vật lý - môi trường offline) Thêm vào đó, thuật ngữ “chủ thể TTCN” chủ thể liệu (data subject) chưa sử dụng đạo luật Trên sở quy định Luật CNTT, Chính phủ ban hành Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 ứng dụng công nghệ thông tin hoạt động quan nhà nước Nghị định lần có quy định khoản Điều giải thích “TTCN” “thơng tin đủ để xác định xác danh tính cá nhân, bao gồm nội dung thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa liên hệ, địa thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng bí mật cá nhân khác”5 Tiếp nối quy định này, quy định bảo vệ TTCN quy định Luật Bảo vệ người tiêu dùng năm 2010 “bảo vệ thông tin người tiêu dùng” (Điều 6) Theo quy định này, người tiêu dùng bảo đảm an tồn, bí mật thơng tin tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp quan nhà nước có thẩm quyền yêu cầu Trường hợp thu thập, sử dụng, chuyển giao thông tin người tiêu dùng tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ có trách nhiệm: a) Thơng báo rõ ràng, công khai trước thực với người tiêu dùng mục đích hoạt động thu thập, sử dụng thông tin người tiêu dùng; b) Sử dụng thơng tin phù hợp với mục đích thơng báo với người tiêu dùng phải người tiêu dùng đồng ý; c) Bảo đảm an tồn, xác, đầy đủ thu thập, sử dụng, chuyển giao thông tin người tiêu dùng; d) Tự có biện pháp để người tiêu dùng cập nhật, điều chỉnh thơng tin phát thấy thơng tin khơng xác; đ) Chỉ chuyển giao thơng tin người tiêu dùng cho bên thứ ba có đồng ý người tiêu dùng, trừ trường hợp pháp luật có quy định khác Riêng với lĩnh vực thương mại điện tử, Nghị định số 52/2013/NĐ-CP thương mại điện tử có nhiều quy định quan trọng bảo vệ TTCN người tiêu dùng Điều đặc biệt, Nghị định (khoản 13 Điều 3) thức đưa định nghĩa “TTCN” “các thơng tin góp phần định danh cá nhân cụ thể, bao gồm tên, tuổi, địa nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin giao dịch tốn cá nhân thơng tin khác mà cá nhân mong muốn giữ bí mật”6 Nghị định thức sử dụng cụm từ “chủ thể thông tin” tương đồng với thuật ngữ Nghị định quy định rõ việc “bảo vệ thông tin cá nhân quan nhà nước nắm giữ môi trường mạng” Điều sau: “1 Cơ quan nhà nước thu nhập, xử lý sử dụng thông tin cá nhân môi trường mạng phải thực theo quy định Điều 21 Luật Công nghệ thông tin Các biện pháp bảo vệ thơng tin cá nhân bao gồm: thơng báo mục đích sử dụng thơng tin cá nhân; giám sát q trình xử lý thông tin cá nhân; ban hành thủ tục kiểm tra, đính hủy bỏ thơng tin cá nhân; biện pháp kỹ thuật khác Cơ quan nhà nước nắm giữ thơng tin thuộc bí mật cá nhân phải có trách nhiệm bảo vệ thơng tin phép cung cấp, chia sẻ cho bên thứ ba có thẩm quyền trường hợp định theo quy định pháp luật” Trước đó, thuật ngữ “thơng tin cá nhân” có giải thích khoản Điều Nghị định số 64/2007/NĐCP ngày 10/4/2007 ứng dụng công nghệ thông tin hoạt động quan nhà nước khoản Điều Thông tư số 25/2010/TT-BTTTT ngày 15/11/2010 Bộ Thông tin Truyền thông quy định việc 38 NGHIÊN CỨU LẬP PHÁP Số 15 (415) - T8/2020 THỰC TIỄN PHÁP LUẬT “information subject” (hoặc data subject) mà pháp luật bảo vệ TTCN nhiều quốc gia xác định Bộ luật Dân năm 2015 (BLDS) bổ sung quy định “quyền đời sống riêng tư” (Điều 38) bên cạnh nội dung “bí mật cá nhân” “bí mật gia đình” vốn quy định BLDS năm 1995 2005 trước Cụ thể, theo quy định Điều 38 BLDS (Quyền đời sống riêng tư, bí mật cá nhân, bí mật gia đình): (1) Đời sống riêng tư, bí mật cá nhân, bí mật gia đình bất khả xâm phạm pháp luật bảo vệ; (2) Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải người đồng ý, việc thu thập, lưu giữ, sử dụng, cơng khai thơng tin liên quan đến bí mật gia đình phải thành viên gia đình đồng ý, trừ trường hợp luật có quy định khác; … (4) Các bên hợp đồng không tiết lộ thơng tin đời sống riêng tư, bí mật cá nhân, bí mật gia đình mà biết trình xác lập, thực hợp đồng, trừ trường hợp có thỏa thuận khác Trong năm 2015, Luật An tồn thơng tin mạng (Luật ATTT mạng) ban hành với nhiều quy định bảo vệ TTCN môi trường mạng (trên không gian mạng) Trong Luật ATTT mạng, lần thuật ngữ “TTCN” đạo luật giải thích “thơng tin gắn với việc xác định danh tính người cụ thể” (khoản 15 Điều 3) Luật giải thích thuật ngữ “chủ thể TTCN” (khoản 16 Điều 3) với ý nghĩa “người xác định từ TTCN đó” Luật quy định rõ “nguyên tắc bảo vệ TTCN mạng” (Điều 16), việc “thu thập sử dụng TTCN” (Điều 17), việc “cập nhật, sửa đổi hủy bỏ TTCN” (Điều 18), yêu cầu “bảo đảm an toàn TTCN mạng” (Điều 19) “trách nhiệm quan quản lý nhà nước bảo vệ TTCN mạng” (Điều 20) Ngoài ra, Nghị định xử lý vi phạm hành liên quan tới hoạt động thương mại điện tử bước đầu có quy định biện pháp chế tài hành vi vi phạm Chẳng hạn, khoản Điều 84 Nghị định số 185/2013/NĐ-CP ngày 15/11/2013 Chính phủ (Nghị định số 185) quy định xử phạt vi phạm hành hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm bảo vệ quyền lợi người tiêu dùng (được sửa đổi, bổ sung Nghị định số 124/2015/NĐ-CP) quy định: “Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng hành vi vi phạm sau đây: a) Thu thập TTCN người tiêu dùng mà không đồng ý trước chủ thể thông tin; b) Thiết lập chế mặc định buộc người tiêu dùng phải đồng ý với việc TTCN bị chia sẻ, tiết lộ sử dụng cho mục đích quảng cáo mục đích thương mại khác; c) Sử dụng TTCN người tiêu dùng khơng với mục đích phạm vi thơng báo.” Ngồi ra, chủ thể vi phạm cịn bị đình hoạt động thương mại điện tử từ 06 tháng đến 12 tháng trường hợp vi phạm nhiều lần tái phạm bị buộc nộp lại số lợi bất hợp pháp có thực hành vi vi phạm Hành vi vi phạm quy định thu thập, sử dụng TTCN cịn bị phạt theo quy định Điều 84 Nghị định số 15/2020/NĐ-CP ngày 3/2/2020 quy định xử phạt vi phạm hành lĩnh vực bưu chính, viễn thơng, tần số vô tuyến điện, công nghệ thông tin giao dịch điện tử Những hạn chế quy định pháp luật hành bảo vệ thông tin cá nhân Pháp luật bảo vệ TTCN Việt Nam số điểm hạn chế sau: thu thập, sử dụng, chia sẻ, đảm bảo an tồn bảo vệ thơng tin cá nhân trang thông tin điện tử cổng thông tin điện tử quan nhà nước NGHIÊN CỨU Số 15 (415) - T8/2020 LẬP PHÁP 39 THỰC TIỄN PHÁP LUẬT Thứ nhất, định nghĩa TTCN chưa thống văn quy phạm pháp luật có liên quan (thể nội dung quy định kỹ thuật lập pháp) Ví dụ, định nghĩa “TTCN” Luật ATTT mạng ngắn gọn, Nghị định số 52/2013/NĐ-CP Chính phủ thương mại điện tử lại quy định cụ thể, chi tiết có điểm khó đánh giá có hồn tồn tương hợp với quy định Luật ATTT mạng không7; Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 sử dụng cụm từ “thông tin người tiêu dùng” (Điều 6) để hàm chứa “TTCN” người tiêu dùng, đó, Luật ATTT mạng Nghị định số 52/2013/NĐ-CP lại dùng cụm từ “TTCN” Thứ hai, quy định hành tập trung điều chỉnh việc bảo vệ TTCN môi trường mạng (hoặc môi trường không gian mạng), chưa có quy định cụ thể bảo vệ TTCN môi trường truyền thống Điều tạo chia cắt điều chỉnh pháp luật không gian thực không gian ảo, không phù hợp với thực tiễn có hịa trộn, kết nối cách khó phân tách khơng gian thực (khơng gian vật lý) không gian ảo thời kỳ Cách mạng công nghiệp lần thứ tư Thứ ba, pháp luật bảo vệ TTCN chưa bắt kịp với thực tiễn sử dụng liệu cá nhân liệu hình ảnh cá nhân (cơng nghệ nhận diện khn mặt), liệu sinh trắc (chẳng hạn: vân tay, mống mắt v.v )… Chính vậy, doanh nghiệp sử dụng liệu này, có vấn đề đặt quy định bảo vệ TTCN hành có áp dụng với doanh nghiệp khơng liệu có cần quy định biện pháp mang tính chặt chẽ doanh nghiệp thu thập sử dụng liệu sinh trắc người tiêu dùng không? Lý là, “địa chỉ”, “số điện thoại” người xếp vào TTCN rõ ràng, liệu sinh trắc học, coi “dữ liệu” “TTCN” độ “nhạy cảm” liệu lớn nhiều so với thông tin “số điện thoại” “tên”, “tuổi” chủ thể TTCN Thứ tư, văn pháp luật bảo vệ TTCN chưa dự liệu tới tình thực tế thu thập, xử lý TTCN như: việc thu thập xử lý TTCN trẻ em cần lấy ý kiến đồng ý ai, việc chuyển TTCN xuyên biên giới cần kiểm sốt nào, việc vơ danh hóa TTCN để sử dụng phải chịu ràng buộc pháp lý v.v Thứ năm, chưa có quy định quyền quên (right to be forgotten) trường hợp cần thiết (một loại quyền có giá trị nhân mà pháp luật bảo vệ TTCN nhiều quốc gia có quy định) Thứ sáu, chưa có quy định cụ thể trách nhiệm bồi thường thiệt hại chủ thể có hành vi sai trái việc thu thập sử dụng TTCN Đây khoảng trống pháp lý cần xử lý Thứ bảy, Nghị định số 185 Nghị định số 15/2020/NĐ-CP xử phạt vi phạm hành lĩnh vực cơng nghệ thơng tin (Nghị định số 15) khơng có q nhiều khác biệt mức phạt tiền việc thực hành vi vi phạm (chẳng hạn: thu thập TTCN trái phép) biện pháp khắc phục hậu lại khơng hồn tồn giống Cụ thể, khoản Điều 84 Nghị định số 15 quy định sau: “Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng hành vi sau: a) Sử dụng không mục đích TTCN thỏa thuận Khoản 16 Điều Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 Chính phủ quản lý, cung cấp, sử dụng dịch vụ Internet thơng tin mạng có giải thích “Thơng tin cá nhân thông tin gắn liền với việc xác định danh tính, nhân thân cá nhân bao gồm tên, tuổi, địa chỉ, số chứng minh nhân dân, số điện thoại, địa thư điện tử thông tin khác theo quy định pháp luật” Khi sửa đổi, bổ sung Nghị định số 27/2018/NĐ-CP, nội dung vừa nêu giữ nguyên 40 NGHIÊN CỨU LẬP PHÁP Số 15 (415) - T8/2020 THỰC TIỄN PHÁP LUẬT thu thập chưa có đồng ý chủ thể TTCN; b) Cung cấp chia sẻ phát tán TTCN thu thập, tiếp cận, kiểm soát cho bên thứ ba chưa có đồng ý chủ TTCN; c) Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật TTCN người khác”, nhiên, biện pháp khắc phục hậu buộc hủy bỏ TTCN thực hành vi vi phạm Thứ tám, mức xử phạt hành vi vi phạm pháp luật bảo vệ TTCN Nghị định số 185 Nghị định số 15 nhẹ8 so với thông lệ nhiều quốc gia giới9 chưa đáp ứng yêu cầu đấu tranh phòng, chống vi phạm pháp luật lĩnh vực (thường vi phạm khó phát hiện, xử lý) Thứ chín, Bộ luật Hình năm 2015 sửa đổi, bổ sung năm 2017 có số quy định bước đầu Điều 159 tội xâm phạm bí mật an tồn thư tín, điện thoại, điện tín hình thức trao đổi thông tin riêng tư khác người khác Điều 288 tội đưa sử dụng trái phép thông tin mạng máy tính, mạng viễn thơng10 Tuy nhiên, 02 tội danh chưa quy định cụ thể, trực tiếp hành vi vi phạm pháp luật liên quan tới TTCN diễn Đây khoảng trống pháp lý cần xử lý Kiến nghị Trước mắt, để bảo đảm hiệu lực, hiệu điều chỉnh pháp luật bảo vệ TTCN Việt Nam, cần khắc phục điểm hạn chế nêu Cụ thể: Thứ nhất, khắc phục điểm chưa thống nhất, đồng nội dung kỹ thuật lập pháp văn có liên quan trên, đồng thời xem xét nâng mức xử phạt vi phạm hành chủ thể có hành vi vi phạm (đối với doanh nghiệp có hành vi vi phạm, xác định mức phạt tính theo doanh thu theo quy mơ doanh nghiệp vi phạm) nhằm bảo đảm tính răn đe, phòng ngừa chung Tiêu biểu xu hướng phải kể tới quốc gia Liên minh châu Âu Năm 2016, Liên minh châu Âu ban hành Quy chế chung bảo vệ liệu cá nhân (General Data Protection Regulation - GDPR), có hiệu lực từ ngày 25/5/2018 GDPR quy định chi tiết trách nhiệm chủ thể thu thập, xử lý TTCN có trách nhiệm người trực tiếp tiến hành công việc thu thập, xử lý TTCN doanh nghiệp Mức phạt cho hành vi vi phạm lên tới mức 4% doanh thu năm tài trước thời điểm xảy hành vi vi phạm Nhiều quốc gia châu Âu ban hành Luật Bảo vệ TTCN sở nội luật hóa quy định GDPR Thứ hai, có hướng dẫn rõ việc bồi thường thiệt hại (chế tài dân sự) chủ thể có hành vi vi phạm theo hướng tạo điều kiện thuận lợi cho chủ thể thông tin bị Khoản Điều 84 Nghị định số 185/2013/NĐ-CP sửa đổi, bổ sung năm 2015 quy định hành vi “thu thập thông tin cá nhân người tiêu dùng mà không đồng ý trước chủ thể thông tin; sử dụng thông tin cá nhân người tiêu dùng khơng với mục đích phạm vi thông báo” bị phạt tiền từ 20 đến 30 triệu đồng Điều 84 Nghị định số 15/2020/NĐ-CP quy định hành vi “thu thập thông tin cá nhân chưa có đồng ý chủ thể thơng tin cá nhân phạm vi, mục đích việc thu thập sử dụng thơng tin đó” bị phạt từ 10 đến 20 triệu đồng, hành vi “sử dụng khơng mục đích thơng tin cá nhân thỏa thuận thu thập chưa có đồng ý chủ thể thông tin cá nhân; cung cấp chia sẻ phát tán thông tin cá nhân thu thập, tiếp cận, kiểm soát cho bên thứ ba chưa có đồng ý chủ thông tin cá nhân; thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân người khác” bị phạt từ 20 đến 30 triệu đồng Theo quy định Liên minh châu Âu, hành vi xâm phạm pháp luật bảo vệ thông tin cá nhân bị xử phạt tới 4% tổng doanh thu năm tài trước thời điểm xảy hành vi vi phạm 10 Điều 159 Bộ luật Hình quy định, việc “Xâm phạm bí mật an tồn thư tín, điện thoại, điện tín hình thức trao đổi thơng tin riêng tư người khác” bị phạt tới 03 năm Điều 288 quy định “Tội đưa sử dụng trái phép thơng tin mạng máy tính, mạng viễn thơng” với mức hình phạt cao 07 năm tù giam NGHIÊN CỨU Số 15 (415) - T8/2020 LẬP PHÁP 41 THỰC TIỄN PHÁP LUẬT xâm hại quyền lợi khởi kiện đòi bồi thường thiệt hại Thứ ba, nghiên cứu tội phạm hóa hành vi thu thập, sử dụng, khai thác, chuyển nhượng trái phép TTCN gây hậu nghiêm trọng thực quy mơ lớn, từ bổ sung quy định tội phạm hình có liên quan Bộ luật Hình hành (với biện pháp chế tài áp dụng cho cá nhân có hành vi vi phạm pháp nhân thương mại có hành vi vi phạm) Thứ tư, nghiên cứu xây dựng Luật Bảo vệ TTCN, sở kế thừa số quy định bảo vệ TTCN có Luật Cơng nghệ thơng tin năm 2006, Luật An tồn thơng tin mạng năm 2015, Nghị định số 52/2013/NĐCP thương mại điện tử điều chỉnh toàn diện việc bảo vệ TTCN (không giới hạn việc bảo vệ TTCN “không gian mạng”), việc quy định đầy đủ nguyên tắc bảo vệ TTCN11 (nguyên tắc bảo đảm có chủ thể chịu trách nhiệm rõ ràng vi phạm trình xử lý TTCN; bảo đảm tính minh bạch cơng xử lý TTCN…), quy định việc thu thập xử lý TTCN liên quan tới trẻ em, quy định rõ trách nhiệm chủ thể tham gia vào trình thu thập, lưu trữ, xử lý, khai thác, chuyển giao TTCN, việc chuyển TTCN xuyên biên giới, biện pháp chế tài nghiêm khắc, trách nhiệm quản lý nhà nước bảo vệ TTCN để xử lý nhiều bất cập thực tiễn bảo vệ TTCN, góp phần trì niềm tin người dân an ninh, an toàn TTCN tham gia vào 11 12 13 14 15 16 42 kinh tế số Luật Bảo vệ TTCN cần quy định chế hợp tác quốc tế việc bảo vệ TTCN bối cảnh Cách mạng cơng nghiệp lần thứ tư tiến trình hội nhập tác động mạnh mẽ tới Việt Nam kinh tế đối tác chủ yếu Việt Nam Trong ASEAN, Malaysia ban hành Luật Bảo vệ liệu cá nhân năm 201012, Singapore ban hành Luật Bảo vệ liệu cá nhân năm 2012 (Personal Data Protection Act of 2012) Quy chế bảo vệ liệu cá nhân năm 2014 (Personal Data Protection Regulations 2014)13 Thái Lan ban hành đạo luật bảo vệ liệu cá nhân (“Luật Bảo vệ liệu cá nhân” - Personal Data Protection Act, năm 2019, có hiệu lực thức từ ngày 27/5/2020)14 Ở khu vực Đông Bắc Á, Nhật Bản ban hành Luật Bảo vệ TTCN lần vào năm 2003 tiến hành sửa đổi, bổ sung vào năm 2016 với mô nhiều quy định GDPR năm 2016 châu Âu15 Hàn Quốc lần ban hành Luật Bảo vệ TTCN vào năm 2011 từ tới nay, đạo luật liên tục sửa đổi, bổ sung vào năm 2013, 2014, 2015, 2017 lần gần vào tháng 2/2020 để phục vụ việc phát triển kinh tế số Hàn Quốc16 Tại Trung Quốc, ngày 28/5/2020, Quốc hội Trung Quốc ban hành BLDS lịch sử chế độ (có hiệu lực từ ngày 1/1/2021) với 1260 điều chia thành 84 chương, có chương riêng quy định “quyền đời Bên cạnh nguyên tắc pháp luật hành quy định mà có nguyên tắc bảo đảm có đồng ý chủ thể thơng tin phạm vi, mục đích việc thu thập, xử lý thơng tin cá nhân; bảo đảm tính hợp pháp xác (và quyền kiểm chứng tính xác) thông tin cá nhân thu thập, xử lý; bảo đảm an ninh, an tồn thơng tin cá nhân thu thập, xử lý Robert Walters, et al (eds.), Data Protection Law: A Comparative Analysis of Asia-Pacific and European Approaches (Singapore: Springer, 2019) at 197 Robert Walters, et al (eds.), Data Protection Law: A Comparative Analysis of Asia-Pacific and European Approaches (Singapore: Springer, 2019) at 83 https://www.dataprotectionreport.com/2020/02/thailand-personal-data-protection-law/ https://www.dataguidance.com/notes/japan-data-protection-overview http://koreanlii.or.kr/w/index.php/Recent_amendments_to_PIPA NGHIÊN CỨU LẬP PHÁP Số 15 (415) - T8/2020 THỰC TIỄN PHÁP LUẬT sống riêng tư bảo vệ TTCN” (từ Điều 1032 đến Điều 1039 BLDS)17 nhiều quy định có liên quan18 Hiện tại, dự thảo Luật Bảo vệ TTCN Trung Quốc gấp rút soạn thảo để dự kiến trình quan lập pháp nước xem xét thông qua vào cuối năm 2020 Thứ năm, tăng cường quản lý nhà nước bảo vệ TTCN, quy định rõ đầu mối quan quản lý nhà nước TTCN đồng thời trao cho quan đủ quyền hạn công cụ quản lý cần thiết nhằm kịp thời phát xử lý nghiêm minh hành vi vi phạm lĩnh vực bảo vệ TTCN n 17 Bao gồm nội dung như: Định nghĩa đời sống riêng tư (Điều 1032) hành vi coi xâm phạm quyền đời sống riêng tư (Điều 1033); định nghĩa thông tin cá nhân nguyên tắc bảo vệ thông tin cá nhân (Điều 1034), điều kiện để việc thu thập xử lý thông tin cá nhân coi hợp pháp (Điều 1035), miễn trừ trách nhiệm chủ thể thu thập xử lý thông tin cá nhân (Điều 1036), quyền chủ thể thông tin cá nhân nghĩa vụ chủ thể thu thập xử lý thông tin cá nhân (Điều 1037, 1038 1039) 18 Quy định Điều 110 (cơng nhận cá nhân có quyền đời sống riêng tư), Điều 111 (cơng nhận cá nhân có quyền thông tin cá nhân), quy định từ Điều 994 tới Điều 1000 việc kiện đòi bồi thường thiệt hại có hành vi xâm phạm quyền riêng tư thông tin cá nhân, quy định Điều 1030 trách nhiệm tổ chức tín dụng xử lý thơng tin (trong có việc xử lý thông tin cá nhân), quy định Điều 1226 trách nhiệm sở y tế nhân viên y tế việc tôn trọng đời sống riêng tư thông tin cá nhân bệnh nhân < https://www.dlapiper.com/en/uk/insights/publications/2020/06/new-chinesecivil-code-introduces-greater-protection-of-privacy-rights-and-personal-information/> quy TRÌnh hOẠch ĐỊnh (Tiếp theo trang 35) (iii) Phân biệt rõ khía cạnh kỹ thuật khía cạnh trị dự thảo sách để dành quan tâm khác hai phương diện Thông thường, Quốc hội, đại biểu Quốc hội cần quan tâm mức đến khía cạnh trị sách, mà khơng cần quan tâm nhiều đến khía cạnh kỹ thuật sách Nếu quan tâm nhiều đến khía cạnh kỹ thuật dễ dẫn đến tình trạng quan tâm đến vấn đề “vụn vặt” dự thảo sách, từ thời gian không cần thiết (iv) Phát huy trách nhiệm đại biểu Quốc hội trước đất nước cử tri trình thảo luận, cho ý kiến vào dự thảo sách Theo đó, đại biểu Quốc hội cần nhìn từ góc độ khác ý kiến “đúng” “trúng” dự thảo sách thảo luận kỳ họp Quốc hội Cụ thể là, đại biểu Quốc hội từ góc độ dự thảo sách có đảm bảo giải hài hòa mối quan hệ lợi ích chỉnh thể lợi ích phận, điều kiện bên điều kiện bên ngoài, lợi ích trước mắt lợi ích lâu dài, mục tiêu chủ yếu mục tiêu thứ yếu hay khơng; có xung đột với sách hành hay khơng; có đáp ứng u cầu tương lai hay khơng; có khả thi phù hợp với điều kiện nguồn lực hay khơng; có phù hợp với pháp luật quốc gia pháp luật quốc tế hay khơng; có lợi cho lợi ích cơng phản ánh nhu cầu, nguyện vọng cử tri hay không để có ý kiến dự thảo phương án sách thảo luận Tóm lại, đại biểu Quốc hội chủ thể quan trọng chu trình sách cơng nói chung hoạch định sách cơng nói riêng Để góp phần nâng cao chất lượng sách cơng, địi hỏi cần nâng cao chất lượng đại biểu Quốc hội theo hướng tăng cường tính chuyên nghiệp đại biểu Quốc hội n NGHIÊN CỨU Số 15 (415) - T8/2020 LẬP PHÁP 43 ... thông tin giao dịch điện tử Những hạn chế quy định pháp luật hành bảo vệ thông tin cá nhân Pháp luật bảo vệ TTCN Việt Nam số điểm hạn chế sau: thu thập, sử dụng, chia sẻ, đảm bảo an tồn bảo vệ. .. định Điều 21 Luật Công nghệ thông tin Các biện pháp bảo vệ thông tin cá nhân bao gồm: thông báo mục đích sử dụng thơng tin cá nhân; giám sát q trình xử lý thơng tin cá nhân; ban hành thủ tục kiểm... ASEAN, Malaysia ban hành Luật Bảo vệ liệu cá nhân năm 201012, Singapore ban hành Luật Bảo vệ liệu cá nhân năm 2012 (Personal Data Protection Act of 2012) Quy chế bảo vệ liệu cá nhân năm 2014 (Personal