Bài viết phân tích quy định pháp luật về bảo vệ dữ liệu thông tin cá nhân trong nền kinh tế chia sẻ của Singapore. Từ đó bài viết sẽ trình bày một số vụ việc thực tiễn về bảo vệ dữ liệu thông tin cá nhân để qua đó đề xuất một số kinh nghiệm cho Việt Nam trong việc bảo vệ dữ liệu thông tin cá nhân.
PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG MƠ HÌNH KINH TẾ CHIA SẺ CỦA SINGAPORE – KINH NGHIỆM CHO VIỆT NAM Phạm Thị Hồng Mỵ1 Tóm tắt: Bài viết phân tích quy định pháp luật bảo vệ liệu thông tin cá nhân kinh tế chia sẻ Singapore… Từ viết trình bày số vụ việc thực tiễn bảo vệ liệu thơng tin cá nhân để qua đề xuất số kinh nghiệm cho Việt Nam việc bảo vệ liệu thông tin cá nhân Từ khóa: Bảo vệ liệu thơng tin cá nhân, kinh tế chia sẻ KHÁI QUÁT KINH TẾ CHIA SẺ VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG NỀN KINH TẾ CHIA SẺ Cùng với phát triển hội nhập quốc tế sâu rộng cách mạng công nghệ 4.0 bùng nổ tất yếu kinh tế chia sẻ mơ hình kinh tế kiểu Kinh tế chia sẻ mơ hình mà người có nhu cầu trao đổi hàng hóa, dịch vụ ngang hàng với với hỗ trợ tảng mạng internet Chủ thể thực hoạt động chia sẻ nguồn lực thường cá nhân có nhu cầu trực tiếp trao đổi nguồn lực ngắn hạn Nguồn lực chia sẻ nguồn lực nhàn rỗi chủ sở hữu người có nhu cầu chia sẻ nguồn lực Các chủ thể tham gia vào hoạt động kinh tế chia sẻ đánh giá lẫn ln có tham gia hỗ trợ tảng trực tuyến thông qua việc sử dụng thiết bị điện thoại thơng minh máy tính có kết nối internet (Hà Thị Thanh Bình, 2020) Điển hình mơ hình kinh tế chia sẻ Việt Nam hình thức chia sẻ dịch vụ lại qua ứng dụng Grab, Gojek, Be… chia sẻ chỗ cho người du lịch Airbnb, Luxstay, Agoda, Booking.com, Triip.me, Travelmob… Chỉ với smartphone thông minh máy tính có kết nối internet người th đặt phịng nghỉ lưu trú quốc gia giới Trong mơ hình này, dịch vụ gọi xe công nghệ hay dịch vụ kinh doanh lưu trú chia sẻ bao gồm chủ thể: bên cung ứng dịch vụ bên tìm kiếm dịch vụ (người sử dụng dịch vụ) tham gia (gửi yêu cầu) vào hệ thống tảng trực tuyến bên cung cấp tảng hoạt động kinh tế chia sẻ thực cung cấp thơng tin, liệu cho bên thứ ba họ tên, địa liên hệ, địa email, số điện thoại, số tài khoản, địa nơi ở… Trong số ứng dụng tảng trực tuyến cho phép quyền bên cung cấp tảng có quyền xử lý chia sẻ thông tin cá nhân mà bên thứ ba thu thập từ bên khách hàng Cho nên việc bảo vệ liệu thông tin cá nhân điều quan trọng, đặc biệt bên thứ ba (bên cung cấp tảng) bên thu thập, xử lý liệu bên tham gia Và bên thứ ba chủ thể phải chịu trách nhiệm bảo vệ liệu cá nhân Do đó, bên thứ ba, bên cung cấp tảng hoạt động kinh doanh dịch vụ lưu trú chia sẻ không đảm bảo nghĩa vụ bảo vệ liệu thông tin cá nhân trình thu thập, xử lý liệu gây ảnh hưởng lớn chủ thể tham gia Trường Đại học Sài Gòn Email: phammydl@gmail.com 386 QUY ĐỊNH CỦA PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU THÔNG TIN CÁ NHÂN CỦA SINGAPORE Đạo luật bảo vệ liệu cá nhân năm 2012 (PDPA) pháp luật bảo vệ liệu Singapore, quản lý việc thu thập, sử dụng tiết lộ liệu cá nhân tổ chức Trước ban hành PDPA, Singapore khơng có luật tổng thể quản lý việc bảo vệ liệu cá nhân Việc xử lý liệu cá nhân Singapore điều chỉnh mức độ định chắp vá luật bao gồm luật chung, luật dành riêng cho ngành luật tự điều chỉnh đồng điều chỉnh khác PDPA Quốc hội Singapore thông qua vào ngày 15 tháng 10 năm 2012 thực ba giai đoạn Giai đoạn điều khoản chung có hiệu lực vào ngày tháng năm 2013 Những điều khoản liên quan đến phạm vi cách giải thích PDPA; việc thành lập Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC), quan quản lý thực thi PDPA; việc thành lập Ủy ban Tư vấn Bảo vệ Dữ liệu; thành lập Sổ đăng ký (DNC) PDPC điều khoản chung khác PDPA Giai đoạn thứ hai chứng kiến quy định liên quan đến Cơ quan đăng ký DNC có hiệu lực vào ngày tháng năm 2014 Giai đoạn thứ ba giai đoạn cuối chứng kiến quy định chính, liên quan đến việc bảo vệ liệu cá nhân (Điều khoản bảo vệ liệu), cụ thể Phần III đến IV PDPA, có hiệu lực vào ngày tháng năm 2014 Mục đích Đạo luật quản lý việc thu thập, sử dụng tiết lộ liệu cá nhân tổ chức theo cách công nhận quyền cá nhân để bảo vệ cá nhân Nhu cầu tổ chức để thu thập, sử dụng tiết lộ liệu cho mục đích mà người hợp lý cho phù hợp trường hợp PDPA thường áp dụng cho tất tổ chức liên quan đến liệu cá nhân mà họ thu thập, sử dụng và/hoặc tiết lộ Tuy nhiên, loại tổ chức sau miễn áp dụng PDPA: cá nhân hành động với tư cách cá nhân nước; nhân viên hành động trình làm việc họ với tổ chức; quan công quyền tổ chức đại diện cho quan công quyền liên quan đến việc thu thập, sử dụng tiết lộ liệu cá nhân; tổ chức liệu cá nhân khác, loại tổ chức liệu cá nhân quy định luật liên quan PDPA áp dụng cho tổ chức khơng có diện thực tế Singapore, miễn tổ chức thu thập, sử dụng tiết lộ liệu phạm vi Singapore Ví dụ: Các tổ chức nước thu thập liệu từ cá nhân Singapore thông qua kênh tảng trực tuyến phải tuân theo Điều khoản bảo vệ liệu Định nghĩa liệu cá nhân có nghĩa liệu cá nhân Một tổ chức khơng định, thu thập, sử dụng tiết lộ liệu cá nhân cá nhân trừ cá nhân cho phép, coi cho, đồng ý Theo Đạo luật việc thu thập, sử dụng tiết lộ, tùy trường hợp mà khơng có đồng ý cá nhân yêu cầu ủy quyền theo đạo luật luật thành văn khác Một tổ chức không – điều kiện để cung cấp sản phẩm dịch vụ, yêu cầu cá nhân đồng ý với việc thu thập, sử dụng tiết lộ liệu cá nhân cá nhân ngồi hợp lý để cung cấp sản phẩm dịch vụ cho cá nhân; có cố gắng đạt đồng ý cho việc thu thập, sử dụng tiết lộ liệu cá nhân cách cung cấp sai gây hiểu lầm thông tin liên quan đến việc thu thập, sử dụng tiết lộ liệu cá nhân sử dụng lừa đảo gây hiểu lầm Một cá nhân coi đồng ý với việc thu thập, sử dụng tiết lộ liệu cá nhân cá nhân tổ chức cho mục đích – cá nhân, mà không thực đưa đồng ý đề cập đến, tự nguyện cung cấp liệu cá nhân cho tổ chức cho mục đích đó; điều hợp lý cá nhân tự nguyện cung cấp liệu Nếu cá 387 nhân đưa ra, coi đưa ra, đồng ý với tiết lộ liệu cá nhân cá nhân tổ chức cho tổ chức khác cho mục đích cụ thể, cá nhân coi đồng ý với việc thu thập, sử dụng tiết lộ liệu cá nhân cho mục đích cụ thể tổ chức khác Một tổ chức không cấm cá nhân rút lại đồng ý việc thu thập, sử dụng tiết lộ liệu cá nhân cá nhân, điều không ảnh hưởng đến hậu pháp lý phát sinh từ việc rút Một tổ chức phải nỗ lực hợp lý để đảm bảo liệu cá nhân thu thập thay mặt cho tổ chức xác hồn thành, liệu cá nhân – có khả tổ chức sử dụng để đưa định điều ảnh hưởng đến cá nhân mà liệu cá nhân quan hệ; có khả tổ chức tiết lộ cho người khác Một tổ chức phải bảo vệ liệu cá nhân sở hữu kiểm sốt cách thực thỏa thuận an ninh hợp lý để ngăn chặn truy cập trái phép, thu thập, sử dụng, tiết lộ, chép, sửa đổi, loại bỏ rủi ro tương tự Một tổ chức ngừng lưu giữ tài liệu có chứa liệu cá nhân loại bỏ phương tiện mà liệu cá nhân liên kết với cá nhân cụ thể, thấy hợp lý giả sử – mục đích mà liệu cá nhân thu thập không lâu phục vụ cách lưu giữ liệu cá nhân; việc lưu giữ khơng cịn cần thiết cho pháp lý kinh doanh Một tổ chức không chuyển liệu cá nhân cho quốc gia vùng lãnh thổ bên Singapore ngoại trừ theo yêu cầu quy định theo Đạo luật để đảm bảo tổ chức cung cấp tiêu chuẩn bảo vệ cho liệu cá nhân chuyển giao so sánh với bảo vệ theo đạo luật Chủ thể liệu có quyền sau: quyền đưa rút lại đồng ý vào lúc cách đưa thông báo hợp lý, trừ điều làm cản trở việc thực nghĩa vụ pháp lý; quyền yêu cầu tổ chức cấp quyền truy cập vào liệu cá nhân họ quyền sở hữu kiểm soát tổ chức, tùy thuộc vào ngoại lệ phần thứ năm PDPA; quyền yêu cầu tổ chức chỉnh sửa liệu khơng xác thuộc quyền sở hữu kiểm soát tổ chức, tùy thuộc vào ngoại lệ phần thứ sáu PDPA Liên quan đến việc rút lại đồng ý, chủ thể liệu nên nhận thức thực tế việc rút lại số đồng ý ảnh hưởng đến khả tổ chức tiếp tục cung cấp cho họ dịch vụ yêu cầu Đối với quyền yêu cầu truy cập, chủ thể liệu có quyền tìm hiểu xem tổ chức có liệu cá nhân tổ chức sử dụng liệu cá nhân họ năm qua Để tránh nghi ngờ, chủ thể liệu khơng có quyền Singapore để u cầu tổ chức phá hủy xóa liệu cá nhân thuộc quyền sở hữu kiểm soát tổ chức Ngồi ra, đạo luật bảo vệ liệu cá nhân quy định rõ ràng chế tài cụ thể cách thức giải bảo vệ liệu cá nhân Và số trường hợp ngoại lệ là: Một tổ chức sử dụng liệu cá nhân mà không cần đồng ý cá nhân trường hợp sau đây: Việc sử dụng cần thiết cho mục đích rõ ràng lợi ích cá nhân, đạt đồng ý cho việc sử dụng cách kịp thời cá nhân không mong đợi cách hợp lý để giữ lại; Việc sử dụng cần thiết để ứng phó với tình khẩn cấp đe dọa tính mạng, sức khỏe an toàn cá nhân cá nhân khác; Dữ liệu cá nhân có sẵn cơng khai; Việc sử dụng cần thiết lợi ích quốc gia; Việc sử dụng cần thiết cho điều tra tố tụng nào; Việc sử dụng cần thiết cho mục đích đánh giá; Dữ liệu cá nhân sử dụng cho tổ chức để thu hồi khoản nợ tổ chức cá nhân tổ chức trả cho cá nhân vay nợ; Việc sử dụng cần thiết cho việc cung cấp dịch vụ pháp lý tổ chức cho người khác cho tổ chức để có dịch vụ pháp lý; Tuân theo điều kiện đoạn 2, liệu cá nhân sử dụng cho mục đích nghiên cứu, bao gồm nghiên cứu lịch sử thống kê; liệu tổ chức thu thập theo Điều 17 tổ chức sử dụng cho mục đích quán 388 Về quan chuyên biệt bảo vệ liệu thông tin cá nhân: Đạo luật quy định thành lập Ủy ban bảo vệ liệu cá nhân (PDPC) từ quan phát triển phương tiện thông tin truyền thông PDPC chịu trách nhiệm thực thi PDPA Trong trường hợp PDPC hài lòng tổ chức vi phạm Điều khoản bảo vệ liệu theo PDPA, PDPC toàn quyền định để đưa hướng khắc phục cho phù hợp Chúng bao gồm hướng dẫn yêu cầu tổ chức: ngừng thu thập, sử dụng tiết lộ liệu cá nhân trái với PDPA; phá hủy liệu cá nhân thu thập trái với PDPA; cung cấp quyền truy cập sửa liệu cá nhân; nộp phạt tài lên đến triệu SGD (khoảng €665.050) Trong trình điều tra, PDPC có thể: văn thơng báo, yêu cầu tổ chức xuất trình tài liệu thông tin cụ thể nào; cách thông báo trước hai ngày làm việc dự định nhập cảnh vào sở tổ chức mà không cần trát; có lệnh khám xét để vào sở tổ chức thu thập xóa bỏ tài liệu nào.Việc khơng tn thủ điều khoản định PDPA cấu thành hành vi phạm tội, bị phạt tiền phạt tù có thời hạn Số tiền phạt thời hạn tù (nếu có) khác nhau, tùy thuộc vào điều khoản bị vi phạm Ví dụ: người bị kết tội đưa yêu cầu truy cập chỉnh sửa liệu cá nhân người khác mà khơng có thẩm quyền bị kết án phạt tiền không SGD 5.000 (khoảng €3,300) phạt tù có thời hạn khơng q 12 tháng, hai (Mục 51(2) PDPA) Một tổ chức cá nhân cản trở PDPC, viên chức ủy quyền, cố ý thiếu thận trọng đưa tuyên bố sai với PDPC, cố ý gây hiểu lầm cố tình đánh lừa PDPC việc thực quyền hạn thực nhiệm vụ họ theo PDPA, người phải chịu trách nhiệm sau bị kết án với khoản tiền phạt lên đến 10.000 SGD (khoảng €6.600) và/hoặc bị phạt tù có thời hạn lên đến 12 tháng (đối với trường hợp cá nhân), tiền phạt lên đến SGD 100.000 (khoảng 66.000€) (trong trường hợp khác) Một cá nhân tổ chức bị vi phạm làm đơn gửi PDPC để xem xét lại hướng dẫn định Sau đó, cá nhân tổ chức bị ảnh hưởng định xem xét lại PDPC nộp đơn kháng cáo lên Ban kháng nghị bảo vệ liệu Ngoài ra, cá nhân tổ chức bị vi phạm khiếu nại trực tiếp lên Ban kháng nghị bảo vệ liệu mà không cần gửi yêu cầu xem xét lại trước Chỉ đạo định Ban kháng nghị bảo vệ liệu (thông qua Ủy ban kháng cáo bảo vệ liệu) bị kháng cáo lên Tòa án cấp cao theo quan điểm luật định liên quan đến số tiền phạt tài Quyết định Tịa án cấp cao tiếp tục kháng nghị lên Tòa án cấp phúc thẩm Một cá nhân bị mát thiệt hại trực tiếp làm trái quy định PDPA bắt đầu vụ kiện dân riêng Tuy nhiên, quyền hành động riêng thực sau hết cách thức kháng cáo, định vi phạm liên quan PDPC ban hành Dự luật Bảo vệ Dữ liệu Cá nhân (Sửa đổi) 2020 công bố để lấy ý kiến cộng đồng Những sửa đổi đề xuất Dự luật bao gồm: Tăng hình phạt tài hành vi vi phạm Đạo luật bảo vệ liệu cá nhân lên đến 10% tổng doanh thu hàng năm Singapore triệu đô la Singapore, tùy theo mức cao Thông báo bắt buộc vi phạm liệu cho Ủy ban Bảo vệ Dữ liệu Cá nhân Singapore cá nhân bị ảnh hưởng Sự đồng ý cho mở rộng bao gồm: a) cần thiết hợp đồng, tức việc xử lý liệu cần thiết cách hợp lý để thực hợp đồng; b) cá nhân thơng báo mục đích việc xử lý liệu có hội từ chối 389 Các ngoại lệ đồng ý: a) Lợi ích hợp pháp: ngoại lệ áp dụng lợi ích hợp pháp tổ chức lợi ích cơng chúng (hoặc phận đó) vượt trội ảnh hưởng bất lợi cá nhân Điều bao gồm nơi liệu xử lý cho mục đích phát ngăn chặn hoạt động bất hợp pháp (ví dụ: gian lận rửa tiền) mối đe dọa an toàn bảo mật vật lý, đảm bảo công nghệ thông tin an ninh mạng ngăn chặn việc sử dụng sai dịch vụ Các tổ chức phải thực đánh giá rủi ro tác động, đồng thời tiết lộ phụ thuộc vào lợi ích hợp pháp Ngoại lệ sử dụng để gửi thông điệp tiếp thị trực tiếp đến cá nhân b) Cải tiến hoạt động kinh doanh: ngoại lệ áp dụng có nhu cầu: (i) thực cải tiến hiệu hoạt động dịch vụ; (ii) phát triển nâng cao sản phẩm/dịch vụ; (iii) biết thêm khách hàng tổ chức Việc sử dụng liệu cá nhân phải cách mà người hợp lý cho phù hợp trường hợp liệu không sử dụng để đưa định có khả gây ảnh hưởng xấu đến cá nhân Ngoại lệ áp dụng cho nhóm cơng ty, bao gồm công ty tổ chức c) Ngoại lệ nghiên cứu sửa đổi: ngoại lệ áp dụng với điều kiện số điều khác: (i) việc sử dụng liệu cá nhân kết nghiên cứu khơng có ảnh hưởng xấu đến cá nhân; (ii) kết không công bố dạng xác định cá nhân Cũng nới lỏng hạn chế việc sử dụng liệu cá nhân cho mục đích nghiên cứu mà khơng có đồng ý; ví dụ: ngoại lệ áp dụng cho viện thực nghiên cứu phát triển khoa học nghiên cứu khoa học xã hội nghệ thuật, nghiên cứu thị trường nhằm tìm hiểu phân khúc khách hàng tiềm Tuy nhiên, việc tiết lộ thông tin cho mục đích nghiên cứu tiếp tục chịu hạn chế nghiêm ngặt liên quan đến tính khơng thực tế lợi ích cơng cộng Quyền di chuyển liệu cho cá nhân, cho họ quyền yêu cầu truyền liệu họ cho nhà cung cấp dịch vụ khác Nghĩa vụ khả di chuyển tổ chức áp dụng cho: a) Dữ liệu người dùng cung cấp liệu hoạt động người dùng lưu giữ dạng điện tử, bao gồm thông tin liên hệ doanh nghiệp Dữ liệu bao gồm liệu cá nhân bên thứ ba, nơi yêu cầu thực với tư cách cá nhân nước cá nhân yêu cầu b) Yêu cầu cá nhân có mối quan hệ có, trực tiếp với tổ chức; c) Các tổ chức tiếp nhận có diện Singapore Tuy nhiên, tính khả chuyển liệu sau mở rộng cho khu vực pháp lý có quan điểm cung cấp biện pháp bảo vệ so sánh thỏa thuận có có lại Tăng cường bảo vệ chống lại tiếp thị qua điện thoại không yêu cầu spam Sẽ có tội danh bắt cá nhân phải chịu trách nhiệm việc xử lý sai nghiêm trọng liệu cá nhân thay mặt cho tổ chức quan công cộng THỰC TIỄN XỬ LÝ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA UỶ BAN BẢO VỆ DỮ LIỆU CÁ NHÂN (PDPC) Chúng ta tham khảo số vụ việc Uỷ ban bảo vệ liệu cá nhân tiếp nhận, giải Vụ việc 01: Grabcar Pte Ltd [2020] SGPDPC 14, Số DP–1909–B4675 Grabcar Pte Ltd 390 cơng ty có trụ sở Singapore cung cấp dịch vụ vận chuyển gọi xe, giao đồ ăn tốn kỹ thuật số giải pháp thơng qua ứng dụng di động (Ứng dụng Grab) Ứng dụng Grab cung cấp tùy chọn chung xe gọi “GrabHitch” GrabHitch khớp hành khách với tài xế sẵn sàng đón hành khách (trên đường đến điểm đến người lái xe) để đổi lại khoản phí Vào ngày 30 tháng năm 2019, Grab thông báo cho Ủy ban Bảo vệ Dữ liệu Cá nhân rằng, khoảng thời gian ngắn ngày, liệu hồ sơ 5.651 tài xế GrabHitch có nguy bị tài xế GrabHitch khác truy cập trái phép thông qua ứng dụng Grab Do cố, nên tổng cộng có 21.541 tài xế GrabHitch liệu hành khách có nguy bị truy cập trái phép (gọi chung “Tập liệu cá nhân”): (a) Ảnh đại diện; (b) Tên hành khách; (c) Biển số xe; (d) số dư ví bao gồm lịch sử nhật ký khoản toán xe Ngoài Tập liệu cá nhân, liệu khác tiếp xúc với rủi ro truy cập trái phép cố xảy bao gồm việc đặt xe GrabHitch, chi tiết địa chỉ, thời gian đón trả khách; tổng số chuyến đi, mơ hình xe Khi thơng báo cố, Grab thực biện pháp sau: (a) Đã đưa lại Ứng dụng Grab phiên trước Cập nhật vòng khoảng 40 phút; (b) 5.651 tài xế GrabHitch thông báo cố ngày; (c) Đã tăng số tiền “rút tiền” tối thiểu cho ví GrabHitch đến $ 200.000 để ngăn chuyển tiền trái phép; (d) Đã triển khai cập nhật cho Ứng dụng Grab vào ngày 10 tháng năm 2019; (e) Đã xem xét quy trình thử nghiệm bao gồm việckiểm tra tự động bắt buộc cho tất điểm cuối API giao dịch với liệu cá nhân; (f) Cập nhật thủ tục quản trị liên quan đến việc triển khai xác minh bảo mật thay đổi hệ thống ứng dụng công nghệ thông tin Ủy ban bảo vệ liệu cá nhân tiến hành xem xét: Liệu Grab có làm trái quy định Điều 24 PDPA hay không? Điều 24 Đạo luật Bảo vệ Dữ liệu Cá nhân 2012 quy định tổ chức bảo vệ liệu cá nhân thuộc quyền sở hữu theo kiểm soát cách xếp an ninh hợp lý để ngăn chặn trái phép truy cập, thu thập, sử dụng, tiết lộ, chép, sửa đổi rủi ro tương tự Trong bối cảnh trường hợp tại, cho Grab thay đổi hệ thống công nghệ thông tin xử lý tập liệu cá nhân, có nghĩa vụ việc đưa thỏa thuận an ninh hợp lý để ngăn chặn xâm phạm tập liệu cá nhân Grab khơng thực lý giải thích sau: Thứ nhất, Grab khơng đưa quy trình đủ mạnh để quản lý thay đổi hệ thống cơng nghệ thơng tin đưa liệu cá nhân xử lý rủi ro Đây lỗi đặc biệt nghiêm trọng lần thứ hai Grab mắc lỗi tương tự, liên quan đến hệ thống khác Thứ hai, Grab không tiến hành thử nghiệm cho cập nhật cho ứng dụng Grab triển khai Grab thừa nhận chưa có tiến hành kiểm tra phạm vi phù hợp trước có tính cơng nghệ thơng tin thay đổi hệ thống công nghệ thông tin triển khai Dựa vào lý này, Ủy ban kết luận Grab vi phạm Điều 24 PDPA Và rằng, Công việc kinh doanh Grab liên quan đến việc xử lý khối lượng lớn liệu cá nhân tảng hàng ngày điều đáng quan tâm Sau xem xét tất yếu tố liên quan trường hợp này, Uỷ ban định Grab phải trả khoản tiền phạt 10.000 la Singapore Bên cạnh đó, giảm nguy vi phạm liệu khác, Uỷ ban đạo Grab bảo vệ liệu thiết kế sách cho ứng dụng di động vịng 120 ngày Vụ việc 02: Thơng tin cá nhân từ 2,8 triệu tài khoản Eatigo (nền tảng đặt chỗ nhà hàng) bị đánh cắp rao bán diễn đàn trực tuyến, bao gồm từ 400.000 tài khoản thuộc người dùng Singapore Trong email gửi tới khách hàng bị ảnh hưởng vào thứ Bảy (31/10/2020) 391 The Sunday Times đăng tải, tảng đặt chỗ nhà hàng trực tuyến cho biết thông tin bị đánh cắp từ 18 tháng trước bao gồm tên, địa email số điện thoại Thông tin từ sở liệu cũ cập nhật lần cuối vào năm 2018 khơng cịn sử dụng Eatigo thông báo cho Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC) vi phạm Trong email mình, Eatigo cho biết họ hợp tác với quan liên quan vấn đề thiết lập nhóm hỗ trợ để khách hàng bị ảnh hưởng liên hệ với thắc mắc mối quan tâm Eatigo khuyến cáo khách hàng đăng nhập vào tài khoản họ đặt lại mật họ biện pháp phòng ngừa cảnh giác với thư rác yêu cầu thông tin cá nhân thông tin nhạy cảm PDPC cho biết họ biết vấn đề điều tra (Lester Wong, 2020) KẾT LUẬN VÀ KHUYẾN NGHỊ KINH NGHIỆM DÀNH CHO VIỆT NAM TRONG VIỆC BẢO VỆ DỮ LIỆU THÔNG TIN CÁ NHÂN Đối với Việt Nam, theo quy định Điều 21 Hiến pháp năm 2013, người có quyền bất khả xâm phạm đời sống riêng tư, bao gồm bí mật cá nhân, bí mật gia đình, bí mật thư tín, điện thoại, điện tín hình thức trao đổi thơng tin riêng tư khác Quy định cụ thể hóa nhiều văn khác Bộ luật dân sự, Bộ luật hình sự, Luật bưu chính… Và nói rằng, Việt Nam chưa có văn pháp luật thống điều chỉnh bảo vệ quyền liệu cá nhân Quyền bảo vệ nhiều văn pháp luật khác Luật Giao dịch điện tử, Luật Công nghệ thông tin, Luật Bảo vệ quyền lợi Người tiêu dùng, Luật An tồn thơng tin mạng, Luật An ninh mạng, Nghị định số 52/2013/ND–CP thương mại điện tử Nghị định số 72/2013/ND–CP quản lý, cung cấp sử dụng dịch vụ Internet thông tin mạng Và Việt Nam có vụ việc xâm phạm liệu cá nhân quan có thẩm quyền phải xem xét nhiều văn từ cấp độ luật nghị định thông tư hướng dẫn Tuy nhiên so sánh pháp luật Việt Nam với pháp luật Singapore bảo vệ liệu cá nhân thấy rằng: Pháp luật Việt Nam chưa có văn chuyên biệt thống quy định bảo vệ liệu cá nhân Mặt khác, quan chuyên biệt thực thi pháp luật bảo vệ liệu cá nhân có đầy đủ kinh nghiệm chun mơn để xử lý giải qua bảo vệ quyền lợi chủ thể liệu cách kịp thời Cho nên, Việt Nam cần sớm ban hành đạo luật chuyên biệt bảo vệ liệu thông tin cá nhân bao gồm nội dung phần chung xác định rõ khái niệm thông tin cá nhân (vì có văn đưa khái niệm thông tin cá nhân khái niệm lại khơng có đồng nhất), quyền nghĩa vụ chủ thể: chủ thể liệu thông tin cá nhân, chủ thể cung cấp dịch vụ trực tuyến tảng cho bên, quy định quan chuyên biệt – Ủy ban bảo vệ liệu thông tin cá nhân, đảm bảo tính độc lập quan này, chức năng, nhiệm vụ cụ thể quan bảo vệ liệu cá nhân, quy định trường hợp giới hạn sử dụng, tiết lộ, xử lý thông tin cá nhân, xây dựng nguyên tắc xử lý liệu thông tin cá nhân, quy định biện pháp bảo hộ pháp lý mà chủ thể liệu thơng tin cá nhân sử dụng để bảo vệ quyền lợi bị xâm phạm, quy định hình thức xử lý theo hướng chế tài đủ mạnh Như vậy, việc bảo vệ liệu cá nhân kinh tế chia sẻ điều quan trọng với bối cảnh cách mạng công nghệ 4.0 với cơng nghệ làm tảng Vì thế, việc ban hành khung đạo luật chuyên biệt thống bảo vệ liệu cá nhân sở quan trọng để góp phần bảo vệ chủ thể liệu, tạo ổn định cho phát triển kinh tế 392 TÀI LIỆU THAM KHẢO Hà Thị Thanh Bình, 2020, Điều chỉnh pháp luật mơ hình kinh tế chia sẻ, Hội thảo Một số vấn đề pháp lý quản trị mơ hình kinh tế chia sẻ PDPC, 2020, Decisions, xem 05.11.2020: https://www.pdpc.gov.sg/–/media/Files/PDPC/PDF– Files/Commissions–Decisions/Decision–Grabcar–Pte–Ltd–24072020.pdf?la=en Lester Wong, 2020, Personal data from 2.8 million Eatigo accounts stolen, put up for sale online, xem 05.11.2020 : https://www.straitstimes.com/tech/personal–data–from–28–million–eatigo– accounts–stolen–put–up–for–sale–online 393 ... ĐỊNH CỦA PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU THÔNG TIN CÁ NHÂN CỦA SINGAPORE Đạo luật bảo vệ liệu cá nhân năm 2012 (PDPA) pháp luật bảo vệ liệu Singapore, quản lý việc thu thập, sử dụng tiết lộ liệu cá nhân. .. Điều khoản bảo vệ liệu Định nghĩa liệu cá nhân có nghĩa liệu cá nhân Một tổ chức không định, thu thập, sử dụng tiết lộ liệu cá nhân cá nhân trừ cá nhân cho phép, coi cho, đồng ý Theo Đạo luật việc... cá nhân thay mặt cho tổ chức quan công cộng THỰC TIỄN XỬ LÝ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA UỶ BAN BẢO VỆ DỮ LIỆU CÁ NHÂN (PDPC) Chúng ta tham khảo số vụ việc Uỷ ban bảo vệ liệu cá nhân tiếp nhận,