HOÀN THIỆN CHÍNH SÁCH và KHUNG KHỔ PHÁP LUẬT về bảo vệ dữ LIỆU, THÔNG TIN cá NHÂN và QUYỀN RIÊNG tư TRONG nền KINH tế số THẢO LUẬN CHÍNH SÁCH THẢO LUẬN và KHUYẾN NGHỊ

THẢO LUẬN CHÍNH SÁCH HỒN THIỆN CHÍNH SÁCH VÀ KHUNG KHỔ PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU, THÔNG TIN CÁ NHÂN VÀ QUYỀN RIÊNG TƯ TRONG NỀN KINH TẾ SỐ THẢO LUẬN VÀ KHUYẾN NGHỊ Hà Nội, tháng năm 2020 THẢO LUẬN CHÍNH SÁCH HỒN THIỆN CHÍNH SÁCH VÀ KHUNG KHỔ PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU, THÔNG TIN CÁ NHÂN VÀ QUYỀN RIÊNG TƯ TRONG NỀN KINH TẾ SỐ - THẢO LUẬN VÀ KHUYẾN NGHỊ Tài liệu sản xuất với hỗ trợ Liên minh Châu Âu (EU) tổ chức Oxfam Việt Nam Các ý kiến, phân tích khuyến nghị tài liệu Viện Nghiên cứu Chính sách Phát triển Truyền thông (IPS) chịu trách nhiệm, không thiết phản ánh quan điểm thức Liên minh Châu Âu tổ chức Oxfam Việt Nam THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH MỤC LỤC LỜI GIỚI THIỆU ĐẶT VẤN ĐỀ PHẦN I: BẢO VỆ DỮ LIỆU VÀ THÔNG TIN CÁ NHÂN TỪ GÓC ĐỘ TIẾP CẬN PHÁP LÝ 1.1 Vai trò cần thiết bảo vệ liệu, thông tin cá nhân quản trị quản lý liệu 1.1.1 Hiểu liệu, thông tin cá nhân? 1.1.2 Sự cần thiết bảo vệ liệu, thông tin cá nhân? 1.2 Bảo vệ quyền riêng tư yêu cầu pháp luật quản trị liệu 1.2.1 Khái niệm quyền riêng tư (Privacy) 1.2.2 Tại phải bảo vệ quyền riêng tư? 1.2.3 Vấn đề quyền riêng tư quản trị liệu 1.2.4 Nội dung Bảo vệ Quyền riêng tư liệu (Data privacy) Bảo vệ An toàn liệu (Data security) PHẦN TIẾP CẬN SO SÁNH VỀ CÁC QUY ĐỊNH PHÁP LÝ BẢO VỆ QUYỀN RIÊNG TƯ – TRƯỜNG HỢP CHÂU ÂU, MỸ VÀ VIỆT NAM 10 2.1 Bảo vệ quyền riêng tư châu Âu Mỹ 10 2.2 Pháp luật hành Việt Nam bảo vệ liệu, thông tin cá nhân quyền riêng tư 11 2.3 Phạm vi điều chỉnh hay nội dung khung pháp luật Bảo vệ liệu quyền riêng tư 13 2.3.1 Về khái niệm, định nghĩa 13 2.3.2 Các điều kiện để thu thập, xử lý Dữ liệu cá nhân hợp pháp 14 2.3.3 Quyền Chủ thể liệu Trường hợp hạn chế quyền 15 2.3.4 Trách nhiệm, nghĩa vụ Bên thu thập, xử lý Dữ liệu 16 2.3.5 Thiết chế giám sát độc lập Cơ quan quyền phối hợp Cơ quan có liên quan 17 2.3.6 Chuyển tải liệu qua biên giới 18 2.3.7 Chế tài xử phạt 19 PHẦN 3: HƯỚNG TỚI XÂY DỰNG CHIẾN LƯỢC DỮ LIỆU QUỐC GIA VÀ HOÀN THIỆN KHUNG KHỔ PHÁP LUẬT VỀ QUẢN TRỊ DỮ LIỆU 21 3.1 Sự cần thiết xây dựng chiến lược quốc gia quản trị liệu 21 3.2 Đề xuất hoàn thiện khung khổ pháp luật 22 TÀI LIỆU THAM KHẢO THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH LỜI GIỚI THIỆU Dữ liệu nói chung liệu cá nhân nói riêng trở thành “nguồn vốn” hay “tài sản” có tầm quan trọng hàng đầu kinh tế số hay kinh tế vận hành sở liệu sử dụng công nghệ số Tuy nhiên, bên cạnh vấn đề phát triển công nghệ, liệu số đặt vấn đề pháp lý hóc búa, đặc biệt liên quan đến bảo vệ thông tin, liệu cá nhân quyền riêng tư chủ thể môi trường số Xây dựng hệ thống sách khung pháp lý quản trị liệu (data governance) gồm vấn đề bảo vệ thông tin liệu cá nhân tiếp tục ‘bài tốn khó’ thách thức Chính phủ người làm sách quốc gia phát triển lẫn phát triển, chủ đề thảo luận rộng rãi cộng đồng sách cơng nghệ tồn giới Thảo luận sách “Hồn thiện sách khung khổ pháp luật bảo vệ liệu, thông tin cá nhân quyền riêng tư kinh tế số” nằm chuỗi hoạt động nghiên cứu thảo luận sách Kinh tế số Viện Nghiên cứu Chính sách Phát triển Truyền thơng (IPS) thực Báo cáo soạn thảo với mục đích góp phần cung cấp cho người làm sách góc nhìn hướng tiếp cận hồn thiện sách quy định pháp luật bảo vệ thông tin, liệu quyền riêng tư Việt Nam Trọng tâm báo cáo xác lập tiếp cận pháp lý tường minh cho vấn đề quyền riêng tư; khảo sát phân tích xu hướng xây dựng pháp lý Mỹ Châu Âu, hai khu vực đầu phát triển công nghệ lẫn xây dựng quản trị khung pháp lý cho kinh tế số; đề xuất số khuyến nghị cụ thể cho hoàn thiện khung pháp lý bảo vệ liệu, thông tin cá nhân quyền riêng tư cho Việt Nam Do giới hạn phạm vi nghiên cứu, thảo luận dừng lại mức độ khái quát, tổng hợp hiểu biết chung thực tiễn xảy giới đề tài lĩnh vực này, kết hợp phân tích so sánh với khung khổ sách, pháp luật hành có liên quan Việt Nam khơng sâu phân tích trường hợp hay xu hướng cụ thể lộ, lọt hay an toàn liệu Việt Nam giới Báo cáo chuẩn bị nhóm nghiên cứu thuộc Viện Nghiên cứu Chính sách Phát triển Truyền thơng (IPS), Luật sư Nguyễn Tiến Lập chủ trì soạn thảo Các ý kiến khuyến nghị trình bày báo cáo thuộc nhóm nghiên cứu khơng phải quan điểm thức IPS Tổ chức Oxfam Việt Nam, tổ chức hỗ trợ phần kinh phí giúp nhóm nghiên cứu thực báo cáo THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH Do tính chất phức tạp mẻ vấn đề, nội dung đề cập thảo luận sách chắn tiếp tục trao đổi thảo luận hoạt động nghiên cứu IPS Các ý kiến góp ý phản hồi báo cáo, vui lòng liên hệ: contact@ips.org.vn Trân trọng cảm ơn, Nguyễn Quang Đồng, Viện trưởng Viện Nghiên cứu Phát triển Chính sách Phát triển Truyền thông (IPS) THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH ĐẶT VẤN ĐỀ Dữ liệu nói chung liệu cá nhân nói riêng trở thành “nguồn vốn” hay “tài sản” có tầm quan trọng hàng đầu kinh tế số hay kinh tế vận hành sở liệu sử dụng công nghệ số Do đó, tốn đặt quản trị liệu nói chung quản lý liệu nói riêng cấp độ quốc gia tổ chức, doanh nghiệp phải tổ chức, thiết kế triển khai nào? Sự phát triển công nghệ số, hạ tầng kỹ thuật mạng internet cần kèm với đồng hệ thống sách, khung phổ pháp luật, quy chế lực tổ chức người Theo đó, nhiệm vụ cụ thể cần giải bao gồm chế biện pháp bảo đảm ba trụ cột (i) An ninh mạng, (ii) An toàn liệu cá nhân (iii) Bảo vệ quyền riêng tư Mục tiêu hoạt động hướng tới khía cạnh: Tạo lập sân chơi kinh doanh cạnh tranh bình đẳng doanh nghiệp sử dụng công nghệ tảng để xử lý, khai thác chia sẻ liệu; bảo đảm quyền chủ thể liệu người dân tạo hội tham gia chủ động hưởng lợi tất bên tham gia Mặc dù có cách tiếp cận khác Liên minh châu Âu Hoa Kỳ, hai kinh tế lớn hàng đầu giới có quan tâm sớm đến bảo vệ liệu quyền riêng tư, tiệm cận đến gần diễn theo hướng bảo vệ liệu để phát triển kinh tế phải gắn với bảo vệ quyền riêng tư người Việt Nam quốc gia có quan tâm sớm so với nước có trình độ phát triển đến Cách mạng cơng nghiệp 4.0 nói chung cơng nghệ số, kinh tế số nói riêng Cùng với ý tưởng sách, sở pháp lý ban đầu cho phát triển giao dịch điện tử, bảo đảm tự internet trình chuyển đổi số thiết lập, cách đặt vấn đề giải vấn đề mức độ định chưa thật rõ ràng, rành mạch có tính chun nghiệp cao thơng lệ giới Do đó, sở đánh giá khái quát trạng thể chế pháp luật có liên quan, Báo cáo đưa hai khuyến nghị với Chính phủ Việt Nam, sách, xây dựng Chiến lược liệu quốc gia song hành với Chương trình quốc gia chuyển đổi số pháp luật, xây dựng ban hành đạo luật bảo vệ liệu quyền riêng tư không gian mạng THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH PHẦN I: BẢO VỆ DỮ LIỆU VÀ THƠNG TIN CÁ NHÂN TỪ GĨC ĐỘ TIẾP CẬN PHÁP LÝ 1.1 Vai trò cần thiết bảo vệ liệu, thông tin cá nhân quản trị quản lý liệu 1.1.1 Hiểu liệu, thông tin cá nhân? Trong kinh tế số, tổ chức, doanh nghiệp có nhu cầu bảo vệ liệu người dùng gặp phải vấn đề có tính pháp lý, liệu, thông tin họ cần bảo vệ? Bởi kinh tế số đặc trưng chuyển tải giao dịch thông tin xuyên biên giới, quy định pháp luật hay cách hiểu theo tập quán quốc gia khác Hiểu biết chung khái niệm “dữ liệu, thông tin cá nhân” vậy, cần thiết Trên giới mà cụ thể Mỹ châu Âu có hai cách tiếp cận định nghĩa liệu, thơng tin cá nhân Nói chung, châu Âu, liệu cá nhân (personal data) có ý nghĩa mở rộng so với thông tin cá nhân (personally identifiable information – PII) Mỹ Cụ thể, theo định nghĩa Bộ Thương mại Mỹ, PII thơng tin “có thể sử dụng để phân biệt hay nhận dạng cá nhân tên, số an sinh xã hội, hồ sơ sinh trắc, v.v nói riêng, kết hợp với thông tin cá nhân hay thông tin nhận dạng khác liên quan liên quan với người cụ thể ngày nơi sinh, tên khai sinh mẹ” Định nghĩa phân biệt rõ hai tình huống: Một là, thơng tin để phân biệt cá nhân với cá nhân khác ví dụ họ tên đầy đủ, địa email, số điện thoại, số định danh cá nhân (số hộ chiếu, số thẻ an sinh xã hội) Hai là, thông tin để nhận dạng người bao gồm cấp độ có liên quan (ví dụ họ tên) cấp độ liên quan phải kết hợp với thông tin khác có giá trị nhận dạng (ví dụ ngày tháng năm sinh) Ý nghĩa pháp lý gì? Trong trường hợp người tình cờ tiếp cận hai liệu chứa đựng thông tin khác người đó, người định dạng liên kết hai với nhau, phát sinh vấn đề an ninh liệu Có nghĩa việc kiểm soát phải thiết kế để bảo đảm liệu khơng thể hay khó khăn để kết hợp với nhau, tình người tra cứu thơng tin tiếp cận sở liệu tổ chức hay sử dụng cơng cụ tìm kiếm internet Tại châu Âu, Quy chế bảo vệ liệu chung (GDPR) Nghị viện châu Âu Hội đồng châu Âu ban hành năm 2016, có hiệu lực từ 25/05/2018 định nghĩa liệu cá nhân “bất kể thơng tin liên quan đến thể THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH nhân nhận dạng nhận dạng (“chủ thể”); thể nhân nhận dạng người nhận dạng trực tiếp hay gián tiếp việc tham chiếu số định danh hay yếu tố riêng vật lý, sinh lý, tâm thần, kinh tế, văn hoá xã hội” Định nghĩa rõ ràng có bao quát rộng với bốn thành tố nội dung đáng lưu ý Một là, “bất kể thơng tin gì” có nghĩa thơng tin có cách chủ động thụ động, bao gồm ví dụ ảnh người chụp tự động camera giám sát Hai “liên quan đến” hiểu liên quan phương diện nội dung thơng tin, mục đích thông tin hay kết việc sử dụng thông tin v.v Ba là, “nhận dạng nhận dạng” bao gồm cấp độ rõ ràng tức có đủ yếu tố để phân biệt người với người khác, cấp độ không rõ ràng khả xác định tuỳ thuộc vào điều kiện khác hay ngữ cảnh, ví dụ nói cá nhân gọi “sếp tơi” người khác nhận dạng Bốn “thể nhân” chủ thể liệu, GDPR lấy theo định nghĩa Điều 6, Tuyên ngôn phổ quát Liên hợp quốc Quyền người, theo đó, chủ thể liệu bảo vệ cá nhân sống; nhiên lưu ý liệu người chết mà sử dụng để nhận dạng người khác sống thuộc định nghĩa Trong định nghĩa chung liệu, thơng tin cá nhân, cho mục đích bảo vệ cấp độ cao hơn, nước thường có quy định riêng “dữ liệu, thơng tin nhạy cảm” Tại Mỹ liệu y tế, giáo dục, tài cơng việc, cho bị tiết lộ dẫn đến lạm dụng, công gây thiệt hại cho người có liên quan Tại châu Âu, GDPR liệt kê loại liệu cá nhân coi “nhạy cảm” cho mục đích bảo vệ đặc biệt bao gồm: (i) Dữ liệu chủng tộc, quan điểm trị tôn giáo; (ii) liệu thành viên công đoàn; (iii) liệu sinh học, sinh trắc học; (iv) liệu sức khoẻ; (iv) liệu đời sống tình dục cá nhân tương tự Tóm lại, với phân tích trên, thấy tiếp cận theo hướng việc định nghĩa liệu, thông tin cá nhân công việc phức tạp, cho thấy tính tinh vi, nhạy cảm mơi trường tương tác người với kỷ nguyên số internet Một định nghĩa với câu quy định pháp luật Việt Nam rõ ràng chưa đủ để hình dung chất khái niệm, khơng tìm hiểu, đối chiếu so sánh với quy định tương tự nước 1.1.2 Sự cần thiết bảo vệ liệu, thông tin cá nhân? Từ góc độ luật pháp, nêu bốn vấn đề thể cần thiết quy định thiết chế bảo vệ liệu, thông tin cá nhân quản trị quản lý liệu sau: - Thứ nhất, bảo vệ liệu cá nhân để bảo vệ thân liệu mà bảo vệ quyền tự người liên quan đến liệu Các thiết chế bảo vệ liệu cá nhân vận hành nhằm tránh cho quyền cá nhân tự người (về dân sự, trị, kinh tế xã hội) không bị xâm phạm Ví dụ cực đoan cho thấy kinh tế số hay kinh tế liệu, cá nhân nhiên bị liệu liệu cá nhân trở thành nạn nhân lãng quên hay chứng minh tồn để hưởng quyền lợi ích luật định? - Thứ hai, việc không tuân thủ quy định pháp luật hay quy tắc bảo vệ liệu cá nhân dẫn đến tình rủi ro, an tồn thiệt hại tiền bạc, tài sản hay chí tính mạng người có liên quan, ví dụ tiền tài khoản hay bị chẩn đoán sai bệnh thiếu hồ sơ sức khoẻ THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH - Thứ ba, thiết chế bảo vệ liệu cá nhân thiết lập nhằm bảo vệ quyền người tiêu dùng giao dịch thương mại công Chẳng hạn, liệu người dùng bị thương mại hoá bất hợp pháp, người dùng bị lạm dụng quấy rầy hành vi tiếp thị, quảng cáo ý muốn - Thứ tư, thiếu thiết chế bảo vệ liệu cá nhân phù hợp, dẫn đến liệu bị rò rỉ, tổ chức hay doanh nghiệp có liên quan bị uy tín bị khởi kiện vi phạm quyền người dùng Một nguyên tắc chung cho việc thiết lập bảo vệ liệu cá nhân ln kiểm sốt liệu xử lý, liệu xử lý cho mục đích liệu xử lý dựa sở pháp lý nào? Ngoài ra, chủ thể liệu cần biết biện pháp thực để bảo vệ liệu họ Cơng việc có tính chun mơn cao, địi hỏi thực thơng qua cơng cụ “kiểm tốn liệu” (data auditing), theo đó, trả lời câu hỏi liên quan đến luồng liệu (đi từ đâu đến đâu), liệu bị rò rỉ khâu nào, cách thức ngăn ngừa rò rỉ liệu quy định bảo vệ áp dụng 1.2 Bảo vệ quyền riêng tư yêu cầu pháp luật quản trị liệu 1.2.1 Khái niệm quyền riêng tư (Privacy) Khi nói tới “quyền” tức khái niệm pháp luật, theo quyền riêng tư thuộc phạm trù Quyền cá nhân (Personality rights), tức quyền gắn với người cá nhân cụ thể, hiểu theo nghĩa người chủ sở hữu gắn với thân mình, từ tên, tuổi, hình ảnh nhận dạng, thể vật lý đến danh dự, uy tín bí mật đời sống riêng tư Để phân biệt, quyền cá nhân bao gồm ba loại quyền: Một là, quyền tài sản, ví dụ sử dụng hình ảnh tơi để quảng cáo phải trả tiền; hai quyền nhân thân, tức quyền mà riêng tơi có khơng thể chuyển nhượng, cho thuê sử dụng được, ví dụ quyền đứng tên tranh hay nhạc sáng tác; ba là, quyền riêng tư, tức quyền cá nhân bảo vệ bí mật, khơng tiết lộ, khơng cơng khai hố đời tư Các chuyên gia pháp lý cho quyền riêng tư đời sớm nhất, ghi nhận từ Kinh thánh (Bible), tiếp Đạo luật Thẩm phán Hồ bình năm 1362 nước Anh có quy định hình phạt vi phạm quyền riêng tư1 Tại sao? Bởi quyền coi gắn liền với ngã người (khơng cịn người khơng có đời sống riêng tư) đó, chí coi trọng quyền sống Tựu trung, nội hàm quyền riêng tư rộng, hiểu cá nhân độc quyền sở hữu giới riêng bao gồm thân thể, nơi ở, tài sản, tư tưởng, tình cảm, bí mật sắc liên quan đến 1.2.2 Tại phải bảo vệ quyền riêng tư? Qua phân tích từ nhiều góc độ khác bảo vệ quyền tầng đời sống ngày, người ta nêu mười ý nghĩa thực tế hay lý thiết thực mà người, để vươn tới tự do, cần bảo vệ quyền riêng tư sau: - Một là, quyền riêng tư giúp hạn chế quyền lực người khác (limit of power); chẳng hạn, người nắm bí mật đời tư người khác dễ lạm dụng để chi phối sai khiến người Đạo luật quy định việc bắt giữ kẻ nhìn trộm người khác (để thoả mãn dịch vọng) nghe trộm 11 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH chung bảo vệ thông tin nhạy cảm công dân hồ sơ y tế, hồ sơ tài chính, hồ sơ việc làm đào tạo Từ khác biệt trên, hệ hai hệ thống bảo vệ liệu EU Mỹ hình thành sau: Tại châu Âu, theo GDPR, cá nhân cư trú quốc gia thành viên EU hưởng bảo vệ quyền nói chung quyền riêng tư EU yêu cầu quốc gia thành viên tuân thủ chế bảo vệ chung bảo vệ theo luật quốc gia sở nguyên tắc GDPR Cụ thể GDPR ấn định chế bảo vệ quyền riêng tư theo tiêu chí lỗi (trong hành vi chủ động) thiết kế phù hợp (trong thiết bị phương tiện kỹ thuật cho mục tiêu bảo vệ), kiểm soát chặt chẽ giao dịch chuyển tải liệu qua biên giới nhấn mạnh quyền tối cao người dùng “lãng quên” (to be forgotten) tức yêu cầu xoá bỏ vĩnh viễn liệu cá nhân họ Tại Mỹ, việc bảo vệ liệu cá nhân tuỳ thuộc vào quy định riêng loại liệu cụ thể, theo đồng nghĩa với tồn cấp độ chế bảo vệ khác Chẳng hạn, liệu y tế cá nhân bảo vệ theo Luật Bảo hiểm y tế Trách nhiệm giải trình (Health Insurance Portability Accountability Act HIPAA), theo bệnh nhân khám, chữa bệnh thoả thuận việc tiết lộ thông tin y tế với cơng ty bảo hiểm Hay, thơng tin tài cá nhân bảo vệ theo đạo luật riêng khác gọi tắt GLBA (Gramm-Leach-Bliley Act) Vấn đề chỗ, Mỹ khơng có luật chung liên bang tương tự GDPR, nhiều quy tắc bảo vệ G DPR quy định tương thích cấp bang Có nghĩa rằng, chẳng hạn công ty thu thập, lưu giữ xử lý liệu châu Âu Mỹ phải áp dụng tiêu chuẩn quy tắc khác Tuy nhiên, sau GDPR ban hành có hiệu lực, có khuynh hướng hài hồ hố pháp luật có liên quan châu Âu Mỹ, theo tiêu chuẩn bảo vệ khắt khe EU dường chấp nhận 2.2 Pháp luật hành Việt Nam bảo vệ liệu, thông tin cá nhân quyền riêng tư Danh mục văn pháp luật hành có liên quan TÊN VĂN BẢN NĂM BAN HÀNH NỘI DUNG CÓ LIÊN QUAN Hiến pháp Việt Nam 2013 Nguyên tắc bất khả xâm phạm đời sống riêng tư bí mật cá nhân Bộ luật dân 2015 Khái niệm quyền dân bảo vệ liên quan đến đời sống riêng tư, bí mật cá nhân bí mật gia đình Luật Giao dịch điện tử 2005 Nguyên tắc bảo mật bên tham gia giao dịch điện tử, trách nhiệm quản lý nhà nước bảo đảm thực quyền, nghĩa vụ bên 12 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH Luật Công nghệ thông tin 2006 Chính sách nhà nước, quyền nghĩa vụ bên phát triển hạ tầng công nghệ thông tin Luật An tồn thơng tin mạng 2015 Quyền, trách nhiệm bên việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật an tồn thơng tin mạng; kinh doanh lĩnh vực an tồn thơng tin mạng; quản lý nhà nước an tồn thơng tin mạng Luật Viễn thơng 2009 Chính sách phát triển hạ tầng viễn thông quốc gia, kinh doanh dịch vụ viễn thông Luật An ninh mạng 2018 Bảo đảm an toàn sở hạ tầng kỹ thuật mạng, hệ thống thông tin quan trọng an ninh quốc gia, kiểm soát nội dung nhạy cảm trị khơng gian mạng, chống tội phạm mạng công mạng 10 Luật Khám bệnh, chữa bệnh 2009 Bảo vệ bí mật hồ sơ, thông tin sức khoẻ, y tế công dân 11 Luật Quản lý thuế 2006 Bảo vệ bí mật tài thu nhập nộp thuế cơng dân 12 Luật Tổ chức tín dụng 2010 Bảo vệ bí mật tài khoản giao dịch tài khoản công dân 13 Luật Kinh doanh bảo hiểm 2000 Bảo vệ bí mật hợp đồng bảo hiểm 14 Luật Bảo hiểm xã hội 2014 Bảo vệ bí mật, chống truy cập liệu bảo hiểm bất hợp pháp 15 Luật xử phạt vi phạm hành Xử phạt hành vi phạm tiết lộ thơng tin cá nhân 16 Bộ luật Hình 2015 Áp dụng chế tài hình tội phạm mạng, tội phạm cơng nghệ cao, xâm phạm bí mật đời tư 17 Bộ Luật Tố tụng hình 2015 Quyền quan tố tụng điều tra tội phạm, yêu cầu 13 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH cung cấp thơng tin thuộc bí mật đời tư, bí mật cá nhân bí mật gia đình 18 Nghị định 64/2007 ứng dụng công 2007 nghệ thông tin hoạt động Cơ quan nhà nước 19 Nghị định 58/2016 kinh doanh sản 2016 phẩm, dịch vụ mật mã dân sự, xuất nhập sản phẩm mật mã dân 20 Nghị định 25/2014 Quy định phòng 2014 Cơ quan chuyên trách Bộ Công chống tội phạm vi phạm pháp luật an Bộ Quốc phịng có quyền u khác có sử dụng công nghệ cao cầu doanh nghiệp công nghệ thông tin viễn thông cung cấp thông tin khách hàng, người dùng có dấu hiệu vi phạm pháp luật 2.3 Phạm vi điều chỉnh hay nội dung khung pháp luật Bảo vệ liệu quyền riêng tư Tham khảo đạo luật bảo vệ liệu quyền riêng tư châu Âu Mỹ thấy có phạm vi vấn đề điều chỉnh chung sau: (i) Khái niệm, định nghĩa Thông tin Quyền riêng tư (ii) Các điều kiện để thu thập, xử lý Dữ liệu cá nhân hợp pháp (iii) Quyền Chủ thể liệu Trường hợp hạn chế quyền (iv) Trách nhiệm, nghĩa vụ Bên thu thập, xử lý Dữ liệu (v) Thiết chế giám sát độc lập Cơ quan quyền phối hợp Cơ quan có liên quan (vi) Chuyển giao liệu qua biên giới (vii) Chế tài xử phạt Bởi GDPR Liên minh châu Âu coi hình mẫu đạo luật chuyên ngành cho mục tiêu bảo vệ liệu quyền riêng tư kinh tế số, phần Báo cáo trình bày quy định pháp luật Việt Nam tương quan so sánh với đạo luật 2.3.1 Về khái niệm, định nghĩa Pháp luật Việt Nam có định nghĩa thơng tin cá nhân Theo đó, Điều 3, Luật An tồn thơng tin mạng 2015 định nghĩa: “Thông tin cá nhân thông tin gắn với việc xác định danh tính người cụ thể” Tuy nhiên trước đó, Nghị định 64/2007/NĐ-CP ngày 10/04/2007 ứng dụng công nghệ thông tin hoạt động quan phủ có định nghĩa chi tiết sau: “Thông tin cá nhân thơng tin đủ để xác định xác danh tính cá nhân, bao gồm nội dung thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa liên hệ, địa thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu 14 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH Những thơng tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng bí mật cá nhân khác” Ngồi ra, lưu ý số luật chuyên ngành Luật Khám bệnh, chữa bệnh, Luật Quản lý thuế, Luật Tổ chức tín dụng, Luật Kinh doanh bảo hiểm v.v có định nghĩa định thông tin cá nhân thuộc đối tượng bảo mật lĩnh vực có liên quan Về quyền riêng tư, theo Điều 38, Bộ Luật Dân 2015 Việt Nam quyền hiểu bảo vệ luật pháp ba đối tượng “bất khả xâm phạm”, đời sống riêng tư, bí mật cá nhân bí mật gia đình Nhận xét: Kết hợp hai định nghĩa nói hai văn quy phạm pháp luật, cho thấy “thông tin cá nhân” Việt Nam hiểu theo nghĩa hẹp, trực tiếp đơn giản so với quy định châu Âu Mỹ Theo đó, thơng tin khơng xác, rõ ràng kết hợp với thông tin khác để gián tiếp xác định danh tính người khơng coi đối tượng bảo vệ Còn quyền riêng tư ngược lại, pháp luật Việt Nam có quy định chung đó, suy luận theo hướng mở rộng Lưu ý nước, định nghĩa phạm vi quyền riêng tư ln khó phức tạp, nhiên kết hợp với diễn giải chuyên gia pháp lý thực tiễn xét xử Tồ án, người ta xác định ranh giới “bí mật riêng tư” “thơng tin công khai” để giảm thiểu tranh cãi tranh chấp Chẳng hạn, ngồi khơng gian gắn biển rõ ràng “riêng tư” (private) hay “công cộng” (public), có nguyên tắc thừa nhận chung: Đó thuộc đời sống riêng anh mà anh khơng chủ động tun bố rõ ràng hay có biện pháp thích hợp để che dấu, làm cho người khác theo cách thơng thường biết anh khơng pháp luật bảo vệ quyền riêng tư Về khía cạnh này, Điều 16, Luật An tồn thơng tin mạng quy định nguyên tắc rằng: “Cá nhân tự bảo vệ thông tin cá nhân mình…” 2.3.2 Các điều kiện để thu thập, xử lý Dữ liệu cá nhân hợp pháp Trên thực tế, liệu cá nhân thu thập cách tự nhiên thông qua giao dịch dân - thương mại mạng hàng ngày người với tư cách bên mua hay bán hàng hoá, dịch vụ Vấn đề chỗ bên thu thập liệu cá nhân có quyền việc xử lý liệu thu nhận lưu giữ đó? Khái niệm xử lý liệu (Data processing) bao gồm loạt hành vi công đoạn xác nhận, xếp, tóm tắt, tập hợp, phân tích, báo cáo phân loại Để làm việc này, châu Âu, GDPR đặt sáu điều kiện cụ thể yêu cầu bên xử lý liệu phải thoả mãn điều kiện đó, bao gồm: (i) có chấp thuận chủ thể liệu cho mục tiêu cụ thể, (ii) có cần thiết để thực hợp đồng có liên quan; (iii) để tuân thủ nghĩa vụ pháp lý bên xử lý liệu, (iv) cần thiết để bảo vệ lợi ích sống chủ thể liệu người khác, (v) cần thiết để thực công vụ lợi ích cơng; (vi) cần thiết lợi ích hợp pháp bên khác với điều kiện không hạn chế quyền tự chủ thể liệu, đặc biệt quyền trẻ em Trong đó, Điều 17, Luật An tồn thơng tin mạng có quy định hai điều kiện chung có tính ngun tắc, theo bên xử lý liệu được: a) Tiến hành thu thập thơng tin cá nhân sau có đồng ý chủ thể thông tin cá nhân phạm vi, mục đích việc thu thập sử dụng thơng tin đó; b) Chỉ sử dụng thơng tin cá nhân thu thập vào mục đích khác mục đích ban đầu sau có đồng ý chủ thể thông tin cá nhân 15 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH Nhận xét: Cách quy định chung chung thiếu cụ thể nói nhấn mạnh bảo vệ quyền tối thượng chủ thể liệu, nhiên phi thực tế mặt tạo nhiều rủi ro pháp lý không lường trước cho bên xử lý liệu (ví dụ doanh nghiệp), mặt khác tạo lạm dụng người dùng cần ký xác nhận đồng ý ban đầu cung cấp liệu (vốn thường dễ dàng có được) coi đủ điều kiện cho việc xử lý tiếp sau 2.3.3 Quyền Chủ thể liệu Trường hợp hạn chế quyền Quyền chủ thể liệu quyền dân theo ý nghĩa chủ động, theo cá nhân cung cấp liệu, thơng tin cá nhân có quyền định có tồn quyền định việc có thực thi hay từ bỏ quyền mà khơng phụ thuộc vào can thiệp Cơ quan nhà nước có thẩm quyền Các quyền liệt kê chi tiết GDPR (với 10 quyền khác tình cụ thể để áp dụng) sau: (i) Quyền đối xử minh bạch, chu đáo tương tác, liên hệ với bên thu thập, xử lý liệu để thực quyền mình; (ii) Quyền bên thu thập, xử lý liệu cung cấp đầy đủ thơng tin có liên quan liệu cá nhân tiếp nhận từ chủ thể liệu từ nguồn khác; (iii) Quyền tiếp cận bên xử lý liệu liệu cá nhân xử lý công đoạn nào; (iv) Quyền khắc phục sai sót liệu thu nhận xử lý; (v) Quyền yêu cầu xoá bỏ liệu (quyền lãng quên), trừ trường hợp việc xử lý liệu cần thiết mục đích cơng cộng; (vi) Quyền u cầu hạn chế xử lý liệu; (vii) Quyền u cầu thơng báo biện pháp xố bỏ liệu hay hạn chế xử lý liệu cho tất bên liên quan sử dụng liệu; (viii) Quyền yêu cầu bên thu thập, xử lý liệu cung cấp liệu xử lý thể hình thức phù hợp để sử dụng chuyển tải cho bên xử lý khác; (xix) Quyền phản đối bên xử lý liệu việc xử lý liệu liên quan đến mình, đặc biệt việc xử lý liệu cho mục đích tiếp thị, quảng cáo; (x) Quyền yêu cầu loại trừ thân khỏi đối tượng việc xử lý liệu tự động dẫn đến hậu pháp lý có liên quan đến Tuy nhiên, GDPR đồng thời liệt kê tình ngoại lệ không hạn chế áp dụng, thực thi quyền chủ thể liệu nói như: an ninh quốc gia an ninh công cộng, tố tụng Toà án bảo đảm quyền tự người khác Tại Việt Nam, tiếp cận vấn đề từ góc độ quyền chủ động chủ thể liệu, Luật An tồn thơng tin mạng quy định hai trường hợp sau đây: - Thứ nhất, chủ thể thơng tin cá nhân có quyền u cầu tổ chức, cá nhân xử lý thông tin cá nhân cung cấp thơng tin cá nhân mà tổ chức, cá nhân thu thập, lưu trữ (Điều 17, Khoản 3); quyền tương ứng với quyền thứ (ii) thứ (viii) GDPR - Thứ hai, chủ thể thơng tin cá nhân có quyền u cầu tổ chức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy bỏ thông tin cá nhân mà tổ chức, cá nhân thu thập, lưu trữ ngừng cung cấp thông tin cá nhân cho bên thứ ba (Điều 18, Khoản 1); quyền tương ứng với quyền thứ (iv), (v) (vi) GDPR 16 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH Nhận xét: So sánh quy định Luật An tồn thơng tin mạng GDPR thấy có điểm chung quy định quyền chủ thể liệu, việc GDPR có quy định chi tiết để bảo đảm khả thực thi Tuy nhiên, khác biệt thể rõ châu Âu chủ thể cung cấp liệu thông tin cá nhân xác định chủ sở hữu liệu nguyên tắc nhấn mạnh khơng thay đổi Nói cách khác, chủ thể liệu có vị trí trung tâm biện pháp bảo vệ Trong đó, quy định Luật An tồn thơng tin mạng luật liên quan khác nước ta tập trung vào quyền trách nhiệm tổ chức, doanh nghiệp thu thập xử lý liệu 2.3.4 Trách nhiệm, nghĩa vụ Bên thu thập, xử lý Dữ liệu GDPR có quy định rõ ràng trách nhiệm chung nhóm nghĩa vụ cụ thể bên thu thập, xử lý liệu cá nhân Về trách nhiệm chung, có bốn nội dung có tính ngun tắc mà bên thu thập, xử lý liệu phải tuân thủ, là: (i) Phải có hệ thống kỹ thuật sách thiết kế chủ động cho mục tiêu bảo vệ liệu; (ii) thu thập xử lý liệu phục vụ phạm vi mục tiêu xác định trước; (iii) phải có báo cáo lý lịch khâu xử lý liệu; (iv) cần hợp tác với Cơ quan nhà nước có thẩm quyền việc bảo vệ liệu cá nhân quyền riêng tư Về nghĩa vụ cụ thể, có bốn nhóm quy định sau: - Nhóm 1: Bảo đảm An tồn liệu: Đơn vị thu thập, xử lý liệu phải có đủ biện pháp, cơng cụ kỹ thuật để bảo đảm an tồn liệu, thơng báo kịp thời cho Cơ quan có thẩm quyền chủ thể liệu cố, xâm phạm an toàn thơng tin - Nhóm 2: Đánh giá tác động tham vấn: Đơn vị thu thập, xử lý liệu phải tổ chức đánh giá tác động hệ thống bảo vệ liệu thiết lập để tiên lượng rủi ro tiềm tàng, tham vấn trước với Cơ quan có thẩm quyền biện pháp thực - Nhóm 3: Trang bị nhân chuyên trách bảo vệ liệu: Đơn vị thu thập, xử lý liệu cần có nhân chuyên trách bảo vệ liệu đào tạo, bố trí vị trí thích hợp với chức nhiệm vụ rõ ràng - Nhóm 4: Xây dựng tuân thủ Quy tắc ứng xử bảo vệ liệu chung (Code of Conduct) cấp độ Hiệp hội: Các đơn vị thu thập xử lý liệu cần thành lập Hiệp hội để xây dựng quy chế ứng xử thành viên, thiết lập tiêu chuẩn chung bảo vệ liệu quyền riêng tư; theo tuỳ thuộc điều kiện thực tế quốc gia Liên minh châu Âu có hệ thống chứng nhận bảo vệ liệu, đơn vị thu thập, xử lý liệu bảo đảm để có chứng đạt chuẩn Đối chiếu với pháp luật Việt Nam, Luật Giao dịch điện tử (Điều 46) có quy định nguyên tắc chung, theo “Cơ quan, tổ chức, cá nhân không sử dụng, cung cấp tiết lộ thơng tin bí mật đời tư thơng tin quan, tổ chức, cá nhân khác mà tiếp cận kiểm sốt giao dịch điện tử không đồng ý họ, trừ trường hợp pháp luật có quy định khác.” Tại Luật An tồn thơng tin mạng (và luật có liên quan) có số quy định tương tự cụ thể trách nhiệm nghĩa vụ bên thu thập, xử lý liệu cá nhân Chẳng hạn, nghĩa vụ áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân; tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật bảo đảm an tồn thơng tin mạng (Điều 19); nghĩa vụ xây dựng công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân (Điều 16); nghĩa vụ phối hợp với Cơ quan nhà nước có thẩm quyền hoạt động bảo vệ liệu cá nhân (Điều 15); nghĩa vụ không cung cấp, chia sẻ, phát tán thông tin cá nhân mà thu thập, tiếp cận, kiểm sốt cho bên thứ ba, trừ trường hợp có đồng ý chủ thể thơng tin cá nhân theo yêu cầu quan nhà nước có thẩm quyền (Điều 17) 17 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH Đáng lưu ý nay, theo quy định luật chuyên ngành, có tới 12 loại quan khác có thẩm quyền yêu cầu tổ chức, cá nhân cung cấp thông tin cho mục đích thực thi cơng vụ theo chức thẩm quyền họ Đó là: Tồ án nhân dân, Viện Kiểm sát nhân dân, quan điều tra thuộc Bộ Cơng an, Bộ Quốc phịng Viện kiểm sát nhân dân, Bộ đội biên phòng, Hải quan, Kiểm lâm, Cảnh sát biển, Kiểm ngư, Cơ quan thi hành án Các quan tra Nhận xét: Nếu xét trách nhiệm nghĩa vụ pháp lý bên thu thập, xử lý liệu cá nhân liệt kê có nhiều điểm tương đồng GDPR Liên minh Châu Âu pháp luật Việt Nam Tuy nhiên, rõ ràng quy định có liên quan GDPR có tính chuyên nghiệp đặc biệt phù hợp với thực tiễn giao dịch kinh doanh kinh tế số, qua bảo đảm tính ứng dụng khả thi cao theo nguyên lý phối hợp chia sẻ trách nhiệm bên tham gia Chẳng hạn, ba nhóm nghĩa vụ quan trọng tổ chức, doanh nghiệp thu thập, xử lý liệu như: Tham vấn với Cơ quan có thẩm quyền, thiết lập Quy tắc ứng xử Hiệp hội để chứng nhận đạt chuẩn trang bị đội ngũ nhân chuyên trách Giữa tổ chức, doanh nghiệp có liên quan Cơ quan nhà nước có thẩm quyền theo khung khổ GDPR mối quan hệ phối hợp hỗ trợ, giám sát kiểm tra Việt Nam 2.3.5 Thiết chế giám sát độc lập Cơ quan quyền phối hợp Cơ quan có liên quan Theo GDPR, nước thành viên EU phải thành lập quan chuyên trách theo dõi, giám sát, tư vấn, hỗ trợ bảo đảm thực thi quy định pháp luật bảo vệ liệu quyền riêng tư Đặc biệt, quan chuyên trách nơi tiếp nhận, xử lý khiếu nại vi phạm quyền riêng tư chủ thể liệu, có thẩm quyền điều tra vi phạm có trách nhiệm lập báo cáo giải trình hoạt động trước quan cấp Chính phủ Quốc hội Có thể có nhiều quan có thẩm quyền quản lý nhà nước liên quan đến lĩnh vực này, nhiên, cần có quan chuyên trách làm đầu mối cho điều phối phối hợp hành động Tại Việt Nam, tham chiếu hai đạo luật điều chỉnh trực tiếp vấn đề Luật An tồn thơng tin mạng Luật An ninh mạng, có khơng rõ ràng, trùng lặp chồng chéo chức thẩm quyền quan nhà nước có liên quan Cụ thể, điều cần làm rõ trước hết khái niệm An toàn thơng tin (Data security), trình bày Phần 3.3 Báo cáo, khái niệm An ninh mạng (Cyber security) Thực tiễn giới quan niệm An tồn thơng tin phận cấu thành An ninh mạng nói chung, cấu trúc hệ thống biện pháp nhằm vào bảo vệ khía cạnh nội dung vật chất, tức an toàn liệu thơng tin; đó, An ninh mạng hướng đến bảo vệ toàn cấu trúc vận hành mạng internet hệ thống hạ tầng kỹ thuật Mặc dù có khác mục tiêu có tính phụ thuộc, hai phạm trù chất một, khơng có phần nội dung liệu thơng tin bảo đảm an ninh sở hạ tầng mạng trở nên vô nghĩa; ngược lại, hệ thống mạng khơng an tồn liệu thơng tin bảo vệ Tuy nhiên, trạng pháp lý đặt vấn đề sau: - Thứ nhất, bên thẩm quyền quản lý tổng thể Chính phủ, có hai Bộ chức quản lý vấn đề chung bảo vệ an tồn liệu quyền riêng tư, theo Bộ Thông tin Truyền thông (“Bộ TTTT”) quan đầu mối quản lý An tồn thơng tin mạng, Bộ Cơng an quan đầu mối quản lý An ninh mạng 18 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH - Thứ hai, nhiệm vụ bảo vệ liệu phân bổ chia sẻ cho nhiều quan như: Bộ TTTT xây dựng, ban hành tiêu chuẩn bảo đảm an toàn thơng tin, quản lý chất lượng bảo đảm an tồn liệu, cấp chứng nhận hợp chuẩn an tồn thơng tin mạng v.v ; Bộ Công an lại phụ trách quản lý hệ thống thông tin quan trọng an ninh quốc gia (bao gồm tất lĩnh vực quân sự, an ninh, ngoại giao, kinh tế, văn hoá v.v quan, tổ chức); Ban yếu phủ quản lý vấn đề liên quan đến mật mã dân v.v ; chưa kể Bộ quốc phịng lại quản lý bảo đảm an tồn thơng tin riêng lĩnh vực phụ trách; đặc biệt Uỷ ban nhân dân tỉnh lại xây dựng, ban hành hướng dẫn thực quy chuẩn kỹ thuật địa phương an tồn thơng tin mạng; quản lý chất lượng sản phẩm, dịch vụ an tồn thơng tin mạng địa bàn - Thứ ba, nguyên tắc, quan thực chức quản lý nhà nước có quyền tra, giải khiếu nại, tố cáo xử phạt vi phạm an tồn thơng tin hay an ninh mạng, nhiên không rõ quan giải khiếu nại cụ thể chủ thể liệu bị xâm phạm quyền riêng tư Nhận xét: Tại Việt Nam, quan nhà nước có ý thức bảo vệ an tồn thơng tin an ninh mạng, coi lĩnh vực rộng lớn, phức tạp nhạy cảm, có nhiều quan tham gia lại thiếu định quan đầu mối lãnh đạo Trong đó, theo yêu cầu GDPR, nước thành viên Liên minh Châu Âu, trường hợp có nhiều quan nhà nước tham gia việc định quan đứng đầu đại diện quốc tế bắt buộc Chẳng hạn, Đức German Federal Commissioner for Data Protection and Freedom of Information – BfDI (Uỷ viên liên bang Đức Bảo vệ liệu Tự thông tin), Pháp National Commission for Freedom of Information – CNIL (Uỷ ban quốc gia Tự thông tin), Anh Information Commissioner - ICO (Uỷ viên phụ trách Thông tin) 2.3.6 Chuyển tải liệu qua biên giới Đáng lưu ý GDPR có nội dung quan trọng quy định chuyển tải liệu qua biên giới (sang nước thứ ba tổ chức quốc tế) với năm nguyên tắc sau: - Một là, điều kiện pháp lý thu thập, xử lý liệu quyền chủ thể liệu áp dụng liên quan đến liệu cá nhân xử lý chuyển tải sang nước thứ ba chuyển sang nước thứ ba để xử lý - Hai là, Cơ quan nhà nước có thẩm quyền xem xét liệu nước thứ ba có đủ điều kiện để bảo vệ liệu cá nhân phù hợp hay không - Ba là, tiến hành chuyển giao liệu, bên thu thập, xử lý liệu phải bảo đảm có biện pháp bảo vệ thích hợp - Bốn là, Cơ quan nhà nước có thẩm quyền xem xét, phê duyệt quy chế bảo vệ liệu cá nhân tổ chức, công ty thực chuyển giao liệu qua biên giới - Năm là, Cơ quan nhà nước có thẩm quyền hợp tác với nước thứ ba có liên quan để bảo đảm thực thi quy định bảo vệ liệu cá nhân theo tiêu chuẩn GDPR, theo định hành hay án nước thứ ba yêu cầu bên thu thập, xử lý liệu phải chuyển giao hay tiết lộ liệu cá nhân (là công dân EU) công nhận thi hành có hiệp định riêng nước thứ ba quốc gia thành viên EU Rất tiếc quy định pháp lý hành Việt Nam (bao gồm Luật An tồn thơng tin mạng Luật An ninh mạng) quy định chung chức hợp tác quốc tế Cơ quan nhà nước có thẩm quyền mà 19 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH khơng có nội dung cụ thể điều kiện chuyển tải liệu cá nhân công dân Việt Nam sang nước thứ ba tổ chức quốc tế Nhận xét: Khi quy định GDPR nhấn mạnh thực thi điều kiện chặt chẽ chuyển tải liệu cá nhân quan biên giới, Liên minh Châu Âu quan niệm vấn đề liên quan mật thiết đến bảo hộ công dân EU theo tiêu chuẩn nhân quyền phạm vi toàn cầu không gian mạng, chống lại xâm phạm cơng có hại Trong đó, Việt Nam chưa có nhận thức bảo vệ liệu cá nhân nói chung bảo vệ quyền riêng tư theo ý nghĩa cấp độ 2.3.7 Chế tài xử phạt Cơ chế bảo vệ quyền chủ thể liệu trọng tâm GDPR, theo cá nhân thấy quyền riêng tư bị vi phạm bên thu thập, xử lý liệu có quyền khiếu nại lên Cơ quan nhà nước có thẩm quyền khởi kiện Toà án Việc khởi kiện Tồ án hành tiến hành để chống lại Cơ quan nhà nước có thẩm quyền khơng tiến hành biện pháp thích hợp để bảo vệ quyền chủ thể liệu Đặc biệt, vấn đề vi phạm quyền chủ thể liệu quy mơ lớn, GDPR cho phép bên thứ ba tổ chức xã hội hay hiệp hội bảo vệ người tiêu dùng đại diện cho bên bị hại để khiếu nại khởi kiện đòi bồi thường thiệt hại Bên thu thập, xử lý liệu bị xử phạt hành vi phạm quy định GDPR và/hoặc quy định pháp luật quốc gia thành viên EU bảo vệ liệu cá nhân Tại Việt Nam, pháp luật quy định ba hình thức chế tài cho mục đích bảo vệ an tồn liệu cá nhân quyền riêng tư, bao gồm dân sự, hành hình Về dân sự, chế tài phạt hợp đồng (nếu có thoả thuận chủ thể liệu bên thu thập, xử lý liệu cá nhân) bồi thường thiệt hại (trong trường hợp có khơng có hợp đồng, thoả thuận hai bên) Về hành chính, Nghị định 15/2020 xử phạt hành lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin giao dịch điện tử có nhiều quy định hành vi vi phạm chế tài xử phạt Theo đó, có quy định cụ thể có liên quan trực tiếp Điều 84 (Vi phạm quy định thu thập, sử dụng thông tin cá nhân), Điều 85 (Vi phạm quy định cập nhật, sửa đổi, huỷ bỏ thông tin cá nhân), Điều 86 (Vi phạm quy định bảo đảm an tồn thơng tin cá nhân mạng) Điều 87 (Vi phạm quy định biện pháp giám sát an toàn, bảo vệ hệ thống thơng tin) Các chế tài áp dụng bao gồm phạt tiền từ 10 triệu Đ đến 70 triệu Đ khắc phục hậu Về hình sự, Bộ Luật hình 2015 quy định tội danh “Xâm phạm bí mật an tồn thư tín, điện thoại, điện tín hình thức trao đổi thơng tin riêng tư khác người khác” với mức án phạt tiền phạt tù cao tới năm Đặc biệt, Bộ Luật tố tụng hình 2015 (Điều 12) cịn quy định rằng: “Không xâm phạm trái pháp luật chỗ ở, đời sống riêng tư, bí mật cá nhân, bí mật gia đình, an tồn bí mật thư tín, điện thoại, điện tín hình thức trao đổi thông tin riêng tư khác cá nhân Việc khám xét chỗ ở; khám xét, tạm giữ thu giữ thư tín, điện thoại, điện tín, liệu điện tử hình thức trao đổi thơng tin riêng tư khác phải thực theo quy định Bộ luật này” Nhận xét: Điểm đáng lưu ý so sánh quy định GDPR pháp luật Việt Nam quyền đại diện khởi kiện cho chủ thể liệu (theo yêu cầu họ) chủ động khởi kiện lợi ích 20 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH công cộng tổ chức xã hội, phi lợi nhuận nhằm bảo vệ quyền riêng tư Tại Việt Nam, quyền khởi kiện trao cho Hiệp hội bảo vệ quyền lợi người tiêu dùng theo Luật Bảo vệ quyền lợi người tiêu dùng Vấn đề có ý nghĩa quan trọng thiết thực vấn đề bảo vệ liệu cá nhân quyền riêng tư luôn có tính phức tạp, địi hỏi hiểu biết chun mơn sau kỹ pháp lý, hành vi tự vệ đơn lẻ cá nhân chủ thể liệu khó thành cơng khơng có trợ giúp từ tổ chức hoạt động chuyên nghiệp lĩnh vực 21 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH PHẦN 3: HƯỚNG TỚI XÂY DỰNG CHIẾN LƯỢC DỮ LIỆU QUỐC GIA VÀ HOÀN THIỆN KHUNG KHỔ PHÁP LUẬT VỀ QUẢN TRỊ DỮ LIỆU 3.1 Sự cần thiết xây dựng chiến lược quốc gia quản trị liệu Như tư tưởng nhận định nêu ban đầu, thời đại mở (được gọi kỷ nguyên số hay kinh tế liệu), liệu thông tin trở thành tài ngun hàng hố vơ giá trị (được ví dầu mỏ cơng nghiệp hay tiền ngân hàng) Các quốc gia ý thức ngày rõ vấn đề này, đó, đồng thời với q trình chuyển đổi số (digital transformation), tìm cách chạy đua để tăng lực cạnh tranh việc khai thác, sử dụng hiệu liệu thông tin phục vụ phát triển kinh tế - xã hội hay chí phấn đấu trở thành kinh tế liệu hàng đầu Tại Việt Nam, Bộ TTTT xây dựng Đề án Chương trình chuyển đổi số quốc gia đến 2025, định hướng 2030 trình Chính phủ phê duyệt Về thực chất, q trình chuyển đổi kỹ thuật thông qua xây dựng hệ thống hạ tầng sử dụng công nghệ số ngày đổi mới, cập nhật để giải vấn đề đời sống kinh tế - xã hội tầm quản trị quốc gia quản trị tổ chức doanh nghiệp Q trình này, đương nhiên, trở nên khơng cịn ý nghĩa thiếu nguồn tài nguyên sống liệu, đặc biệt là liệu lưu trữ dạng số Hiệu chuyển đổi số phụ thuộc không vào chất lượng hệ thống hạ tầng kỹ thuật mà chất lượng nguồn tài nguyên liệu Liên quan đến liệu thông tin cá nhân, vốn nguồn tài nguyên quan trọng có giá trị nhất, yếu tố chất lượng hiệu bảo đảm khâu quản trị liệu quản lý liệu đáp ứng tiêu chuẩn yêu cầu An toàn liệu Bảo vệ quyền riêng tư Theo đó, An tồn liệu có xu hướng bảo đảm dựa yếu tố kỹ thuật Bảo vệ quyền riêng tư lại địi hỏi hoàn thiện quy định chế thực thi pháp luật Chẳng hạn, thời gian qua, vấn đề lớn đặt thể chế quản trị quốc gia là: Trong công ty sử dụng công nghệ dịch vụ tảng thu thập, xử lý, khai thác liệu, thông tin cá nhân người dùng khắp giới để kinh doanh kiếm lợi nhuận khổng lồ, phần lớn doanh nghiệp khác, đặc biệt doanh nghiệp vừa nhỏ lại khơng có điều kiện tham gia dẫn đến dần lực cạnh tranh; đồng thời, hàng tỷ người dùng cá nhân đứng trước nguy bị lạm dụng bóc lột liệu cá nhân tài sản quyền riêng tư họ không bảo vệ 22 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH Chính thế, sau Liên minh châu Âu ban hành GDPR tiêu chuẩn có tính mẫu mực bảo vệ liệu quyền riêng tư kỷ nguyên số, nhiều quốc gia Anh, Canada, Singapore v.v xúc tiến xây dựng Chiến lược quốc gia quản trị liệu Về nguyên tắc, chiến lược quốc gia hướng tới ba đối tượng chủ thể để triển khai với nội dung có liên quan sau: - Thứ nhất, đối tượng người dân: Các giải pháp nhằm bảo đảm cho người dân có tin cậy cung cấp liệu, thơng tin cá nhân để xử lý, sử dụng bên thứ ba, đồng thời tạo hội để người dân tham gia hiệu quả, công vào kinh tế vận hành sở liệu - Thứ hai, đối tượng doanh nghiệp: Các giải pháp nhằm bảo đảm cho doanh nghiệp vận hành cạnh tranh bình đẳng kinh tế ngày phát triển dựa sở liệu (data-driven economy); đồng thời bảo đảm đạt tăng trưởng suất lao động kinh tế nói chung thơng qua sử dụng hiệu liệu - Thứ ba, đối tượng Chính phủ: Các giải pháp nhằm bảo đảm cải thiện không ngừng việc cung cấp dịch vụ công thông qua thu thập, chia sẻ sử dụng hiệu liệu; đồng thời bảo đảm đạt quản trị đắn quán để liệu sử dụng chia sẻ tinh thần hợp tác thiện chí cơng bên liên quan Tham khảo thực tiễn giới trên, với quan điểm tận dụng thời lớn Cuộc cách mạng công nghiệp lần thứ để phát triển Việt Nam thành kinh tế số hàng đầu khu vực, Báo cáo khuyến nghị Chính phủ Việt Nam sớm quan tâm xây dựng Chiến lược liệu quốc gia song hành với Đề án/Chương trình chuyển đổi số quốc gia (đã Bộ TTTT xây dựng) 3.2 Đề xuất hoàn thiện khung khổ pháp luật Ở tất quốc gia, dù theo hướng tiếp cận sách pháp luật nào, (chẳng hạn có khác Liên minh châu Âu Hoa Kỳ trình bày phần Báo cáo), liên quan đến đến quản trị quốc gia khơng gian mạng, có phân biệt phân định ba lĩnh vực sau: - Thứ nhất, vấn đề bảo vệ An ninh mạng (Cyber security) Bảo vệ An ninh mạng bảo đảm an toàn hệ thống mạng hay sở hạ tầng thông tin mạng để chống lại công mạng (Cyber attack), tội phạm mạng (Cybercrime) chiến tranh mạng (Cyber Warfare) Nó địi hỏi biện pháp kỹ thuật, công nghệ pháp lý triển khai hai cấp độ quốc gia tổ chức, doanh nghiệp, nhiên vai trò chủ động trọng yếu thuộc lực lượng chức Cơ quan nhà nước Việt Nam có Luật An ninh mạng (ban hành năm 2018), theo đơn vị chức Bộ Công an thành lập để đảm đương nhiệm vụ bảo đảm an ninh mạng Tuy nhiên, đề cập phần Báo cáo, Luật có đối tượng trùng lặp phần chồng chéo với Luật An tồn thơng tin mạng luật khác, đặc biệt điều chỉnh vấn đề liên quan đến phần nội dung vượt khung khổ kỹ thuật liệu cá nhân hay thông tin nhạy cảm (thông tin liên quan đến bí mật, uy tín quan, lãnh đạo Đảng Nhà nước) - Thứ hai, vấn đề bảo vệ An tồn thơng tin (Data security): An tồn thơng tin liên quan đến tính xác, tồn vẹn liệu, bảo mật chống truy cập trái phép liệu, tính sẵn có sẵn sàng để sử dụng liệu Nhiệm vụ bảo đảm an tồn thơng tin chủ yếu thực thi cấp độ tổ chức doanh nghiệp, nhiên thiếu phối hợp, hỗ trợ giám sát quan trọng Cơ quan chức nhà nước có thẩm quyền 23 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH Luật An tồn thơng tin mạng (ban hành năm 2015) đề cập chủ yếu vấn đề này, nhiên thiếu hay chưa đầy đủ, toàn diện cụ thể yêu cầu, tiêu chuẩn biện pháp, đặc biệt chưa có nội dung bảo đảm an tồn thơng tin giao dịch xuyên biên giới, phối hợp cấp độ hiệp hội vai trò quan lãnh đạo hay đầu mối Nhà nước bảo đảm an tồn thơng tin mạng - Thứ ba, vấn đề bảo vệ Quyền riêng tư (Privacy): Có thể nói ba lĩnh vực đề cập bảo vệ quyền riêng tư có ý nghĩa quan trọng tính chất nhạy cảm Bảo vệ quyền riêng tư, chất, bảo vệ người, vừa chủ thể vừa tài nguyên quan trọng quốc gia Trong kinh tế số, thành công doanh nghiệp phụ thuộc chủ yếu vào tính hiệu sử dụng, khai thác chia sẻ liệu cá nhân Tuy nhiên, nói tới tơn trọng quyền riêng tư liệu cá nhân khơng để bảo vệ quyền người khác (bên khách hàng chủ thể liệu hay người tiêu dùng) mà bảo vệ an tồn (bên cung cấp dịch vụ, thu thập, xử lý liệu) Bởi liệu cá nhân không bảo vệ, không chủ thể liệu ngừng giao dịch mà cịn có quyền khiếu nại khởi kiện địi chấm dứt vi phạm bồi thường thiệt hại Tại Việt Nam, khung khổ pháp luật để bảo vệ quyền riêng tư tạo Bộ Luật dân hay chí chế tài Luật Xử phạt vi phạm hành hay Bộ Luật hình khơng đầy đủ có tính hiệu xét tới giao dịch liên quan môi trường không gian mạng Đặc biệt, đối tượng cần bảo vệ lại liệu thu thập, xử lý, lưu giữ, chia sẻ cơng nghệ số Ngồi ra, từ góc độ Bộ Luật dân sự, quyền riêng tư coi quyền nhân thân, kinh tế liệu, liệu cá nhân tài sản có giá trị quyền liệu phải coi quyền tài sản, theo chủ thể liệu phải chia sẻ lợi ích từ việc khai thác chia sẻ Luật An tồn thơng tin mạng đề cập đến vấn đề dừng số quyền tối thiểu chủ thể liệu thiếu hẳn chế thực thi quyền cách thực tế hiệu Với phân tích trên, Báo cáo khuyến nghị Chính phủ Việt Nam quan tâm xây dựng khung khổ pháp luật hoàn thiện bảo vệ liệu quyền riêng tư Đề xuất này, xét bối cảnh khung pháp luật hành có liên quan trình bày phần Báo cáo, có nội dung chưa minh định rõ ràng đối tượng, phạm vi điều chỉnh, đồng thời cịn có chồng chéo định nội dung văn có liên quan cấp độ luật nghị định, đặc biệt tình trạng có nhiều quan chức Nhà nước tham gia quản lý lĩnh vực lại thiếu phân định rành mạch chức năng, nhiệm vụ định quan đầu mối phụ trách Do đó, cho tầm nhìn dài hạn chuyển đổi sang kinh tế số, cần thiết nghiên cứu, xây dựng đạo luật bảo vệ an toàn liệu cá nhân bảo vệ quyền riêng tư, coi lĩnh vực nhạy cảm cần điều chỉnh pháp luật bên cạnh bảo đảm an ninh mạng Đạo luật ban hành hợp nhiều quy định riêng rẽ có liên quan bảo đảm an tồn liệu, đặc biệt liệu cá nhân, đồng thời bổ sung quy định theo tiêu chuẩn phổ quát toàn cầu bảo vệ quyền riêng tư với điểm nhấn quan trọng như: - Làm rõ khái niệm định nghĩa đạt chuẩn quốc tế liệu nói chung liệu cá nhân thuộc đối tượng bảo vệ; đặc biệt quy định vấn đề quyền sở hữu chủ thể liệu cá nhân bảo vệ quyền riêng tư quyền tài sản cá nhân 24 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH - Bên cạnh quy định có tính ngun tắc cần quy định biện pháp cụ thể bảo vệ quyền chủ thể liệu cá nhân ba khía cạnh, là: Chính sách thoả thuận với người dùng hay khách hàng; tuân thủ quy định pháp luật; cách thức quản lý hành xử bên thứ ba xử lý, sử dụng liệu - Quy định chế khiếu nại khiếu kiện có vi phạm quyền chủ thể liệu quyền riêng tư quy mô lớn, bao gồm vấn đề khởi kiện tập thể, quyền tổ chức xã hội đại diện cho nạn nhân khởi kiện tự khởi kiện lợi ích cơng cộng - Quy định chế bảo vệ an toàn liệu cá nhân quyền riêng tư giao dịch thu thập, lưu trữ chuyển tải liệu qua biên giới - Chỉ định quan đầu mối quốc gia việc chủ trì, điều phối hợp tác quốc tế bảo đảm an ninh mạng, an toàn liệu cá nhân bảo vệ quyền riêng tư 25 THẢO LUẬN VÀ KHUYẾN NGHỊ CHÍNH SÁCH TÀI LIỆU THAM KHẢO History of Privacy by Jan Holvast (Holvast & Partner, Privacy Consultants, NL - Landsmeer, The Netherlands) Yael Onn, et al., Privacy in the Digital Environment, Haifa Center of Law & Technology, (2005) pp 1–12 https://moj.gov.vn/qt/tintuc/Pages/nghien-cuu-trao-doi.aspx?ItemID=2442 https://kiemsat.vn/quyen-ve-doi-song-rieng-tu-bi-mat-ca-nhan-bi-mat-gia-dinh-49898.html "The Fundamental Problem of the Data Economy Nobody is Talking About" Hacker Noon 2018-07-18 Retrieved 2018-11-20 "Human-Driven Data Economy" Sitra Retrieved September 2018 7.Personal Data: The Emergence of a New Asset Class (PDF) World Economic Forum January 2011 p 40 Retrieved September 2018 Principles for a Data Economy (with the American Law Institute, ALI) https://www.europeanlawinstitute.eu/projects-publications/current-projects-feasibility-studies-andother-activities/current-projects/data-economy/ GDPR and US Privacy Shield https://www.privacytrust.com/privacyshield/gdpr-vs-privacy-shield.html 10 The Economics and Implications of Data, An Integrated Perspective (Yan Carrière-Swallow and Vikram Haksar) 11 Đề án chuyển đổi số quốc https://mic.gov.vn/Upload_Moi/DuThaoVanBan/PL03-DU-THAO-DE-ANCHUYEN-DOI-SO-QG-VER-1.0.pdf ... tháng năm 2020 THẢO LUẬN CHÍNH SÁCH HỒN THIỆN CHÍNH SÁCH VÀ KHUNG KHỔ PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU, THÔNG TIN CÁ NHÂN VÀ QUYỀN RIÊNG TƯ TRONG NỀN KINH TẾ SỐ - THẢO LUẬN VÀ KHUYẾN NGHỊ Tài liệu... thiết bảo vệ liệu, thông tin cá nhân quản trị quản lý liệu 1.1.1 Hiểu liệu, thông tin cá nhân? 1.1.2 Sự cần thiết bảo vệ liệu, thông tin cá nhân? 1.2 Bảo vệ quyền riêng. .. 2.1 Bảo vệ quyền riêng tư châu Âu Mỹ 10 2.2 Pháp luật hành Việt Nam bảo vệ liệu, thông tin cá nhân quyền riêng tư 11 2.3 Phạm vi điều chỉnh hay nội dung khung pháp luật Bảo vệ liệu