1.6. Pháp luật quốc tế và một số quốc gia về bảo vệ quyền đối với dữ liệu cá nhân
1.6.2. Pháp luật một số quốc gia về bảo vệ dữ liệu cá nhân
Trên thế giới, vấn đề bảo vệ DLCN đã được nhiều quốc gia hết sức coi trọng. Theo thống kê hiện nay đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ DLCN Hiện nay thế giới có ba mơ hình pháp luật quy định về việc bảo vệ dữ liệu thông tin cá nhân nhân, gồm:
Thứ nhất, mơ hình Châu Âu – mơ hình tiếp cận thắt chặt. Chủ thuyết của mơ hình này là đặt cá nhân ở vị trí trung tâm và đề cao, ưu tiên bảo vệ quyền riêng tư đối với thơng tin cá nhân. Vì vậy, cơ chế pháp lý được xây dựng theo hướng thắt chặt quản lý các hoạt động tiếp cận, thu thập, xử lý và sử dụng thông tin cá nhân. Các quốc gia theo mơ hình này (chủ yếu là các nước thuộc Liên minh Châu Âu) thường ban hành đạo luật riêng về bảo vệ thông tin cá nhân (hay dữ liệu thơng tin) để quy định tập trung, tồn diện, cụ thể và chi tiết các vấn đề có liên quan; đồng thời, mở rộng tối đa phạm vi thông tin cá nhân được pháp luật điều chỉnh – là tất cả những thông tin liên quan, thuộc về một cá nhân mà từ đó có thể xác định được danh tính của cá nhân đó.
Thứ hai, mơ hình Mỹ – mơ hình tiếp cận tối giản. Cũng tiếp cận bảo vệ thơng tin cá nhân là một khía cạnh của quyền riêng tư nhưng ở mức độ hài hoà hơn giữa bảo vệ quyền, lợi ích của cá nhân là chủ thể thơng tin cá nhân và của các chủ thể khác. Vì vậy, cơ chế pháp lý được xây dựng theo hướng quản lý tối giản – chỉ tập trung bảo vệ thông tin cá nhân nhạy cảm và “mở, lỏng” hơn đối với thông tin cá nhân thông thường. Pháp luật về bảo vệ thơng tin cá nhân ở các quốc gia theo mơ hình này (điển hình là Mỹ) thường khơng tập trung mà phân tán trong các văn bản pháp luật; đồng thời, thuật ngữ pháp lý được sử dụng phổ biến là Thông tin nhận dạng cá nhân với nội hàm hẹp hơn so với khái niệm dữ liệu cá nhân ở Châu Âu.
Thứ ba, mơ hình hỗn hợp. Là sự kết hợp 2 mơ hình trên được áp dụng ở một số nước Châu Á như Nhật Bản, Hàn Quốc,…. Các quốc gia theo mơ hình này thường ban hành một đạo luật riêng về quyền riêng tư hoặc về bảo vệ thông tin cá nhân để quy định tập trung, tồn diện các vấn đề có liên quan; đồng thời, phạm vi thơng tin cá nhân được pháp luật điều chỉnh về cơ chế, mức độ quản lý cũng hợp lý, hài hoà hơn trên cơ sở kết hợp 2 mơ hình Châu Âu, Mỹ.
Pháp luật của Liên minh EU về bảo vệ dữ liệu cá nhân:
Quyền về sự riêng tư là một phần của Công ước châu Âu về quyền con người năm 1950, trong đó tun bố, mọi người đều có quyền được tơn trọng riêng tư và cuộc sống gia đình, nhà ở và thư từ. Từ cơ sở đó, các nước trong Liên minh châu
Âu (EU) đã tìm cách đảm bảo quyền này thơng qua việc xây dựng một văn bản pháp luật chung, đặc biệt khi Internet xuất hiện. Vào năm 1995, EU đã thông qua Chỉ thị về bảo vệ dữ liệu châu Âu (95/46/EC), trong đó thiết lập các tiêu chuẩn bảo mật và riêng tư dữ liệu tối thiểu để các quốc gia thành viên thực thi bằng cách đưa vào pháp luật của nước mình. Tuy nhiên, Chỉ thị năm 1995 được soạn thảo vào giai đoạn khi Internet mới chỉ được sử dụng bởi 1% dân số thế giới.Vì vậy, khi Internet bùng nổ, xuất hiện yêu cầu phải có văn bản pháp luật mới để giải quyết các vấn đề nảy sinh về bảo vệ dữ liệu cá nhân từ việc sử dụng Internet và các thiết bị thông minh trên quy mô lớn. Mới đây nhất, ngày 27/4/2016, Liên minh Châu Âu đã thông qua Chỉ thị số 2016/679 về bảo vệ các cá nhân liên quan đến xử lý và tự do lưu chuyển dữ liệu cá nhân (hay còn gọi là Quy định về bảo vệ dữ liệu chung (General Data Protection Regulation - GDPR), chính thức có hiệu lực từ 25/5/2018 u cầu các doanh nghiệp phải tuân thủ các quy định cụ thể, rõ ràng về cách thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, loại hình dữ liệu được phép chia sẻ, các cơng ty nằm ngồi lãnh thổ Châu Âu cũng phải chấp hành các quy định này.
GDPR nêu lên khái niệm xử lý dữ liệu (Data processing), theo đó xử lý dữ liệu bao gồm một loạt hành vi và cơng đoạn như xác nhận, sắp xếp, tóm tắt, tập hợp, phân tích, báo cáo và phân loại. Để được làm việc này, tại châu Âu, GDPR đặt ra sáu điều kiện cụ thể yêu cầu bên xử lý dữ liệu phải thoả mãn ít nhất một trong các điều kiện đó, bao gồm: (i) có chấp thuận của chủ thể dữ liệu cho mục tiêu cụ thể, (ii) có sự cần thiết để thực hiện hợp đồng có liên quan; (iii) để tuân thủ nghĩa vụ pháp lý của bên xử lý dữ liệu, (iv) cần thiết để bảo vệ lợi ích sống cịn của chủ thể dữ liệu hoặc một người khác, (v) cần thiết để thực hiện một cơng vụ vì lợi ích cơng; (vi) cần thiết vì lợi ích hợp pháp của bên khác với điều kiện không hạn chế quyền tự do cơ bản của chủ thể dữ liệu, đặc biệt quyền của trẻ em. Quyền của chủ thể dữ liệu được liệt kê rất chi tiết trong GDPR (với 10 quyền khác nhau cùng các tình huống cụ thể để áp dụng) như sau: (i) Quyền được đối xử minh bạch, chu đáo khi tương tác, liên hệ với bên thu thập, xử lý dữ liệu để thực hiện các quyền của mình; (ii) Quyền được bên thu thập, xử lý dữ liệu cung cấp đầy đủ thơng tin có liên quan khi
dữ liệu cá nhân được tiếp nhận từ chính chủ thể dữ liệu hoặc từ bất cứ nguồn nào khác; (iii) Quyền được tiếp cận bên xử lý dữ liệu và các dữ liệu cá nhân đã xử lý trong bất cứ công đoạn nào; (iv) Quyền được khắc phục các sai sót về dữ liệu đã thu nhận và xử lý; (v) Quyền được yêu cầu xoá bỏ dữ liệu (quyền lãng quên), trừ trường hợp việc xử lý dữ liệu cần thiết vì mục đích cơng cộng; (vi) Quyền được yêu cầu các hạn chế trong xử lý dữ liệu; (vii) Quyền được yêu cầu thông báo về biện pháp xoá bỏ dữ liệu hay hạn chế xử lý dữ liệu cho tất cả các bên liên quan sử dụng dữ liệu; (viii) Quyền được yêu cầu bên thu thập, xử lý dữ liệu cung cấp các dữ liệu đã xử lý thể hiện bằng những hình thức phù hợp nhất để có thể sử dụng hoặc truyền tải cho bên xử lý khác; (xix) Quyền phản đối bất cứ bên xử lý dữ liệu nào về việc xử lý dữ liệu liên quan đến mình, đặc biệt việc xử lý dữ liệu cho mục đích tiếp thị, quảng cáo; và (x) Quyền yêu cầu loại trừ bản thân khỏi đối tượng của việc xử lý dữ liệu tự động dẫn đến hậu quả pháp lý có liên quan đến mình. Tuy nhiên, GDPR cũng đồng thời liệt kê các tình huống ngoại lệ sẽ không hoặc hạn chế áp dụng, thực thi các quyền của chủ thể dữ liệu nói trên như: an ninh quốc gia và an ninh cơng cộng, tố tụng Tồ án và bảo đảm quyền tự do cơ bản của người khác. Theo các điều khoản của GDPR, không chỉ các tổ chức phải đảm bảo dữ liệu cá nhân được thu thập hợp pháp và trong các điều kiện nghiêm ngặt, mà tất cả những bên thu thập và quản lý dữ liệu có nghĩa vụ bảo vệ dữ liệu khỏi việc bị lạm dụng và khai thác, cũng như tôn trọng quyền của chủ sở hữu dữ liệu. Tiền phạt đối với hành vi trái với quy định của GDPR rất cao. Theo đó có hai cách thức phạt, có thể tối đa là 20 triệu Euro hoặc 4% doanh thu toàn cầu (tùy theo mức nào cao hơn), cộng với việc các chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại.
Đáng lưu ý là GDPR có nội dung quan trọng là các quy định về chuyển tải dữ liệu qua biên giới (sang nước thứ ba hoặc một tổ chức quốc tế) với năm nguyên tắc chính như sau: Một là, các điều kiện pháp lý về thu thập, xử lý dữ liệu cũng như quyền của chủ thể dữ liệu được áp dụng liên quan đến mọi dữ liệu cá nhân đã được xử lý được chuyển tải sang nước thứ ba hoặc được chuyển sang nước thứ ba để xử lý; Hai là, Cơ quan nhà nước có thẩm quyền sẽ xem xét liệu nước thứ ba có đủ các
điều kiện để bảo vệ dữ liệu cá nhân phù hợp hay không; Ba là, khi tiến hành chuyển giao dữ liệu, bên thu thập, xử lý dữ liệu phải bảo đảm có các biện pháp bảo vệ thích hợp; Bốn là, Cơ quan nhà nước có thẩm quyền sẽ xem xét, phê duyệt quy chế bảo vệ dữ liệu cá nhân của các tổ chức, công ty thực hiện chuyển giao dữ liệu qua biên giới; Năm là, Cơ quan nhà nước có thẩm quyền sẽ hợp tác với nước thứ ba có liên quan để bảo đảm thực thi các quy định bảo vệ dữ liệu cá nhân theo tiêu chuẩn của GDPR, theo đó các quyết định hành chính hay bản án của nước thứ ba yêu cầu bên thu thập, xử lý dữ liệu phải chuyển giao hay tiết lộ dữ liệu cá nhân (là công dân EU) sẽ chỉ được cơng nhận và thi hành nếu có hiệp định riêng giữa nước thứ ba và quốc gia thành viên của EU.
GDPR cũng đã quy định rõ ràng về trách nhiệm chung và các nhóm nghĩa vụ cụ thể của các bên thu thập, xử lý dữ liệu cá nhân và thiết chế giám sát độc lập của Cơ quan chính quyền và sự phối hợp giữa các Cơ quan có liên quan. Đồng thời cũng quy định “quyền được lãng quên” - cụ thể là quyền xóa dữ liệu cho những người muốn xóa dữ liệu cá nhân của họ khi khơng cịn căn cứ để lưu giữ dữ liệu đó. GDPR được áp dụng ở cấp độ trong nước với hiệu lực ngay lập tức, bắt đầu từ ngày nó có hiệu lực và việc áp dụng luật quốc gia sẽ không ảnh hưởng đến hiệu lực của nó. Tuy nhiên, GDPR cho phép các quốc gia thành viên sự linh hoạt đến một mức độ nhất định khi áp dụng một số quy định.
GDPR được đánh giá là tạo ra cơ chế bảo vệ dữ liệu cá nhân khắt khe nhất trên thế giới hiện nay.
Pháp luật của Mỹ về bảo vệ dữ liệu cá nhân:
Cho đến nay, Mỹ chưa có bất kỳ đạo luật riêng nào ở cấp liên bang về bảo vệ dữ liệu cá nhân, song vấn đề này đã được nêu trong nhiều văn bản pháp luật ban hành theo từng ngành, từng đối tượng. Theo cách tiếp cận của Mỹ, việc bảo vệ dữ liệu và quyền về sự riêng tư được dựa trên sự kết hợp giữa luật pháp, quy định và tự điều chỉnh, thay vì chỉ có sự can thiệp của nhà nước. Pháp luật thường chỉ được áp dụng cho các tình huống trong đó các cá nhân khơng thể tự kiểm soát việc sử dụng dữ liệu cá nhân của họ. Sau khi GDPR được thông qua, một số tiểu bang của Mỹ đã đề
xuất luật bảo vệ dữ liệu của riêng họ,thiết lập một số quyền giống như GDPR. Ở Mỹ có một hệ thống các luật và quy định liên bang và tiểu bang về quyền riêng tư, trong đó có các văn bản luật liên quan đến quyền riêng tư của liên bang quy định việc thu thập và sử dụng DLCN. Một số áp dụng cho các loại thông tin cụ thể, chẳng hạn như: thơng tin về tài chính hoặc sức khoẻ, hoặc thơng tin điện tử. Ngồi ra, có nhiều hướng dẫn, do các cơ quan chính phủ và các nhóm ngành cơng nghiệp phát triển ban hành ví dụ như cơ quan: Uỷ ban Thương mại liên bang Mỹ (Federal Trade Commission - FTC).
Quốc hội Mỹ đã đưa ra một số dự luật về quyền về sự riêng tư dữ liệu để thực hiện tiêu chuẩn bảo mật dữ liệu liên bang tại Mỹ. Ví dụ, Luật Phổ biến Dữ liệu Mỹ (S. 142) sẽ áp đặt các yêu cầu về quyền về sự riêng tư đối với các nhà cung cấp dịch vụ Internet tương tự như các yêu cầu áp đặt cho các cơ quan Liên bang theo Luật về quyền về sự riêng tư năm 1974. Luật bảo vệ quyền về sự riêng tư và quyền lợi người tiêu dùng trên phương tiện truyền thông xã hội năm 2019 (S. 189), sẽ yêu cầu các chủ thể: 1) cung cấp cho người dùng một bản sao miễn phí dưới dạng điện tử những dữ liệu cá nhân mà nhà điều hành đã xử lý và 2) thơng báo cho người dùng trong vịng 72 giờ sau khi biết rằng dữ liệu của người dùng đã bị truyền đi mà vi phạm nền tảng bảo mật. Khái niệm TTCN, DLCN được quy định “Dữ liệu sức khoẻ cá nhân, dữ liệu tài chính, dữ liệu đáng tin cậy về tín dụng, dữ liệu sinh viên, TTCN được thu thập trực tuyến từ trẻ em dưới 13 tuổi và thơng tin có thể được sử dụng để thực hiện để trộm cắp danh tính hoặc gian lận được coi là những TTCN nhạy cảm". Mỹ khơng có một cơ quan chính thức, song FTC là một cơ quan đặc biệt, có thẩm 67 quyền đối với hầu hết các thực thể thương mại, được ban hành và thực thi các quy định về quyền riêng tư ở những khu vực cụ thể (ví dụ như quảng cáo qua điện thoại, email thương mại và quyền riêng tư của trẻ em). FTC sử dụng quyền chung để ngăn chặn các hành vi thương mại không công bằng và lừa đảo, để "đưa ra các biện pháp cưỡng chế nhằm chống lại các biện pháp bảo mật dữ liệu không đầy đủ, thu thập, sử dụng và tiết lộ thông tin". Điểm đặc biệt của pháp luật Mỹ về bảo vệ TTCN nằm ở sự vận dụng các hình thức án lệ trong xét xử tại Toà án,
làm phong phú thêm những quy phạm pháp luật về các hành vi vi phạm pháp luật về bảo vệ TTCN, với một số vụ án điển hình như: vụ án Roe kiện Wade năm 1972, Vụ án Cruzan kiện bang Missouri năm 1990, Vụ án Lawrence kiện bang Texas năm 2003.
Pháp luật Nhật Bản về bảo vệ dữ liệu cá nhân:
Nhật Bản đã có văn bản pháp luật riêng về bảo vệ TTCN là Luật bảo vệ TTCN (Act on the Protection of Personal Information - APPI) vào năm 2005, và sau đó luật này được sửa đổi bổ sung 2015 và có hiệu lực vào 30/5/2017. Sự sửa đổi, bổ sung này đã đưa ra định nghĩa rõ ràng hơn về TTCN, TTCN nhạy cảm, Quy tắc sử dụng DLCN và thiết lập Ủy ban bảo vệ TTCN (PPC), đề ra các nguyên tắc khi xử lý TTCN và chuyển giao dữ liệu cho bên thứ ba. Khoản 6 Điều 2 APPI nêu "dữ liệu cá nhân" trong đạo luật này nghĩa là thông tin cá nhân cấu thành cơ sở dữ liệu TTCN... APPI điều chỉnh đối với tất cả các cơng ty kinh doanh có trụ sở tại Nhật Bản hay ở nước ngoài khi kinh doanh tại Nhật Bản, thành lập Ủy ban bảo vệ thông tin cá nhân (PPC), tăng cường quản lý các doanh nghiệp cơng nghệ nước ngồi (Google, Facebook, Amazon...)
Theo APPI, Uỷ ban bảo vệ TTCN (PPC) là cơ quan thực thi duy nhất và có thể chuyển giao các cơ quan chức năng của mình để yêu cầu báo cáo và kiểm tra các bộ và cơ quan nếu cần thiết cho các khuyến nghị và theo yêu cầu tại Điều 42 của luật này. Ủy ban Bảo vệ TTCN (PPC) được thành lập như một cơ quan độc lập có nhiệm vụ bảo vệ quyền và lợi ích của cá nhân đồng thời thúc đẩy việc sử dụng TTCN một cách hợp lý và hiệu quả. Theo APPI sửa đổi, khung pháp lý đã được thay đổi mạnh và Cơ quan quản lý nhà nước cấp tỉnh có trách nhiệm chính về chính sách bảo vệ TTCN tại Nhật Bản. Pháp luật bảo vệ TTCN của Nhật Bản đưa ra một số chế tài như bắt buộc thực hiện các khuyến nghị của Uỷ ban bảo vệ TTCN, phạt tiền, phạt tù. Chế tài với hành vi vi phạm là phạt tù và lao động cải tạo không quá 2 năm hoặc phạt tiền không quá 1.000.000 Yên, phạt tù và lao động cải tạo không quá 1 năm hoặc phạt tiền không quá 500.000 Yên, phạt tù và lao động cải tạo không quá