Chương 1 : NHỮNG VẤN ĐỀ LÝ LUẬN VỀ PHÁP LUẬT
1.3. Kinh nghiệm pháp luật của một số nước trên thế giới về bảo vệ thông tin của
1.3.1. Pháp luật Liên minh châu Âu (EU)
trong khuôn khổ eu, bảo vệ thông tin của người tiêu dùng thuộc phạm vi điều chỉnh của những quy định về quyền riêng tư trong đó có quyền bảo vệ dữ liệu cá nhân. Bởi lẽ gốc rễ của bảo vệ dữ liệu vẫn đặt trên nền tảng quyền riêng tư cho nên cách tiếp cận của EU về bảo vệ thông tin của người tiêu dùng cũng định hướng thị trường ít hơn (less market- oriented) các quy định trong các lĩnh vực khác.30 Quyền riêng tư là một phần trong quy định của Công ước châu Âu về quyền con người năm 1950 trong đó ghi nhận mọi người đều có quyền được tơn trọng riêng tư và cuộc sống gia đình, nhà ở và thư từ.31 Trên cơ sở quy định của Công ước, EU đã thông qua Chỉ thị số 95/46/EC về bảo vệ dữ liệu cá nhân trong đó thiết lập các tiêu chuẩn bảo mật và riêng tư dữ liệu tối thiểu, các quốc gia sẽ nội luật hố các tiêu chuẩn đó vào pháp luật quốc gia mình. Mục đích của Chỉ thị là cung cấp một phương hướng hợp pháp nhằm bảo đảm an toàn và tự do lưu chuyển dữ liệu cá nhân đối với các quốc gia thành viên của EU cũng như thiết lập một mức độ an toàn cơ bản đối với việc lưu trữ dữ liệu, chuyển phát hoặc xử lý thơng tin cá nhân. Có thể thấy Chỉ thị số 95/46 được thiết kế để bảo vệ sự riêng tư của tất cả các dữ liệu cá nhân của công dân EU được thu thập và sử dụng cho mục đích thương mại. Việc thu thập và sử dụng các dữ liệu cá nhân phải đặt trong những giới hạn nhất định và mỗi quốc gia sẽ thiết lập cơ quan độc lập chịu trách nhiệm bảo vệ dữ liệu quốc gia. Bên cạnh đó, Chỉ thị cũng nghiêm cấm việc chuyển giao thông tin cá nhân được bảo vệ ra bên ngoài EU, trừ khi các quốc gia tiếp nhận dữ liệu cá nhân áp dụng các biện pháp bảo vệ pháp lý tương tự.
Bởi lẽ Chỉ thị số 95 được ban hành trong bối cảnh khi việc sử dụng Internet và các thiết bị thông minh chưa phổ biến cho nên khi Internet bùng nổ, xuất hiện những hành vi vi phạm thơng tin cá nhân trong khơng gian mạng thì những quy định của Chỉ thị số 95 bộc lộ những thiếu sót. Chính vì vậy, Quy định chung về bảo vệ dữ liệu cá nhân (GDPR - General Data Protection Regulation) do Ủy ban châu Âu soạn thảo với mục đích đưa ra kế hoạch cải cách về bảo vệ dữ liệu cá nhân trong tồn liên minh đã được thơng qua. GDPR là một bộ quy tắc được xây dựng nhằm cung cấp cho công dân EU quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân. Trong số các khái niệm được nêu trong GDPR, 02 khái niệm nền tảng
30 Mentelero A.(2014), The future of consumer data protecdtion in the E.U. Rethingking the “notice and
consent” paradigm in the new era of predictive analytics, Computer Law & Security Review 643-660, tr.11
31
được ghi nhận đó là dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân được định nghĩa là “bất kỳ thông tin nào liên quan đến một thể nhân đã được nhận
định danh tính, hoặc có thể được nhận định danh tính, dù trực tiếp hay gián tiếp, cụ thể là bằng cách chỉ ra một định danh như tên, số định danh, dữ liệu vị trí, định danh trên mạng, hay một hoặc nhiều yếu tố chỉ định danh tính của một cá nhân mang tính vật lý, sinh lý, di truyền, tâm lý, kinh tế, văn hoá, hoặc xã hội”.32
Như vậy, dữ liệu cá nhân là những thông tin để nhận diện cá nhân bằng việc tham chiếu tới một mã nhận diện như tên, số nhận diện, dữ liệu vị trí, mã nhận diện trên trực tuyến. Cách tiếp cận về dữ liệu cá nhân trong GDPR tương tự như trong Chỉ thị số 95/46 có sự mở rộng hơn bao gồm địa chỉ IP (pseudonymisation).
Nếu như dữ liệu cá nhân là những thơng tin để nhận diện cá nhân, thì dữ liệu cá nhân nhạy cảm được xác định là những dữ liệu tiết lộ chủng tộc hoặc sắc tộc, tư tưởng chính trị, đức tin tơn giáo, quan niệm triết lý, thành viên cơng đồn, và việc xử lý di truyền và sinh trắc nhằm mục đích định danh, hoặc dữ liệu liên quan đến sức khoẻ, đời sống tình dục, xu hướng tính dục. GDPR nghiêm cấm việc phân tích và xử lý các dữ liệu nhạy cảm trừ trường hợp có sự đồng ý của cá nhân, phục vụ cơng tác y tế dự phịng, y tế nghiệp vụ hoặc vì lợi ích cơng cộng. Nếu có hành vi vi phạm đối với dữ liệu cá nhân nhạy cảm, GDRP cho phép các cá nhân có quyền nộp đơn khiếu nại đến cơ quan quản lý dữ liệu đặt tại các quốc gia thành viên nơi cá nhân đang làm việc hoặc sinh sống hoặc nơi hành vi vi phạm diễn ra.
Bên cạnh đó, GDPR ghi nhận một số nội dung quan trọng khác như: thiết lập một số nguyên tắc chi phối việc xử lý dữ liệu cá nhân như tính hợp pháp, cơng bằng và minh bạch, giới hạn mục đích, giảm thiểu dữ liệu, giới hạn lưu trữ và trách nhiệm giải trình;33 giới hạn số lượng các trường hợp xử lý dữ liệu hợp pháp;34 sự cần thiết phải xem xét thận trọng sự đồng ý có được đưa ra một cách tự do hay không...35