[Podcast] Cải Cách Pháp Luật Đáp Ứng Nhu Cầu Bảo Vệ Dữ Liệu Cá Nhân Trong Chuyển Đổi Số

4 Tháng Ba, 2022

Sự bùng nổ của các thành tựu công nghệ đặt ra nhiều vấn đề về quyền riêng tư cá nhân, do lượng lớn dữ liệu mà các công nghệ này sử dụng trực tiếp đến từ thông tin cá nhân của người dùng. Bài viết này nhằm chỉ ra nhu cầu điều chỉnh về mặt pháp lý đối với việc tiếp nhận thông tin và xử lý dữ liệu cá nhân trên cơ sở đánh giá tổng quan các quy định pháp luật hiện hành, đối sánh với các quy định bảo vệ dữ liệu cá nhân của một số nước trên thế giới. Nhóm tác giả đề xuất hai nhóm nguyên tắc lập quy nhằm cân bằng lợi ích giữa các chủ thể, đồng thời đề xuất sửa đổi, bổ sung các quy định pháp luật hiện hành theo hướng thống nhất ghi nhận quyền nhân thân đối với thông tin cá nhân, tách bạch cơ chế điều chỉnh giữa quan hệ xử lý dữ liệu cá nhân với dữ liệu công nghiệp, trung hòa xung đột thông qua cơ chế quy chuẩn, kiểm định, đánh giá tín nhiệm số đối với các chủ thể xử lý dữ liệu.

Bối cảnh chính sách bảo vệ dữ liệu cá nhân tại Việt Nam

Quá trình định hình cuộc cách mạng công nghiệp lần thứ tư (CMCN 4.0) đã và đang tạo ra những giá trị mới, được kỳ vọng sẽ mang đến sự thịnh vượng và thay đổi cán cân bình đẳng xã hội. Công cuộc đổi mới này được đánh dấu bởi tốc độ phát triển nhanh chóng của các công nghệ thông tin viễn thông hiện đại, gắn liền với quy mô ứng dụng rộng khắp của chúng trong đời sống xã hội. Để công nghệ có thể vận hành đúng như kỳ vọng, dữ liệu tất yếu phải đóng vai trò trọng tâm. Dữ liệu là nguồn tài nguyên cốt yếu trong nền kinh tế số (European Commission, 2017).

Tuy nhiên, do giá trị và tiềm năng của mình, dữ liệu đã trở thành đối tượng của tội phạm an ninh mạng. Trong số các dữ liệu phục vụ tiến trình đổi mới mô hình phát triển kinh tế, bên cạnh dữ liệu công nghiệp, dữ liệu cá nhân là đối tượng bị xâm phạm nghiêm trọng nhất (Higham, 2016; Rob Sobers, 2021). Tại Việt Nam, tình trạng xâm phạm, đánh cắp và rao bán dữ liệu cá nhân trên mạng đã và đang diễn ra một cách công khai, táo bạo trên các diễn đàn mở, với mức độ ngày càng nghiêm trọng, quy mô ngày càng lớn và kĩ thuật tinh vi hơn bao giờ hết (Anh Quân & Thành Luân, 2021; Tin tặc rao bán hàng chục GB dữ liệu công dân và doanh nghiệp Việt, 2021).

Trước tình hình trên, các nhà hoạch định chính sách phải liên tục đổi mới phương thức kiểm tra, giám sát việc bảo vệ dữ liệu cá nhân để đáp ứng nhu cầu công nghiệp hóa, hiện đại hóa trong tình hình mới. Quyết định 2289/QĐ-TTg ngày 31/12/2020 của Thủ tướng Chính phủ về ban hành chiến lược quốc gia về cách mạng công nghiệp lần thứ tư đến năm 2030 cũng đã nêu rõ quan điểm chỉ đạo, theo đó, công tác cải cách pháp quy nhằm tạo chuẩn mực ứng xử phù hợp trong môi trường số, đặc biệt đối với các quy định pháp luật về bảo vệ thông tin cá nhân, là vô cùng bức thiết.

Những bất cập của cơ chế bảo vệ dữ liệu cá nhân của Việt Nam hiện nay

Pháp luật Việt Nam hiện hành điều chỉnh về vấn đề này tồn tại một số bất cập như sau: (1) hiện nay pháp luật Việt Nam đang chọn hướng tiếp cận “tĩnh”, quy định chặt chẽ các biện pháp và quy trình cần tuân thủ khi tiến hành thu thập thông tin cá nhân của người dùng ngay tại khâu đầu vào, khi người dùng mới bắt đầu đăng ký sử dụng dịch vụ và sản phẩm; hướng tiếp cận này bộc lộ nhiều bất cập và tạo ra trở ngại đáng kể cho quá trình chuyển đổi số; (2) Chưa có một bộ khung nguyên tắc thống nhất về bảo vệ dữ liệu cá nhân, thay vào đó, các quy định hiện vẫn nằm rải rác, tản mát trong nhiều văn bản thuộc các lĩnh vực khác nhau; (3) Chưa có một định nghĩa rõ ràng, thống nhất về khái niệm “dữ liệu cá nhân”; (4) Chưa có cơ chế giải quyết xung đột giữa quyền riêng tư cá nhân của người dùng và quyền sở hữu của của doanh nghiệp trong hoạt động chuyển đổi số.

Vậy liệu có một nền tảng nguyên tắc xuyên suốt để phát triển khung pháp lý về bảo vệ dữ liệu cá nhân ở Việt Nam hay không, và làm thế nào để xây dựng khung pháp lý về bảo vệ dữ liệu cá nhân để phát huy hiệu quả việc bảo vệ quyền riêng tư của chủ thể dữ liệu mà đạt được sự cân bằng với quyền lợi của chủ thể tiến hành hoạt động xử lý dữ liệu?

Khái niệm “bảo vệ dữ liệu cá nhân”

Trước hết, cần phải xem xét quyền đối với thông tin cá nhân được nhìn nhận như thế nào. Khi nhắc đến quyền đối với thông tin cá nhân trong môi trường số, phần lớn các luồng quan điểm hiện nay đều cho rằng đây là một nội hàm phái sinh (derivative) từ quyền riêng tư, vốn được xem là một trong những quyền con người cơ bản, được hiến định tại Tuyên ngôn quốc tế về nhân quyền (Universal Declaration of Human Rights – UDHR, 1948) và Công ước quốc tế về các quyền dân sự và chính trị (International Covenant on Civil and Political Rights – ICCPR, 1966). Tuy nhiên, tồn tại một luồng quan điểm khác cho rằng, quyền đối với dữ liệu không phải là định nghĩa nối dài của quyền riêng tư, mà là một quyền riêng. Cụ thể, quyền đối với dữ liệu được hiểu là quyền của chủ thể cá nhân được yêu cầu các chủ thể khác phải áp dụng các quy trình phù hợp, chính đáng khi truyền đưa thông tin cá nhân của họ (appropriate flow of information) (H. Nissenbaum, 2011; H. F. Nissenbaum, 2010). Hiểu theo cách trên, bảo vệ dữ liệu cá nhân không phải là trao quyền định đoạt hoàn toàn cho chủ thể đối với thông tin cá nhân của mình được đưa vào sử dụng trong môi trường số, mà là bảo vệ tính chính xác của thông tin cá nhân trong quá trình xử lý, trao quyền cho chủ thể dữ liệu được biết mục đích, phương thức, đối tượng xử lý và truyền đưa thông tin, đồng thời tạo lập nghĩa vụ của chủ thể xử lý phải bảo đảm quá trình truyền đưa hợp pháp, phù hợp với nguyên tắc pháp quyền và đạo đức xã hội. Do đó, thay vì quá tập trung vào việc trao quyền can thiệp của người dùng cá nhân vào cơ sở dữ liệu kinh doanh của doanh nghiệp, luật chỉ nên tạo dựng bộ nguyên tắc xuyên suốt đối với công tác xử lý và truyền đưa dữ liệu, trong đó, chú trọng ban hành các quy chuẩn kỹ thuật và quy tắc ứng xử của các chủ thể tiến hành xử lý dữ liệu. (Tuomas Pöysti, 2019).

Các hệ thống pháp luật bảo vệ dữ liệu cá nhân trên thế giới

Không thể không nhắc tới hệ thống pháp luật đi đầu trong việc bảo vệ dữ liệu cá nhân hiện nay, đó là Bộ Quy định chung về Bảo vệ Dữ liệu của Liên Minh Châu Âu (GDPR). Bộ nguyên tắc này đã đưa ra bốn nguyên tắc chính: (1) nguyên tắc việc xử lý dữ liệu phải được tiến hành hợp pháp; (2) nguyên tắc chủ thể thông tin biết về việc xử lý; (3) nguyên tắc tối thiểu hóa dữ liệu xử lý; (4) nguyên tắc an toàn, bảo mật đối với dữ liệu. Các nguyên tắc này hiện đã được xem là mẫu mực lập pháp cho các quy định về bảo vệ dữ liệu cá nhân khắp toàn cầu, trong đó bao gồm cả các quy định ở khu vực ASEAN (The EU GDPR’s Impact on ASEAN Data Protection Law, 2019). Đặc biệt, các nguyên tắc này cũng được phản ánh thông qua các quy định mới tại Chương thứ bảy của Bộ luật Dân Sự Trung Quốc (Civil Code of the People’s Republic of China, 2020). Cả khung pháp luật chung của liên minh châu Âu lẫn pháp luật Trung Quốc đều quy định chủ thể xử lý có nghĩa vụ và trách nhiệm đối với hoạt động xử lý dữ liệu cá nhân, đồng thời trao cho chủ thể thông tin quyền được can thiệp vào quy trình, cách thức xử lý dữ liệu của chủ thể xử lý. Tuy nhiên, việc trao quyền quá nhiều vào tay chủ thể như hiện nay đã tạo ra hiện tượng “lạm phát ý chí chủ thể” (Consent-inflated), khiến chủ thể trở nên “lờn” với các thủ tục hỏi xin ý kiến đến mức không đạt được hiệu quả và ý nghĩa của thủ tục thu thập sự đồng ý nữa (H. Nissenbaum, 2011; Tuomas Pöysti, 2019). Nói một cách khác, hiệu lực của nguyên tắc ý chí chủ thể sẽ trở nên yếu đi, ngoài ra, sự bắt buộc có được ý chí chủ thể thông qua các giao dịch mang tính thủ tục đề ra trong luật sẽ tạo ra trở ngại không đáng có, ảnh hưởng đến quyền tự do kinh doanh và phát triển theo mô hình tăng trưởng mới trong cuộc CMCN lần thứ tư (Tuomas Pöysti, 2019).

Xuất phát điểm của khung pháp lý về bảo vệ dữ liệu cá nhân ở châu Âu và Trung Quốc đều nhằm bảo vệ quyền riêng tư của cá nhân, trên cơ sở đề cao việc bảo vệ thông tin cá nhân trước sự thay đổi về mô hình ứng dụng của công nghệ thông tin trong CMCN 4.0

Đề xuất lập pháp đối với nhu cầu bảo vệ dữ liệu cá nhân ở Việt Nam

Từ việc tham khảo có chọn lọc pháp luật của các nước khác, nghiên cứu đề xuất hai nhóm nguyên tắc chung để phát triển khung pháp lý về bảo vệ dữ liệu cá nhân ở Việt Nam: (1) Đảm bảo pháp quyền xã hội chủ nghĩa, đồng bộ hóa hệ thống pháp luật; (2) Đảm bảo chủ quyền quốc gia, cân bằng lợi ích giữa các chủ thể trên cơ sở đề cao tự do ý chí của các bên trong quan hệ pháp luật.

Từ hai nguyên tắc chủ đạo trên, bài viết đưa ra các đề xuất cụ thể cho công tác lập pháp và thực hiện chính sách trong tương lai như sau:

Đối với công tác lập pháp của Quốc hội: Một là, thừa nhận quyền nhân thân của cá nhân đối với thông tin cá nhân thông qua quy định rõ ràng, chính xác, một nghĩa trong Bộ luật Dân sự Việt Nam. Hai là, cần ban hành đạo luật riêng về bảo vệ dữ liệu cá nhân, trong đó, xây dựng tiêu chí phân loại dữ liệu cá nhân rõ ràng, chính xác để có phương pháp điều chỉnh phù hợp với từng loại dữ liệu. Ba là, xây dựng hệ thống quyền và nghĩa vụ đúng, gọn, rõ, đề cao phương pháp bình đẳng thỏa thuận trong các quan hệ xử lý dữ liệu, trong đó gồm: (1) Quyền được thông tin rõ ràng, chính xác liên quan đến hoạt động xử lý dữ liệu cá nhân của mình; (2) Quyền được biết chủ thể chịu trách nhiệm tiến hành xử lý dữ liệu của mình (3) Quyền trong chừng mực hợp lý đối với việc yêu cầu sửa đổi, cải chính và ngừng cấp quyền xử lý cho chủ thể xử lý dữ liệu cá nhân của mình; và (4) Quyền khiếu nại, phản ánh, thể hiện ý kiến đối với việc xử lý dữ liệu của chủ thể xử lý và quyền được yêu cầu cung cấp chứng nhận kiểm định an toàn trong việc xử lý dữ liệu.

Đối với công tác lập quy và cơ quan quản lý, Một là, xây dựng cơ chế cho phép và khuyến khích các doanh nghiệp, tổ chức tiến hành tự xây dựng bộ quy chuẩn kĩ thuật, an toàn, an ninh đối với quy trình, công nghệ và hệ thống cơ sở dữ liệu sử dụng cho công tác xử lý dữ liệu, để tạo cơ sở chủ động cho các doanh nghiệp thực hiện nghĩa vụ đối với dữ liệu mà họ xử lý. Hai là, cần thiết lập bộ phận chuyên trách để tiếp nhận tin báo, khiếu nại về các trường hợp vi phạm nghĩa vụ trong xử lý dữ liệu cá nhân, hoặc các trường hợp rò rỉ dữ liệu hệ thống.

Về phía doanh nghiệp, tổ chức, cá nhân khác có tiến hành xử lý dữ liệu cá nhân, cần chủ động tuân thủ các nguyên tắc trên ngay từ khâu khởi sự thiết lập hệ thống và mô hình kinh doanh, sao cho nguyên tắc bảo vệ quyền riêng tư được tích hợp một cách mặc định vào thiết kế mô hình kinh doanh và công nghệ ngay từ đầu, ngoài ra, cần thiết lập một cơ chế dự phòng rủi ro và các biện pháp an toàn, bảo mật, sao cho khi có sự cố an ninh mạng xảy ra, dữ liệu cá nhân được đảm bảo cập nhật đầy đủ và an toàn trong một hệ thống sao lưu.

Như vậy, bài viết đã chỉ rõ: hướng tiếp cận bảo vệ quyền riêng tư dựa trên việc trao quyền tuyệt đối cho chủ thể dữ liệu trong việc giữ bí mật và định đoạt dữ liệu cá nhân là không hiệu quả, nếu không có nhận thức đúng đắn về quyền riêng tư trong bối cảnh CMCN 4.0 và bộ nguyên tắc rõ ràng trong việc xử lý dữ liệu cá nhân làm nền tảng. Thay vì quy định theo hướng tiếp cận liệt kê, cố gắng đưa ra các giả định, thì Luật bảo vệ dữ liệu cá nhân trong tương lai cần tập trung đưa ra các nguyên tắc tiền đề, mang tính định hướng cho việc phân định quyền và nghĩa vụ của các bên chủ thể, tạo hành lang pháp lý thông thoáng, linh hoạt và cơ chế chịu trách nhiệm để các bên chủ động phát huy quyền lợi của mình liên quan đến dữ liệu cá nhân.

Xem toàn bộ bài nghiên cứu Cải cách pháp luật đáp ứng nhu cầu bảo vệ dữ liệu cá nhân trong chuyển đổi số tại đây. Nhóm tác giả: ThS. Huỳnh Thiên Tứ, TS. Dương Kim Thế Nguyên, ThS. Lê Thùy Khanh, ThS. Mai Nguyễn Dũng – Khoa Luật, Trường Kinh tế, Luật và Quản lý nhà nước UEH.

Đây là bài viết nằm trong Chuỗi bài lan tỏa nghiên cứu và kiến thức ứng dụng từ UEH với thông điệp “Research Contribution For All – Nghiên Cứu Vì Cộng Đồng”, UEH trân trọng kính mời Quý độc giả đón xem Bản tin kiến thức KINH TẾ SỐ #31 “CHUYỂN ĐỔI SỐ TRONG NÔNG NGHIỆP Ở VIỆT NAM”.

Tin, ảnh: Nhóm tác giả, Phòng Marketing – Truyền thông UEH.

Giọng đọc: Ngọc Quí