[Podcast] Pháp Luật Dữ Liệu – Kỳ 2: Ứng Dụng Mô Hình Tiếp Cận Chức Năng Trong Luật Hóa Quyền Đối Với Dữ Liệu Và Một Số Gợi Mở Cho Việt Nam

16 Tháng Năm, 2024

Từ khóa: dữ liệu số, dữ liệu cá nhân, quyền đối với dữ liệu, tiếp cận chức năng

Qua việc giới thiệu cơ sở lý luận và ý nghĩa thực tiễn của mô hình tiếp cận chức năng đối với pháp luật dữ liệu ở kỳ 1, nhóm tác giả Đại học Kinh tế Thành phố Hồ Chí Minh đã đề xuất một số định hướng để giải quyết các hạn chế và đưa ra một số hàm ý đồng bộ hóa hệ thống pháp luật trong chiến lược lập pháp của Việt Nam trong thời gian tới.

Để thống nhất cơ chế quản lý đối với dữ liệu lớn trong kinh tế số, cần thay đổi cách tiếp cận từ quản lý – cấm đoán (dựa trên bản chất của dữ liệu) sang lối tiếp cận “mở” hơn, đặt cơ sở trên sự cân bằng quyền của các bên có liên quan đối với khối dữ liệu lớn trong ba nhóm quan hệ đã liệt kê ở phần trước.

Lấy ví dụ, cho mẩu dữ liệu như sau: “B là công dân Việt Nam, có tôn giáo là đạo Phật, thích xem phim tài liệu”. Chỉ từ mẩu dữ liệu này không đủ để phản ánh đây là dữ liệu cá nhân, dữ liệu công nghiệp, cũng không thể cho biết đây là dữ liệu điện tử, dữ liệu số, hay dữ liệu công nghiệp, v.v. vì ta không biết mẩu dữ liệu này được dùng vào mục đích gì hay để thỏa mãn công dụng gì, của ai, và như thế nào.

Ngược lại, nếu pháp luật điều chỉnh dựa trên chức năng thì vấn đề trở nên rất đơn giản. Nếu mẩu dữ liệu này được cơ quan nhà nước nắm giữ để quản lý hộ tịch và dân cư thì ta xác định nhà nước có quyền dùng dữ liệu này vào mục đích quản lý hành chính nhà nước. Nếu mẩu dữ liệu này được thương nhân A chi phối nhằm mục đích phân tích thị trường và trả ra kết quả phục vụ việc mở rộng kinh doanh, thì dữ liệu này được xử lý theo các quy định về dân sự và kinh doanh thương mại. Nếu mẩu dữ liệu này vẫn nằm trong tay bản thân cá nhân và được chia sẻ với bạn bè qua hình thức tin nhắn trong một nhóm hội thoại kín trên nền tảng mạng, thì việc chia sẻ dữ liệu này được điều chỉnh bằng các quy định về quyền nhân thân trong luật dân sự.

Tiếp cận chức năng đòi hỏi phải có một khung pháp lí đồng bộ, trong đó phân chia rõ các nhóm đối tượng điều chỉnh và các phương pháp điều chỉnh tương ứng. Bên cạnh đó, các phương pháp điều chỉnh phải nhất quán để giải quyết được những xung đột giữa các nhóm quyền trên cùng một đơn vị hoặc tổ hợp đơn vị dữ liệu; ví dụ, sự xung đột giữa quyền nhân thân và quyền tài sản trong quan hệ xử lý dữ liệu có chứa thông tin cá nhân; hoặc, sự xung đột giữa quyền nhân thân cá nhân và quyền lực nhà nước trong việc thu thập, xử lý cơ sở dữ liệu dân cư.

Để làm được điều đó, trước tiên, cần tháo gỡ thiên lệch trong khung pháp lý liên quan đến quyền nhân thân của chủ thể dữ liệu cá nhân. Theo đó, thay vì nhìn nhận như là điều kiện tiên quyết, cần nhìn nhận quyền của chủ thể thông tin cá nhân (hay chủ thể dữ liệu cá nhân) như là một ngoại lệ của các quyền xoay quanh việc khai thác, sử dụng dữ liệu trong xã hội số nói chung.

Khi xác lập quan hệ pháp luật liên quan đến dữ liệu số, cơ quan lập pháp và các chủ thể liên quan không nên tập trung vào bản chất của dữ liệu là dữ liệu cá nhân hay dữ liệu công nghiệp, bởi vì nếu không đưa vào sử dụng thì dữ liệu chỉ thuần túy là dữ liệu, không mang tính chất gì cả. Nói cách khác, dữ liệu được sử dụng vào mục đích gì và sử dụng như thế nào mới là cái quyết định tính chất của dữ liệu.[1]

Khi thiết kế chính sách và xây dựng pháp luật cho dữ liệu, nhà làm luật cần xem xét kết hợp ba tiêu chí: (1) công dụng của dữ liệu; (2) thiệt hại khả kiến của việc sử dụng dữ liệu; (3) dự phòng rủi ro xảy ra thiệt hại.

(1)  Công dụng: trong bối cảnh điện toán, dữ liệu được tạo ra và sử dụng với nhiều mục đích khác nhau, đảm nhiệm nhiều chức năng khác nhau. Pháp luật dữ liệu phải tạo điều kiện để việc sử dụng dữ liệu phát huy được các chức năng ấy.

(2)  Thiệt hại: Thiệt hại ở đây bao gồm tất cả những thiệt hại đã, đang, và chưa xảy ra đối với vật chất và tinh thần của tổ chức, cá nhân. Việc sử dụng dữ liệu sẽ tiềm ẩn nguy cơ gây thiệt hại. Tuy nhiên, bản thân việc sử dụng không gây thiệt hại mà thiệt hại đến từ các tổn thất thực tế và ước tính đối với tài sản và tinh thần của tổ chức, cá nhân. Pháp luật dữ liệu phải có biện pháp khắc phục các thiệt hại, có cơ chế đánh giá và tính toán thiệt hại một cách hợp lý. 

(3)  Rủi ro: Dự phòng rủi ro gắn liền với việc dự liệu thiệt hại xảy ra trong việc sử dụng dữ liệu. Pháp luật dữ liệu phải dự kiến các nguyên tắc nhằm giảm thiểu thiệt hại khả kiến và xây dựng các quy định nhằm khắc phục hậu quả của việc sử dụng dữ liệu sai mục đích.

Trong bối cảnh khung pháp lý hiện nay của Việt Nam, ứng dụng tiếp cận chức năng vẫn khả thi với các điểm nhấn như sau trong chiến lược lập pháp sắp tới:

Một là, hạn chế ghi nhận đích danh các quyền của chủ thể dữ liệu gắn với một loại dữ liệu đặc thù bất kì, dù là dữ liệu hay dữ liệu thuộc bí mật kinh doanh. Thay vào đó, cần diễn giải và làm rõ các nguyên tắc pháp lý điều chỉnh quan hệ nhân thân, quan hệ tài sản và quan hệ quản lý hành chính nhà nước hiện có, tạo cơ sở áp dụng vào các hoạt động liên quan đến xử lý dữ liệu.

Hai là, tăng cường tính chịu trách nhiệm và nghĩa vụ dự phòng rủi ro của các chủ thể liên quan đến dữ liệu số trong các quan hệ pháp luật. Đối với dữ liệu thuộc sự kiểm soát của cơ quan quản lý nhà nước, cơ quan quản lý cần xử lý những dữ liệu này theo đúng những nguyên tắc cơ bản của pháp luật như tôn trọng quyền tiếp cận thông tin, quyền đối với đời sống riêng tư, bí mật cá nhân, bí mật gia đình, quyền tự do kinh doanh và sử dụng tài sản trong kinh doanh, bên cạnh những nguyên tắc mang tính chất quản lý hành chính nhà nước. Đối với dữ liệu không thuộc phạm vi bí mật nhà nước, việc thực hiện quyền trên chúng cần đặt trên cơ sở mục đích đúng đắn, chịu trách nhiệm khi xảy ra vi phạm, và dự phòng rủi ro bằng các biện pháp pháp lý.

Ba là, khi áp dụng pháp luật liên quan đến quyền đối với dữ liệu, cần tính đến đặc thù của ngành, nghề, hoặc lĩnh vực hoạt động của tổ chức, cá nhân trong quan hệ pháp luật đó. Điều này là nhằm đảm bảo rằng công dụng (use) của dữ liệu số, những thiệt hại có thể xảy ra (harm), cũng như các rủi ro (risk) được đánh giá đầy đủ trong đặc thù ngành, chứ không nên áp dụng những quy định phủ cho mọi hoạt động xử lý dữ liệu.

Bốn là, tạo dựng hành lang pháp lý để các bên liên quan cùng tham gia vào việc xây dựng bộ quy tắc ứng xử trên cơ sở đánh giá rủi ro mang tính hệ thống. Các bên liên quan sẽ cùng tham gia vào việc dự liệu và đánh giá các rủi ro tiềm ẩn tương ứng với lĩnh vực liên quan của mình. Những rủi ro này, cùng biện pháp pháp lý nhằm phòng ngừa và kiểm soát chúng, sẽ được tổng hợp bởi một cơ quan chuyên trách (không nhất thiết phải là cơ quan nhà nước) và xây dựng thành một tập hợp “các rủi ro mang tính hệ thống” liên quan đến dữ liệu số.

Trên cơ sở đó, mỗi bên liên quan sẽ tham gia vào việc xây dựng cấu phần của Bộ quy tắc ứng xử tương ứng với lĩnh vực của mình. Bộ quy tắc ứng xử này có thể được thông qua bởi một quyết định mang quyền lực nhà nước, và đóng vai trò như một đạo luật “mềm” mang tính hướng dẫn chung cho các ngành công nghiệp và các bối cảnh xử lý dữ liệu số khác nhau. Việc xây dựng bộ quy tắc ứng xử trên cơ sở các bên liên quan này là phù hợp với đề xuất xây dựng một đạo luật chung về bảo vệ dữ liệu mang tính thống nhất, và có thể áp dụng vào mọi bối cảnh trong đời sống kinh tế – xã hội.

Năm là, quy định nghĩa vụ kiểm tra, tự kiểm định rủi ro định kỳ đối với các tổ chức, doanh nghiệp. Đồng thời, thường xuyên tạo diễn đàn cho tổ chức, doanh nghiệp, cá nhân trong việc đưa ra đề xuất, điều chỉnh, xây dựng các điều khoản và điều kiện sử dụng dịch vụ, quảng cáo và truyền thông, cũng như các dịch vụ mà có nguy cơ mang lại rủi ro mang tính hệ thống cho dữ liệu.

Sáu là, cần chuyển từ mô hình tiền kiểm sang hậu kiểm đối với chức năng của cơ quan chuyên trách bảo vệ dữ liệu hiện có. Với mô hình hậu kiểm, cơ quan quản lý chỉ cần tiến hành các bài đánh giá, kiểm tra định kỳ đối với hoạt động tuân thủ và thực hành bảo vệ dữ liệu của tổ chức, cá nhân. Nội dung đánh giá, kiểm tra sẽ là hoạt động tuân thủ pháp luật bảo vệ dữ liệu và mức độ tuân thủ Bộ quy tắc ứng xử đã được tổ chức, cá nhân xây dựng trên cơ sở tự nguyện trước đó. Tuy nhiên, không nên áp dụng một bài kiểm tra duy nhất cho tất cả các chủ thể trong các ngành, nghề, lĩnh vực khác nhau, mà nên khuyến khích các chủ thể tự nguyện, chủ động đề xuất các bài kiểm tra phù hợp với thực tiễn lĩnh vực hoạt động của mình.

Xem toàn bộ Bài nghiên cứu Tiếp cận pháp lý đối với dữ liệu số và cơ chế điều chỉnh quyền về dữ liệu số trong pháp luật Việt Nam TẠI ĐÂY.

Nhóm tác giả: ThS. Huỳnh Thiên Tứ, ThS. Lê Thùy Khanh – Khoa Luật, Đại học Kinh tế Thành phố Hồ Chí Minh.

Đây là bài viết nằm trong Chuỗi bài lan tỏa nghiên cứu và kiến thức ứng dụng từ UEH với thông điệp “Research Contribution For All – Nghiên Cứu Vì Cộng Đồng”, UEH trân trọng kính mời Quý độc giả cùng đón xem bản tin UEH Research Insights  #112 tiếp theo.

Tin, ảnh: Tác giả, Phòng Marketing  Truyền thông UEH

Giọng đọc: Phạm Nguyễn Hoài – Viện ISCM

Chu kỳ giảm giá của đồng USD?

TS. Đinh Thị Thu Hồng và nhóm nghiên cứu

26 Tháng Sáu, 2021

Việt Nam cần kịch bản cho thương mại tương lai

ThS. Tô Công Nguyên Bảo

26 Tháng Sáu, 2021

Hệ thống tiền tệ tiếp theo như thế nào?

TS. Lê Đạt Chí và nhóm nghiên cứu

26 Tháng Sáu, 2021

Chuyển đổi số trong khu vực công tại Việt Nam

Khoa Quản lý nhà nước

26 Tháng Sáu, 2021

Cần đưa giao dịch công nghệ lên sàn chứng khoán

Bộ Khoa học và Công nghệ

5 Tháng Sáu, 2021

Thiết kế đô thị: tầm nhìn vững chắc cho đô thị bền vững

Viện Đô thị thông minh và Quản lý

5 Tháng Sáu, 2021

Phục hồi du lịch và nỗ lực thoát khỏi vòng xoáy ảnh hưởng bởi Covid-19

Viện Đô thị thông minh và Quản lý

5 Tháng Sáu, 2021

2021 sẽ là năm khởi đầu của chu kỳ tăng trưởng mới

PGS.TS Nguyễn Khắc Quốc Bảo

5 Tháng Sáu, 2021

Quỹ vaccine sẽ khả thi khi có người dân đóng góp

Phạm Khánh Nam, Việt Dũng

5 Tháng Sáu, 2021

Kích thích kinh tế, gia tăng vận tốc dòng tiền

Quách Doanh Nghiệp

5 Tháng Sáu, 2021

Đi tìm chiến lược hậu Covid-19 cho doanh nghiệp bảo hiểm Việt Nam

PGS TS Nguyễn Khắc Quốc Bảo, ThS Lê Văn

5 Tháng Sáu, 2021

Insurtech – Cơ hội và thách thức cho Startup Việt

Ths. Lê Thị Hồng Hoa

5 Tháng Sáu, 2021