Để đáp ứng nhu cầu bảo vệ dữ liệu cá nhân

ThS. Huỳnh Thiên Tứ, TS. Dương Kim Thế Nguyên (*)| 01/03/2022 01:00

Bài viết này nhằm đưa ra nhu cầu điều chỉnh về mặt pháp lý đối với việc tiếp nhận thông tin và xử lý dữ liệu cá nhân trên cơ sở đánh giá tổng quan các quy định pháp luật hiện hành, so sánh với các quy định bảo vệ dữ liệu cá nhân trên thế giới.

Chính sách bảo vệ dữ liệu cá nhân tại Việt Nam

Quá trình định hình cuộc cách mạng công nghiệp lần thứ tư đang tạo ra những giá trị mới, được kỳ vọng sẽ mang đến sự thịnh vượng và bình đẳng xã hội. Công cuộc đổi mới này được đánh dấu bởi tốc độ phát triển nhanh chóng của công nghệ thông tin hiện đại, gắn liền với ứng dụng rộng khắp trong đời sống xã hội. Để công nghệ số vận hành đúng như kỳ vọng, dữ liệu tất yếu phải đóng vai trò trọng tâm bởi nó là nguồn tài nguyên cốt yếu trong nền kinh tế số.

Tuy nhiên, do giá trị của nó, dữ liệu đã trở thành đối tượng của tội phạm an ninh mạng. Trong số các dữ liệu phục vụ tiến trình đổi mới mô hình phát triển kinh tế, bên cạnh dữ liệu công nghiệp, dữ liệu cá nhân là đối tượng bị xâm phạm nghiêm trọng nhất. Tại Việt Nam, tình trạng xâm phạm, đánh cắp và rao bán dữ liệu cá nhân trên mạng diễn ra công khai, táo bạo trên các diễn đàn mở, với mức độ ngày càng nghiêm trọng, quy mô ngày càng lớn. 

Trước tình hình ấy, các nhà hoạch định chính sách phải liên tục đổi mới phương thức kiểm tra, giám sát việc bảo vệ dữ liệu cá nhân để đáp ứng nhu cầu công nghiệp hóa, hiện đại hóa trong tình hình mới. Quyết định 2289/QĐ-TTg ngày 31/12/2020 của Chính phủ ban hành chiến lược quốc gia về cách mạng công nghiệp lần thứ tư đến năm 2030 đã nêu rõ, công tác cải cách pháp quy nhằm tạo chuẩn mực ứng xử phù hợp trong môi trường số, đặc biệt đối với các quy định pháp luật về bảo vệ thông tin cá nhân là vô cùng bức thiết. 

Data-1-5468-1646039492.jpg

Những bất cập của cơ chế bảo vệ dữ liệu cá nhân ở Việt Nam hiện nay

Pháp luật Việt Nam hiện hành điều chỉnh về vấn đề này tồn tại một số bất cập như sau: 

- Đang chọn hướng tiếp cận "tĩnh", quy định chặt chẽ các biện pháp và quy trình cần tuân thủ khi tiến hành thu thập thông tin cá nhân của người dùng ngay tại khâu đầu vào, khi người dùng mới bắt đầu đăng ký sử dụng dịch vụ và sản phẩm. Hướng tiếp cận này tạo ra trở ngại đáng kể cho quá trình chuyển đổi số.

- Chưa có bộ khung nguyên tắc thống nhất về bảo vệ dữ liệu cá nhân, thay vào đó các quy định hiện vẫn nằm rải rác, tản mát trong nhiều văn bản thuộc các lĩnh vực khác nhau.

- Chưa có định nghĩa rõ ràng, thống nhất về khái niệm dữ liệu cá nhân.

- Chưa có cơ chế giải quyết xung đột giữa quyền riêng tư cá nhân của người dùng và quyền sở hữu của doanh nghiệp trong chuyển đổi số.

Khi nhắc đến quyền đối với thông tin cá nhân trong môi trường số, phần lớn đều cho rằng đây là một nội hàm phái sinh (derivative) từ quyền riêng tư, vốn được xem là một trong những quyền con người cơ bản, được hiến định tại Tuyên ngôn quốc tế về nhân quyền. Tuy nhiên, một luồng quan điểm khác cho rằng, quyền đối với dữ liệu không phải là định nghĩa nối dài của quyền riêng tư, mà là một quyền riêng. Cụ thể, quyền đối với dữ liệu được hiểu là quyền của chủ thể cá nhân được yêu cầu các chủ thể khác phải áp dụng các quy trình phù hợp, chính đáng khi truyền đưa thông tin cá nhân của họ.

Hiểu theo cách trên, bảo vệ dữ liệu cá nhân không phải là trao quyền định đoạt hoàn toàn cho chủ thể đối với thông tin cá nhân được đưa vào sử dụng trong môi trường số, mà là bảo vệ tính chính xác của thông tin cá nhân trong quá trình xử lý, trao quyền cho chủ thể dữ liệu được biết mục đích, phương thức, đối tượng xử lý và truyền đưa thông tin, đồng thời tạo lập nghĩa vụ của chủ thể xử lý phải bảo đảm quá trình truyền đưa hợp pháp, phù hợp với pháp quyền và đạo đức xã hội. Do đó, thay vì quá tập trung vào việc trao quyền can thiệp của người dùng cá nhân vào cơ sở dữ liệu kinh doanh của doanh nghiệp, luật chỉ nên tạo dựng bộ nguyên tắc đối với việc xử lý và truyền đưa dữ liệu, trong đó chú trọng ban hành các quy chuẩn kỹ thuật và quy tắc ứng xử của các chủ thể tiến hành xử lý dữ liệu.  

Bộ quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR) đã đưa ra 4 nguyên tắc chính: việc xử lý dữ liệu phải được tiến hành hợp pháp; chủ thể thông tin biết về việc xử lý; tối thiểu hóa dữ liệu xử lý; an toàn, bảo mật đối với dữ liệu. 

Các nguyên tắc này đã được xem là mẫu mực lập pháp về bảo vệ dữ liệu cá nhân khắp toàn cầu. Đặc biệt, các nguyên tắc này cũng được phản ánh thông qua các quy định mới tại Chương thứ 7 của Bộ Luật Dân sự Trung Quốc. Khung pháp luật chung của Liên minh châu Âu quy định chủ thể xử lý có nghĩa vụ và trách nhiệm đối với việc xử lý dữ liệu cá nhân, đồng thời trao cho chủ thể thông tin quyền được can thiệp vào quy trình, cách thức xử lý dữ liệu của chủ thể xử lý. 

Đề xuất lập pháp bảo vệ dữ liệu cá nhân ở Việt Nam

Từ việc tham khảo có chọn lọc pháp luật của các nước khác, chúng tôi đề xuất hai nhóm nguyên tắc phát triển khung pháp lý về bảo vệ dữ liệu cá nhân ở Việt Nam.

- Thừa nhận quyền nhân thân của cá nhân đối với thông tin cá nhân trong Bộ Luật Dân sự. 

- Cần ban hành đạo luật riêng về bảo vệ dữ liệu cá nhân, trong đó xây dựng tiêu chí phân loại dữ liệu cá nhân rõ ràng, chính xác để có phương pháp điều chỉnh phù hợp với từng loại dữ liệu. 

- Xây dựng hệ thống quyền và nghĩa vụ đúng, gọn, rõ, đề cao phương pháp bình đẳng thỏa thuận trong các quan hệ xử lý dữ liệu.

Đối với việc lập quy và cơ quan quản lý, xây dựng cơ chế cho phép doanh nghiệp, tổ chức tiến hành tự xây dựng bộ quy chuẩn kỹ thuật, an toàn, an ninh đối với quy trình, công nghệ và hệ thống cơ sở dữ liệu sử dụng cho xử lý dữ liệu. Cần thiết lập bộ phận chuyên trách để tiếp nhận tin báo, khiếu nại về các trường hợp vi phạm nghĩa vụ trong xử lý dữ liệu cá nhân, hoặc các trường hợp rò rỉ dữ liệu hệ thống. 

Về phía doanh nghiệp, tổ chức, cá nhân có tiến hành xử lý dữ liệu cá nhân, cần tuân thủ các nguyên tắc trên ngay từ khâu thiết lập hệ thống và mô hình kinh doanh, sao cho nguyên tắc bảo vệ quyền riêng tư được tích hợp một cách mặc định vào thiết kế mô hình kinh doanh và công nghệ ngay từ đầu. Và cũng cần lập cơ chế dự phòng rủi ro và các biện pháp an toàn, bảo mật, sao cho khi có sự cố an ninh mạng xảy ra, dữ liệu cá nhân được đảm bảo cập nhật đầy đủ và an toàn trong một hệ thống sao lưu.  

Hướng tiếp cận bảo vệ quyền riêng tư dựa trên việc trao quyền tuyệt đối cho chủ thể dữ liệu trong việc giữ bí mật và định đoạt dữ liệu cá nhân là không hiệu quả. Thay vì quy định theo hướng tiếp cận liệt kê, cố gắng đưa ra các giả định, thì Luật Bảo vệ dữ liệu cá nhân trong tương lai cần tập trung đưa ra các nguyên tắc tiền đề, mang tính định hướng cho việc phân định quyền và nghĩa vụ của các bên chủ thể, tạo hành lang pháp lý thông thoáng, linh hoạt và cơ chế chịu trách nhiệm để các bên chủ động phát huy quyền lợi của mình liên quan đến dữ liệu cá nhân.

(*) Trường Đại học Kinh tế TP.HCM

(0) Bình luận
Nổi bật
Đọc nhiều
Để đáp ứng nhu cầu bảo vệ dữ liệu cá nhân
POWERED BY ONECMS - A PRODUCT OF NEKO