Bảo vệ dữ liệu cá nhân trong hoạt động giao dịch thương mại điện tử: Kinh nghiệm của một số quốc gia trên thế giới và kiến nghị cho Việt Nam

(LSVN) - Bảo vệ dữ liệu cá nhân vừa góp phần bảo đảm quyền con người, vừa tạo cơ sở phát triển thương mại điện tử trong bối cảnh chuyển đổi số. Tuy nhiên, pháp luật Việt Nam hiện nay vẫn còn những hạn chế trong việc bảo vệ dữ liệu cá nhân trong giao dịch thương mại điện tử. Bài viết nêu khái quát về bảo vệ dữ liệu cá nhân trong giao dịch thương mại điện tử, tham khảo kinh nghiệm một số quốc gia và kiến nghị hoàn thiện quy định, nâng cao hiệu quả áp dụng pháp luật tại Việt Nam.

Ảnh minh họa.

1. Khái quát về bảo vệ dữ liệu cá nhân trong giao dịch thương mại điện tử

Dữ liệu cá nhân (DLCN) là toàn bộ thông tin gắn liền với việc xác định danh tính, nhân thân của một người cụ thể và thuộc quyền sở hữu của riêng chủ thể này.

Trong đó, định nghĩa trên chỉ ra 3 nội dung chính: 

(1) Chủ thể dữ liệu: Phải là cá nhân và là người đang sống. Các thực thể khác như pháp nhân sẽ không phải là chủ thể dữ liệu vì cá nhân và pháp nhân khác nhau về đặc điểm nhận dạng và địa vị pháp lý [1]. Đồng thời, chủ thể dữ liệu là người đang sống vì trên thực tế, người chết không thể tham gia vào các quan hệ pháp luật liên quan đến DLCN, nên việc pháp luật điều chỉnh đối tượng này hầu như không cần thiết, trừ việc nhận dạng trên giấy chứng tử [2]. 

(2) Phạm vi và mục đích sử dụng: Dạng thông tin tồn tại dưới bất kỳ hình thức nào, qua quá trình thu thập, lưu trữ, xử lý, phân loại, kết hợp… đều có thể coi là DLCN, miễn là thông qua chúng, một cá nhân được xác định hoặc có khả năng xác định. Nghĩa là cá nhân có thể đã được xác định từ trước, thông qua DLCN mà được nhận dạng một cách chính xác. Hoặc, cá nhân chưa được xác định từ trước, thông qua DLCN hay kết hợp DLCN ấy với các loại thông tin khác mà được xác định và nhận dạng một cách chính xác. 

(3) Quyền sở hữu: Cá nhân là chủ thể của dữ liệu có đầy đủ quyền sở hữu đối với dữ liệu ấy, bao gồm: quyền chiếm hữu (nắm giữ, chi phối dữ liệu), quyền sử dụng (khai thác công dụng của dữ liệu) và quyền định đoạt (định đoạt chia sẻ dữ liệu hay không).

Còn giao dịch thương mại điện tử (GDTMĐT) được hiểu là phương thức thực hiện một số hoặc toàn bộ hoạt động kinh tế bằng phương tiện điện tử. Có thể hiểu rõ hơn GDTMĐT là việc mua bán sản phẩm, dịch vụ thông qua Internet và các phương tiện điện tử khác. Các hoạt động giao dịch này bao gồm tất cả các hoạt động như việc mua, bán trên mạng, thanh toán, đặt hàng, quảng cáo và giao hàng… được thực hiện trên nền tảng điện tử [3].

DLCN và GDTMĐT có mối quan hệ mật thiết với nhau. DLCN là thành tố quan trọng, quyết định một GDTMĐT có thực hay không thông qua việc xem xét và đánh giá những giá trị mà dữ liệu mang lại. Sự tiện ích của GDTMĐT càng nhiều thì những rủi ro về thông tin cá nhân (TTCN) cũng gia tăng tương ứng. Để đảm bảo sự phát triển của TMĐT, các quốc gia trên thế giới đều chú trọng đến việc thiết lập các hàng rào bảo vệ DLCN, bảo vệ người tiêu dùng (NTD) trước những xâm hại về dữ liệu, giúp NTD yên tâm và tự tin hơn khi sử dụng các phương tiện điện tử trong giao dịch hàng ngày.

2. Kinh nghiệm về bảo vệ dữ liệu cá nhân trong hoạt động giao dịch thương mại điện tử ở một số quốc gia trên thế giới

2.1. Hoa Kỳ

Quy định pháp luật

Hiện nay, Hoa Kỳ chưa có đạo luật riêng ở cấp liên bang quy định toàn diện về vấn đề bảo vệ DLCN. Thay vào đó, Hoa Kỳ sử dụng một loạt các quy định rải rác của liên bang và tiểu bang, nằm ở nhiều chuyên ngành và đối tượng khác nhau.

Mặt khác, việc bảo vệ DLCN của NTD ở Hoa Kỳ được thực hiện dựa trên mô hình tự điều chỉnh (Self-Regulation Model). Khác với mô hình quản lý được Châu Âu, Úc, Hồng Kông, New Zealand, Trung và Đông Âu áp dụng là mô hình của một quan chức nhà nước (public official) thực thi luật bảo vệ dữ liệu toàn diện [4], tại Mỹ việc bảo vệ dữ liệu và quyền về sự riêng tư được dựa trên sự kết hợp giữa luật pháp, quy định và tự điều chỉnh, thay vì chỉ có sự can thiệp của nhà nước [5]. 

Trên thực tế, mô hình tự điều chỉnh không đem lại hiệu quả cao như mong đợi. Hơn nữa, sau khi GDPR được thông qua tại châu Âu đã đặt ra cho nền lập pháp Hoa Kỳ áp lực cần phải ban hành các quy định nghiêm ngặt hơn nữa trong việc bảo vệ DLCN của NTD, đặc biệt trong các GDTMĐT. Một số tiểu bang của Hoa Kỳ đã thiết lập các quy định giống như GDPR, trong đó có bang California đã thông qua Luật về sự riêng tư của người tiêu dùng (California Consumer Privacy Act - CCPA) vào năm 2018. Đến ngày 03/11/2020, người dân California đã bỏ phiếu để tạo ra Đạo luật về quyền riêng tư của California (California Privacy Rights Act - CPRA). Bản thân CPRA không phải là luật mới, nó hoạt động như một phụ lục của CCPA nhằm tăng cường quyền của cư dân California, thắt chặt các quy định kinh doanh về sử dụng thông tin cá nhân (PI) và thành lập một cơ quan chính phủ mới về quyền riêng tư dữ liệu trên toàn tiểu bang thực thi được gọi là Cơ quan Bảo vệ Quyền riêng tư California (CPPA) [6]. 

Nhìn chung, CCPA đã có những tác động không nhỏ đến chính sách của các công ty kinh doanh nói chung, cũng như các công ty TMĐT nói riêng tại Hoa Kỳ. Song việc tuân thủ đạo luật này vẫn chưa được toàn diện và đầy đủ trên thực tế. Dù nhận thức của các doanh nghiệp ngày càng rõ hơn về hậu quả của việc bị phạt vi phạm doanh nghiệp có thể đối diện với nguy cơ bị phá sản, nhưng còn quá nhiều khó khăn để xây dựng cho mình một “hàng rào” bảo vệ dữ liệu tối ưu nhất. 

Qua khảo sát các quy định của pháp luật Hoa Kỳ về bảo vệ DLCN trong GDTMĐT, nhận thấy:

Thứ nhất, chưa có một đạo luật về bảo vệ DLCN trong GDTMĐT cấp liên bang, quy định tại các bang cũng không thống nhất mà dản trải ở nhiều luật chuyên ngành khác nhau. Các doanh nghiệp tại Hoa Kỳ gặp khó khăn khi các quy định thay đổi, khác biệt giữa các bang với nhau.

Thứ hai, pháp luật của Hoa Kỳ tiếp cận dựa trên lợi ích kinh tế tư nhân. Hoa Kỳ đưa ra những ưu đãi cho các doanh nghiệp đưa ra các thủ tục giải quyết tranh chấp thay vì ban hành các tiêu chuẩn bảo vệ quyền lợi NTD.       

Thứ ba, pháp luật Hoa Kỳ còn tập trung quá nhiều vào mối quan hệ giữa doanh nghiệp - NTD. Đối với các trường hợp doanh nghiệp đã trang bị hàng rào bảo vệ đầy đủ mà vẫn bị hacker xâm nhập thì việc miễn trừ trách nhiệm đối với NTD của các doanh nghiệp chưa được đề cập. 

Thứ tư, Hoa Kỳ chủ yếu thúc đẩy mô hình tự điều chỉnh khiến tiêu chuẩn các doanh nghiệp đưa ra khác nhau, không tạo sự thống nhất. Một số tiêu chuẩn được xây dựng lỏng lẻo tạo điều kiện để các Hacker lợi dụng xâm nhập.

Kinh nghiệm cho Việt Nam

Từ những đánh giá trên, Việt Nam có thể học hỏi kinh nghiệm từ pháp luật Hoa Kỳ ở một số điểm sau:

Một là, kinh nghiệm trong việc định nghĩa hợp đồng TMĐT. Cách định nghĩa của pháp luật Hoa Kỳ kết hợp hai cách giải thích riêng biệt để tạo thành khái niệm hợp đồng TMĐT bao gồm: Giao tiếp điện tử trong Công ước Liên Hợp Quốc và giao tiếp tự động trích trong UETA và UCITA.

Hai là, khuyến khích sự tự giác của các doanh nghiệp và NTD trong việc bảo vệ DLCN khi thực hiện các GDTMĐT. Cơ chế tự giải quyết vấn đề dữ liệu khách hàng sẽ tiết kiệm chi phí cho các bên. Cơ quan Nhà nước chỉ can thiệp khi cần thiết, tránh gây khó khăn cho sự phát triển lành mạnh của nền kinh tế thị trường.

Ba là, giao cơ quan quản lý hành chính nhà nước thực hiện nhiệm vụ bảo vệ DLCN trong GDTMĐT. Thực tiễn tại Hoa Kỳ, cơ quan FTC đã hoạt động vô cùng hiệu quả khi giải quyết nhanh chóng một lượng lớn vụ việc và thu về khoản tiền phạt, tiền bồi thường lên đến 10 tỷ đô.

2.2. Các nước châu Âu 

Quy định pháp luật

Ngày 14/4/2016, Nghị viện châu Âu đã ban hành Quy định chung về bảo vệ DLCN, trong đó mục tiêu hướng tới là bảo vệ DLCN và quyền riêng tư của cá nhân tại Liên minh châu Âu (General Data Protection Regulation -  GDPR). Quy định này được áp dụng trực tiếp trên lãnh thổ các quốc gia thành viên. Đối với Vương quốc Anh, trước là thành viên của Liên minh châu Âu, quốc gia này cũng ban hành đạo luật về bảo vệ DLCN vào năm 2018 (Data Protection Act 2018). Đạo luật này về cơ bản chuyển hóa các quy định của Liên minh châu Âu về bảo vệ DLCN vào pháp luật quốc gia và cho phép tiếp tục áp dụng quy định của GDPR trên lãnh thổ quốc gia, dù đã rời khỏi Liên minh châu Âu.

GDPR gồm 11 Chương, 99 điều, tập trung vào các nội dung liên quan đến: Phạm vi điều chỉnh; nguyên tắc liên quan đến xử lý DLCN; quyền của chủ thể DLCN; quyền và nghĩa vụ của chủ thể kiểm soát và chủ thể xử lý DLCN; dịch chuyển DLCN đến một nước thứ ba hoặc các tổ chức quốc tế; các chủ thể có thẩm quyền giám sát; các biện pháp khắc phục; trách nhiệm pháp lý và các hình thức xử lý vi phạm; cơ chế thực thi…

GDPR cũng thiết lập một cơ quan bảo vệ dữ liệu ở cấp Liên minh. Thành viên của cơ quan này đại diện cho các quốc gia thành viên Liên minh châu Âu, các quốc gia thuộc khu vực kinh tế châu Âu và Cơ quan giám sát về bảo vệ dữ liệu của Liên minh châu Âu (European data protection supervisor – EDPS). Nhiệm vụ của cơ quan này là hướng dẫn thực hiện GDPR, tham mưu cho Ủy ban châu Âu về những vấn đề liên quan đến bảo vệ DLCN; giải quyết tranh chấp giữa các cơ quan quốc gia. 

Qua khảo sát các quy định và thực tiễn áp dụng, nhận thấy pháp luật về bảo vệ DLCN trong GDTMĐT tại khu vực châu Âu được quy định chặt chẽ thể hiện tại GDPR với một số điểm nổi bật như:

Thứ nhất, EU đã có định nghĩa rõ ràng về DLCN. GDPR được xem là một bước tiến pháp lý lớn về xác định DLCN khi có sự phân biệt giữa DLCN và DLCN nhạy cảm. Cách định nghĩa rành mạch tạo cơ sở bảo vệ các chủ thể dựa trên khung pháp lý về DLCN, kiểm soát dữ liệu.

Thứ hai, cách tiếp cận của EU liên quan đến bảo vệ DLCN trong GDTMĐT là toàn diện, đề cập đến cách thức lưu trữ và xử lý DLCN của doanh nghiệp trong bất kỳ lĩnh vực nào.

Thứ ba, EU quan tâm đến việc bảo vệ NTD hơn các quy định tại Hoa Kỳ. Hệ thống các nguyên tắc trong GDPR góp phần tạo nên trạng thái cân bằng giữa NTD và các doanh nghiệp.

Thứ tư, các chế tài tại GDPR thiên về phạt hành chính mà chưa quy định các chế tài hình sự trong bối cảnh các vi phạm về bảo vệ DLCN trong GDTMĐT ngày càng tinh vi và gây thiệt hại lớn cho NTD.

Kinh nghiệm cho Việt Nam

Đối chiếu với những điểm nổi bật trên, pháp luật về bảo vệ DLCN trong GDTMĐT tại Việt Nam cần học tập một số kinh nghiệm sau:

Một là, xây dựng một văn bản pháp luật riêng bảo vệ DLCN. 

Hai là, các quy định về chế tài đối với các hành vi vi phạm tại châu Âu có tính răn đe. Chế độ tài chính phạt vi phạm quyền về sự riêng tư nói chung và DLCN nói riêng ở Châu Âu là tương xứng với mức độ nghiêm trọng của hành vi vi phạm.

Ba là, có sự phân biệt giữa DLCN và DLCN nhạy cảm vì giá trị của hai loại dữ liệu này có sự chênh lệch nhau. Việc phân biệt theo GDPR tạo điều kiện để pháp luật Việt Nam có cơ chế bảo vệ hợp lý hơn. 

Bốn là, thiết lập cơ quan bảo vệ riêng biệt về DLCN nhằm tham mưu việc xây dựng pháp luật, theo dõi việc triển khai và áp dụng, kịp thời giải thích và hướng dẫn.

2.3. Nhật Bản

Quy định pháp luật

Nhật Bản đã ban hành một đạo luật riêng áp dụng cho các vấn đề riêng tư trực tuyến là Luật Bảo vệ TTCN (The Act on the Protection of Personal Information – APPI) được phê duyệt vào tháng 5/2003, bắt đầu có hiệu lực vào ngày 01/4/2004.

Kể từ khi được phê duyệt vào tháng 5/2003, APPI đã trải qua 2 đợt sửa đổi, gần đây nhất là sửa đổi 2020 đã đưa ra những cải biến thích hợp để thống nhất với GDPR của Châu Âu về bảo vệ quyền riêng tư cá nhân.

- Sửa đổi năm 2017: Những thay đổi đáng chú ý là việc thành lập PPC (Personal Information Protection Commission - Ủy ban bảo vệ dữ liệu thông tin) và đưa ra yêu cầu rằng APPI phải được xem xét ba năm một lần. Ứng dụng ngoài lãnh thổ của APPI cũng được mở rộng. 

- Sửa đổi năm 2020: bổ sung làm rõ thêm về đặc quyền ngoại giao và đưa ra yêu cầu về sự đồng ý của người dùng trước khi chuyển TTCN cho bên thứ ba, đồng thời mở rộng các chức năng của PPC, cũng như đưa ra các hình phạt nghiêm khắc hơn đối với các vi phạm.

Nhìn chung, kể từ khi APPI 2017 chính thức có hiệu lực đã khắc phục được một phần các bất cập mà pháp luật Nhật Bản gặp phải trước đó, nổi bật ở một số điểm sau:

Thứ nhất, APPI 2017 đã có cái nhìn cụ thể hơn về dữ liệu nhạy cảm, coi những thông tin liên quan đến chủng tộc, tín ngưỡng, tôn giáo, địa vị xã hội, hồ sơ tội phạm và quá khứ của một cá nhân là thông tin nhạy cảm.

Thứ hai, APPI 2017 vẫn hướng tới việc để các cơ quan có thẩm quyền tự đặt ra các biện pháp thích hợp nhưng đặt ra một số chính sách cơ bản do Chính phủ quy định, đòi hỏi một số tiêu chí nhất định tại Điều 7, hạn chế sự mâu thuẫn trong các phương thức bảo vệ DLCN.

Thứ ba, theo APPI 2017, Ủy ban Bảo vệ thông tin cá nhân (PPC) được thành lập. PPC là cơ quan bảo vệ dữ liệu cấp trung ương chịu trách nhiệm cho việc thi hành, điều tra xử lý, ban hành hướng dẫn tuân thủ APPI, tạo ra sự thống nhất cao, tránh tình trạng hướng dẫn nằm phân tán trong các quy định. Đây được xem là bước tiến đáng chú ý nhất của pháp luật tại Nhật Bản.

Thứ tư, APPI 2017 đã tạo ra khuôn khổ pháp lý để thúc đẩy việc sử dụng DLCN. Một doanh nghiệp xử lý DLCN có thể tạo ra thông tin được xử lý ẩn danh và xử lý DLCN theo các tiêu chuẩn được quy định bởi PPC tạo điều kiện phát triển hoặc thúc đẩy hoạt động kinh doanh hoặc đổi mới.

Thứ năm, các điều khoản phạt đã được mở rộng, hướng tới nhiều đối tượng chủ thể hơn, hình phạt cũng nghiêm khắc hơn. APPI 2017 hướng tới mọi cá nhân, cơ quan, tổ chức, nếu các đối tượng này thực hiện hành vi xâm phạm đến TTCN của các chủ thể dữ liệu. Tuy nhiên, vấn đề về bồi thường thiệt hại cho chủ thể dữ liệu vẫn chưa được đề cập đến trong APPI 2017.

Kinh nghiệm cho Việt Nam

Sự chuyển mình mạnh mẽ của pháp luật Nhật Bản trong lĩnh vực bảo vệ DLCN chính là kinh nghiệm quý giá mà Việt Nam có thể tham khảo:

Một là, cách định nghĩa “TTCN” trong pháp luật Nhật Bản có ý nghĩa bao hàm rộng hơn, khái quát hơn so với một số quốc gia khác trên thế giới. Cụ thể, “TTCN” là thông tin về cá nhân còn sống có thể giúp xác định cụ thể cá nhân đó. Trong khi đó, khái niệm “DLCN” được đề cập đến tại khoản 4 Điều 2 APPI 2003 lại bị giới hạn ở dạng TTCN được mã hóa và được phép truy xuất. Khái niệm này cho thấy, phạm trù của DLCN nhỏ hơn nhiều so với “TTCN”.

Hai là, ban hành một văn bản pháp luật hoàn toàn mới, chuyên biệt để quy định một cách rộng rãi và toàn diện tất cả các vấn đề pháp lý liên quan đến DLCN và bảo vệ DLCN nhằm tránh sự chồng chéo nhau trong các quy định của pháp luật.

Ba là, thành lập một cơ quan chuyên biệt, độc lập để giám sát và thực thi pháp luật về bảo vệ DLCN. Tại Nhật Bản, với sự ra đời của PPC, việc thực thi pháp luật đã có những chuyển biến tích cực, giúp bảo đảm thực thi pháp luật một cách hiệu quả trên thực tiễn, đồng thời liên tục thực hiện nghiên cứu để có thể đưa ra những định hướng sửa đổi, bổ sung.

Bốn là, thiết lập một cơ chế bảo hộ cụ thể, riêng biệt đối với các đối tượng yếu thế trong xã hội. APPI 2017 đã có những thay đổi lớn, nhưng cũng có những khía cạnh đạo luật này chưa thể giải quyết, trong đó có việc tạo ra một màn chắn bảo vệ dành cho những người chưa thành niên hoặc người không có đầy đủ năng lực hành vi dân sự.

Năm là, ban hành các quy định liên quan đến trách nhiệm bồi thường thiệt hại. Trách nhiệm bồi thường thiệt hại như một công cụ để khắc phục hậu quả mà hành vi xâm phạm đến thông tin, DLCN gây ra. Đây cũng là một vấn đề mà APPI 2017 vẫn chưa thể giải quyết tới. 

3. Một số kiến nghị về bảo vệ dữ liệu cá nhân trong giao dịch thương mại điện tử tại Việt Nam

Quy định hiện hành

Về cơ bản, các quy định của pháp luật Việt Nam bảo vệ DLCN được tiếp cận và phát triển từ quyền riêng tư – với tư cách là quyền cơ bản của con người được nhiều nước trên thế giới công nhận. Ở Việt Nam hiện nay có khoảng 65 văn bản quy phạm pháp luật được rà soát có liên quan đến DLCN như Hiến pháp năm 2013, Bộ luật Dân sự năm 2015; Bộ luật Hình sự năm 2015 (sửa đổi, bổ sung năm 2017); Luật Tiếp cận thông tin năm 2016; Luật An ninh mạng năm 2018; Luật Xử lý vi phạm hành chính năm 2012 (sửa đổi, bổ sung năm 2020); Luật Giao dịch điện tử năm 2005[7].

Mỗi văn bản quy phạm này lại có một cách quy định khác nhau về thông tin liên quan đến DLCN đề cập đến những vấn đề liên quan đền quyền và nghĩa vụ của các chủ thể, việc xử lý thông tin, các phương thức bảo vệ DLCN. 

Một điểm tiến bộ của pháp luật Việt Nam trong bảo vệ DLCN đó là đã quy định chế tài hình sự về các tội danh liên quan đến xâm phạm DLCN và TTCN, tạo ra cơ sở cho các cơ quan chức năng xử phạt các hành vi vi phạm cũng như góp phần cảnh tỉnh người dùng khi tham gia các hoạt động giao dịch qua mạng để tránh bị xâm hại DLCN. Nhà nước cũng đã có các quy định về đăng ký website TMĐT.

Về hạn chế, pháp luật nước ta còn rất nhiều bất cập trong việc bảo vệ DLCN trong hoạt động GDTMĐT. Có thể thấy các văn bản pháp luật hiện tại chưa phản ánh đầy đủ thực tiễn hoạt động GDTMĐT. Dù có 03 văn bản pháp luật chính để điều chỉnh là Bộ Luật Dân sự, Luật Thương mại, Luật giao dịch điện tử nhưng các quy định vẫn còn rất chung chung.

Nhà nước chưa có quy định pháp luật để điều chỉnh hợp đồng TMĐT theo mẫu nên mỗi người bán lại tự soạn các điều khoản có lợi cho mình. Trong khi chưa có cơ sở pháp lý điều chỉnh việc giao kết hợp đồng TMĐT theo mẫu thì các giao dịch này lại phát triển ngày một nhanh chóng. Thêm đó, việc chưa có  các quy định về công chứng hợp đồng TMĐT khiến cho NTD gặp nhiều bất lợi. 

Ngoài ra, định nghĩa về DLCN tại Việt Nam còn nằm rải rác trong nhiều văn bản nên thiếu tập trung, gây khó khăn cho việc tiếp cận và thi hành. Các văn bản quy định về DLCN hay TTCN của người dùng còn chồng chéo, có những quy định hay định nghĩa khác nhau dẫn đến việc lách luật, vi phạm diễn ra tại nước ta là tương đối dễ dàng và phổ biến.

Chế tài xử lý nhẹ cũng như khó xác định chủ thể trong các vi phạm là một trong những hạn chế lớn của pháp luật nước ta trong hoạt động bảo vệ DLCN. Mức phạt được đánh giá là quá nhẹ so với lợi nhuận thu được khiến cho các đối tượng vẫn bất chấp để thực hiện việc thu thập thông tin, dữ liệu người dùng trái phép và bán cho các bên thứ ba.

Trong các chế định về bảo vệ quyền lợi NTD thì chưa có chế định về “Class-action” - khởi kiện tập thể trong quy định của Luật Bảo vệ quyền lợi NTD. Khi vụ khởi kiện tập thể thành công, giá trị đền bù thiệt hại cho NTD sẽ cho nhiều người và giá trị của đền bù thiệt hại sẽ lớn gấp nhiều lần để đảm bảo tất cả những người có quyền lợi tương tự được đảm bảo đền bù.

Một số kiến nghị

Nhóm giải pháp hoàn thiện nội dung pháp luật:

Thứ nhất, các cơ quan chức năng có thẩm quyền nên sớm đưa ra một văn bản quy phạm pháp luật cụ thể quy định riêng biệt về bảo vệ DLCN trong GDTMĐT.

Pháp luật Việt Nam về bảo vệ DLCN được quy định phân tán rải rác trong các văn bản quy phạm pháp luật khác nhau gây ra sự chồng chéo, thậm chí là “vênh” nhau, chưa đáp ứng được yêu cầu từ thực tế. Việc ban hành một văn bản pháp luật hoàn toàn mới, chuyên biệt để quy định một cách rộng rãi và toàn diện tất cả các vấn đề pháp lý liên quan đến DLCN và bảo vệ DLCN trong GDTMDT là cần thiết. Cần chú ý đến một số nội dung sau khi xây dựng văn bản quy phạm pháp luật:

Tiến hành xây dựng định nghĩa về DLCN, nguyên tắc bảo vệ DLCN và cụ thể hóa bản chất pháp lý của DLCN. Việt Nam cần tham khảo cách định nghĩa của GDPR của Liên minh châu Âu hoặc APPI của Nhật Bản. Cần phân loại DLCN thành DLCN cơ bản và DLCN nhạy cảm để có mức độ bảo vệ phù hợp đối với từng loại dữ liệu.

Mở rộng phạm vi của DLCN bao gồm nhóm thông tin định danh và bất kỳ thông tin nào khác (như ngoại hình, thể chất, các yếu tố văn hóa - xã hội…), không phụ thuộc vào việc đó là thông tin được thu thập trực tiếp hay thông tin đã được xử lý. Việc mở rộng phạm vi của DLCN cũng góp phần tăng cường trách nhiệm của các tổ chức thu thập, xử lý DLCN.

Xây dựng hệ thống quyền và nghĩa vụ đúng, gọn, rõ đề cao phương pháp bình đẳng thỏa thuận trong các quan hệ xử lý dữ liệu. Pháp luật thay vì quy định theo hướng liệt kê, cố gắng đưa các giả định mang tính dự báo trong quy phạm thì cần tập trung đưa ra các nguyên tắc tiền đề, mang tính định hướng, có thể học tập bộ nguyên tắc trong GDPR.

Cân bằng lợi ích giữa cá nhân người dùng và chủ thể xử lý dữ liệu phục vụ GDTMĐT cần được lưu ý trong việc xây dựng quy định pháp luật.

Thứ hai, rà soát và điều chỉnh các văn bản quy phạm pháp luật hiện hành có quy định liên quan đến DLCN trong GDTMĐT. Việc điều chỉnh bổ sung cần chú ý một số nội dung sau:

Tăng mức chế tài hình sự và chế tài hành chính và quy định cụ thể hành vi vi phạm quy định về bảo vệ DLCN. Về mức xử phạt và hình phạt, Việt Nam có thể tham khảo GDPR và APPI. Ngoài ra, các hình phạt bổ sung cần đa dạng, phù hợp để răn đe. Bên cạnh đó, cần tiến hành nghiên cứu tội phạm hóa đối với hành vi thu thập, sử dụng khai thác, chuyển nhượng trái phép DLCN gây hậu quả nghiêm trọng hoặc thực hiện ở quy mô lớn.

Quy trình và quy định giải quyết khiếu nại của NTD cần được xem xét và bổ sung. Việc giải quyết các tranh chấp liên quan đến TMĐT hiện nay gặp nhiều vướng mắc ở việc thu thập chứng cứ bởi để thu thập được những dấu vết điện tử này, cần sử dụng kỹ thuật, công nghệ máy tính và phần mềm phù hợp để có thể phục hồi lại những “dấu vết điện tử” đã bị xóa, bị ghi đè, những dữ liệu tồn tại dưới dạng ẩn, đã mã hóa, những phần mềm, mã nguồn được cài đặt dưới dạng ẩn. Theo nhóm tác giả, pháp luật cần có quy định về quyền yêu cầu, trình tự thủ tục thu giữ và lưu giữ dữ liệu điện tử.

Về các chủ thể, cần nghiên cứu, sửa đổi và bổ sung các quy định trường hợp có chủ thể thứ ba liên quan như tổ chức, cá nhân trung gian đứng ra mua bán thông tin hoặc tổ chức, cá nhân được uỷ quyền thu thập thông tin NTD. 

Thứ ba, thành lập một cơ quan chuyên trách về bảo vệ DLCN trong GDTMĐT.

Nhóm tác giả đề xuất lập một Ủy ban quốc gia về bảo vệ DLCN thực hiện một số nhiệm vụ: tư vấn, tham mưu, đào tạo, nghiên cứu khoa học, thống kê ý kiến, xử lý tranh chấp ở mức cơ bản, phổ thông, giám sát thực hiện pháp luật về bảo vệ DLCN. Tại Nhật Bản, với sự ra đời của PPC, việc thực thi pháp luật đã có những chuyển biến tích cực.

Nhóm giải pháp nâng cao hiệu quả thực thi pháp luật gồm:

Thứ nhất, các cơ quan nhà nước, tổ chức xã hội cần tăng cường tuyên truyền, giáo dục, nâng cao ý thức pháp luật về bảo vệ DLCN trong GDTMĐT cho NTD.

Thứ hai, Hội đồng thẩm phán Tòa án nhân dân tối cao cần cân nhắc ban hành án lệ có chứa một số nội dung: xác định thuật ngữ, xác định bản chất của DLCN, xác định một số hành vi mới xuất hiện mà các văn bản pháp luật chưa kịp cập nhật. 

Thứ ba, khuyến khích cơ chế tự điều chỉnh giữa các bên.

Thứ tư, đổi mới quy trình tiếp nhận tin báo và xử lý vi phạm, thiết lập bộ phận chuyên trách về bảo vệ DLCN trong GDTMĐT. 

Thứ năm, cần thúc đẩy các hoạt động hợp tác quốc tế về bảo vệ DLCN thông qua việc tham gia các thiết chế đa phương hoặc khu vực về chuyển DLCN xuyên biên giới.

Thứ sáu, Nhà nước cần tăng cường kiểm tra giám sát hoạt động sử dụng DLCN trong GDTMĐT. Cục Thương mại điện tử và Kinh tế số cần phối hợp chặt chẽ với Cục Cạnh tranh & Bảo vệ người tiêu dùng (Bộ Công Thương) trong việc thanh tra, kiểm tra. 

Thứ bảy, tổ chức các buổi Hội thảo, tọa đàm nhằm cung cấp góc nhìn, cách phân tích, góp phần hoàn thiện khung pháp lý, tăng cường năng lực thực thi về bảo vệ DLCN trong GDTMĐT.

Thứ tám, cần mở các lớp tập huấn về pháp luật theo chuyên đề, thực hành giải quyết tình huống, tiếp cận tri thức về khoa học kĩ thuật để phục vụ công tác bảo vệ DLCN trong GDTMĐT.

DƯƠNG LAN PHƯƠNG-BÙI LÊ HIẾU-TRẦN NGUYÊN TÂM

Học viện Tòa án