/ Phân tích - Nghiên cứu
/ Thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và hướng hoàn thiện

Thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và hướng hoàn thiện

05/01/2021 18:15 |

(LSVN) - Gần đây, nhiều vụ lộ, lọt thông tin cá nhân do các chủ thể kinh doanh nắm giữ và tình trạng mua bán, chuyển nhượng trái phép thông tin cá nhân đã được đề cập trên các phương tiện thông tin đại chúng. Tuy nhiên, hiệu lực, hiệu quả điều chỉnh pháp luật về bảo vệ thông tin cá nhân ở nước ta hiện nay còn nhiều bất cập. Trong phạm vi bài viết này, tác giả phân tích những thành tựu, chỉ rõ những hạn chế cơ bản của pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và đề xuất phương hướng, giải pháp khắc phục.

Ảnh minh họa. Nguồn: Internet.

Quy định của pháp luật hiện hành về bảo vệ thông tin cá nhân

Thông tin cá nhân (TTCN) là loại thông tin mà người nắm được thông tin này có thể xác định được danh tính của một cá nhân con người cụ thể. Những TTCN thường được nhắc đến bao gồm: họ tên, ngày sinh, địa chỉ nơi ở, địa chỉ nơi làm việc, số điện thoại cá nhân, thư điện tử, số tài khoản ngân hàng, số thẻ tín dụng, số chứng minh nhân dân, thông tin trong hồ sơ y tế v.v.. Các thông tin này, khi được tiếp cận bởi doanh nghiệp, có thể trở thành nguồn dữ liệu có giá trị thương mại nhất thông qua các hoạt động truyền thông, quảng bá, tiếp thị và các hoạt động cạnh tranh trên thương trường.

Vì vậy, doanh nghiệp muốn nắm bắt, thu thập, sử dụng, phân tích, khai thác TTCN của khách hàng hiện tại và các khách hàng tiềm năng. Tuy nhiên, ở một chiều cạnh khác, để bảo đảm cuộc sống riêng tư, sự tự do cần thiết trong đời sống thường nhật, nhìn chung, các cá nhân không muốn TTCN của mình bị lộ, lọt vào tay những người mà người có TTCN không biết họ sẽ sử dụng thông tin đó cho mục đích gì. Nói cách khác, mỗi cá nhân rất không muốn các TTCN của mình bị rơi vào tay người lạ.

Chính vì thế, mỗi cá nhân thường có nhu cầu kiểm soát (hoặc tìm cách kiểm soát) sự lan truyền TTCN liên quan tới bản thân mình.Đáp ứng được mối lo ngại đó, trong những thập niên gần đây, pháp luật ở nhiều quốc gia trên thế giới đã thiết lập các chuẩn mực về việc tiếp cận, sử dụng TTCN trong các giao dịch giữa cá nhân với doanh nghiệp hoặc giữa cá nhân với các cơ quan công quyền. Việt Nam cũng không phải là ngoại lệ.

Ở Việt Nam, thuật ngữ “TTCN” đã được nhắc tới trong Luật Dược năm 2005 và yêu cầu bảo mật “TTCN” trong lĩnh vực hàng không đã được đề cập trong Luật Hàng không dân dụng năm 2006[1]. Tuy nhiên, các quy định cụ thể về bảo vệ TTCN chỉ thực sự xuất hiện trong Luật Công nghệ thông tin năm 2006 (Luật CNTT). Mặc dù vậy, Luật CNTT chỉ quy định việc bảo vệ TTCN trên môi trường mạng chứ không quy định chung cho việc bảo vệ TTCN.

Theo quy định của khoản 1 Điều 21 Luật CNTT, tổ chức, cá nhân “thu thập, xử lý và sử dụng TTCN của người khác trên môi trường mạng phải được người đó đồng ý trừ trường hợp pháp luật có quy định khác”. Khi thu thập, xử lý và sử dụng TTCN của người khác, chủ thể thực hiện hành vi này có trách nhiệm: “a) Thông báo cho người đó biết về hình thức, phạm vi, địa điểm và mục đích của việc thu thập, xử lý và sử dụng TTCN của người đó; b) Sử dụng đúng mục đích TTCN thu thập được và chỉ lưu trữ những thông tin đó trong một khoảng thời gian nhất định theo quy định của pháp luật hoặc theo thoả thuận giữa hai bên; c) Tiến hành các biện pháp quản lý, kỹ thuật cần thiết để bảo đảm TTCN không bị mất, đánh cắp, tiết lộ, thay đổi hoặc phá huỷ; d) Tiến hành ngay các biện pháp cần thiết khi nhận được yêu cầu kiểm tra lại, đính chính hoặc hủy bỏ theo quy định tại khoản 1 Điều 22 của Luật này; không được cung cấp hoặc sử dụng TTCN liên quan cho đến khi thông tin đó được đính chính lại”.

Ngoại lệ cho việc thu thập, xử lý và sử dụng TTCN của người khác mà không cần sự đồng ý của người đó được đặt ra “trong trường hợp TTCN đó được sử dụng cho mục đích sau đây: a) Ký kết, sửa đổi hoặc thực hiện hợp đồng sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng; b) Tính giá, cước sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng; c) Thực hiện nghĩa vụ khác theo quy định của pháp luật”[2].

Khoản 1 Điều 22 Luật CNTT quy định quyền của chủ thể thông tin trong việc kiểm tra, yêu cầu đính chính hoặc hủy bỏ TTCN do chủ thể khác lưu trữ. Theo đó, “cá nhân có quyền yêu cầu tổ chức, cá nhân lưu trữ TTCN của mình trên môi trường mạng thực hiện việc kiểm tra, đính chính hoặc hủy bỏ thông tin đó”[3]. Khoản 2 Điều 22 Luật CNTT quy định “tổ chức, cá nhân không được cung cấp TTCN của người khác cho bên thứ ba, trừ trường hợp pháp luật có quy định khác hoặc có sự đồng ý của người đó”. Thêm vào đó, “cá nhân có quyền yêu cầu bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp TTCN”[4].

Có thể nói rằng, các quy định kể trên hàm ý rằng, việc “thu thập, xử lý, sử dụng, chuyển nhượng TTCN” của bất cứ tổ chức, cá nhân nào trên môi trường mạng đều phải bảo đảm yêu cầu về “tính hợp pháp”. Chủ thể TTCN có một số quyền nhất định đối với tổ chức, cá nhân thu thập, xử lý, sử dụng và chuyển nhượng TTCN.Điểm đáng nói là, Luật CNTT chỉ mới khẳng định các nghĩa vụ và ràng buộc pháp lý kể trên đối với việc thu thập, xử lý, lưu trữ, chuyển nhượng TTCN trên môi trường mạng. Do đó, đạo luật này để lại một khoảng trống pháp lý đối với việc bảo vệ TTCN không ở trên môi trường mạng (tức là ở môi trường vật lý - môi trường offline). Thêm vào đó, thuật ngữ “chủ thể TTCN” hoặc chủ thể dữ liệu (data subject) chưa được sử dụng trong đạo luật này.Trên cơ sở quy định của Luật CNTT, Chính phủ đã ban hành Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước.

Nghị định này lần đầu tiên có quy định tại khoản 5 Điều 3 giải thích “TTCN” là “thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác”[5]. Tiếp nối quy định này, các quy định về bảo vệ TTCN còn được quy định trong Luật Bảo vệ người tiêu dùng năm 2010 về “bảo vệ thông tin của người tiêu dùng” (Điều 6).

Theo quy định này, người tiêu dùng được bảo đảm an toàn, bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan nhà nước có thẩm quyền yêu cầu. Trường hợp thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng thì tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ có trách nhiệm: a) Thông báo rõ ràng, công khai trước khi thực hiện với người tiêu dùng về mục đích hoạt động thu thập, sử dụng thông tin của người tiêu dùng; b) Sử dụng thông tin phù hợp với mục đích đã thông báo với người tiêu dùng và phải được người tiêu dùng đồng ý; c) Bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng; d) Tự mình hoặc có biện pháp để người tiêu dùng cập nhật, điều chỉnh thông tin khi phát hiện thấy thông tin đó không chính xác; đ) Chỉ được chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi có sự đồng ý của người tiêu dùng, trừ trường hợp pháp luật có quy định khác.

Riêng với lĩnh vực thương mại điện tử, Nghị định số 52/2013/NĐ-CP về thương mại điện tử có khá nhiều quy định quan trọng về bảo vệ TTCN của người tiêu dùng. Điều đặc biệt, Nghị định này (khoản 13 Điều 3) đã chính thức đưa ra định nghĩa “TTCN” là “các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật”[6]. Nghị định này cũng chính thức sử dụng cụm từ “chủ thể thông tin” tương đồng với thuật ngữ “information subject” (hoặc data subject) mà pháp luật về bảo vệ TTCN ở nhiều quốc gia xác định.Bộ luật Dân sự năm 2015 (BLDS) đã bổ sung quy định về “quyền về đời sống riêng tư” (Điều 38) bên cạnh các nội dung về “bí mật cá nhân” và “bí mật gia đình” vốn đã được quy định trong BLDS năm 1995 và 2005 trước đó.

Cụ thể, theo quy định của Điều 38 BLDS (Quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình): (1) Đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ; (2) Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến bí mật gia đình phải được các thành viên gia đình đồng ý, trừ trường hợp luật có quy định khác; … (4) Các bên trong hợp đồng không được tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình của nhau mà mình đã biết được trong quá trình xác lập, thực hiện hợp đồng, trừ trường hợp có thỏa thuận khác.Trong năm 2015, Luật An toàn thông tin mạng (Luật ATTT mạng) được ban hành với nhiều quy định về bảo vệ TTCN trên môi trường mạng (trên không gian mạng).

Trong Luật ATTT mạng, lần đầu tiên thuật ngữ “TTCN” được một đạo luật giải thích là “thông tin gắn với việc xác định danh tính của một người cụ thể” (khoản 15 Điều 3). Luật này cũng giải thích thuật ngữ “chủ thể TTCN” (khoản 16 Điều 3) với ý nghĩa đó là “người được xác định từ TTCN đó”.

Luật này cũng quy định khá rõ về “nguyên tắc bảo vệ TTCN trên mạng” (Điều 16), việc “thu thập và sử dụng TTCN” (Điều 17), việc “cập nhật, sửa đổi và hủy bỏ TTCN” (Điều 18), yêu cầu “bảo đảm an toàn TTCN trên mạng” (Điều 19) và “trách nhiệm của cơ quan quản lý nhà nước trong bảo vệ TTCN trên mạng” (Điều 20).

Ngoài ra, BLDS, Nghị định về xử lý vi phạm hành chính liên quan tới hoạt động thương mại điện tử cũng bước đầu có các quy định về các biện pháp chế tài đối với hành vi vi phạm. Chẳng hạn, khoản 4 Điều 84 Nghị định số 185/2013/NĐ-CP ngày 15/11/2013 của Chính phủ (Nghị định số 185) quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng (được sửa đổi, bổ sung bởi Nghị định số 124/2015/NĐ-CP) quy định: “Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi vi phạm sau đây: a) Thu thập TTCN của người tiêu dùng mà không được sự đồng ý trước của chủ thể thông tin; b) Thiết lập cơ chế mặc định buộc người tiêu dùng phải đồng ý với việc TTCN của mình bị chia sẻ, tiết lộ hoặc sử dụng cho mục đích quảng cáo và các mục đích thương mại khác; c) Sử dụng TTCN của người tiêu dùng không đúng với mục đích và phạm vi đã thông báo.”

Ngoài ra, chủ thể vi phạm còn bị đình chỉ hoạt động thương mại điện tử từ 06 tháng đến 12 tháng trong trường hợp vi phạm nhiều lần hoặc tái phạm và bị buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm.

Hành vi vi phạm quy định về thu thập, sử dụng TTCN còn có thể bị phạt theo quy định tại Điều 84 Nghị định số 15/2020/NĐ-CP ngày 3/2/2020 quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử.

Những hạn chế trong quy định của pháp luật hiện hành về bảo vệ thông tin cá nhân

Pháp luật về bảo vệ TTCN ở Việt Nam cho tới nay còn một số điểm hạn chế cơ bản như sau:

Thứ nhất, định nghĩa về TTCN còn chưa thống nhất giữa các văn bản quy phạm pháp luật có liên quan (thể hiện cả trong nội dung quy định và trong kỹ thuật lập pháp). Ví dụ, định nghĩa về “TTCN” trong Luật ATTT mạng ngắn gọn, trong khi Nghị định số 52/2013/NĐ-CP của Chính phủ về thương mại điện tử lại quy định cụ thể, chi tiết và có những điểm khó đánh giá là có hoàn toàn tương hợp với quy định của Luật ATTT mạng không[7]; Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 sử dụng cụm từ “thông tin của người tiêu dùng” (Điều 6) để hàm chứa “TTCN” của người tiêu dùng, trong khi đó, Luật ATTT mạng và Nghị định số 52/2013/NĐ-CP lại dùng cụm từ “TTCN”.

Thứ hai, các quy định hiện hành mới tập trung điều chỉnh việc bảo vệ TTCN trên môi trường mạng (hoặc môi trường không gian mạng), chưa có quy định cụ thể về bảo vệ TTCN trong môi trường truyền thống. Điều này tạo ra sự chia cắt trong điều chỉnh pháp luật giữa không gian thực và không gian ảo, không phù hợp với thực tiễn có sự hòa trộn, kết nối một cách khó phân tách giữa không gian thực (không gian vật lý) và không gian ảo của thời kỳ Cách mạng công nghiệp lần thứ tư.

Thứ ba, pháp luật bảo vệ TTCN chưa bắt kịp được với thực tiễn sử dụng các dữ liệu cá nhân như dữ liệu về hình ảnh cá nhân (công nghệ nhận diện khuôn mặt), các dữ liệu sinh trắc (chẳng hạn: vân tay, mống mắt v.v..)… Chính vì vậy, khi doanh nghiệp sử dụng các dữ liệu này, có một vấn đề được đặt ra là các quy định bảo vệ TTCN hiện hành có được áp dụng với các doanh nghiệp này không và liệu có cần quy định các biện pháp mang tính chặt chẽ hơn đối với doanh nghiệp thu thập và sử dụng dữ liệu sinh trắc của người tiêu dùng không? Lý do là, nếu như “địa chỉ”, “số điện thoại” của một người cũng được xếp vào TTCN thì rõ ràng, các dữ liệu về sinh trắc học, tuy cũng có thể coi là “dữ liệu” hoặc “TTCN” nhưng độ “nhạy cảm” của các dữ liệu này lớn hơn nhiều so với thông tin về “số điện thoại” hoặc “tên”, “tuổi” của chủ thể TTCN.

Thứ tư, các văn bản pháp luật về bảo vệ TTCN chưa dự liệu tới những tình huống thực tế trong thu thập, xử lý TTCN như: việc thu thập và xử lý TTCN là trẻ em cần lấy ý kiến đồng ý của những ai, việc chuyển TTCN xuyên biên giới cần được kiểm soát như thế nào, việc vô danh hóa TTCN để sử dụng phải chịu những ràng buộc pháp lý nào v.v..

Thứ năm, chưa có quy định về quyền được quên (right to be forgotten) trong những trường hợp cần thiết (một loại quyền năng có giá trị nhân bản mà pháp luật về bảo vệ TTCN của nhiều quốc gia đã có quy định).

Thứ sáu, chưa có quy định cụ thể về trách nhiệm bồi thường thiệt hại đối với chủ thể có hành vi sai trái trong việc thu thập và sử dụng TTCN. Đây cũng là khoảng trống pháp lý cần được xử lý.

Thứ bảy, giữa Nghị định số 185 và Nghị định số 15/2020/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực công nghệ thông tin (Nghị định số 15) tuy không có quá nhiều khác biệt về mức phạt tiền đối với việc thực hiện cùng một hành vi vi phạm (chẳng hạn: thu thập TTCN trái phép) nhưng biện pháp khắc phục hậu quả thì lại không hoàn toàn giống nhau. Cụ thể, khoản Điều 84 Nghị định số 15 quy định như sau: “Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau: a) Sử dụng không đúng mục đích TTCN đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể TTCN; b) Cung cấp hoặc chia sẻ hoặc phát tán TTCN đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi chưa có sự đồng ý của chủ TTCN; c) Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật TTCN của người khác”, tuy nhiên, biện pháp khắc phục hậu quả chỉ là buộc hủy bỏ TTCN do thực hiện hành vi vi phạm.

Thứ tám, mức xử phạt đối với các hành vi vi phạm pháp luật về bảo vệ TTCN trong Nghị định số 185 và Nghị định số 15 còn nhẹ[8] so với thông lệ của nhiều quốc gia trên thế giới[9] và cũng chưa đáp ứng được yêu cầu đấu tranh phòng, chống vi phạm pháp luật trong lĩnh vực này (thường là các vi phạm rất khó phát hiện, xử lý).

Thứ chín, Bộ luật Hình sự năm 2015 đã được sửa đổi, bổ sung năm 2017 mới chỉ có một số quy định bước đầu tại Điều 159 về tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác và Điều 288 về tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông[10]. Tuy nhiên, 02 tội danh này chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới TTCN đang diễn ra hiện nay. Đây cũng là khoảng trống pháp lý cần được xử lý.   

Kiến nghị

Trước mắt, để bảo đảm hiệu lực, hiệu quả điều chỉnh của pháp luật về bảo vệ TTCN ở Việt Nam, rất cần khắc phục những điểm hạn chế nêu trên. Cụ thể:

Thứ nhất, khắc phục những điểm chưa thống nhất, đồng bộ trong nội dung và kỹ thuật lập pháp giữa các văn bản có liên quan như đã chỉ ra ở trên, đồng thời xem xét nâng mức xử phạt vi phạm hành chính đối với chủ thể có hành vi vi phạm (đối với doanh nghiệp có hành vi vi phạm, có thể xác định mức phạt tính theo doanh thu hoặc theo quy mô của doanh nghiệp vi phạm) nhằm bảo đảm tính răn đe, phòng ngừa chung.

Tiêu biểu trong xu hướng này phải kể tới các quốc gia trong Liên minh châu Âu. Năm 2016, Liên minh châu Âu ban hành Quy chế chung về bảo vệ dữ liệu cá nhân (General Data Protection Regulation - GDPR), có hiệu lực từ ngày 25/5/2018. GDPR đã quy định chi tiết trách nhiệm của chủ thể thu thập, xử lý TTCN trong đó có trách nhiệm của người trực tiếp tiến hành công việc thu thập, xử lý TTCN trong doanh nghiệp. Mức phạt cho hành vi vi phạm có thể lên tới mức 4% doanh thu của năm tài chính trước thời điểm xảy ra hành vi vi phạm. Nhiều quốc gia châu Âu đã ban hành Luật về Bảo vệ TTCN trên cơ sở nội luật hóa các quy định của GDPR.

Thứ hai, có hướng dẫn rõ hơn về việc bồi thường thiệt hại (chế tài dân sự) đối với chủ thể có hành vi vi phạm theo hướng tạo điều kiện thuận lợi cho chủ thể thông tin bị xâm hại quyền lợi có thể khởi kiện đòi bồi thường thiệt hại.

Thứ ba, nghiên cứu tội phạm hóa đối với hành vi thu thập, sử dụng, khai thác, chuyển nhượng trái phép TTCN gây hậu quả nghiêm trọng hoặc được thực hiện ở quy mô lớn, từ đó bổ sung các quy định về tội phạm hình sự có liên quan trong Bộ luật Hình sự hiện hành (với biện pháp chế tài áp dụng cho cả cá nhân có hành vi vi phạm và pháp nhân thương mại có hành vi vi phạm).Thứ tư, nghiên cứu xây dựng Luật Bảo vệ TTCN, trên cơ sở kế thừa một số quy định về bảo vệ TTCN đã có trong Luật Công nghệ thông tin năm 2006, Luật An toàn thông tin mạng năm 2015, Nghị định số 52/2013/NĐ-CP về thương mại điện tử nhưng điều chỉnh toàn diện hơn việc bảo vệ TTCN (không chỉ giới hạn việc bảo vệ TTCN trong “không gian mạng”), nhất là việc quy định đầy đủ hơn các nguyên tắc bảo vệ TTCN[11] (nguyên tắc bảo đảm có chủ thể chịu trách nhiệm rõ ràng về các vi phạm trong quá trình xử lý TTCN; bảo đảm tính minh bạch và công bằng trong xử lý TTCN…), quy định về việc thu thập và xử lý TTCN liên quan tới trẻ em, quy định rõ hơn trách nhiệm của các chủ thể tham gia vào quá trình thu thập, lưu trữ, xử lý, khai thác, chuyển giao TTCN, việc chuyển TTCN xuyên biên giới, cùng các biện pháp chế tài nghiêm khắc, trách nhiệm quản lý nhà nước về bảo vệ TTCN để xử lý nhiều bất cập trong thực tiễn bảo vệ TTCN, góp phần duy trì niềm tin của người dân về an ninh, an toàn TTCN khi tham gia vào nền kinh tế số.

Luật Bảo vệ TTCN cũng cần quy định cơ chế hợp tác quốc tế trong việc bảo vệ TTCN trong bối cảnh cuộc Cách mạng công nghiệp lần thứ tư cùng tiến trình hội nhập đang tác động rất mạnh mẽ tới Việt Nam và các nền kinh tế đối tác chủ yếu của Việt Nam.Trong ASEAN, Malaysia đã ban hành Luật Bảo vệ dữ liệu cá nhân năm 2010[12], Singapore đã ban hành Luật Bảo vệ dữ liệu cá nhân năm 2012 (Personal Data Protection Act of 2012) cùng Quy chế bảo vệ dữ liệu cá nhân năm 2014 (Personal Data Protection Regulations 2014)[13]. Thái Lan ban hành đạo luật đầu tiên về bảo vệ dữ liệu cá nhân (“Luật Bảo vệ dữ liệu cá nhân” - Personal Data Protection Act, năm 2019, có hiệu lực chính thức từ ngày 27/5/2020)[14].

Ở khu vực Đông Bắc Á, Nhật Bản ban hành Luật Bảo vệ TTCN lần đầu tiên vào năm 2003 nhưng đã tiến hành sửa đổi, bổ sung cơ bản vào năm 2016 với sự mô phỏng nhiều quy định của GDPR năm 2016 của châu Âu[15]. Hàn Quốc lần đầu tiên ban hành Luật Bảo vệ TTCN vào năm 2011 và từ đó tới nay, đạo luật này liên tục được sửa đổi, bổ sung vào các năm 2013, 2014, 2015, 2017 và lần gần đây nhất vào tháng 2/2020 để phục vụ việc phát triển nền kinh tế số của Hàn Quốc[16].

Tại Trung Quốc, ngày 28/5/2020, Quốc hội Trung Quốc đã ban hành BLDS đầu tiên trong lịch sử chế độ mới (có hiệu lực từ ngày 1/1/2021) với 1260 điều được chia thành 84 chương, trong đó có 1 chương riêng quy định về “quyền về đời sống riêng tư và bảo vệ TTCN” (từ Điều 1032 đến Điều 1039 của BLDS)[17] cùng nhiều quy định có liên quan[18]. Hiện tại, dự thảo Luật Bảo vệ TTCN của Trung Quốc cũng đang được gấp rút soạn thảo để dự kiến trình cơ quan lập pháp của nước này xem xét thông qua vào cuối năm 2020.Thứ năm, tăng cường quản lý nhà nước về bảo vệ TTCN, quy định rõ đầu mối cơ quan quản lý nhà nước về TTCN đồng thời trao cho cơ quan này đủ quyền hạn và công cụ quản lý cần thiết nhằm kịp thời phát hiện và xử lý nghiêm minh các hành vi vi phạm trong lĩnh vực bảo vệ TTCN.

[1] Tuy nhiên, thuật ngữ “thông tin cá nhân” đã được sử dụng tại khoản 3 Điều 57 Luật Dược năm 2005 dù không có sự giải thích. Khoản 2đ Điều 126 Luật Hàng không dân dụng năm 2006 có quy định “Doanh nghiệp kinh doanh hệ thống đặt giữ chỗ bằng máy tính phải tuân thủ các nguyên tắc sau đây: … Bảo mật thông tin cá nhân của khách hàng, trừ trường hợp theo yêu cầu của cơ quan nhà nước có thẩm quyền”.
[2] Khoản 3 Điều 21 Luật Công nghệ thông tin năm 2006.
[3] Khoản 1 Điều 22 Luật Công nghệ thông tin năm 2006.
[4] Khoản 3 Điều 22 Luật Công nghệ thông tin năm 2006.
[5] Nghị định này cũng quy định rõ việc “bảo vệ thông tin cá nhân do cơ quan nhà nước nắm giữ trên môi trường mạng” tại Điều 5 như sau:
“1. Cơ quan nhà nước thu nhập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng phải thực hiện theo quy định tại Điều 21 của Luật Công nghệ thông tin.
Các biện pháp bảo vệ thông tin cá nhân bao gồm: thông báo mục đích sử dụng thông tin cá nhân; giám sát quá trình xử lý thông tin cá nhân; ban hành thủ tục kiểm tra, đính chính hoặc hủy bỏ thông tin cá nhân; các biện pháp kỹ thuật khác.
Cơ quan nhà nước nắm giữ thông tin thuộc bí mật cá nhân phải có trách nhiệm bảo vệ những thông tin đó và chỉ được phép cung cấp, chia sẻ cho bên thứ ba có thẩm quyền trong những trường hợp nhất định theo quy định của pháp luật”.
[6] Trước đó, thuật ngữ “thông tin cá nhân” có được giải thích tại khoản 5 Điều 3Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước và khoản 3 Điều 3 Thông tư số 25/2010/TT-BTTTT ngày 15/11/2010 của Bộ Thông tin và Truyền thông quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước.
[7] Khoản 16 Điều 3 Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng đã có giải thích “Thông tin cá nhân là thông tin gắn liền với việc xác định danh tính, nhân thân của cá nhân bao gồm tên, tuổi, địa chỉ, số chứng minh nhân dân, số điện thoại, địa chỉ thư điện tử và thông tin khác theo quy định của pháp luật”. Khi được sửa đổi, bổ sung bởi Nghị định số 27/2018/NĐ-CP, nội dung vừa nêu được giữ nguyên.
[8] Khoản 4 Điều 84 Nghị định số 185/2013/NĐ-CP đã được sửa đổi, bổ sung năm 2015 quy định hành vi “thu thập thông tin cá nhân của người tiêu dùng mà không được sự đồng ý trước của chủ thể thông tin; sử dụng thông tin cá nhân của người tiêu dùng không đúng với mục đích và phạm vi đã thông báo” chỉ bị phạt tiền từ 20 đến 30 triệu đồng. Điều 84 Nghị định số 15/2020/NĐ-CP quy định hành vi “thu thập thông tin cá nhân khi chưa có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó” chỉ bị phạt từ 10 đến 20 triệu đồng, còn hành vi “sử dụng không đúng mục đích thông tin cá nhân đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể thông tin cá nhân; cung cấp hoặc chia sẻ hoặc phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi chưa có sự đồng ý của chủ thông tin cá nhân; thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác” thì bị phạt từ 20 đến 30 triệu đồng.
[9] Theo quy định của Liên minh châu Âu, các hành vi xâm phạm pháp luật bảo vệ thông tin cá nhân có thể bị xử phạt tới 4% tổng doanh thu của năm tài chính trước thời điểm xảy ra hành vi vi phạm.
[10] Điều 159 Bộ luật Hình sự quy định, việc “Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt tới 03 năm. Điều 288 quy định về “Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” với mức hình phạt cao nhất là 07 năm tù giam.
[11] Bên cạnh các nguyên tắc đã được pháp luật hiện hành quy định mà trong đó có nguyên tắc bảo đảm có sự đồng ý của chủ thể thông tin về phạm vi, mục đích của việc thu thập, xử lý thông tin cá nhân; bảo đảm tính hợp pháp và chính xác (và quyền kiểm chứng tính chính xác) của thông tin cá nhân được thu thập, xử lý; bảo đảm an ninh, an toàn đối với thông tin cá nhân được thu thập, xử lý.
[12] Robert Walters, et. al (eds.), Data Protection Law: A Comparative Analysis of Asia-Pacific and European Approaches (Singapore: Springer, 2019) at 197.
[13] Robert Walters, et. al (eds.), Data Protection Law: A Comparative Analysis of Asia-Pacific and European Approaches (Singapore: Springer, 2019) at 83.
[14] https://www.dataprotectionreport.com/2020/02/thailand-personal-data-protection-law/.
[15] https://www.dataguidance.com/notes/japan-data-protection-overview.
[16] http://koreanlii.or.kr/w/index.php/Recent_amendments_to_PIPA.
[17] Bao gồm các nội dung như: Định nghĩa về đời sống riêng tư (Điều 1032) và các hành vi được coi là xâm phạm quyền về đời sống riêng tư (Điều 1033); định nghĩa thông tin cá nhân và nguyên tắc bảo vệ thông tin cá nhân (Điều 1034), điều kiện để việc thu thập và xử lý thông tin cá nhân được coi là hợp pháp (Điều 1035), miễn trừ trách nhiệm đối với chủ thể thu thập và xử lý thông tin cá nhân (Điều 1036), quyền của chủ thể thông tin cá nhân và nghĩa vụ của chủ thể thu thập và xử lý thông tin cá nhân (Điều 1037, 1038 và 1039).
[18] Quy định tại Điều 110 (công nhận cá nhân có quyền về đời sống riêng tư), Điều 111 (công nhận cá nhân có quyền đối với thông tin cá nhân), các quy định từ Điều 994 tới Điều 1000 về việc kiện đòi bồi thường thiệt hại khi có hành vi xâm phạm quyền riêng tư và thông tin cá nhân, quy định tại Điều 1030 về trách nhiệm của tổ chức tín dụng khi xử lý thông tin (trong đó có việc xử lý thông tin cá nhân), quy định tại Điều 1226 về trách nhiệm của cơ sở y tế và nhân viên y tế đối với việc tôn trọng đời sống riêng tư và thông tin cá nhân của bệnh nhân < https://www.dlapiper.com/en/uk/insights/publications/2020/06/new-chinese-civil-code-introduces-greater-protection-of-privacy-rights-and-personal-information/>.
TS. NGUYỄN VĂN CƯƠNG
Viện trưởng Viện Khoa học pháp lý, Bộ Tư pháp
Tạp chí Nghiên cứu Lập pháp
/tang-cuong-tuyen-truyen-phap-luat-cho-nguoi-lao-dong-trong-doanh-nghiep.html