Bảo vệ dữ liệu cá nhân trong chuyển đổi số

Sự bùng nổ của các thành tựu công nghệ đặt ra nhiều vấn đề về quyền riêng tư cá nhân.

Sự bùng nổ của các thành tựu công nghệ đặt ra nhiều vấn đề về quyền riêng tư cá nhân, do lượng lớn dữ liệu mà các công nghệ này sử dụng trực tiếp đến từ thông tin cá nhân của người dùng.

Do giá trị và tiềm năng của mình, dữ liệu đã trở thành đối tượng của tội phạm an ninh mạng. Trong số các dữ liệu phục vụ tiến trình đổi mới mô hình phát triển kinh tế, bên cạnh dữ liệu công nghiệp, dữ liệu cá nhân là đối tượng bị xâm phạm nghiêm trọng nhất. Tại Việt Nam, tình trạng xâm phạm, đánh cắp và rao bán dữ liệu cá nhân trên mạng đã và đang diễn ra một cách công khai, táo bạo trên các diễn đàn mở, với mức độ ngày càng nghiêm trọng, quy mô ngày càng lớn và kỹ thuật tinh vi hơn bao giờ hết.

Trước tình hình trên, các nhà hoạch định chính sách phải liên tục đổi mới phương thức kiểm tra, giám sát việc bảo vệ dữ liệu cá nhân để đáp ứng nhu cầu công nghiệp hoá, hiện đại hoá trong tình hình mới.

Bảo vệ dữ liệu cá nhân là vấn đề quan trọng trong không gian mạng.
Ảnh: TTXVN

Tuy nhiên, pháp luật Việt Nam hiện hành điều chỉnh về vấn đề này tồn tại một số bất cập như sau:

  • Hiện nay, pháp luật Việt Nam đang chọn hướng tiếp cận “tĩnh”, quy định chặt chẽ các biện pháp và quy trình cần tuân thủ khi tiến hành thu thập thông tin cá nhân của người dùng ngay tại khâu đầu vào, khi người dùng mới bắt đầu đăng ký sử dụng dịch vụ và sản phẩm. Hướng tiếp cận này bộc lộ nhiều bất cập và tạo ra trở ngại đáng kể cho quá trình chuyển đổi số.
  • Chưa có một bộ khung nguyên tắc thống nhất về bảo vệ dữ liệu cá nhân, thay vào đó, các quy định hiện vẫn nằm rải rác, tản mát trong nhiều văn bản thuộc các lĩnh vực khác nhau.
  • Chưa có một định nghĩa rõ ràng, thống nhất về khái niệm “dữ liệu cá nhân”.
  • Chưa có cơ chế giải quyết xung đột giữa quyền riêng tư cá nhân của người dùng và quyền sở hữu của của doanh nghiệp trong hoạt động chuyển đổi số.

Khái niệm “bảo vệ dữ liệu cá nhân”

Trước hết, cần phải xem xét quyền đối với thông tin cá nhân được nhìn nhận như thế nào. Khi nhắc đến quyền đối với thông tin cá nhân trong môi trường số, phần lớn các luồng quan điểm hiện nay đều cho rằng đây là một nội hàm phái sinh (derivative) từ quyền riêng tư, vốn được xem là một trong những quyền con người cơ bản, được hiến định tại Tuyên ngôn quốc tế về nhân quyền (Universal Declaration of Human Rights – UDHR, 1948) và Công ước quốc tế về các quyền dân sự và chính trị (International Covenant on Civil and Political Rights – ICCPR, 1966).

Tuy nhiên, tồn tại một luồng quan điểm khác cho rằng, quyền đối với dữ liệu không phải là định nghĩa nối dài của quyền riêng tư, mà là một quyền riêng. Cụ thể, quyền đối với dữ liệu được hiểu là quyền của chủ thể cá nhân được yêu cầu các chủ thể khác.

Hiểu theo cách trên, bảo vệ dữ liệu cá nhân không phải là trao quyền định đoạt hoàn toàn cho chủ thể đối với thông tin cá nhân của mình được đưa vào sử dụng trong môi trường số, mà là bảo vệ tính chính xác của thông tin cá nhân trong quá trình xử lý, trao quyền cho chủ thể dữ liệu được biết mục đích, phương thức, đối tượng xử lý và truyền đưa thông tin, đồng thời tạo lập nghĩa vụ của chủ thể xử lý phải bảo đảm quá trình truyền đưa hợp pháp, phù hợp với nguyên tắc pháp quyền và đạo đức xã hội.

Do đó, thay vì quá tập trung vào việc trao quyền can thiệp của người dùng cá nhân vào cơ sở dữ liệu kinh doanh của doanh nghiệp, luật chỉ nên tạo dựng bộ nguyên tắc xuyên suốt đối với công tác xử lý và truyền đưa dữ liệu, trong đó, chú trọng ban hành các quy chuẩn kỹ thuật và quy tắc ứng xử của các chủ thể tiến hành xử lý dữ liệu.

Các hệ thống pháp luật bảo vệ dữ liệu cá nhân trên thế giới

Không thể không nhắc tới hệ thống pháp luật tiêu biểu trong việc bảo vệ dữ liệu cá nhân hiện nay, đó là Bộ Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (GDPR). Bộ nguyên tắc này đã đưa ra bốn nguyên tắc chính:

  • Nguyên tắc việc xử lý dữ liệu phải được tiến hành hợp pháp
  • Nguyên tắc chủ thể thông tin biết về việc xử lý
  • Nguyên tắc tối thiểu hoá dữ liệu xử lý
  • Nguyên tắc an toàn, bảo mật đối với dữ liệu

Các nguyên tắc này hiện đã được xem là mẫu mực lập pháp cho các quy định về bảo vệ dữ liệu cá nhân khắp toàn cầu, trong đó bao gồm cả các quy định ở khu vực ASEAN (The EU GDPR’s Impact on ASEAN Data Protection Law, 2019).

Đặc biệt, các nguyên tắc này cũng được phản ánh thông qua các quy định mới tại Chương 7 của Bộ luật Dân sự Trung Quốc. Cả khung pháp luật chung của Liên minh Châu Âu lẫn pháp luật Trung Quốc đều quy định chủ thể xử lý có nghĩa vụ và trách nhiệm đối với hoạt động xử lý dữ liệu cá nhân, đồng thời trao cho chủ thể thông tin quyền được can thiệp vào quy trình, cách thức xử lý dữ liệu của chủ thể xử lý.

Đề xuất lập pháp đối với nhu cầu bảo vệ dữ liệu cá nhân ở Việt Nam

Từ việc tham khảo có chọn lọc pháp luật của các nước khác, nghiên cứu đề xuất hai nhóm nguyên tắc chung để phát triển khung pháp lý về bảo vệ dữ liệu cá nhân ở Việt Nam: (1) Đảm bảo pháp quyền xã hội chủ nghĩa, đồng bộ hoá hệ thống pháp luật; (2) Đảm bảo chủ quyền quốc gia, cân bằng lợi ích giữa các chủ thể trên cơ sở đề cao tự do ý chí của các bên trong quan hệ pháp luật.

Từ hai nguyên tắc chủ đạo trên, bài viết đưa ra các đề xuất cụ thể cho công tác lập pháp và thực hiện chính sách trong tương lai như sau:

Đối với công tác lập pháp của Quốc hội:

  • Một là, thừa nhận quyền nhân thân của cá nhân đối với thông tin cá nhân thông qua quy định rõ ràng, chính xác, một nghĩa trong Bộ luật Dân sự Việt Nam.
  • Hai là, cần ban hành đạo luật riêng về bảo vệ dữ liệu cá nhân, trong đó, xây dựng tiêu chí phân loại dữ liệu cá nhân rõ ràng, chính xác để có phương pháp điều chỉnh phù hợp với từng loại dữ liệu.
  • Ba là, xây dựng hệ thống quyền và nghĩa vụ đúng, gọn, rõ, đề cao phương pháp bình đẳng thoả thuận trong các quan hệ xử lý dữ liệu, trong đó gồm: (1) Quyền được thông tin rõ ràng, chính xác liên quan đến hoạt động xử lý dữ liệu cá nhân của mình; (2) Quyền được biết chủ thể chịu trách nhiệm tiến hành xử lý dữ liệu của mình; (3) Quyền trong chừng mực hợp lý đối với việc yêu cầu sửa đổi, cải chính và ngừng cấp quyền xử lý cho chủ thể xử lý dữ liệu cá nhân của mình; (4) Quyền khiếu nại, phản ánh, thể hiện ý kiến đối với việc xử lý dữ liệu của chủ thể xử lý và quyền được yêu cầu cung cấp chứng nhận kiểm định an toàn trong việc xử lý dữ liệu.

Giám sát việc bảo vệ dữ liệu cá nhân để đáp ứng nhu cầu công nghiệp hoá, hiện đại hoá trong tình hình mới.

Đối với công tác lập quy và cơ quan quản lý:

  • Một là, xây dựng cơ chế cho phép và khuyến khích các doanh nghiệp, tổ chức tiến hành tự xây dựng bộ quy chuẩn kĩ thuật, an toàn, an ninh đối với quy trình, công nghệ và hệ thống cơ sở dữ liệu sử dụng cho công tác xử lý dữ liệu, để tạo cơ sở chủ động cho các doanh nghiệp thực hiện nghĩa vụ đối với dữ liệu mà họ xử lý.
  • Hai là, cần thiết lập bộ phận chuyên trách để tiếp nhận tin báo, khiếu nại về các trường hợp vi phạm nghĩa vụ trong xử lý dữ liệu cá nhân, hoặc các trường hợp rò rỉ dữ liệu hệ thống.

Về phía doanh nghiệp, tổ chức, cá nhân khác có tiến hành xử lý dữ liệu cá nhân, cần chủ động tuân thủ các nguyên tắc trên ngay từ khâu khởi sự thiết lập hệ thống và mô hình kinh doanh, sao cho nguyên tắc bảo vệ quyền riêng tư được tích hợp một cách mặc định vào thiết kế mô hình kinh doanh và công nghệ ngay từ đầu. Ngoài ra, cần thiết lập một cơ chế dự phòng rủi ro và các biện pháp an toàn, bảo mật, sao cho khi có sự cố an ninh mạng xảy ra, dữ liệu cá nhân được đảm bảo cập nhật đầy đủ và an toàn trong một hệ thống sao lưu.

Nhóm tác giả Đại học Kinh tế TP.HCM
Nguồn Nhịp cầu Đầu tư