Bảo vệ dữ liệu cá nhân và quyền riêng tư: Khung khổ pháp lý nào cho phù hợp?

Đó là nội dung được quan tâm thảo luận tại Hội thảo “Hoàn thiện chính sách và khung khổ pháp luật về bảo vệ dữ liệu, thông tin cá nhân và quyền riêng tư trong nền kinh tế”, do Hội Truyền thông số (IPS) tổ chức ngày 15/7.

Có lẽ không cần phải chờ đến hội thảo này, vấn đề bảo vệ dữ liệu và quyền riêng tư mới được đặt ra. Câu hỏi ai đã tiết lộ thông tin cá nhân như số điện thoại, địa chỉ nhà, lịch trình di chuyển…. đã được đặt ra khi mỗi khi, chúng ta nhận được điện thoại mời mua bán bất động sản, bảo hiểm hay vừa đặt chân xuống sân bay đã nhận được tin nhắn từ các hãng taxi. “Mọi người có khó chịu không khi bị làm phiền mỗi ngày như thế?” – luật sư Nguyễn Tiến Lập - Chuyên gia Viện Nghiên cứu Chính sách và Phát triển Truyền thông, Hội Truyền thông số Việt Nam đặt câu hỏi. Ông tin, vấn đề này nhiều người gặp phải nhưng nhiều khi muốn khởi kiện doanh nghiệp làm lộ thông tin của mình, người dùng cũng không biết vin vào đâu.

Thực tế, không chỉ doanh nghiệp, giờ đây để phục vụ cho chuyển đổi số, phát triển đô thị thông minh, chính phủ và các địa phương cũng đang thu thập dữ liệu. Giới thiệu về Trung tâm giám sát điều hành đô thị thông minh IOC Huế, ông Nguyễn Dương Anh – Giám đốc Trung tâm cho biết, trung tâm này cung cấp 10 dịch vụ hỗ trợ cho việc điều hành, quản lý của chính quyền và giúp cuộc sống của người dân trở nên tiện lợi hơn. Nhờ hệ thống camera, trung tâm này có thể kiểm soát tình trạng chấp hành an toàn giao thông trên toàn thành phố (xe vượt đèn đỏ, xe lấn chiếm vỉa hèkhông đúng quy định..), tình trạng an ninh của từng khu vực.... để có biện pháp xử lý kịp thời hay lắng nghe những phản ánh của người dân trên ứng dụng đô thị thông minh Huế S, sẵn sàng trích xuất camera để đối chiếu.... Vẫn biết,IOC Huế nói riêng và các IOC khác trên cả nước đều phải tuân thủ theo quy định của Chính Phủ cũng như ủy ban nhân dân tỉnh về việc bảo mật dữ liệu, nhưng nếu như '‘trung tâm này bị hacker tấn công hoặc một cá nhân vì lợi ích riêng mà đánh cắp dữ liệu để bán cho bên thứ 3, thì người dân liệu có quyền khiếu nại hay không và khung khổ pháp nào của Việt Nam quy định về quyền được bảo vệ dữ liệu và quyền riêng tư của người dân?

Thực tế, không chỉ doanh nghiệp mà chính phủ cũng đang xây dựng nền kinh tế số và sự thành công của doanh nghiệp, chính quyền phụ thuộc chủ yếu vào tính hiệu quả của việc sử dụng, khai thác và chia sẻ dữ liệu cá nhân. Tuy nhiên, nếu những dữ liệu này không được bảo vệ một cách thoả đáng, không chỉ chủ thể ngừng giao dịch, giống như kiểu họ ‘tuyệt giao’ mà còn khiếu nại, khởi kiện, đòi chấm dứt vi phạm và bồi thường thiệt hại.

‘Không chỉ doanh nghiệp, cơ quan nhà nước cũng thu thập dữ liệu và chính phủ đang đẩy mạnh việc xây dựng chính quyền điện tử, đô thị thông minh.’- ông Nguyễn Trọng Khánh – Cục Tin học hóa, Bộ Thông tin và Truyền thông nêu. Tuy nhiên, việc bảo vệ dữ liệu và quyền riêng tư của người dân như thế nào lại là câu chuyện không dễ dàng mà ngay cả những quôc gia như Mỹ hay châu Âu cũng gặp nhiều vấn đề bất cập: ‘Chuyển đổi số đã khiến hệ thống pháp lý hiện hành không thể bao quát hết được và thúc đẩy việc hình thành một trật tự pháp lý mới"”- ông Khánh nhận định.

Nếu như An toàn dữ liệu có xu hướng được bảo đảm dựa trên các yếu tố kỹ thuật thì Bảo vệ quyền riêng tư lại đòi hỏi sự hoàn thiện của các quy định và cơ chế thực thi pháp luật. Chẳng hạn, trong thời gian qua, các công ty sử dụng công nghệ và dịch vụ nền tảng đã thu thập, xử lý, khai thác dữ liệu, thông tin cá nhân của người dùng để kinh doanh và kiếm lợi nhuận khổng lồ. Điều này khiến hàng tỷ người dùng là các cá nhân đứng trước nguy cơ bị lạm dụng và bóc lột bởi cả dữ liệu cá nhân là tài sản cũng như quyền riêng tư của họ không được bảo vệ. “Điểm mấu chốt là quy định của luật pháp” – PGS.TS Hoàng Hữu Hạnh – Học viện Bưu chính Viễn thông nhận định.

Phân tích của IPS chỉ ra, đến nay Việt Nam có 17 Luật, Nghị định điều chỉnh vấn đề này. Dù có ý thức xây dựng và nhắc đến việc Bảo vệ dữ liệu và quyền riêng tư trong nhiều văn bản pháp luật nhưng khung khổ pháp luật Việt Nam về vấn đề này chưa đầy đủ, còn chồng chéo nhất định về nội dung giữa các văn bản có liên quan ở cấp độ luật và nghị định. Đặc biệt là tình trạng nhiều cơ quan chức năng nhà nước cùng tham gia quản lý lĩnh vực này nhưng lại thiếu sự phân định rành mạch về chức năng, nhiệm vụ cũng như chỉ định cơ quan đầu mối phụ trách.

‘Chẳng hạn như khung khổ pháp luật để bảo vệ quyền riêng tư được tạo ra bởi Bộ Luật dân sự hay các chế tài của Luật xử phạt vi phạm hành chính, Bộ luật hình sự không đầy đủ và có tính hiệu quả khi xét tới các giao dịch liên quan trong môi trường là không gian mạng. Đối tượng cần bảo vệ là dữ liệu được thu thập xử lý, lưu giữ và chia sẻ bằng công nghệ số. Từ góc độ của Bộ luật dân sự, quyền riêng tư được coi là quyền nhân thân, thì trong nền kinh tế dữ liệu, một khi dữ liệu cá nhần là tài sản có giá trị thì quyền với dữ liệu đó phải được coi là quyền tải sản. Theo đó, chủ thể dữ liệu phải được chia sẻ từ các lợi ích của việc khai thác, chia sẻ. Và dù luật an toàn thông tin mạng đã đề cập đến này nhưng mới dừng ở mức quyền cơ bản và tối thiểu của chủ thể dữ liệu và còn thiếu hẳn cơ chế thực thi quyền một cách hiệu quả” – Luật sư Nguyễn Tiến Lập – Viện nghiên cứu Chính sách và phát triển truyền thông phân tích.

Ông Nguyễn Văn Cương - Viện trưởng Viện Khoa học Pháp lý, Bộ Tư Pháp cũng đồng tình với ý kiến này và làm rõ thêm, ngay cả khái niệm Thông tin tin cá nhân trong các văn bản quy định hiện hành cũng đang có 3-4 khái niệm, chưa nhất quán và bao quát hết các vấn đề và đặc biệt chưa phân tầng độ nhạy cảm của thông tin cá nhân. "Ví dụ như danh tính cá nhân có thể mức bảo vệ là 1 nhưng thông tin sức khỏe, sinh trắc, tài chính thì cần phải bảo mật cao hơn. Điều này không thể quy định chung chung mà cần phải nêu rõ ràng. Hay dữ liệu trẻ em cũng chưa quy định rõ, việc thu thập cần sự đồng ý của những ai: trẻ em, bố mẹ hay người giám hộ?”- ông Cương nhấn mạnh.

Trong khi đó, chế tài xử lý chưa đủ mạnh để đảm bảo tính răn đe, dẫn đến không ít doanh nghiệp sẵn sàng ‘đánh đổi vì lợi nhuận’. “Bộ Luật hình sự chưa quy định nào về tội phạm thông tin cá nhân còn mức xử phạt hành chính quá thấp. Đây là khoảng trống cần bổ sung" – ông Cương nói thêm và nêu ví dụ Luật bảo vệ dữ liệu châu Âu GDPR quy định, doanh nghiệp làm lộ dữ liệu người dùng có thể bị phạt tới 4% doanh thu của năm liền kề trước đó.

Xét bài học trên thế giới, nếu như Mỹ coi các dữ liệu là tài sản thương mại và được bảo vệ theo cơ chế hợp đồng, theo nghĩa tôn trọng quyền tự do khế ước của người dân thì châu Âu lại coi dữ liệu thông tin cá nhân đương nhiên được nhà nước bảo vệ theo phạm trù quyền riêng tư. Từ quan điểm khác biệt này, mọi cá nhân cư trú ở bất cứ quốc gia thành viên EU nào cũng đều được hưởng sự bảo vệ các quyền nói chungvà quyền riêng tư nhu cầu: theo tiêu chí lỗi (trong hành vi chủ động) và thiết kế phù hợp (trong các thiết bị và phương tiện kỹ thuật cho mục tiêu bảo vệ), kiểm soát chặt chẽ các giao dịch chuyển tải dữ liệu qua biên giới và nhấn mạnh quyền tối cao của người dùng, tức yêu cầu xoá bỏ vĩnh viễn dữ liệu cá nhân.

Trong khi đó, việc bảo vệ dữ liệu cá nhân của Mỹ tuỳ thuộc từng quy định riêng với 2 loại dữ liệu, tồn tại các cấp độ và cơ chế bảo vệ khác nhau. Chẳng hạn, dữ liệu y tế được bảo vệ theo Luật bảo hiểm y tế và Trách nhiệm giải trình, thông tin tài chính cá nhân được đạo luật BLBA bảo vệ.

Luật sư Nguyễn Tiến Lập cho rằng, với tầm nhìn dài hạn chuyển đổi sang nền kinh tế số, Việt Nam cần nghiên cứu, xây dựng một đạo luật về bảo vệ an toàn dữ liệu cá nhân và bảo vệ quyền riêng tư. Bởi, đây là lĩnh vực nhạy cảm, cần sự điều chỉnh bằng pháp luật bên cạnh đảm bảo an ninh mạng. Trong đó, theo đề xuất của Viện Nghiên cứu và Phát triển Chính sách và Phát triển Truyền thông (IPS), đạo luật này cần phải tập trung vào các điểm nhấn như: khái niệm và định nghĩa đạt chuẩn quốc tế về dữ liệu nói chung và dữ liệu cá nhân thuộc đối tượng bảo vệ; quy định những vấn đề mới như quyền sở hữu của chủ thể dữ liệu cá nhân và bảo vệ quyền riêng tư như là quyền tài sản của cá nhân; quy định các biện pháp cụ thể về bảo vệ các quyền của chủ thể dữ liệu cá nhân trong cả ba khía cạnh (chính sách và thoả thuận với người dùng hay khách hàng; tuân thủ các quy định của pháp luật; cách thức quản lý hành xử của bên thứ ba xử lý, sử dụng dữ liệu); quy định cơ chế khiếu nại và khiếu kiện khi có sự vi phạm quyền của chủ thể dữ liệu và quyền riêng tư trên quy mô lớn, bao gồm vấn đề khởi kiện tập thể, quyền của các tổ chức xã hội được đại diện cho nạn nhân khởi kiện hoặc tự khởi kiện vì lợi ích công cộng; quy định cơ chế bảo vệ an toàn dữ liệu cá nhân và quyền riêng tư trong các giao dịch thu thập, lưu trữ và chuyển tải dữ liệu qua biên giới; chỉ định cơ quan đầu mối quốc gia trong việc chủ trì, điều phối và hợp tác quốc tế về bảo đảm an ninh mạng, an toàn dữ liệu cá nhân và bảo vệ quyền riêng tư.

Bên cạnh khung khổ pháp luật, ở góc nhìn của người quản lý thông tin, ông Nguyễn Trọng Khánh – Bộ Thông tin và Truyền thông còn cho rằng, điều mà từ Chính phủ đến bộ ngành, doanh nghiệp cần đầu tư xây dựng là văn hóa trong chuyển đổi số, trong đó yếu tố niềm tin, quy tắc ứng xử trong môi trường số là điều cần thiết.

“Nghĩa là người dùng cần phải tin vào nhà cung cấp và nhà cung cấp cũng cần có hành động khiến người dùng tin vào họ. Doanh nghiệp cần biết cách hài hòa giữa lợi ích và bảo vệ thông tin cá nhân, xây dựng hệ thống hỗ trợ phát hiện trường hợp vi phạm, đánh giá việc tín nhiệm liên quan đến bảo vệ dữ liệu, xác nhận rủi ro và cảnh báo khi cần thiết'’ - ông Khánh chia sẻ.