Từ góc độ của Bộ Luật dân sự, quyền riêng tư được coi là quyền nhân thân, thì trong nền kinh tế dữ liệu, một khi dữ liệu cá nhân là tài sản có giá trị thì quyền đối với dữ liệu đó phải được coi là quyền tài sản, theo đó chủ thể dữ liệu phải được chia sẻ các lợi ích từ việc khai thác và chia sẻ.
Luật An toàn thông tin cũng đã đề cập đến vấn đề này nhưng mới dừng ở một số quyền cơ bản và tối thiểu của chủ thể dữ liệu cũng như còn thiếu hẳn các cơ chế thực thi quyền một cách thực tế và hiệu quả. Do vậy, Chính phủ Việt Nam quan tâm xây dựng một khung khổ pháp luật hoàn thiện về bảo vệ dữ liệu và quyền riêng tư.
Vì sao cần xây dựng chiến lược quốc gia về quản trị dữ liệu?
Trong thời đại mới đang mở ra (được gọi là kỷ nguyên số hay nền kinh tế dữ liệu), dữ liệu và thông tin đã và đang trở thành tài nguyên và hàng hóa vô cùng giá trị (được ví như dầu mỏ trong công nghiệp hay tiền trong ngân hàng). Các quốc gia đã và đang ý thức ngày càng rõ hơn về vấn đề này, do đó, đồng thời với quá trình chuyển đổi số (digital transformation), đang tìm cách chạy đua để tăng năng lực cạnh tranh trong việc khai thác, sử dụng hiệu quả dữ liệu và thông tin phục vụ phát triển kinh tế - xã hội hay thậm chí phấn đấu trở thành nền kinh tế dữ liệu hàng đầu.
Tại Việt Nam, Bộ TTTT đã xây dựng Đề án và Chương trình chuyển đổi số quốc gia đến 2025, định hướng 2030 trình Chính phủ phê duyệt. Về thực chất, đó là quá trình chuyển đổi về kỹ thuật thông qua xây dựng hệ thống hạ tầng và sử dụng công nghệ số ngày càng đổi mới, cập nhật để giải quyết mọi vấn đề của đời sống kinh tế - xã hội ở tầm quản trị quốc gia cũng như quản trị tổ chức và doanh nghiệp. Quá trình này, đương nhiên, trở nên không còn ý nghĩa nếu thiếu nguồn tài nguyên sống còn là dữ liệu, đặc biệt là dữ liệu lưu trữ ở dạng số. Hiệu quả của chuyển đổi số phụ thuộc không chỉ vào chất lượng của hệ thống hạ tầng kỹ thuật mà còn cả chất lượng của nguồn tài nguyên dữ liệu.
Liên quan đến dữ liệu là thông tin cá nhân, vốn là nguồn tài nguyên quan trọng và có giá trị nhất, yếu tố chất lượng và hiệu quả sẽ chỉ được bảo đảm nếu các khâu của quản trị dữ liệu và quản lý dữ liệu đáp ứng được các tiêu chuẩn và yêu cầu về An toàn dữ liệu và Bảo vệ quyền riêng tư. Theo đó, nếu An toàn dữ liệu có xu hướng được bảo đảm dựa trên các yếu tố kỹ thuật thì Bảo vệ quyền riêng tư lại đòi hỏi sự hoàn thiện của các quy định và cơ chế thực thi pháp luật. Chẳng hạn, trong thời gian qua, một vấn đề lớn đang đặt ra đối với thể chế quản trị của các quốc gia là: Trong khi các công ty sử dụng công nghệ và dịch vụ nền tảng đã thu thập, xử lý, khai thác dữ liệu, thông tin cá nhân của người dùng trên khắp thế giới để kinh doanh và kiếm lợi nhuận khổng lồ, phần lớn các doanh nghiệp khác, đặc biệt các doanh nghiệp vừa và nhỏ lại không có điều kiện tham gia dẫn đến mất dần năng lực cạnh tranh; đồng thời, hàng tỷ người dùng là các cá nhân đứng trước nguy cơ bị lạm dụng và bóc lột bởi cả dữ liệu cá nhân là tài sản cũng như quyền riêng tư của họ không được bảo vệ.
Chính vì thế, sau khi Liên minh châu Âu ban hành luật Bảo mật thông tin (GDPR) như là một tiêu chuẩn có tính mẫu mực về bảo vệ dữ liệu và quyền riêng tư trong kỷ nguyên số, nhiều quốc gia như Anh, Canada, Singapore v.v.. đã xúc tiến xây dựng Chiến lược quốc gia về quản trị dữ liệu.
Hướng đi nào cho Chiến lược quốc gia về dữ liệu ?
Về nguyên tắc, các chiến lược quốc gia này hướng tới ba đối tượng chủ thể chính để triển khai với các nội dung có liên quan như sau:
- Thứ nhất, đối tượng người dân: Các giải pháp nhằm bảo đảm cho mọi người dân có sự tin cậy khi cung cấp dữ liệu, thông tin cá nhân để xử lý, sử dụng bởi bên thứ ba, đồng thời tạo cơ hội để mọi người dân tham gia hiệu quả, công bằng vào nền kinh tế vận hành trên cơ sở dữ liệu.
- Thứ hai, đối tượng doanh nghiệp: Các giải pháp nhằm bảo đảm cho mọi doanh nghiệp có thể vận hành và cạnh tranh bình đẳng trong nền kinh tế ngày càng phát triển dựa trên cơ sở dữ liệu (data-driven economy); đồng thời bảo đảm đạt tăng trưởng năng suất lao động của nền kinh tế nói chung thông qua sử dụng hiệu quả dữ liệu.
- Thứ ba, đối tượng Chính phủ: Các giải pháp nhằm bảo đảm sự cải thiện không ngừng việc cung cấp dịch vụ công thông qua thu thập, chia sẻ và sử dụng hiệu quả dữ liệu; đồng thời bảo đảm đạt được sự quản trị đúng đắn và nhất quán để mọi dữ liệu được sử dụng và chia sẻ trên tinh thần hợp tác thiện chí và công bằng giữa các bên liên quan.
Tham khảo thực tiễn thế giới như trên, với quan điểm tận dụng thời cơ lớn của Cuộc cách mạng công nghiệp lần thứ 4 để phát triển Việt Nam thành một trong những nền kinh tế số hàng đầu trong khu vực, rõ ràng Chính phủ Việt Nam nên sớm ưu tiên xây dựng Chiến lược dữ liệu quốc gia song hành với Đề án/Chương trình chuyển đổi số quốc gia
Hoàn thiện khung khổ pháp luật như thế nào?
Ở tất cả các quốc gia, dù đi theo hướng tiếp cận về chính sách và pháp luật thế nào, (chẳng hạn có sự khác nhau giữa Liên minh châu Âu và Hoà Kỳ như đã trình bày ở phần trên của Báo cáo), liên quan đến quản trị quốc gia về không gian mạng, đều có sự phân biệt và phân định ba lĩnh vực như sau:
- Thứ nhất, vấn đề bảo vệ An ninh mạng (Cyber security). Bảo vệ An ninh mạng là sự bảo đảm an toàn của hệ thống mạng hay cơ sở hạ tầng thông tin mạng để chống lại mọi sự tấn công mạng (Cyber attack), tội phạm mạng (Cyber crime) và chiến tranh mạng (Cyberwarfare). Nó đòi hỏi cả các biện pháp kỹ thuật, công nghệ và pháp lý được triển khai ở hai cấp độ quốc gia và tổ chức, doanh nghiệp, tuy nhiên vai trò chủ động và trọng yếu thuộc về các lực lượng chức năng của Cơ quan nhà nước.
Việt Nam đã có Luật An ninh mạng (ban hành năm 2018), theo đó các đơn vị chức năng của Bộ Công an đã được thành lập để đảm đương nhiệm vụ bảo đảm an ninh mạng. Tuy nhiên, như đã đề cập ở phần trên của Báo cáo, Luật này có đối tượng trùng lắp và phần nào chồng chéo với Luật An toàn thông tin và các luật khác, đặc biệt khi điều chỉnh các vấn đề liên quan đến phần nội dung vượt quá khung khổ kỹ thuật như dữ liệu cá nhân hay thông tin nhạy cảm (thông tin liên quan đến bí mật, uy tín của cơ quan, lãnh đạo Đảng và Nhà nước).
- Thứ hai, vấn đề bảo vệ An toàn thông tin (Data security): An toàn thông tin liên quan đến tính chính xác, toàn vẹn của dữ liệu, bảo mật chống truy cập trái phép dữ liệu, tính sẵn có và sẵn sàng để sử dụng của dữ liệu. Nhiệm vụ bảo đảm an toàn thông tin sẽ chủ yếu được thực thi ở cấp độ tổ chức và doanh nghiệp, tuy nhiên không thể thiếu sự phối hợp, hỗ trợ và giám sát quan trọng của các Cơ quan chức năng nhà nước có thẩm quyền.
Luật An toàn thông tin mạng (ban hành năm 2015) đã đề cập chủ yếu vấn đề này, tuy nhiên còn thiếu hay chưa đầy đủ, toàn diện và cụ thể về các yêu cầu, tiêu chuẩn và biện pháp, đặc biệt chưa có nội dung bảo đảm an toàn thông tin trong các giao dịch xuyên biên giới, sự phối hợp ở cấp độ hiệp hội và vai trò của cơ quan lãnh đạo hay đầu mối của Nhà nước về bảo đảm an toàn thông tin mạng.
- Thứ ba, vấn đề bảo vệ Quyền riêng tư (Privacy): Có thể nói trong cả ba lĩnh vực được đề cập thì bảo vệ quyền riêng tư có ý nghĩa quan trọng cũng như tính chất nhạy cảm nhất. Bảo vệ quyền riêng tư, về bản chất, là bảo vệ con người, vừa là chủ thể vừa là tài nguyên quan trọng nhất của mỗi quốc gia. Trong nền kinh tế số, sự thành công của các doanh nghiệp phụ thuộc chủ yếu vào tính hiệu quả của sử dụng, khai thác và chia sẻ dữ liệu cá nhân. Tuy nhiên, khi nói tới tôn trọng quyền riêng tư đối với dữ liệu cá nhân thì không chỉ là để bảo vệ quyền của người khác (bên khách hàng là chủ thể dữ liệu hay người tiêu dùng) mà chính là bảo vệ sự an toàn của chính mình (bên cung cấp dịch vụ, thu thập, xử lý dữ liệu). Bởi nếu dữ liệu cá nhân không được bảo vệ, không chỉ chủ thể dữ liệu sẽ ngừng các giao dịch mà còn có quyền khiếu nại và khởi kiện đòi chấm dứt vi phạm và bồi thường thiệt hại.
Tại Việt Nam, khung khổ pháp luật để bảo vệ quyền riêng tư được tạo ra bởi Bộ Luật dân sự hay thậm chí các chế tài của Luật Xử phạt vi phạm hành chính hay Bộ Luật hình sự không thể đầy đủ và có tính hiệu quả khi xét tới các giao dịch liên quan trong môi trường là không gian mạng. Đặc biệt, đối tượng cần bảo vệ lại là dữ liệu được thu thập, xử lý, lưu giữ, chia sẻ bằng công nghệ số. Ngoài ra, nếu từ góc độ của Bộ Luật dân sự, quyền riêng tư được coi là quyền nhân thân, thì trong nền kinh tế dữ liệu, một khi dữ liệu cá nhân là tài sản có giá trị thì quyền đối với dữ liệu đó phải được coi là quyền tài sản, theo đó chủ thể dữ liệu phải được chia sẻ các lợi ích từ việc khai thác và chia sẻ. Luật An toàn thông tin cũng đã đề cập đến vấn đề này nhưng mới dừng ở một số quyền cơ bản và tối thiểu của chủ thể dữ liệu cũng như còn thiếu hẳn các cơ chế thực thi quyền một cách thực tế và hiệu quả.
Với các phân tích ở trên, chúng tôi khuyến nghị Chính phủ Việt Nam quan tâm xây dựng một khung khổ pháp luật hoàn thiện về bảo vệ dữ liệu và quyền riêng tư. Đề xuất này, xét trong bối cảnh khung pháp luật hiện hành có liên quan như đã trình bày ở phần trên của Báo cáo, có thể không nhất thiết hướng đến xây dựng và ban hành một đạo luật riêng theo mô hình của GDPR, tuy nhiên, mà có thể là một văn bản riêng ở cấp nghị định Chính phủ. Vấn đề ở chỗ cần có sự phân định rõ ràng và rành mạch phạm vi và đối tượng điều chỉnh của quy định pháp luật, đó là bảo vệ quyền con người, bảo vệ nguồn tài nguyên dữ liệu quan trọng cho sự phát triển bền vững của nền kinh tế số.