NGHIÊN CỨU TRA o ĐÓI A A7 A7 a'''' • 1 a'''' 1 A 2“ A / A 1 Đào Trung Hiếu, Hiểm họa khi thông tin cá nhân bị rao bán, https //cand com vn/Ho so Interpol/Hiem hoa khi thong tin ca nhan bi rao ban i606342/,[.]
Trang 1NGHIÊN CỨU - TRA o ĐÓI
_ A _ A7 A7 a' _ • _1 a' 1 _ A 2“ A _ / A
1 Đào Trung Hiếu, Hiểm họa khi thông tin cá nhân bị
rao bán, https://cand.com.vn/Ho-so-Interpol/Hiem-
hoa-khi-thong-tin-ca-nhan-bi-rao-ban-i606342/, truy cập 15/7/2022.
MOT SO VAN ĐÊ VÊ Dự THAO NGHỊ ĐỊNH VÊ BẢO VỆ DỬLIỆL CÁ NHÂN
VƯƠNG THANH THUÝ ★
Tóm tat: Trong thời gian gần đây, thông tin cả nhân hay dữ liệu cá nhân đã trở thành một loại
“hàng hoá ” có giá trị được mua bán, trao đối rất phô biến Các thông tin cả nhân được tiết lộ, mua
bán trao đối bất hợp pháp, xâm phạm đến quyền lợi cũng như gây ra những thiệt hại đối với nhiều cá
nhân cũng như xã hội. Nhằm đưa ra các quy định cụ thể để bảo vệ dữ liệu cá nhân và xử phạt các hành vi xâm phạm đến dữ liệu cá nhân, Bộ Công an công bố Dự thảo Nghị định quy định về bảo vệ dữ
liệu cá nhân - Dự thảo lần 2 và đang trong quá trình lấy ỷ kiến đóng góp để hoàn thiện. Bài viết phân tích các nội dung nối bật tại Dự thảo Nghị định về bảo vệ dữ liệu cá nhân để từ đó đưa ra những nội
dung tiến bộ hoặc chưa phù hợp và đề xuất phương án giải quyết.
Từ khoá: Dự thảo nghị định; dữ liệu cá nhãn; thông tin cá nhân
Nhận bài: 17/01/2022 Hoàn thành biên tập: 29/7/2022 Duyệt đăng: 29/7/2022
SEVERAL ISSUES ON THE DRAFT DECREE ON PERSONAL DATA PROTECTION
Abstract: Personal information, often known as personal data, has recently become a valuable
“ commodity ” that is widely traded and exchanged Individual information is exposed, unlawfully
traded, and shared, which infrings rights and causes harm to people as well as society The Ministry
of Public Security has published the Draft Decree on Personal Data Protection - Draft 2nd Time and
is now gathering suggestions for improvement The author of this article focuses on analyzing the noteworthy contents of the Draft Decree on Personal Date Protection in order to identify progressive
or unsuitable components and provide remedies to these concerns.
Keywords : Draft decree; personal information; personal data
Received: Jan 17th , 2022; Editing completed: July 29 th, 2022; Acceptedfor publication: July 2f h , 2022
1 Vai trò của Dự thảo Nghị định về
bảo vệ dữ liệu cá nhân
Đi cùng với sự tiện ích của công nghệ số,
Việt Nam cũng như thế giới đang đứng trước
những thách thức, hiểm hoạ từ không gian
mạng, trực tiếp đe doạ đến an ninh quốc gia,
trật tự an toàn xã hội Hiện nay hoạt động
xâm nhập trái phép cơ sở dữ liệu, website
của các cơ quan, doanh nghiệp, cá nhân để
trộm cắp dữ liệu diễn biến hết sức nguy hiểm
và Việt Nam luôn bị xếp vào nhóm các quốc
* Tiến sĩ, Trường Đại học Luật Hà Nội
E-mail: thuyvuong@hlu.edu.vn
gia có nguy cơ bị tấn công mạng nhiều nhất
Có thể kể đến những vụ lộ lọt thông tin đã được cơ quan nhà nước phát hiện ra như sau: Trong tháng 5/2021, một số hacker đã rao bán công khai trên mạng tệp dữ liệu dung lượng khoảng 17 GB, chứa đựng thông tin cá nhân của gần 10.000 người Việt Nam1 Trước đó, cuối tháng 01/2021, Cục An ninh mạng và Phòng chống tội phạm sử dụng
Trang 2NGHIÊN CỬU - TRA o ĐÔI
công nghệ cao phối hợp với các cơ quan
khác tổ chức phá án vô hiệu hoá 6 đường
dây chiếm đoạt, mua bán dữ liệu quy mô
lớn, lên đến gần 1.300 GB dữ liệu chứa
hàng tỉ thông tin về các cá nhân, tổ chức
trên toàn quốc
Nghiêm trọng hơn là vụ việc xảy ra với
trang web của hãng Hàng không quốc gia
Việt Nam (Vietnam Airlines) tại địa chỉ
https://www.vietnamairlines.com Ngày
29/7/2016, trang web này đã bị tin tặc tấn
công, thay đổi giao diện, phát tán một bảng
danh sách hơn 400.000 tài khoản của những
hội viên Vietnam Airlines trên mạng Ở một
vụ án cũng liên quan tới việc xâm hại
Vietnam Airlines: năm 2017, 3 bị can bị
khởi tố điều tra về tội “Xâm nhập trái phép
vào mạng máy tính, mạng viễn thông hoặc
phương tiện điện tử của người khác”, theo
quy định tại điểm d khoản 2 Điều 289 Bộ
luật Hình sự (BLHS) năm 2015 vì đã tạo tài
khoản Bông Sen Vàng ảo của Vietnam Airlines
và thực hiện các giao dịch gian lận từ tài
khoản ảo, gây thiệt hại cho Vietnam Airlines
hơn 16,6 tỉ đồng2
2 Thu Anh, Bảo vệ thông tin, dữ liệu cá nhãn trên
không gian mạng, http://www.xaydungdang org.vn/
Home/nhan_quyen/2021/15757/Bao-ve-thong-tin-
du-lieu-ca-nhan-tren-khong-gian-mang.asp, truy cập
15/7/2022.
3 Nguyễn Hương Ly, Pháp luật hiện hành của Việt
Nam về bảo vệ dữ liệu, thông tin cả nhân và quyền riêng tư, https://nacis.gov.vn/nghien-cuu-trao-doi/-
/view-content/214123/phap-luat-hien-hanh-cua- viet-nam-ve-bao-ve-du-lieu-thong-tin-ca-nhan-va- quyen-rieng-tu, truy cập 13/7/2022.
Trên đây chỉ là một phần thực trạng rất
nhỏ trong rất nhiều dừ liệu cá nhân của cá
nhân, tổ chức bị xâm phạm đã được cơ quan
nhà nước phát hiện và xử lí Đứng trước thực
trạng này, việc ban hành một cơ chế pháp
luật để bảo vệ dừ liệu cá nhân là rất cần thiết
và cấp bách
Dự thảo Nghị định quy định về bảo vệ
dừ liệu cá nhân - Dự thảo lần 2 (sau đây gọi
chung là “Dự thảo Nghị định về bảo vệ dữ liệu cá nhân” hoặc “Dự thảo”) được xây dựng thành 06 chương với 30 điều, trong đó tập trung chủ yếu vào các quy định về xừ lí
dữ liệu cá nhân trong các trường họp cụ thể cũng như xây dựng các biện pháp bảo vệ dữ liệu cá nhân Tính đến thời điểm hiện tại, trong hệ thống pháp luật Việt Nam, chưa có văn bản pháp luật chính thức có hiệu lực nào ghi nhận một cách đầy đủ và có hệ thống các nội dung về dữ liệu cá nhân mà chỉ quy định thông tin cá nhân trong từng lĩnh vực cụ thể
và có hiệu lực tách biệt hoàn toàn với nhau Điều này thể hiện rõ nét qua bảng thống kê một số văn bản pháp luật có liên quan đến thông tin cá nhân, dữ liệu cá nhân trong hệ thống pháp luật Việt Nam như sau3:
- Hiến pháp năm 2013 (quy định về nguyên tắc bất khả xâm phạm về đời sống riêng tư
và bí mật cá nhân);
- Bộ luật Dân sự năm 2015 (quy định về quyền về đời sống riêng tư, bí mật cá nhân,
bí mật gia đình);
- Luật Giao dịch điện tử năm 2005 (nguyên tắc bảo mật trong các giao dịch điện
tử, trách nhiệm quản lí nhà nước bảo đảm thực hiện quyền, nghĩa vụ của các bên);
- Luật Công nghệ thông tin năm 2006 (Các quy định về việc thu thập, xừ lí và sử dụng thông tin cá nhân của người khác trên môi trường mạng);
- Luật An toàn thông tin mạng năm 2015
Trang 3NGHIÊN CỨU - TRA o ĐÔI
(quy định về quyền, trách nhiệm của các bên
trong việc bảo đảm an toàn thông tin mạng);
- Luật An ninh mạng năm 2018 (quy
định về bảo đảm an toàn cơ sở hạ tầng kĩ
thuật mạng, hệ thống tin quan trọng về an
ninh quốc gia, kiểm soát nội dung nhạy cảm
về chính trị trên không gian mạng, chống tội
phạm mạng và tấn công mạng);
- Luật Khám bệnh, chữa bệnh năm 2009
(quy định về bảo vệ bí mật về hồ sơ, thông
tin sức khoẻ, y tế của công dân);
- Luật Các tổ chức tín dụng năm 2010
(quy định về bảo vệ bí mật tài khoản và giao
dịch tài khoản của công dân);
- Luật Bảo hiểm xã hội năm 2014 (quy
định về bảo vệ bí mật, chống truy cập dữ liệu
bảo hiểm bất họp pháp);
- Luật Xử lí vi phạm hành chính năm
2012 (quy định về xử phạt hành chính các vi
phạm về tiết lộ thông tin cá nhân);
- Bộ luật Hình sự năm 2015 (áp dụng chê
tài hình sự đối với tội phạm mạng, tội phạm
công nghệ cao, xâm phạm bí mật đời tư);
Qua nội dung bảng trên có thể thấy rằng
các quy định về bảo vệ thông tin cá nhân
nằm rải rác trong các văn bản pháp luật khác
nhau Do đó, khi áp dụng trên thực tế đã xảy
ra tình trạng quy định của pháp luật thì
chồng chéo nhưng vẫn không thể điều chỉnh
hết các vấn đề phát sinh Dự thảo Nghị định
về bảo vệ dữ liệu cá nhân là dự thảo hệ
thống đầy đủ các quy định về dừ liệu cá
nhân và không bị giới hạn trong quá trình áp
dụng với các lĩnh vực, ngành nghề khác
nhau Đây được coi là một điểm tích cực và
tiến bộ, thể hiện sự quan tâm và nhận thức
đúng đắn của cơ quan nhà nước đối với vấn
đề bảo vệ dữ liệu cá nhân trong bối cảnh
công nghệ thông tin đang phát triển vượt bậc
như hiện nay và các thông tin của cá nhân có nhiều nguy cơ bị tiết lộ, xâm phạm một cách bất hợp pháp Việc ban hành Nghị định về bảo vệ dừ liệu cá nhân là hết sức cần thiết và quan trọng, là căn cứ pháp lí quan trọng mồi
cá nhân tự bảo vệ được dữ liệu của chính mình và cơ quan nhà nước cũng có các phương án kiểm soát, điều chỉnh các quan hệ pháp luật liên quan đến dữ liệu cá nhân
2 Một số quy định tại Dự thảo Nghị định về bảo vệ dữ liệu cá nhân
2.1 Quy định về khái niệm dữ liệu cá nhân
Theo quy định tại khoản 1 Điều 2 Dự thảo, “Dừ liệu cả nhân là dữ liệu về cả nhân hoặc liên quan đến việc xác định hoặc có thế xác định một cả nhân cụ thê” Theo quy
định này, dữ liệu cá nhân được hiểu là các
dữ liệu cụ thể về cá nhân hoặc chỉ là các dữ liệu nhằm mục đích xác định hoặc có thể xác định một cá nhân cụ thể Ngoài các các dữ liệu cụ thể, chi tiết về một cá nhân, các dừ liệu liên quan bằng bất cứ phương diện nào như nội dung dữ liệu, mục đích của dữ liệu hay kết quả của việc sử dụng dữ liệu, có đủ yếu tố rõ ràng đề phân biệt người này với người khác hoặc không rõ ràng nhưng vẫn
có khả năng xác định được tuỳ thuộc vào điều kiện khác hay ngữ cảnh thì đều được xác định là dữ liệu cá nhân thuộc sự điều chỉnh của Dự thảo
Trong các văn bản pháp luật trước đây, thay vì sử dụng thuật ngừ “dừ liệu cá nhân”, các nhà làm luật đã sử dụng thuật ngữ
“thông tin cá nhân” Thuật ngữ “thông tin
cá nhân” được giải thích lần đầu tiên trong Nghị định số 64/2007/NĐ-CP ngày 10/4/2007
về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước, trong đó “thông tin cá nhân” là “thông tin đủ để xác định
Trang 4NGHIÊN CỨU- TRAO ĐÔI
chỉnh xác danh tính một cá nhân, bao gồm ít
nhất nội dung trong những thông tin sau
đây: họ tên, ngày sinh, nghề nghiệp, chức
danh, địa chỉ liên hệ, địa chỉ thư điện tử, số
điện thoại, sổ chứng minh nhân dân, so hộ
chiếu Những thông tin thuộc bí mật cả nhân
gồm cỏ hồ sơy tế, hồ sơ nộp thuế, sổ thẻ bảo
hiếm xã hội, số thẻ tín dụng và những bỉ mật
cá nhãn khác” Trong lĩnh vực thương mại
điện tử, Nghị định số 52/2013/NĐ-CP ngày
16/5/2013 về thưong mại điện tử, khoản 13
Điều 3 quy định “thông tin cá nhân” là “các
thông tin góp phần định danh một cá nhân
cụ thê, bao gôm tên, tuồi, địa chỉ nhà riêng,
số điện thoại, thông tin y tế, sổ tài khoản,
thông tin về các giao dịch thanh toán cá
nhân và những thông tin khác mà cá nhãn
thông tin mạng năm 2015, lần đầu tiên thuật
ngữ “thông tin cá nhân” được một đạo luật
giải thích là “thông tin gắn với việc xác định
danh tính của một người cụ thể” (khoản 15
Điều 3)
Theo các quy định pháp luật nêu trên,
“thông tin cá nhân” là “những thông tin cơ
bản nhằm xác định chính xác danh tính của
một người cụ thể” Đó có thể là tên, tuổi, số
điện thoại, giới tính, nơi cư trú Nói cách
khác, “thông tin cá nhân” được hiểu là cơ sở
để “định danh” một người Tuy nhiên, khái
niệm nêu trên chỉ dừng lại ở các thông tin cơ
bản, trong khi đó, trên thực tế khối lượng
thông tin về một cá nhân, một con người là
rất lớn, thể hiện dưới nhiều định dạng khác
nhau Việc đưa ra khái niệm “thông tin cá
nhân” như trên chưa thực sự đầy đủ và làm
thu hẹp phạm vi bảo vệ của pháp luật đối với
đối tượng này
Xét về bản chất, dữ liệu có nghĩa bao
quát và mở rộng hơn Dữ liệu được giải thích
là số liệu, tư liệu đã có, được dựa vào để giải quyết một vấn đề4, là tập hợp các dữ kiện và chi tiết như văn bản, số liệu, quan sát, biểu tượng hoặc đơn giản là mô tả về sự vật, sự kiện hoặc thực thể được thu thập nhằm rút ra các suy luận Nói cách khác, dữ liệu được xác định là các sự thực khách quan, cần được xử lí để thu được thông tin Thông tin được giải thích là “điều được truyền đi cho biết, tin truyền đi”5, một cách cụ thể, thông tin được mô tả là dạng dữ liệu được xử lí, tổ chức, cụ thể và có cấu trúc, được trình bày trong cài đặt nhất định, nó chỉ định ý nghĩa
và cải thiện độ tin cậy của dữ liệu, do đó đảm bảo tính dễ hiểu và giảm độ không chắc chắn Có thể thấy rằng “dữ liệu” có ý nghĩa bao quát hơn so với “thông tin” và có độ chắc chắn, tin cậy cao hơn thông tin Do đó, việc sử dụng thuật ngữ “dừ liệu cá nhân” thay thế cho “thông tin cá nhân” là phù hợp, qua đó mở rộng phạm vi điều chỉnh đối với các dữ liệu của cá nhân
4 Viện Ngôn ngữ học, Hoàng Phê (Chủ biên), Từ
điển tiếng Việt, Nxb Đà Nằng - Trung tâm từ điển học, Hà Nội - Đà Nằng, 2003, tr 269.
5 Viện Ngôn ngữ học, Hoàng Phê (Chủ biên), sđd,
tr 953.
Dự thảo đã phân loại dữ liệu cá nhân theo hai loại là dữ liệu cá nhân cơ bản (theo quy định tại khoản 2 Điều 2 Dự thảo) và dữ liệu cá nhân nhạy cảm (theo quy định tại khoản 3 Điều 2 Dự thảo)
Các văn bản pháp luật trước đây chỉ xác định rằng “thông tin cá nhân” là những thông tin cơ bản của một cá nhân như tên tuổi, số điện thoại, số CMND mà chưa mở rộng đến những thông tin về sinh trắc học, giới tính, tài chính hay y tế Trong khi đó,
Trang 5NGHIÊN cứu- TRAO ĐỎI
các thông tin này hoàn toàn có đủ cơ sở đề
được xem là dữ liệu hoặc thông tin cá nhân,
không những vậy, các thông tin đó có tính
chất “nhạy cảm” hơn và cần được bảo mật
một cách chặt chẽ hơn Điều này đã tạo ra
những lồ hổng về mặt pháp lí, khiến cho các
thông tin nhạy cảm này không được bảo vệ
một cách toàn diện và tuyệt đối Dự thảo đã
khắc phục nội dung này bằng cách đưa các
dữ liệu nhạy cảm vào đối tượng điều chỉnh
và liệt kê cụ thể các dừ liệu nào được xác
định là dữ liệu nhạy cảm
2.2 Quy định về xử lí dữ liệu cá nhân
Theo quy định tại khoản 6 Điều 2 Dự
thảo Nghị định về bảo vệ dừ liệu cá nhân, xử
lí dữ liệu cá nhân là “một hoặc nhiều hành
động tác động tới dữ liệu cá nhân, bao gồm
thu thập, ghi, phân tích, lưu trữ, thay đổi,
tiêt lộ, câp quyền truy cập, truy xuất, thu hồi,
mã hoá, giải mã, sao chép, chuyển giao, xoá,
huỷ dữ liệu cá nhân hoặc các hành động
khác có liên quan’’ Có thể thấy, xử lí dữ
liệu cá nhân được hiểu một cách đơn giản là
các hành vi đối với dừ liệu cá nhân của chủ
thể dữ liệu (là cá nhân được dữ liệu cá nhân
phản ánh6), bên xử lí dữ liệu hoặc chủ thể
khác có liên quan
6 Khoản 5 Điều 2 Dự thảo Nghị định về bảo vệ dữ
liệu cá nhân.
Dự thảo Nghị định về bảo vệ dữ liệu đã
đưa ra các quy định về xử lí dữ liệu cá nhân
cụ thể và chi tiết tại Chương II (từ Điều 5
đến Điều 16) với một số nội dung nổi bật
như sau:
Thứ nhất, Dự thảo Nghị định đã hệ thống
lại các quyền của chủ thể dữ liệu tại Điều 5
với tên gọi là “quyền của chủ thê dừ liệu
liên quan đến xử li dữ liệu cá nhân ” Quyền
của chủ thể dữ liệu là quyền dân sự theo ý nghĩa chủ động, theo đó chủ thể dữ liệu khi cung cấp dữ liệu, thông tin cá nhân có quyền quyết định về việc có thực thi hay từ bỏ các quyền được pháp luật cho phép mà không phụ thuộc vào sự can thiệp của của chủ thể khác Theo quy định tại Dự thảo Nghị định, chủ thể dữ liệu có 06 quyền, bao gồm: 1) quyền đồng ý hoặc không đồng ý cho bên xử
lí dừ liệu cá nhân, bên thứ ba xử lí dữ liệu cá nhân của mình, trừ trường họp pháp luật có quy định khác; 2) nhận thông báo của bên xử
lí dữ liệu cá nhân tại thời điểm xử lí hoặc ngay khi có thể thực hiện được; 3) yêu cầu bên xử lí dữ liệu cá nhân chỉnh sửa, xem, cung cấp bản sao dữ liệu cá nhân của mình; 4) yêu cầu bên xử lí dữ liệu cá nhân chấm dứt việc xử lí dữ liệu cá nhân, hạn chế quyền tiếp cận dữ liệu cá nhân, chấm dứt việc tiết
lộ hoặc cho phép truy cập vào dữ liệu cá nhân, xoá hoặc đóng dữ liệu cá nhân đã thu thập, trừ trường hợp được pháp luật quy định; 5) khiếu nại theo quy định của pháp luật hoặc khiếu nại với ủy ban bảo vệ dữ liệu cá nhân trong trường họp cụ thể; 6) đòi bồi thường thiệt hại theo quy định của pháp luật khi có căn cứ cho rằng dữ liệu cá nhân của mình bị xâm phạm
Có thể thấy rằng Dự thảo đã mở rộng hơn về quyền của chủ thể dữ liệu so với Luật
An toàn thông tin mạng năm 2015 Theo đó, Luật An toàn thông tin mạng năm 2015 chỉ quy định quyền chủ thể dữ liệu trong 2 trường họp, bao gồm: chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lí thông tin cá nhân cung cấp thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ (khoản 3 Điều 17) và chủ thể thông tin cá nhân có quyền yêu cầu tổ chức,
Trang 6NGHIÊN cứu - TRA o ĐÔI
cá nhân xử lí thông tin cá nhân cập nhật, sửa
đổi, huỷ bỏ thông tin cá nhân của mình mà
tổ chức, cá nhân đó đã thu thập, lưu trữ hoặc
ngừng cung cấp thông tin cá nhân của mình
cho bên thứ ba (khoản 1 Điều 18) Luật An
toàn thông tin mạng năm 2015 chỉ tập trung
vào quyền và trách nhiệm của các tổ chức,
doanh nghiệp thu thập và xử lí dừ liệu thay
vì tập trung vào trung tâm của mọi biện pháp
bảo vệ là chủ thể dừ liệu Dự thảo Nghị định
về bảo vệ dữ liệu đã tập trung hon vào chủ
thể dữ liệu, theo đó tạo ra cơ chế để chủ thể
dữ liệu tự thực hiện các quyền để bảo vệ tốt
nhất của mình
Thứ hai, việc tiết lộ/xử lí dừ liệu cá nhân
được thực hiện theo nguyên tắc: dữ liệu cá
nhân chỉ được tiết lộ, xử lí khi được chủ thể
dữ liệu đồng ý và sự đồng ý của chủ thể dữ
liệu phải được thể hiện ở một định dạng có
thể được in, sao chép bang văn bản (theo quy
định tại khoản 4 Điều 8 Dự thảo) Tuy nhiên,
pháp luật cho phép việc tiết lộ, xử lí dừ liệu
cá nhân trong một số trường hợp cụ thể mà
không cần sự đồng ý của chủ thể dữ liệu Cụ
thể, bên xử lí dữ liệu cá nhân, bên thứ ba có
the tiết lộ dữ liệu cá nhân mà không cân có
Sự đồng ý của chủ thể dừ liệu trong các
trường hợp: theo quy định của pháp luật;
công bố thông tin là cần thiết vì lợi ích, an
ninh quốc gia, trật tự an toàn xã hội; trên
phương tiện truyền thông vì mục đích quốc
phòng, an ninh quốc gia, trật tự, an toàn xã
hội, đạo đức xã hội, sức khỏe của cộng đồng;
trên phương tiện truyền thông theo quy định
của Luật Báo chí, không gây thiệt hại về
kinh tế, danh dự, tinh thần, vật chất cho chủ
thể dừ liệu hoặc trong trường hợp được pháp
luật quy định là khẩn cấp, nguy cơ đe doạ tới
tính mạng hoặc ảnh hưởng nghiêm trọng tới
sức khoẻ cho chủ thể dữ liệu hoặc sức khoẻ cộng đồng Đối với việc xử lí dữ liệu cá nhân: Theo quy định tại khoản 1 Điều 10 Dự thảo, dữ liệu cá nhân được xử lí mà không cần có sự đồng ý của chủ thể dữ liệu trong các trường hợp sau: theo quy định của pháp luật; vì lợi ích, an ninh quốc gia, trật tự an toàn xã hội; trong trường họp được pháp luật quy định là khẩn cấp, nguy cơ đe doạ tới tính mạng hoặc ảnh hưởng nghiêm trọng tới sức khỏe cho chủ thể dữ liệu hoặc sức khỏe cộng đồng; phục vụ điều tra, xử lí hành vi vi phạm pháp luật; thực hiện quy định cụ thể nêu rõ cho phép xử lí dừ liệu cá nhân mà không có
sự đồng ý của chủ thể dữ liệu tại thỏa thuận quốc tế, điều ước quốc tế mà Việt Nam là thành viên; xử lí dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê Theo định nghĩa về xử lí dữ liệu cá nhân thì tiết lộ cũng là một trong các hành vi được xác định là hoạt động xử lí dừ liệu Như vậy, việc tồn tại hai quy định về các trường hợp tiết lộ dừ liệu cá nhân trong trường hợp không cần có sự đồng ý của chủ thể dữ liệu và xử lí dữ liệu cá nhân trong trường hợp không cần có sự đồng ý của chủ thể dữ liệu là có hợp lí và đảm bảo tính logic hay không? Ngay tại các quy định của
Dự thảo cũng tìm thấy sự tương đồng trong hai quy định nêu trên Cơ quan soạn thảo cần làm rõ nội dung này trước khi chính thức ban hành Nghị định
Thứ ba, Dự thảo đã quy định về việc xử
lí dừ liệu cá nhân trong một số trường hợp đặc biệt mà các văn bản pháp luật trước đây chưa có quy định cụ thê như xử lí dữ liệu cá nhân sau khi chủ thể dữ liệu chết (Điều 9) và
xử lí dữ liệu cá nhân của trẻ em (Điều 14) Tại Dự thảo Nghị định, theo điểm b khoản 1
Trang 7NGHIÊN cứư - TRA o ĐÓI
Điều 14 thì một trong những nguyên tắc khi
xử lí dữ liệu cá nhân của trẻ em là “Trước
khi xử lí bất kì dữ liệu cá nhân nào của trẻ
em, bền xử lí dữ liệu phải xác minh tuôỉ của
trẻ em và được sự đồng ỷ của cha mẹ hoặc
xử lí dữ liệu cá nhân của trẻ em thì phải
được được sự đồng ý của cha mẹ hoặc người
giám hộ (tuỳ theo quy định cụ thể của pháp
luật) Trẻ em được xếp vào nhóm “người yếu
thế” trong xã hội, từ đó cũng là đối tượng mà
dữ liệu cá nhân dễ bị xâm phạm nhất Theo
đó cơ chế thực hiện các quyền liên quan đến
dữ liệu cá nhân của trẻ em cũng cần được
xây dựng đặc biệt hơn Việc Dự thảo đưa ra
nguyên tắc về việc phải cần sự đồng ý của
cha mẹ hoặc người giám hộ là không sai tuy
nhiên, trẻ em là người dưới 16 tuổi, có nghĩa
tuy đều được xác định là trẻ em nhưng giữa
các độ tuổi khác nhau thì sự phát triển về thể
chất và tâm sinh lí khác nhau, theo đó mức
độ nhận thức của trẻ em tùy vào từng độ tuổi
cũng là khác nhau Ngay tại Điều 21 Bộ luật
Dân sự năm 2015 cũng quy định về việc
tham gia các giao dịch dân sự của trẻ em ở
các độ tuổi khác nhau, theo đó, giao dịch dân
sự của người chưa đủ 06 tuổi do người đại
diện theo pháp luật của người đó xác lập,
thực hiện; người từ đủ 06 tuổi đến chưa đủ
15 tuổi khi xác lập, thực hiện giao dịch dân
sự phải được người đại diện theo pháp luật
đồng ý, trừ giao dịch dân sự phục vụ nhu cầu
sinh hoạt hàng ngày phù hợp với lứa tuổi;
người từ đủ 15 tuổi đến chưa đủ 18 tuổi tự
mình xác lập, thực hiện giao dịch dân sự, trừ
giao dịch dân sự liên quan đến bất động sản,
động sản phải đăng kí và giao dịch dân sự
khác theo quy định của luật phải được
người đại diện theo pháp luật đồng ý Như vậy, nếu chỉ đưa ra sự đồng ý của cha mẹ, người giám hộ mà không làm rò vai trò của chính chủ thể dữ liệu - trẻ em trong các vấn
đề về dữ liệu cá nhân của bản thân mình là chưa phù hợp
Tại khoản 11 Điều 6 Luật Trẻ em năm
2016, hành vi bị nghiêm cấm được quy định là: “Công bố, tiết lộ thông tin về đời sống riềng tư, bỉ mật cả nhân của trẻ em mà không được sự đồng ỷ của trẻ em từ đu 07 tuồi trở lên và của cha, mẹ, người giám hộ của trẻ
em Theo quy định tại khoản 1 Điều 36 Nghị định số 56/2017/NĐ-CP ngày 09/5/2017 quy định chi tiết một số điều của Luật Trẻ em:
“1 Cơ quan, tổ chức, doanh nghiệp cung cap dịch vụ trên môi trường mạng và cá nhân khỉ đưa thông tin bỉ mật đời sống riêng
tư của trẻ em lên mạng phải có sự đồng ỷ của cha, mẹ, người chăm sóc tre em và trẻ
em từ đủ 07 tuôi trở lên
Theo hai quy định nêu trên thì khi công
bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em trên môi trường mạng hay trong bất kì môi trường nào khác thì bắt buộc phải sự đồng ý của tre em từ đủ
07 tuổi ưở lên và của cha, mẹ, người giám
hộ của trẻ em Có thể thấy rằng các văn bản pháp luật hiện hành đã có quy định về bảo vệ thông tin cá nhân của trẻ em, đã đặt ra sự tôn trọng với chính chủ thể có thông tin (trẻ em
từ đủ 07 tuổi trở lên) So sánh với quy định
về năng lực hành vi dân sự của cá nhân trong
Bộ luật Dân sự năm 2015, quy định tại Luật Trẻ em có sự tương thích và thống nhất Như vậy, Dự thảo cần sửa đổi trong sự thống nhất với Bộ luật Dân sự năm 2015 và Luật Trẻ
em năm 2016
Trang 8NGHIÊN cứu- TRAO ĐÔI
Thứ tư, quy định về quyền được lãng quên
Quyền được lãng quên (Right to be
forgotten) là một khái niệm pháp lí xuất hiện
vào cuối thế kỉ XX và Liên minh châu Âu đã
ban hành pháp luật điều chỉnh vấn đề này
sau hơn 10 năm (từ năm 1995 với Chỉ thị
bảo vệ dữ liệu cá nhân 1995 (sau đây gọi tắt
là Chỉ thị 95/46/CE) đến Phán quyết của Tòa
Công lí Liên minh châu Âu vào ngày
13/5/2014) Sau đó, quyền này được chính
thức ghi nhận trong Quy định bảo vệ dữ liệu
của Liên minh châu Âu 2016/679 (sau đây
gọi tắt là Quy định 2016/679) Trước khi có
Quy định 2016/679, quyền được lãng quên
trên không gian mạng là khái niệm cho
phép bất kì người dùng internet nào có
quyền yêu cầu xoá một hoặc nhiều trang
chứa thông tin về họ Kể từ khi Quy định
2016/679 có hiệu lực, quyền được lãng
quên phần nào đã được củng cố bằng việc
thiết lập quyền xoá bỏ dữ liệu Như vậy, có
thể hiểu đơn giản quyền được lãng quên là
quyền xoá dữ liệu, người thực hiện quyền
được lãng quên của mình có thể yêu cầu
xoá dữ liệu cá nhân, miễn là không còn bất
kì lí do chính đáng nào để giữ nó7
7 Huỳnh Thị Nam Hải, Quyền được lãng quên và vấn
đề bảo vệ dữ liệu cá nhăn, https://tapchitoaan.vn/
bai-viet/phap-luat-the-gioi/quyen-duoc-lang-quen-
va-van-de-bao-ve-du-lieu-ca-nhan, truy cập
13/7/2022.
Quyền được lãng quên thông thường
được thể hiện thông qua một trong hai hình
thức: quyền huỷ niêm yết (cho phép một cá
nhân yêu cầu người điều hành công cụ tìm
kiếm xoá một số kết quả tìm kiếm được
liên kết với tên của mình) và quyền xoá dừ
liệu (cho phép cá nhân yêu cầu nhà xuất bản của một trang web xoá dữ liệu cá nhân của mình, khi không còn lí do chính đáng
để giữ chúng)
Tại Việt Nam, quyền được lãng quên chưa được ghi nhận một cách rõ ràng và cụ thể Chỉ có thể thấy được bóng dáng của quyền được lãng quên từ các quy định về bảo vệ quyền riêng tư thông qua các quy định pháp luật như Điều 38 Bộ luật Dân sự năm 2015 quy định quyền về đời sống riêng
tư, bí mật cá nhân, bí mật gia đình; Điều 32
Bộ luật Dân sự năm 2015 về quyền đối với hình ảnh của cá nhân; Điều 70 Bộ luật Hình
sự năm 2015 về việc xoá án tích Tuy nhiên, đến Dự thảo Nghị định về bảo vệ dừ liệu cá nhân, các nhà lập pháp việt Nam đã ghi nhận việc xoá dữ liệu cá nhân của chủ thể dữ liệu,
cụ thể tại Điều 16 Dự thảo
Theo đó, không phải trong mọi trường hợp đều phải xoá dữ liệu cá nhân, mà việc xoá dữ liệu cá nhân chỉ phát sinh khi xảy ra một trong ba trường hợp cụ thể là: 1) không đúng mục đích xử lí dừ liệu cá nhân đã đăng
kí hoặc thông báo với chủ thể dữ liệu; 2) việc duy tri lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của bên xử lí dữ liệu cá nhân; 3) sau 20 năm sau khi chủ thể
dữ liệu chết, trừ khi chủ thể dữ liệu có quyền quyết định khác Có thể thấy rằng, quy định này mang hơi hướng của quyền yêu cầu xoá
dữ liệu nhưng lại chưa đảm bảo được đúng tinh thần và nguyên tắc của quyền yêu cầu xoá dữ liệu Dự thảo đang xác định việc xoá
dữ liệu là nghĩa vụ của bên xử lí dữ liệu mà chưa ghi nhận đây là quyền của chủ thể dữ liệu Như vậy, khi áp dụng trên thực tế, bản thân chủ thể dừ liệu cũng không có đủ cơ sở
Trang 9NGHIÊN cứư - TRA o ĐÓI
để yêu cầu bên xử lí dữ liệu xoá dữ liệu của
mình mà phải phụ thuộc vào bên xử lí dữ liệ,
theo đó chưa bảo vệ được tối đa quyền của
chủ thể dữ liệu
Ngoài ra, mặc dù đã có nội dung về xoá
dữ liệu nhưng Dự thảo lại chưa có quy định
về quyền huỷ niêm yết - một trong những
nội dung rất quan trọng, nhất là trong thời
đại công nghệ thông tin bùng nổ như hiện
nay, các trang thông tin trên mạng xã hội,
các website về các sự kiện, cá nhân được cập
nhật một cách thường xuyên, liên tục nhưng
lại chưa có sự kiểm duyệt chặt chẽ nào
Thứ năm, có thể thấy rằng các quy định
về xử lí dữ liệu tại chương II của Dự thảo
được xây dựng rất chi tiết và cụ thể song lại
chưa đảm bảo được tính bố cục và logic
trong sắp xếp các điều luật Theo định nghĩa
về xử lí dữ liệu cá nhân thì việc tiết lộ dừ
liệu là một phần của xử lí dữ liệu cá nhân,
tuy nhiên Dự thảo lại đưa ra hai quy định
riêng biệt là xử lí dữ liệu cá nhân trong
trường hợp không có sự đồng ý của chủ thể
dừ liệu và tiết lộ dữ liệu cá nhân trong trường
không có sự đồng ý của chủ thể dữ liệu
Cách sắp xếp các điều trong Chương II
chưa thực sự hợp lí Theo đó xử lí dữ liệu cá
nhân sau khi chủ thể dữ liệu chết (Điều 9)
hay xử lí dữ liệu trong trường họp không có
sự đồng ý của chủ thể dữ liệu (Điều 10), xử
lí dữ liệu cá nhân phục vụ công tác nghiên cứu
khoa học hoặc thống kê (Điều 12) hay xử lí
dữ liệu cá nhân của trẻ em (Điều 14) là các
trường họp xừ lí dữ liệu cá nhân đặc biệt,
nên được xếp gần nhau hoặc liên tiếp với
nhau để tạo ra sự liền mạch Tuy nhiên, các
điều khoản này lại bị ngăn cách bởi các
quy định không có cùng nhóm nội dung
2.3 Quy định về bảo vệ dữ liệu cá nhân
và chuyển dữ liệu cá nhân ra nước ngoài
2.3.1 Các biện pháp bảo vệ dữ liệu cá nhân
Dự thảo Nghị định về bảo vệ dữ liệu cá nhân đã đưa ra các biện pháp bao vệ dữ liệu
cá nhân khỏi các hành vi xâm phạm ở các mức độ khác nhau và được thực hiện bởi các chủ thể khác nhau Theo đó, có các biện pháp sau:
- Biện pháp kĩ thuật (Điều 17) được thực hiện bởi bên xử lí dữ liệu cá nhân Biện pháp
kĩ thuật là các biện pháp quản lí, vật lí, hoá học, tin học hoặc các biện pháp khác về mặt
kĩ thuật nhằm bảo vệ tối tru dữ liệu cá nhân
- Biện pháp về việc xây dựng quy định bảo vệ dữ liệu (Điều 18) được thực hiện bởi bên xử lí dữ liệu Theo đó trong quá trình thực hiện xử lí dữ liệu, bên xử lí dữ liệu cá nhân có trách nhiệm xây dựng, ban hành các vãn bản về bảo vệ dữ liệu cá nhân theo quy định tại Dự thảo Nghị định
- Biện pháp thanh tra, kiểm ưa hoạt động bảo vệ dừ liệu cá nhân (Điều 19): Uỷ ban Bảo vệ dừ liệu cá nhân có trách nhiệm đề nghị Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an ra quyết định thanh ưa, kiểm tra hoạt động bảo vệ dữ liệu cá nhân theo thẩm quyền Thành viên đoàn thanh tra, kiểm tra bao gồm thành viên của ủy ban Bảo vệ dữ liệu cá nhân và cơ quan chức năng có thẩm quyền
- Biện pháp đăng kí xử lí dữ liệu cá nhân nhạy cảm (Điều 20) Dữ liệu nhạy cảm được xác định là các dữ liệu có tác động rất lớn đối với chủ thể dữ liệu nếu bị tiết lộ hoặc xử
lí ưái pháp luật Do đó, cơ quan nhà nước cũng cần có biện pháp kiểm soát đặc biệt đối với dữ liệu nhạy cảm Dự thảo Nghị định về
Trang 10NGHIÊN CỨU - TRA o ĐÓI
bảo vệ dữ liệu cá nhân bắt buộc bên xử lí dữ
liệu cá nhân nhạy cảm phải làm hồ sơ đăng
kí với ủy ban bảo vệ dữ liệu cá nhân trước
khi tiến hành xử lí Đây là biện pháp phù
hợp và tiến bộ, nhằm đảm bảo rằng các dữ
liệu nhạy cảm được xử lí theo đúng quy
định của pháp luật, đảm bảo quyền lợi của
chủ thể dừ liệu
- Biện pháp xử lí vi phạm hành chính đối
với các hành vi vi phạm quy định về bảo vệ
dữ liệu cá nhân Dự thảo đề xuất mức phạt
tối đa lên đến 100.000.000 đồng đối với các
hành vi vi phạm Tuy nhiên, Dự thảo không
mô tả hành vi vi phạm cụ thể mà mô tả hành
vi vi phạm là vi phạm các quy định tại
Chương II, Chương III của Dự thảo Điều
này có thể dẫn đến hệ quả là có sự chồng
chéo đối với các quy định về xử lí vi phạm
hành chính trong các văn bản pháp luật khác
Vỉ dụ: Điều 84 Nghị định số 15/2020/NĐ-CP
ngày 03/02/2020, phạt tiền từ 10.000.000
đồng đến 20.000.000 đồng đối với hành vi
thu thập thông tin cá nhân khi chưa có sự
đồng ý của chủ thể thông tin cá nhân về
phạm vi, mục đích của việc thu thập và sử
dụng thông tin đó hoặc cung cấp thông tin cá
nhân cho bên thứ ba khi chủ thể thông tin cá
nhân đã yêu cầu ngừng cung cấp Xét trên
Dự thảo thì hành vi nêu trên cũng đã vi
phạm quy định về quyền của chủ thể dừ liệu
liên quan đến xử lí dữ liệu cá nhân và mức
phạt tại Dự thảo đối với hành vi này là từ
50.000.000 đồng đến 80.000.000 đồng Như
vậy, có thể thấy rằng nội dung xử phạt vi
phạm tại Dự thảo đang chưa thống nhất với
các văn bản pháp luật đã được quy định
trước đó
Ngoài ra, có thể thấy rằng mức xử phạt
vi phạm pháp luật trong hoạt động bảo vệ dữ
liệu cá nhân còn nhẹ so với nhiều quốc gia trên thế giới và cũng chưa đáp ứng được yêu cầu đấu tranh phòng, chống vi phạm pháp luật trong lĩnh vực này Như đã xác định ở trên thì mức phạt cao nhất đối với các hành
vi vi phạm tại Dự thảo là 100.000.000 đồng trong khi đó theo quy định của Liên minh châu Âu, các hành vi xâm phạm pháp luật bảo vệ thông tin cá nhân có thể bị xử phạt tới 4% tổng doanh thu của năm tài chính trước thời điểm xảy ra hành vi vi phạm8
8 Nguyễn Văn Cương, Thực trạng pháp luật về bảo
vệ thông tin cá nhân ở Việt Nam hiện nay và hướng hoàn thiện, http://www.lapphap.vn/Pages/TinTuc/
210631 /Thuc-trang-phap-luat-ve-bao-ve-thong-tin- ca-nhan-o-Viet-Nam-hien-nay-va-huong-hoan- thien.html, truy cập 15/7/2022.
Sau khi phân tích các biện pháp nêu trên, xét trên khía cạnh chủ thể, biện pháp bảo vệ
dừ liệu được chia làm hai loại: biện pháp được thực hiện bởi bên xử lí dừ liệu và biện pháp được thực hiện bởi cơ quan nhà nước
có thẩm quyền Trong đó, biện pháp được thực hiện bởi bên xử lí dữ liệu là các biện pháp kĩ thuật; xây dựng quy định bảo vệ dừ liệu cá nhân và đăng kí xử lí dữ cá nhân nhạy cảm Còn biện pháp được thực hiện bởi
cơ quan nhà nước bao gồm biện pháp thanh tra, kiểm tra hoạt động bảo vệ dừ liệu cá nhân và xử lí hành vi hành chính đối với những hành vi vi phạm quy định về bảo vệ
dữ liệu cá nhân Hai nhóm biện pháp này không tách biệt nhau mà đan xen và kết hợp với nhau theo một nguyên tắc cố định là bên
xừ lí dữ liệu có nghĩa vụ, cơ quan nhà nước
có quyền kiểm tra, kiểm soát các hoạt động, công việc do bên xừ lí dừ liệu thực hiện và thậm chỉ là xử lí vi phạm hành chính đối với