Vấn đề bảo vệ dữ liệu cá nhân theo pháp luật liên minh châu âu và hoa kỳ đề xuất cho việt nam

Dưới góc độ tiếp cận nội hàm “bảo vệ” trong mối tương quan với “dữ liệu”, Black’s Law Dictionary xác định trực tiếp rằng “bảo vệ dữ liệu” là “bất kì biện pháp nào thực hiện nhằm bảo vệ t

KHOA LUẬT QUỐC TẾ

VÀ HOA KỲ - ĐỀ XUẤT CHO VIỆT NAM

KHÓA LUẬN TỐT NGHIỆP

Niên khóa: 2018 - 2022

Người hướng dẫn : ThS Nguyễn Thị Kim Duyên

TP Hồ Chí Minh – Năm 2022

KHOA LUẬT QUỐC TẾ

-*** -

KHÓA LUẬN TỐT NGHIỆP CỬ NHÂN LUẬT

VẤN ĐỀ BẢO VỆ DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT LIÊN MINH CHÂU ÂU VÀ HOA

KỲ - ĐỀ XUẤT CHO VIỆT NAM

SINH VIÊN THỰC HIỆN: TRẦN THỊ THU HẰNG

KHÓA: 43 – MSSV: 1853801015059

GIẢNG VIÊN HƯỚNG DẪN: ThS NGUYỄN THỊ KIM DUYÊN

TP HỒ CHÍ MINH – NĂM 2022

MỤC LỤC

DANH MỤC TỪ VIẾT TẮT 1

LỜI CAM ĐOAN 4

PHẦN MỞ ĐẦU 5

CHƯƠNG 1 LÝ LUẬN CHUNG VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN 12

1.1 Khái quát về bảo vệ dữ liệu cá nhân 12

1.1.1 Khái niệm về bảo vệ dữ liệu cá nhân 12

1.1.2 Đặc điểm về bảo vệ dữ liệu cá nhân 14

1.1.3 Ý nghĩa của bảo vệ dữ liệu cá nhân 16

1.2 Lịch sử hình thành và phát triển pháp luật bảo vệ dữ liệu cá nhân 17

1.2.1 Trước những năm 1970 17

1.2.2 Sau những năm 1970 19

1.3 Mối quan hệ giữa quyền riêng tư và bảo vệ dữ liệu cá nhân 22

KẾT LUẬN CHƯƠNG 1 25

CHƯƠNG 2 BẢO VỆ DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT CỦA LIÊN MINH CHÂU ÂU VÀ HOA KỲ 26

2.1 Bảo vệ dữ liệu cá nhân theo quy định pháp luật của Liên minh Châu Âu 26

2.1.1 Phạm vi điều chỉnh và đối tượng áp dụng 26

2.1.2 Những nguyên tắc cơ bản 29

2.1.3 Quyền của chủ thể dữ liệu 31

2.1.4 Quy định về các chủ thể tham gia xử lý dữ liệu cá nhân 35

2.1.5 Xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân 37

2.2 Bảo vệ dữ liệu cá nhân theo quy định pháp luật của Hoa Kỳ 39

2.2.1 Luật liên bang 40

2.2.2 Luật các bang 48

KẾT LUẬN CHƯƠNG 2 51

CHƯƠNG 3 KIẾN NGHỊ HOÀN THIỆN PHÁP LUẬT VIỆT NAM VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN 52

3.1 Thực trạng và bất cập trong pháp luật Việt Nam về bảo vệ dữ liệu cá nhân.52 3.1.1 Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân 52

3.1.2 Bất cập trong pháp luật Việt Nam về bảo vệ dữ liệu cá nhân 54

3.2 Một số đề xuất hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân 62

3.2.1 Về giải thích thuật ngữ 62

3.2.2 Các nguyên tắc 63

3.2.3 Quyền của chủ thể dữ liệu 65

3.2.4 Đề xuất khác 67

KẾT LUẬN CHƯƠNG 3 69

KẾT LUẬN CHUNG 70

DANH MỤC TÀI LIỆU THAM KHẢO 72

DANH MỤC TỪ VIẾT TẮT

Từ viết tắt Nội dung được viết tắt

bởi Liên minh Châu Âu (“General Data Protection Regulations”)

(“Federal Trade Commission Act”) của Liên bang Hoa Kỳ

Dự thảo Nghị định Dự thảo Nghị định quy định về bảo vệ dữ

liệu cá nhân

LỜI CAM ĐOAN

Tôi cam đoan: Khóa luận tốt nghiệp này là kết quả nghiên cứu của riêng tôi, được thực hiện dưới sự hướng dẫn khoa học của Thạc sĩ Nguyễn Thị Kim Duyên, đảm bảo tính trung thực và tuân thủ các quy định về trích dẫn, chú thích tài liệu tham khảo Tôi xin hoàn toàn chịu trách nhiệm về lời cam đoan này

Thành phố Hồ Chí Minh, 6/2022

Trần Thị Thu Hằng

PHẦN MỞ ĐẦU

1 Tính cấp thiết của đề tài

Cách mạng công nghiệp 4.0 là một bước ngoặt đánh dấu giai đoạn các hoạt động kỹ thuật số phát triển bùng nổ, kéo theo sự thay đổi ngoạn mục của tất cả các phương thức tổ chức và hoạt động của con người, bao gồm hoạt động thông tin Theo

đó, trong thời đại kĩ thuật số này, nhu cầu sử dụng thông tin của con người ngày càng được đẩy mạnh, kéo theo sự phát triển liên tục trong quá trình tân tiến các phương thức tiếp cận, sử dụng thông tin Một mặt, xu hướng này thỏa mãn nhu cầu thiết yếu của con người vì nhu cầu sử dụng thông tin là đòi hỏi khách quan của con người nhằm duy trì hoạt động sống của con người1 nhưng mặt khác lại gây ra những hệ quả tiêu cực có tác động rất lớn đến cá nhân, cơ quan, tổ chức có liên quan đến thông tin đó

Hiện tượng tiết lộ, mua bán dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu diễn ra rất thường xuyên và phổ biến Ví dụ, vào tháng 5/2021 vừa qua, 1.300 GB dữ liệu cá nhân tại Việt Nam đã bị rao bán, 10.000 dữ liệu người dùng được rao bán trên diễn đàn hacker2 Bên cạnh đó, tồn tại không ít các vụ đánh cắp, rao bán

dữ liệu cá nhân ở quy mô toàn cầu nói chung hoặc quy mô quốc gia Việt Nam nói riêng thông qua các trang mạng xã hội như Facebook, Instagram, WhatsApp…3

Những hiện tượng trên đều để lại những mối nguy hiểm tiềm tàng về mặt tài chính và pháp lý cho các cá nhân có dữ liệu bị để lộ, sử dụng hoặc rao bán Về mặt tài chính, các chủ thể bị sử dụng dữ liệu cá nhân trái phép hoặc trái mục đích có thể phải đối mặt với các hành vi vay tiền, cưỡng đoạt tiền … dẫn đến thất thoát tài sản

Về mặt pháp lý, các chủ thể trên đứng trước nguy cơ bị giả mạo danh tính, giấy tờ để

1 Bùi Thanh Thủy (2018), Thời đại kỹ thuật số và những yếu tố ảnh hưởng tới nhu cầu tin của người dùng tin,

Tạp chí Thư viện Việt Nam, số 03 Xem tại: nhung-yeu-to-anh-huong-toi-nhu-cau-tin-cua-nguoi-dung-tin.html , (truy cập ngày 29/3/2022)

https://nlv.gov.vn/nghiep-vu-thu-vien/thoi-dai-ky-thuat-so-va-2 Hải Đăng (2021), Làm gì khi phát hiện dữ liệu cá nhân bị rao bản?, Báo điện tử Vietnamnet Link truy cập

tại:

https://vietnamnet.vn/vn/cong-nghe/bao-mat/lam-gi-khi-phat-hien-du-lieu-ca-nhan-bi-rao-ban-738302.html , (truy cập ngày 29/3/2022)

3 Song Minh (2021), Thông tin cá nhân 1,5 tỉ người dùng Facebook bị rao bán, Báo Lao động Online Link

truy cập tại: https://laodong.vn/the-gioi/thong-tin-ca-nhan-15-ti-nguoi-dung-facebook-bi-rao-ban-960355.ldo , (truy cập ngày 29/3/2022)

thực hiện các hành vi vi phạm pháp luật Ngoài ra, việc bị sử dụng trái phép dữ liệu liên quan đến cá nhân sẽ tạo nên hành vi xâm phạm quyền nhân thân của các chủ thể

bị lộ dữ liệu vì dữ liệu cá nhân là hình thức thể hiện tính “riêng tư” của mỗi cá nhân

Đứng trước những rủi ro nghiêm trọng đối với cá nhân, cơ quan, tổ chức nói riêng và sự mất trật tự công cộng, an ninh xã hội nói chung như thế, pháp luật Việt Nam hiện hành vẫn chưa có một văn bản quy phạm pháp luật riêng biệt để bảo vệ dữ liệu cá nhân, đảm bảo thực hiện quyền bảo vệ dữ liệu cá nhân một cách toàn vẹn Các quy định liên quan đến bảo vệ dữ liệu cá nhân được xây dựng một cách rải rác tại các văn bản quy phạm pháp khác nhau như BLDS năm 2015, Luật Công nghệ thông tin năm 2006, Luật An ninh mạng năm 2018 Hiện nay, Việt Nam đã và đang xây dựng

Dự thảo Nghị định và tiến đến quá trình thông qua hồ sơ xây dựng Nghị định về bảo

vệ dữ liệu cá nhân, xin ý kiến Ủy ban Thường vụ Quốc hội về Dự thảo Nghị định

Xét thấy tầm quan trọng của quyền bảo vệ dữ liệu cá nhân cũng như thực tiễn phức tạp trong việc bảo vệ dữ liệu cá nhân trong bối cảnh công nghệ phát triển không ngừng, tác giả cho rằng việc tiếp tục tham khảo, học hỏi pháp luật của các quốc gia

có kinh nghiệm trong lĩnh vực này là vô cùng cần thiết để xây dựng một văn bản quy phạm pháp luật toàn diện, đồng thời bảo đảm thực hiện quyền, lợi ích hợp pháp của công dân Việt Nam Ngoài ra, hiện nay vẫn chưa tồn tại một công trình nghiên cứu toàn diện nào tập trung về bảo vệ dữ liệu cá nhân mà chỉ tiếp cận bảo vệ dữ liệu cá nhân trong sự tương quan với các vấn đề pháp lý khác như thương mại điện tử…

Chính từ những lý do trên, tác giả chọn đề tài “Vấn đề bảo vệ dữ liệu cá nhân theo

pháp luật Liên minh Châu Âu và Hoa Kỳ - Đề xuất cho Việt Nam” để thực hiện đề

tài khóa luận tốt nghiệp

2 Tình hình nghiên cứu

2.1 Trong nước

- Trần Thị Hồng Hạnh, “Hoàn thiện pháp luật về bảo vệ thông tin cá nhân ở Việt

Nam hiện nay”, Luận án Tiến sĩ, 2018, Học viện Chính trị Quốc gia Hồ Chí Minh

Luận án Tiến sĩ đã trình bày một cách tổng quan các vấn đề về pháp luật bảo

vệ về thông tin, bao gồm: (i) cơ sở lý luận hoàn thiện pháp luật về bảo vệ thông tin

cá nhân; (ii) quá trình hình thành, phát triển, và thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam; (iii) đưa ra các quan điểm và giải pháp hoàn thiện pháp luật

về bảo vệ thông tin cá nhân ở Việt Nam Tuy nhiên, thời điểm Luận án Tiến sĩ được hoàn thành là trước khi xuất hiện Dự thảo Nghị định về bảo vệ dữ liệu cá nhân, do đó Luận án Tiến sĩ chưa thể đưa ra các đánh giá, phân tích về cách tiếp cận về bảo vệ dữ liệu cá nhân hiện nay tại Việt Nam thể hiện tại Dự thảo Nghị định

- Vũ Công Giao, Lê Trần Như Tuyên (2020), Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho

Việt Nam, Nghiên cứu Lập pháp, Số 9 (409), tr 55 – 64

Bài viết đã giới thiệu khái quát về khái niệm của DLCN, quyền đối với DLCN, theo đó khẳng định rằng quyền về dữ liệu cá nhân có vai trò to lớn trong quyền có thể khẳng định phẩm giá, sự tự chủ và nhân trạng của con người Ngoài ra, bài viết

đã nghiên cứu tổng quan pháp luật quốc tế, pháp luật của Liên minh châu Âu (“EU”)

và Hoa Kỳ về bảo vệ quyền đối với dữ liệu cá nhân, xác định xu hướng chung trên thế giới hiện nay là nỗ lực tạo nên khung pháp lý hiệu quả để bảo vệ quyền về sự riêng tư dữ liệu của cá nhân Tuy nhiên, bài viết chưa đi sâu vào các chi tiết cụ thể để định hình rõ ràng tầm quan trọng của việc bảo vệ dữ liệu cá nhân, cũng như phương thức bảo vệ dữ liệu cá nhân một cách hiệu quả bằng công cụ pháp lý

- Nguyễn Hoàng Anh (2019), Tự do thông tin, quyền riêng tư, quyền bảo vệ dữ liệu cá nhân trên mạng internet theo pháp luật của Cộng hòa Pháp, Số đặc biệt, tr 5 – 19

Bài viết đặt ra ba vấn đề pháp lý cụ thể như sau: (i) tự do tiếp cận internet là một phần của tự do thông tin, tự do biểu đạt; (ii) quyền bảo vệ dữ liệu cá nhân trong môi trường thông tin mạng; (iii) quyền riêng tư, quyền được lãng quên trên mạng Tuy nhiên, bài viết chỉ dừng ở việc trình bày sơ bộ pháp luật của khu vực châu Âu, pháp luật Pháp đối với bảo vệ dữ liệu cá nhân trên nền tảng Internet mà chưa đi sâu

vào cụ thể các quy định pháp luật cũng như chưa làm rõ các vấn đề khác liên quan trên các nền tảng khác

- Trần Thị Thu Phương (2021), Quyền bảo vệ thông tin cá nhân theo cách tiếp

cận của Hoa Kỳ và Liên minh Châu Âu, Tạp chí Kiểm sát, số 08

Bài viết đã giới thiệu sơ bộ các văn bản quy phạm pháp luật điều chỉnh vấn đề bảo vệ dữ liệu cá nhân tại Hoa Kỳ và EU Theo đó, bài viết xác định rằng pháp luật Hoa Kỳ và EU có sự khác biệt trong cách tiếp cận quyền được bảo vệ dữ liệu cá nhân Cuối cùng, bài viết đưa ra một số gợi ý cho Việt Nam rằng cần phân định quyền được bảo vệ dữ liệu cá nhân tách biệt với quyền riêng tư, và xác định dữ liệu cá nhân không phải là tài sản cá nhân

2.2 Nước ngoài

- Maria Tzanou, Data protection as a fundamental right next to privacy?

“Reconstructing” a not so new right, International Data Privacy Law, 2013, Vol 3,

No 2

Bài viết phân tích tổng quan về quyền được bảo vệ dữ liệu cá nhân, tập trung đánh giá vị trí pháp lý của quyền được bảo vệ dữ liệu cá nhân với tư cách là “quyền

cơ bản của công dân”, dựa trên cơ sở pháp luật EU Theo đó, bài viết trình bày hai lí

thuyết về quyền được bảo vệ dữ liệu cá nhân phổ biến như sau: một là, lý thuyết cho

rằng quyền bảo vệ dữ liệu cá nhân và quyền riêng tư là hai khái niệm tách biệt, có vai

trò riêng biệt nhưng bổ trợ lẫn nhau trong quá trình xây dựng quốc gia văn minh; hai

là, lý thuyết cho rằng quyền được bảo vệ dữ liệu cá nhân và quyền riêng tư đều là

quyền trung gian để bảo vệ quyền nhân thân và danh dự

- Yen Vu, Trung Tran, Bao Nguyen, Navigating Vietnam’s cybersecurity and

DP Law, Privacy Laws & Business International Report, 2020

Bài viết cung cấp một cái nhìn tổng quát về hệ thống pháp luật an ninh mạng

và bảo vệ dữ liệu cá nhân tại Việt Nam Trong đó, bài viết đã nêu lên thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân rằng thực tiễn chưa tồn tại một văn bản luật

để điều chỉnh vấn đề bảo vệ dữ liệu cá nhân, mà chỉ có các văn bản dưới luật và một

số quy định khác đang rải rác ở các văn bản quy phạm pháp luật có liên quan Bài

viết cũng đánh giá một số quy định về bảo vệ dữ liệu cá nhân, từ đó đưa ra một số đề xuất cho các doanh nghiệp, nhà cung cấp dịch vụ mạng trong việc tuân thủ nghiêm túc các quy định pháp luật

- Rossana Ducato, Data protection, scientific research, and the role of

information, Computer Law & Security Review, 2020, No 37

Trọng tâm của bài viết là về các vấn đề pháp lý phát sinh từ mối quan hệ giữa bảo vệ dữ liệu, hoạt động nghiên cứu khoa học và tầm quan trọng của thông tin, đánh giá trên cơ sở quy định của Bộ Quy tắc bảo vệ dữ liệu cá nhân của EU Ngoài ra, bài viết cũng nêu lên thực tiễn nội luật hóa của các Quốc gia thành viên EU đối với vấn

đề bảo vệ dữ liệu cá nhân Qua đó, bài viết khẳng định các nghĩa vụ đối với thông tin hoặc quy định hạn chế sự công khai thông tin còn nhiều hạn chế và cần sửa đổi nhằm bắt kịp tốc độ thay đổi của thực tiễn

Những tài liệu trên đã tìm hiểu một cách tổng quan về các quy định bảo vệ dữ liệu cá nhân, chủ yếu là các văn bản pháp luật của EU nhưng chưa có công trình nghiên cứu nào tập trung luận giải sự xuất hiện của bảo vệ dữ liệu cá nhân, lí giải mối quan hệ giữa bảo vệ dữ liệu cá nhân và quyền riêng tư, cũng như so sánh giữa pháp luật bảo vệ dữ liệu cá nhân của hệ thống dân luật và hệ thống thông luật để có cái nhìn khái quát hơn về bảo vệ dữ liệu cá nhân Do đó, tác giả lựa chọn nghiên cứu pháp luật của EU và của Hoa Kỳ vì đều là các quốc gia phát triển, tiến bộ trong việc xây dựng hành lang pháp lý về bảo vệ dữ liệu cá nhân Bên cạnh đó, pháp luật của

EU và Hoa Kỳ đều có tính mẫu mực, đại diện cho hai hệ thống pháp luật chủ yếu trên thế giới, lần lượt là dân luật và thông luật

Mục đích của khóa luận tốt nghiệp là làm sáng tỏ các vấn đề chưa được thực hiện trong các tài liệu nghiên cứu nêu trên, từ đó góp phần đưa ra các khuyến nghị liên quan pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam Đây cũng là tính mới của khóa luận tốt nghiệp về vấn đề bảo vệ dữ liệu cá nhân

3 Mục tiêu nghiên cứu của đề tài

Mục tiêu nghiên cứu của đề tài khóa luận tốt nghiệp hướng đến giải quyết các vấn đề pháp lý như sau:

Thứ nhất, làm sáng tỏ các vấn đề lý luận về khái niệm, đặc điểm, lịch sử hình

thành và phát triển của bảo vệ dữ liệu cá nhân

Thứ hai, trình bày và phân tích quy định pháp luật về bảo vệ dữ liệu cá nhân

của EU và Hoa Kỳ

Thứ ba, trình bày thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá hân và

đặt ra các khuyến nghị để hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân (cụ thể là Dự thảo Nghị định) dựa trên cơ sở so sánh, đánh giá và kế thừa pháp luật

EU và Hoa Kỳ

4 Đối tượng và phạm vi nghiên cứu của đề tài

Đối tượng nghiên cứu

Đề tài có đối tượng nghiên cứu chính là tổng quan pháp luật bảo vệ dữ liệu cá nhân của Liên minh Châu Âu và Hoa Kỳ, song song với pháp luật Việt Nam hiện hành, nhằm chỉ rõ các điểm vướng mắc cần hoàn thiện trong hệ thống pháp luật Việt Nam Từ đó, thực hiện được mục tiêu nghiên cứu là đưa ra các khuyến nghị nhằm xây dựng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân một cách toàn diện hơn

Phạm vi nghiên cứu

Về mặt không gian: đề tài sẽ khảo sát một cách khái quát các quy định pháp luật của khối Liên minh Châu Âu và của Hoa Kỳ, kết hợp tập trung chuyên sâu vào quy định pháp luật Việt Nam về bảo vệ dữ liệu cá nhân nhằm làm sáng tỏ và khắc phục những điểm bất cập hiện nay của pháp luật Việt Nam

Về mặt thời gian: đề tài sẽ có trọng tâm là các quy định đang có hiệu lực của Liên minh Châu Âu, Hoa Kỳ và Việt Nam về bảo vệ dữ liệu cá nhân, trên cơ sở nghiên cứu sơ lược về lịch sử hình thành các quy định pháp luật về bảo vệ dữ liệu cá nhân nhằm có cái nhìn khách quan, tổng thể về bảo vệ dữ liệu cá nhân

5 Phương pháp nghiên cứu

Khóa luận tốt nghiệp dự định sử dụng các phương pháp nghiên cứu khác nhau phù hợp với hướng tiếp cận của đề tài và đảm bảo tính khách quan, toàn diện của kết quả nghiên cứu, bao gồm các phương pháp nghiên cứu như sau:

- Phương pháp lịch sử: được sử dụng trong Chương 1 nhằm làm rõ các vấn đề

lý luận của bảo vệ DLCN

- Phương pháp phân tích và tổng hợp: áp dụng cho xuyên suốt khóa luận tốt nghiệp, đặc biệt tập trung vào quy định pháp luật của EU và Hoa Kỳ ở Chương 2 và quy định pháp luật của Việt Nam ở Chương 3

- Phương pháp so sánh: áp dụng chủ yếu tại Chương 2 để làm rõ sự khác biệt về hướng tiếp cận trong quá trình xây dựng quy định pháp luật về bảo vệ DLCN của EU

và Hoa Kỳ

- Phương pháp bình luận: được áp dụng để đưa ra những lý giải cho điểm tương đồng, khác biệt giữa pháp luật EU và Hoa Kỳ, từ đó đưa ra những ưu, nhược điểm của từng hệ thống quy định pháp luật Bên cạnh đó, phương pháp này cũng được sử dụng để đánh giá thực trạng quy định pháp luật Việt Nam và đặt ra các đề xuất trên

cơ sở đánh giá tổng quan hệ thống pháp luật của EU và Hoa Kỳ

6 Bố cục đề tài

Trong phạm vi nghiên cứu của khóa luận tốt nghiệp, ngoài phần mở đầu, kết luận, danh mục tài liệu tham khảo thì nội dung của khóa luận tốt nghiệp sẽ bao gồm

03 chương sau:

Chương 1: Lý luận chung về bảo vệ dữ liệu cá nhân

Chương 2: Bảo vệ dữ liệu cá nhân theo quy định pháp luật của Liên minh Châu

Âu và Hoa Kỳ

Chương 3: Kiến nghị hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân

CHƯƠNG 1 LÝ LUẬN CHUNG VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN

1.1 Khái quát về bảo vệ dữ liệu cá nhân

1.1.1 Khái niệm về bảo vệ dữ liệu cá nhân

Để có thể nhận diện khái niệm “bảo vệ dữ liệu cá nhân” một cách tổng quát nhất, cần phải bóc tách rõ ràng các khái niệm “dữ liệu”, “bảo vệ” và “dữ liệu cá nhân”

Theo Từ điển Tiếng Việt, “dữ liệu” được hiểu theo hai nội hàm sau: (i) số liệu,

tư liệu đã có, được dựa vào để giải quyết một vấn đề; (ii) sự biểu diễn của một thông tin trong máy tính dưới dạng quy ước, nhằm làm dễ dàng việc xử lý4 Mặt khác, Đại

Từ điển Tiếng Việt xác định khái niệm “dữ liệu” theo nghĩa hẹp hơn là “những thông tin như văn bản, số liệu, âm thanh, hình ảnh… được biểu diễn trong máy tính dưới

Từ điển Tiếng Việt diễn giải khái niệm của “bảo vệ” theo hai khía cạnh: (i) chống lại mọi sự xâm phạm để giữ cho luôn luôn được nguyên vẹn; (ii) bênh vực bằng lí lẽ để giữ vững ý kiến, quan điểm6 Dưới góc độ tiếp cận nội hàm “bảo vệ” trong mối tương quan với “dữ liệu”, Black’s Law Dictionary xác định trực tiếp rằng

“bảo vệ dữ liệu” là “bất kì biện pháp nào thực hiện nhằm bảo vệ thông tin, đặc biệt

là thông tin được lưu trữ trên máy tính khỏi tình trạng bị đánh cắp hoặc bị tiết lộ bởi

Định nghĩa dữ liệu cá nhân (“DLCN”) được xác định bởi Tổ chức Hợp tác

kinh tế và phát triển tại Văn bản hướng dẫn về Bảo vệ sự riêng tư và dịch chuyển

xuyên biên giới đối với DLCN như sau: “DLCN là bất kì thông tin nào liên quan đến

Với hướng tiếp cận rộng hơn về nội hàm “DLCN”, Luật Bảo vệ DLCN năm 2012

4 Viện Ngôn ngữ học, Từ điển Tiếng Việt, Nxb Đà Nẵng, 2003, tr 269

5 Nguyễn Như Ý (chủ biên), Đại Từ điển Tiếng Việt, Nxb Văn hóa – Thông tin, Hà Nội, 1999, tr 367

6 Viện Ngôn ngữ học, Từ điển Tiếng Việt, Nxb Đà Nẵng, 2003, tr 40

7 Bryan A Garner (chủ biên), Black’s Law Dictionary, 2004, 8th edition, p 1188

8 OECD, “Guidelines on the Protection of Privacy and Transborder Flows of Personal Data” Xem tại:

https://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonalda ta.htm#part1 , (truy cập ngày 11/4/2022)

Singapore quy định: “DLCN là bất kì thông tin nào, không phân biệt đúng hay sai, liên quan đến một cá nhân mà người đó có thể được nhận dạng: (a) từ chính thông tin đó; hoặc (b) từ sự kết hợp giữa thông tin đó và các nguồn thông tin khác mà các

như có xu hướng ưu tiên tính liên quan của dữ liệu hơn chức năng định danh của dữ liệu để định hình khái niệm DLCN

Quy định tại Dự thảo Nghị định hiện nay được cho là thống nhất với xu hướng quốc tế đối với khái niệm DLCN khi căn cứ vào tính liên quan của thông tin, cụ thể

tại khoản 1 Điều 2 như sau: “DLCN là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể” Tuy nhiên, nếu khảo sát sơ lược

qua các văn bản quy phạm pháp luật hiện hành có liên quan đến DLCN tại Việt Nam, hướng tiếp cận đối với khái niệm này tại Việt Nam là tương đối hẹp, khi chủ yếu được xây dựng dựa trên chức năng định danh cá nhân10 Điều này được thể hiện thông qua một loạt các quy định tại các văn bản khác nhau như khoản 15 Điều 3 Luật An toàn thông tin mạng năm 201511, khoản 5 Điều 4 Luật Giao dịch điện tử năm 200512, khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước13… Theo đó, chỉ dữ liệu có chức năng định danh cá nhân mới cấu thành DLCN, còn dữ liệu khác dù có liên quan nhưng không có khả năng định danh cá nhân theo quy định pháp luật thì không cấu thành DLCN

9 Personal Data Protection Act 2012 of Singapore, Article 2(1) Xem tại:

https://sso.agc.gov.sg/Act/PDPA2012 , (truy cập ngày 02/06/2022)

10 Lưu Minh Sơn, Nguyễn Thị Thùy Dương, “Nguyên tắc xử lý dữ liệu cá nhân trên không gian mạng theo

pháp luật Việt Nam dưới góc nhìn so sánh với pháp luật Singapore, Liên minh Châu Âu”, Tạp chí Nhà nước

và Pháp luật, 2020, số 11

11 Khoản 15 Điều 3 Luật An toàn thông tin mạng năm 2015: “Thông tin cá nhân là thông tin gắn với việc xác

định danh tính của một người cụ thể.”

12 Khoản 5 Điều 4 Luật Giao dịch điện tử năm 2005: “5 Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ

số, hình ảnh, âm thanh hoặc dạng tương tự.”

13 Khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan

nhà nước: “5 Thông tin cá nhân: là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất

nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu Những thông tin thuộc bí mật cá nhân gồm có hồ

sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác.”

Sau khi phân tích các khái niệm cấu thành nên “bảo vệ DLCN”, tác giả cho

rằng có thể đưa ra khái niệm khái quát như sau: “Bảo vệ DLCN là việc thực hiện mọi biện pháp nhằm ngăn chặn, phòng ngừa các thông tin liên quan đến cá nhân được dùng để xác định hoặc nhận dạng cá nhân đó khỏi tình trạng bị xâm phạm, bị đánh cắp hoặc bị tiết lộ bởi một bên không có quyền.”

1.1.2 Đặc điểm về bảo vệ dữ liệu cá nhân

Một là, bảo vệ DLCN là hình thức thực hiện quyền bảo vệ DLCN

Quyền bảo vệ DLCN là một trong những quyền cơ bản của con người, được ghi nhận tại khoản 1 Điều 8 Điều lệ về Quyền cơ bản của Liên minh Châu Âu năm

2000 như sau: “Mọi người có quyền được bảo vệ DLCN có liên quan đến họ.” So với

các quyền cơ bản khác, thời điểm mà quyền bảo vệ DLCN được khẳng định một cách minh thị là tương đối muộn, khi chỉ đến khoảng đầu thế kỉ XXI mới xuất hiện văn bản quốc tế là Điều lệ về Quyền cơ bản của EU chính thức đặt để một quy định riêng biệt cho quyền này Tuy nhiên, nếu nhìn tổng quan về pháp luật quốc tế về nhân quyền thì quyền bảo vệ DLCN thực chất đã được ghi nhận từ rất sớm tại quy định về

QRT, như Điều 12 Tuyên ngôn quốc tế về Nhân quyền năm 1948 (“UDHR”), Điều

17 Công ước quốc tế về các quyền dân sự và chính trị năm 1966 (“ICCPR”) …

Xét đến tầm quan trọng của quyền cơ bản của con người – quyền bẩm sinh mà mỗi cá nhân đều sở hữu, được công nhận và là yếu tố chủ chốt cấu thành nên hệ thống các quy tắc pháp lý điều chỉnh hành vi con người14, có thể khẳng định rằng, nguồn cơn cho sự tồn tại chế định về “bảo vệ DLCN” là xuất phát từ bản chất của quyền bảo

vệ DLCN với tư cách là một trong các quyền cơ bản của con người Từ đó, các quy định bảo vệ DLCN là nhằm bảo đảm quyền bảo vệ DLCN được thực thi trên thực tế

Hai là, bảo vệ DLCN phải được thực hiện trong sự tương quan với việc thực hiện các quyền cơ bản khác của con người

14 Stephen P Marks, “Human Rights: A Brief Introduction”, Harvard University, 2016, p 2 Xem tại:

https://cdn1.sph.harvard.edu/wp-content/uploads/sites/134/2016/07/Human-Rights-A-brief-intro-2016.pdf

(truy cập ngày 12/4/2022)

Đặc điểm này bắt nguồn từ bản chất của quyền bảo vệ DLCN Bởi lẽ, hiện nay các quan điểm về vị trí pháp lý của quyền bảo vệ DLCN dù còn nhiều điểm trái chiều, nhưng đều thống nhất rằng quyền bảo vệ DLCN có mối quan hệ sâu sắc với QRT15 Thậm chí có các quan điểm pháp lý cho rằng quyền bảo vệ DLCN xuất hiện trong mối liên quan đến quyền hình ảnh, quyền tài sản theo pháp luật một số quốc gia trên thế giới16, mà các quyền này đều được thừa nhận là quyền cơ bản của con người Khi quyền bảo vệ DLCN đang được tiếp cận trong mối tương quan với các quyền cơ bản khác của con người thì các quy định về bảo vệ DLCN cũng phải được xây dựng trên

cơ sở các quy định hiện hành về việc thực hiện các quyền cơ bản khác có liên quan

Ba là, bảo vệ DLCN được thực hiện theo nhiều hình thức đa dạng

Song song với sự đa dạng trong cách thức thực hiện hành vi xâm phạm DLCN cũng như hình thức tồn tại của dữ liệu (ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh

và các hình thức tương tự), hình thức thực hiện việc bảo vệ DLCN cũng được xây dựng một cách đa dạng… Phương thức bảo vệ DLCN có thể được thực hiện bằng các biện pháp kĩ thuật hoặc các biện pháp tổ chức17, trong đó có thể kể đến các biện pháp phổ biến như sau18: mã hóa dữ liệu, lưu trữ dữ liệu trên điện toán đám mây, cài đặt mật khẩu, quản lý lượt truy cập và nhận dạng, ứng dụng các phần mềm rà soát và phòng chống sự xâm nhập…

15 Mireille Hildebrandt, “Privacy and Data Protection”, Oxford Scholarship Online, 2020, p 100 Xem tại:

https://oxford.universitypressscholarship.com/view/10.1093/oso/9780198860877.001.0001/oso-9780198860877-chapter-5 (truy cập ngày 12/4/2022)

16 Quan điểm nhắc đến mối quan hệ giữa quyền bảo vệ dữ liệu cá nhân với quyền nhân thân, quyền hình ảnh được đặt ra trong hệ thống pháp luật các quốc gia theo hệ thống thông luật (pháp luật các quốc gia này được cho là có phương hướng tiếp cận quyền nhân thân thông qua các chế định liên quan đến quyền tài sản, cụ thể

là chế định về bồi thường thiệt hại), ví dụ như Singapore Tham khảo tại: David Tan, “Image Rights and Data

Protection”, NUS Law Working Paper, 2017, p.1 Xem tại:

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3024434 (truy cập ngày 12/4/2022)

17 Hai phương thức này đều được ghi nhận lần lượt trong Chỉ thị về Bảo vệ dữ liệu EU (“EU Data Protection Directive”) hoặc GDPR do Liên minh Châu Âu ban hành

18 Brandi Jaylin, “Top 5 Types of Data Protection”, Otava Blog, 2021 Xem tại:

https://www.otava.com/blog/top-5-types-of-data-protection/ (truy cập ngày 12/4/2022)

1.1.3 Ý nghĩa của bảo vệ dữ liệu cá nhân

Một là, bảo vệ DLCN nhằm thực hiện quyền cơ bản của con người – quyền bảo vệ DLCN Với đặc điểm là hình thức thực hiện quyền bảo vệ DLCN, bảo vệ

DLCN cần được coi là một chế định không thể thiếu trong hệ thống pháp luật quốc gia với mục đích phục vụ nhu cầu chính đáng của con người để chống lại mọi sự tấn công bất hợp pháp đối với DLCN, bảo toàn sự nguyên vẹn của DLCN Ở một quy

mô hẹp hơn, có thể nhìn nhận việc bảo vệ DLCN thực chất là nhằm bảo vệ lợi ích của các đối tượng khác nhau trong xã hội, bao gồm19: (i) đối tượng mà dữ liệu phản ánh; (ii) đối tượng có quyền quản lí dữ liệu Nói cách khác, bảo vệ DLCN chính là bảo vệ quyền lợi riêng của từng chủ thể trong xã hội

Hai là, bảo vệ DLCN là thiết yếu đối với quá trình phát triển xã hội bền vững, duy trì trật tự cộng đồng Nếu không có bảo vệ DLCN, các hành vi vi phạm nhằm

lạm dụng DLCN vào những mục đích bất hợp pháp như thu thập, sử dụng dữ liệu trái phép, đánh cắp thông tin để lừa đảo, làm giả DLCN… sẽ không thể bị ngăn chặn, dẫn đến sự bất ổn định về mặt thông tin trong xã hội Từ đó, làm phát sinh hai vấn đề như sau: (i) trật tự xã hội sẽ bị lung lay khi hệ thống dữ liệu của mỗi cá nhân bị xâm phạm, khai thác tùy tiện, không đảm bảo tính chính xác, phù hợp của dữ liệu; (ii) sự phát triển xã hội khó có thể triển khai khi không duy trì được trật tự xã hội Khi xu hướng phát triển công nghệ thông tin là hiện tượng mang tính khách quan và khao khát xây dựng xã hội thông tin là tất yếu20, bảo vệ DLCN càng trở nên cấp thiết hơn bao giờ hết, nhằm bảo vệ quyền lợi chung của xã hội cũng như quyền lợi của mỗi cá nhân

Nói chung, bảo vệ DLCN có giá trị cơ bản trong việc bảo vệ lợi ích kinh tế và lợi ích nhân thân của CTDL, các chủ thể khác có quyền đối với DLCN Từ đó xa hơn,

19 Federico Ferretti, “Data Protection and the legitimate interest of data controllers: Much ado about nothing

or the winter of rights?”, Common Market Law Review, 2014, Volume 51 Xem tại:

https://kluwerlawonline.com/journalarticle/Common+Market+Law+Review/51.3/COLA2014063 , (truy cập 12/4/2022)

20 Nguyễn Văn Dân, “Về xã hội thông tin và xã hội tri trức hiện nay”, Tạp chí Cộng sản, 2007 Xem tại:

xa-hoi-tri-thuc-hien-nay.aspx , (truy cập 12/4/2022)

https://www.tapchicongsan.org.vn/web/guest/the-gioi-van-de-su-kien/-/2018/1377/ve-xa-hoi-thong-tin-va-bảo vệ DLCN còn hướng đến https://www.tapchicongsan.org.vn/web/guest/the-gioi-van-de-su-kien/-/2018/1377/ve-xa-hoi-thong-tin-va-bảo vệ lợi ích chung của cả cộng đồng khi mà mối quan

hệ giữa cá nhân và cộng đồng mang tính biện chứng, tác động lẫn nhau sâu sắc theo hướng đồng thuận21

1.2 Lịch sử hình thành và phát triển pháp luật bảo vệ dữ liệu cá nhân

Lịch sử hình thành và phát triển pháp luật bảo vệ DLCN sẽ được nghiên cứu theo hai giai đoạn chính: (i) giai đoạn trước những năm 1970; (ii) giai đoạn sau những năm 1970 Sở dĩ việc nghiên cứu được thực hiện như trên là xuất phát từ đặc trưng của pháp luật bảo vệ dữ liệu cá nhân gắn liền với sự phát triển công nghệ điện tử - giai đoạn năm 1970 là thời điểm xuất hiện Cách mạng công nghiệp lần 3, Cách mạng

kỹ thuật số22 Hệ thống quy định pháp luật bảo vệ DLCN có sự chuyển biến trước và sau cột mốc những năm 1970, theo đó sau kỷ nguyên công nghệ thông tin thì quy định về bảo vệ DLCN được ban hành một cách trực tiếp, minh thị và độc lập hơn

1.2.1 Trước những năm 1970

Trong lịch sử lập pháp các quốc gia trên thế giới và các văn bản pháp luật quốc

tế, quyền bảo vệ DLCN được công nhận trực tiếp tại thời điểm tương đối muộn so với các quyền cơ bản khác, song những dấu tích về quyền bảo vệ DLCN đã được thể hiện từ rất sớm một cách gián tiếp với tư cách là một bộ phận không tách rời với QRT

Văn bản quốc tế đầu tiên chính thức ghi nhận QRT là UDHR tại Điều 12 như

sau: “Không một ai phải chịu sự can thiệp tùy tiện đối với sự riêng tư, gia đình, nhà

ở hoặc thư điện tín, cũng như bất kì sự xúc phạm nào đối với danh dự, uy tín của người đó Tất cả mọi người đều có quyền được pháp luật bảo hộ trước những hành

vi xâm phạm nêu trên.” Nội hàm của QRT cũng được quy định tương tự tại Điều 17

21 Duong Thi Thuy Nga, “The Relationship Between the Individual and Society in Eastern Culture”, American

Journal of Educational Research, 2018 Xem tại: http://pubs.sciepub.com/education/6/7/4/index.html , (truy cập 14/4/2022)

22 Minh Khoa, “Cuộc cách mạng công nghiệp 4.0 là gì?”, Cổng thông tin điện tử - Học viện Cảnh sát Nhân

dân, 2018 Xem tại: la-gi-4319 , (truy cập 14/4/2022)

http://hvcsnd.edu.vn/nghien-cuu-trao-doi/dai-hoc-40/cuoc-cach-mang-cong-nghiep-4-0-ICCPR, theo đó QRT là cơ sở để bảo đảm quyền được tôn trọng về đời sống riêng tư, gia đình, nhà ở và thư từ của mỗi cá nhân

Khái niệm của QRT tại các văn bản quốc tế đều hàm chứa sự bảo vệ về mặt thông tin cá nhân, thông qua yếu tố trực diện nhất là qua “thư điện tín” – công cụ thể hiện những thông tin trao đổi giữa các chủ thể với nhau Bên cạnh đó, các yếu tố khác được nhắc đến trong QRT là “cuộc sống riêng tư, gia đình, nhà ở” mặc dù không có hình thức tồn tại hoặc/và mục đích tồn tại tương đồng như “thư điện tín” là nhằm trao đổi thông tin, nhưng những yếu tố này đều có đặc điểm chung là đều cung cấp thông tin riêng tư về chủ thể được phản ánh khi bị xâm phạm23

Đặc điểm trên có thể lí giải từ bản chất của QRT là hướng đến bảo vệ những khía cạnh mật thiết nhất của một cá nhân24 Bởi lẽ, QRT được đặt ra trong bối cảnh nhu cầu về mặt tâm sinh lý của con người trỗi dậy mạnh mẽ sau khi các quốc gia Châu Âu tiến hành thiết lập hệ thống thuộc địa tại Hoa Kỳ, truyền bá các khái niệm

về QRT, đặt ra cơ chế quyền sở hữu riêng về đất đai dẫn đến sự phân định rõ ràng về không gian riêng tư và không gian cộng đồng25 Điều đó làm bùng nổ mong muốn cân bằng giữa phần bản thể bên ngoài với bản thể bên trong của con người, giữa cuộc đời riêng tư với cuộc đời xã hội, giữa khao khát mang tính chủ quan được trở nên riêng tư, một mình với khao khát mang tính khách quan được gắn kết với những người xung quanh26 Do đó, QRT chính là cơ sở để thực hiện khao khát được một mình, không bị làm phiền thông qua ngăn chặn sự xâm phạm vào những khía cạnh mật thiết nhất về một cá nhân

23 Ở quy mô khái quát nhất, thông tin là bất kì vật chất tồn tại nào trên thế giới và được xác định cụ thể dựa trên nhận thức, phản ứng của con người đối với vật chất đó Tham khảo tại: Sebastian Boell, Dubravka Cecez-

Kecmanovic, “Attributes of Information”, AMCIS 2010 Proceedinngs, 2010, pp 219 Xem tại:

https://www.researchgate.net/publication/220889864_Attributes_of_Information , (truy cập ngày 16/4/2022)

24 Jan Holvast, “History of Privacy”, International Federation for Information Processing, 2009, pp 14-40

Xem tại: https://link.springer.com/content/pdf/10.1007/978-3-642-03315-5_2.pdf , (truy cập ngày 16/4/2022)

25 David H Flaherty, “Privacy in Colonial New England”, The American Historical Review, 1973, Vol 78,

No.2, pp 473-473 Xem tại: https://www.jstor.org/stable/1861258?origin=crossref , (truy cập ngày 16/4/2022)

26 David Clark Esseks, “Privacy in a Public Society: Human Rights in Conflict”, University of Michigan Law

School, 1989, Vol 87, pp 1624-1630 Xem tại:

https://repository.law.umich.edu/cgi/viewcontent.cgi?article=3395&context=mlr , (truy cập ngày 16/4/2022)

Như vậy, trong thời kỳ này, quyền bảo vệ DLCN chưa thực sự được phân định

rõ ràng Những ý niệm đơn sơ về quyền bảo vệ DLCN đã dần được hình thành, nhưng đơn thuần được tiếp cận như một nội hàm thuộc QRT mà không được nhìn nhận như một quyền riêng biệt

1.2.2 Sau những năm 1970

Từ năm 1970 cho đến nay, pháp luật trong khu vực các quốc gia và pháp luật quốc gia bắt đầu có sự ghi nhận trực tiếp về quyền bảo vệ DLCN cũng như các quy định nhằm thực hiện bảo vệ DLCN một cách rạch ròi so với QRT Việc phân định riêng biệt về mặt pháp lý giữa bảo vệ DLCN và QRT được cho là xuất phát từ sự thay đổi về thực tiễn: sự phát triển bùng nổ của công nghệ điện tử

Những bước đột phá trong công nghệ, sức phổ biến mạnh mẽ trong việc ứng dụng các thiết bị điện tử trong đời sống hằng ngày là động lực thúc đẩy các giao dịch xuyên biên giới, đẩy mạnh nhu cầu tự do hóa thương mại, trao đổi dữ liệu xuyên biên giới Đây là thời điểm các nhà lập pháp cần nhìn nhận lại quy định về QRT và tự do thông tin trong mối tương quan với nhu cầu phát triển kinh tế xã hội Đứng trước sự mâu thuẫn giữa QRT – quyền được tôn trọng và kiểm soát thông tin về đời sống riêng

tư cá nhân với nhu cầu của quốc gia, doanh nghiệp sử dụng thông tin cá nhân để thực hiện các giao dịch trong và ngoài nước, dường như các nhà lập pháp đã quyết định thiết lập nên các quy định về bảo vệ DLCN để giải quyết mâu thuẫn trên: một mặt, thúc đẩy sự phát triển kinh tế - xã hội bằng việc đảm bảo sự tân tiến trong công nghệ điện tử không gặp rào cản pháp lý; mặt khác, vẫn duy trì thực hiện tôn trọng QRT của các cá nhân

Mặt khác, công nghệ điện tử xuất hiện cũng đã làm thay đổi toàn bộ cách nhìn nhận truyền thống về QRT Công nghệ điện tử hiện diện trong từng hoạt động của mỗi cá nhân, tại mỗi thời điểm, địa điểm mà cá nhân đó tồn tại Với sự can thiệp sâu sắc của công nghệ điện tử vào đời sống riêng tư của cá nhân, không thể phủ nhận rằng QRT của con người đứng trước những rủi ro cao hơn của việc bị xâm phạm khi tồn tại đồng thời 02 điều kiện sau: (i) đặc trưng của thông tin là biểu hiện của quyền

lực27; và (ii) công nghệ điện tử phát triển trở thành công cụ đắc lực để khai thác thông tin Trong một xã hội chứng kiến sự phát triển không ngừng của công nghệ điện tử, cần chấp nhận rằng thông tin cá nhân phải được tiết lộ nhằm lưu thông các hoạt động của chính cá nhân đó và các hoạt động chung của xã hội Do đó, phạm vi bảo hộ của QRT phải được điều chỉnh sao cho phù hợp với thực tiễn, không phải tất cả yếu tố được cho là riêng tư sẽ tiếp tục được bảo hộ dưới QRT Thậm chí việc thay đổi phạm

vi của QRT còn có thể được diễn giải rằng: vì định nghĩa của QRT khác nhau tùy theo quan điểm của từng cá nhân, xã hội và quốc gia28, nên với tùy theo quan điểm, văn hóa của cá nhân, xã hội, quốc gia thì việc xác định đối tượng được bảo hộ bởi QRT sẽ khác nhau

Tại khu vực châu Âu

Vì những lý do trên, những văn bản pháp luật đầu tiên về bảo vệ DLCN đã được ra đời, có thể kể đến: Biện pháp số 73/2 về phương thức khuyến khích sử dụng máy tính trong cơ cấu chính quyền địa phương29 và Biện pháp số 74/29 về bảo vệ QRT của cá nhân trong dữ liệu điện tử tại các ngân hàng thuộc khu vực công30 do Hội đồng Châu Âu ban hành năm 1973 Sau đó, năm 1981, Hội đồng Châu Âu lập nên Công ước 108 về bảo vệ cá nhân đối với việc xử lý tự động DLCN31, mở rộng ký kết với bất kì quốc gia nào thuộc EU, đánh dấu văn bản pháp luật quốc tế đầu tiên có hiệu lực ràng buộc trong lĩnh vực bảo vệ DLCN

27 Thông tin có đặc trưng là biểu hiện của quyền lực khi thông tin là chìa khóa chi phối mọi hoạt động trong thế giới vận hành bằng những thông tin, và người nắm giữ thông tin có thể phân phối thông tin một cách rộng

rãi và thực hiện lưu trữ vĩnh viễn Tham khảo tại: Sora Park, “Information is Power”, Digital Capital, 2017,

Chapter 2 Xem tại: https://www.researchgate.net/publication/320984397_Information_is_Power/stats , (truy cập ngày 17/4/2022)

28 Dillip Kumar Rath, Ajit Kumar Vilakshan, “Information privacy concern at individual, group, organization and societal level - a literature review”, Vilakshan - XIMB Journal of Management, Vol 18 No 2, pp 171-

186 Xem tại: https://doi.org/10.1108/XJM-08-2020-0096 , (truy cập ngày 17/4/2022)

29 Resolution 73/2 On ways and means of encouraging the use of computers in local government by Committee

of Minister, Council of Europe Xem tại: https://rm.coe.int/09000016804fc9b9 , (truy cập ngày 18/4/2022)

30 Resolution 74/29 on the protection of the privacy of individuals vis-avis electronic data banks in the public sector by Committee of Minister, Council of Europe Xem tại: https://rm.coe.int/16804d1c51 , (truy cập ngày 18/4/2022)

31 Convention 108 for the Protection of Individuals with regard to Automatic Processing of Personal Data, Council of Europe Xem tại: https://rm.coe.int/1680078b37 , (truy cập ngày 18/4/2022)

Tiếp đến các nỗ lực bảo vệ dữ liệu cá nhân của các nhà lập pháp được ghi nhận tại các văn bản như Chỉ thị về Bảo vệ dữ liệu EU có hiệu lực vào năm 1995, Điều lệ

về Quyền cơ bản của EU năm 2000… Văn bản gần đây nhất ban hành bởi EU vào

năm 2016 là Bộ quy tắc chung về bảo vệ dữ liệu ban hành (“GDPR”) có hiệu lực

ràng buộc đối với tất cả các quốc gia thành viên, có phạm vi áp dụng rộng nhất trong khu vực các quốc gia EU cho tới thời điểm hiện tại Trong giai đoạn sau năm 1970, không chỉ các khu vực liên kết các quốc gia, mà bản thân các quốc gia cũng có những động thái rõ ràng trong việc thừa nhận quyền bảo vệ DLCN như một quyền cơ bản độc lập Luật Bảo vệ dữ liệu của Liên bang Đức vào năm 1970 là văn bản pháp luật quốc gia đầu tiên cũng như văn bản pháp luật đầu tiên trên thế giới quy định chuyên biệt về bảo vệ DLCN Năm 1978, Austria và Pháp cũng đã ban hành pháp luật về bảo

vệ dữ liệu cá nhân…

Tại Hoa Kỳ

Khác biệt với hướng tiếp cận của các quốc gia châu Âu, Hoa Kỳ xác định nội hàm của quyền bảo vệ DLCN ở phạm vi hẹp hơn dưới danh nghĩa là “QRT” tại Đạo luật về sự riêng tư 1974 Hoa Kỳ vẫn xem xét bảo vệ DLCN thông qua QRT, nhưng giới hạn ở khía cạnh sự kiểm soát thông tin cá nhân Như Alan F Westin khẳng định

QRT là “căn cứ để cá nhân, tổ chức, cơ quan xác định thời điểm, cách thức và mức

DLCN theo pháp luật Hoa Kỳ được tiếp cận theo góc độ quyền tài sản mà không phải quyền nhân thân vì pháp luật Hoa Kỳ chưa bao giờ chính thức thừa nhận “quyền nhân thân”; và “quyền tài sản” theo pháp luật Hoa Kỳ được xem xét ở nội hàm rộng nhất

là quyền đối với bất kì thứ gì thuộc về cá nhân, bao gồm cả cảm xúc, mong muốn, nguyện vọng33 Vì vậy, quy định pháp luật Hoa Kỳ về bảo vệ DLCN có xu hướng

32 Alan Westin, “Privacy and Freedom”, Atheneum, 1967

33 Ben Bratman, “Brandeis & Warren’s “The Right to Privacy and the Birth of the Right to Privacy”, 2002,

Tennessee Law Review, Vol 69 Xem tại:

https://scholarship.law.pitt.edu/cgi/viewcontent.cgi?article=1062&context=fac_articles , (truy cập ngày 18/5/2022)

quy định những hành vi cần thực hiện khi xử lý dữ liệu mà không phải nhằm ngăn chặn hành vi xử lý DLCN34

Tại Việt Nam

Đến thời điểm hiện tại, pháp luật Việt Nam vẫn chưa có một điều khoản nào chính thức ghi nhận quyền bảo vệ DLCN Nếu xem xét quyền bảo vệ DLCN như một phần của QRT thì có thể khẳng định rằng quan điểm pháp lý tôn trọng QRT tại Việt Nam đã manh nha từ rất sớm, xuất hiện ngay tại Điều 11 Hiến pháp năm 1945 đầu

tiên của nước Cộng hòa Xã hội Chủ nghĩa Việt Nam: “Nhà ở và thư tín của công dân Việt Nam không ai được xâm phạm một cách trái pháp luật.” Đến bản Hiến pháp năm

2013 hiện nay, quy định liên quan đến quyền bảo vệ DLCN tuy không được trực tiếp thể hiện nhưng đã có sự cụ thể hóa những giá trị mà quyền bảo vệ DLCN hướng đến

tại Điều 21: “1 Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật

cá nhân và bí mật gia đình… 2 Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác….”

Việt Nam đang từng bước thực hiện luật hóa vấn đề bảo vệ DLCN bằng việc ghi nhận các quy định bảo vệ DLCN trong đa dạng các lĩnh vực tại các văn bản pháp luật như BLDS, Luật Giao dịch điện tử, Luật An ninh mạng, Luật Công nghệ thông tin… Nổi bật nhất là Dự thảo Nghị định công bố năm 2021 đang trong quá trình xin

ý kiến Ủy ban thường vụ Quốc hội đã ghi nhận quyền bảo vệ DLCN

1.3 Mối quan hệ giữa quyền riêng tư và bảo vệ dữ liệu cá nhân

Trên cơ sở phân tích các quan điểm pháp lý và quy định pháp luật liên quan,

có thể đưa ra một số đánh giá về mối quan hệ giữa QRT và bảo vệ DLCN như sau:

34 G Gonzalez Fuster, S Gutwirth, “Opening up personal data protection: a conceptual controversy”,

Computer Law & Security Review, 2013, Vol 29, 531-5399 Xem tại:

https://www.researchgate.net/publication/259123304_Opening_up_personal_data_protection_A_conceptual_ controversy , (truy cập ngày 19/4/2022)

35 Maria Tzanou, “Data protection as a fundamental right next to privacy? “Reconstructing” a not so new

right”, International Data Privacy Law, 2013, Vol 3, pp 88-99 Xem tại:

Phạm vi điều chỉnh của QRT và bảo vệ DLCN không đồng nhất với nhau

QRT có phạm vi điều chỉnh không chỉ bao gồm quyền đối với DLCN mà còn bao gồm các quyền khác36 Còn bảo vệ DLCN dù có trọng tâm chính là kiểm soát DLCN nhưng vẫn được áp dụng nhằm bảo vệ các giá trị khác là an ninh dữ liệu (“data security”) và chất lượng dữ liệu (“data quality”)37 Vì thế, phạm vi điều chỉnh của QRT và bảo vệ DLCN có sự giao thoa một phần đối với kiểm soát DLCN nhằm bảo đảm sự riêng tư thông tin, mà không có sự trùng lắp toàn phần

Đối tượng điều chỉnh của QRT và bảo vệ DLCN cũng có sự chồng chéo lẫn

nhau nhưng không hoàn toàn tương đồng nhau Đối tượng điều chỉnh của bảo vệ DLCN là DLCN, nhưng không phải DLCN nào cũng là đối tượng điều chỉnh của QRT vì không phải tất cả DLCN nào cũng có tính riêng tư để phản ánh đời sống riêng

tư của CTDL

Tính chất của QRT và bảo vệ DLCN có sự khác biệt nhau Nếu sự riêng tư

không thể được xác định cố định mà phải phụ thuộc theo từng trường hợp, từng nền văn hóa và quan điểm của mỗi quốc gia thì bảo vệ DLCN có thể được xác định một cách rành mạch thế nào là DLCN và thế nào là xâm phạm DLCN Do đó, QRT được nhìn nhận một cách tổng hòa với các giá trị khác có tính định lượng (như quyền nhân thân) nên được cho là biểu hiện của công bằng nội dung, còn bảo vệ DLCN được nhìn nhận là có tính định tính nên được cho là biểu hiện của công bằng thủ tục38

https://www.ejtn.eu/PageFiles/19789/M.Tzanou%20Data%20Protection%20as%20a%20Fundamental%20% 20Right%20next%20%20to%20Privacy%20(IDPL)%202013.pdf , (truy cập ngày 20/4/2022)

36 Theo Báo cáo nghiên cứu “Sự riêng tư và nhân quyền” do Tổ chức Bảo mật quốc tế và Trung tâm bảo mật thông tin điện tử công bố, QRT bao gồm sự riêng tư về thông tin cá nhân (còn được hiểu như bảo vệ dữ liệu

cá nhân), sự riêng tư về cơ thể, sự riêng tư về thông tin liên lạc và sự riêng tư về nơi cư trú Tham khảo Global Internet Liberty Campaign, “Privacy and Human Rights – An International Survey of Privacy Laws and Practice” Xem tại: https://www.researchgate.net/publication/242448871_Privacy_human_rights-

an_international_survey_of_privacy_laws_and_developments , (truy cập ngày 20/4/2022)

37 Theo khoản 1, khoản 2 Điều 17 Chỉ thị về bảo vệ dữ liệu EU, an ninh dữ liệu hướng đến ngăn chặn dữ liệu không rơi vào tình trạng bị đánh mất, tiếp cận bởi những người không có thẩm quyền; chất lượng dữ liệu chỉ đến tính chính xác, phủ hợp, liên quan và tính cập nhật của dữ liệu Xem tại: https://eur-

lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML , (truy cập ngày 19/4/2022)

38 Colin Bennett, Charles Raab, “The Governance of Privacy: Policy Instruments in Global Perspective”, MIT

Press, Cambrigde, 2006 Xem tại:

https://www.researchgate.net/publication/247892489_The_Governance_of_Privacy_policy_instruments_in_g lobal_perspective , (truy cập ngày 20/4/2022)

Hai là, bảo vệ DLCN và QRT đều có vai trò quan trọng Liên quan đến vai trò

của bảo vệ DLCN và QRT, tồn tại các học thuyết không thống nhất với nhau, nổi bật nhất là hai học thuyết sau

Học thuyết do Paul de Hert và Serge Gutwitch xây dựng39 cho rằng QRT và bảo vệ DLCN là hai công cụ pháp lý khác nhau nhưng bổ sung lẫn nhau nhằm kiểm soát quyền lực QRT là công cụ pháp lý nhằm ngăn chặn hành vi lạm dụng quyền lực một cách tùy tiện đối với đời sống riêng tư của người khác, còn bảo vệ DLCN là công

cụ pháp lý nhằm kiểm soát và đảm bảo quyền can thiệp đời sống riêng tư được thực hiện một cách đúng đắn Trên nền tảng đó, các quy định về QRT thường là những quy định mang tính cưỡng chế nhằm cấm đoán các hành vi, còn các quy định về bảo

vệ DLCN thường là những quy định tùy nghi nhằm đặt ra các tiêu chuẩn để các hành

vi được chấp nhận

Học thuyết do Antoinette Rouvroy và Yves Poullet phát triển40 lại khẳng định rằng QRT và bảo vệ DLCN đều là các công cụ pháp lý có giá trị mang tính trung gian nhằm hướng đến những giá trị cơ bản, cốt lõi hơn của con người: quyền nhân thân

Dù xác định QRT và bảo vệ DLCN cùng hướng đến mục tiêu cuối cùng là sự bảo hộ danh dự, nhân thân của con người, học thuyết này cho rằng QRT và bảo vệ DLCN không thể xem xét một cách ngang nhau vì bản chất của hai vấn đề trên vốn đã khác nhau: bảo vệ DLCN xuất hiện là vì cách mạng công nghệ đã đe dọa đến quyền tự định đoạt của cá nhân theo một cách mà QRT không thể trở thành công cụ giải quyết, nên nguồn gốc của bảo vệ DLCN là không tương đồng với QRT

39 De Hert P., S Gutwirth, “Privacy, data protection and law enforcement Opacity of the Individual and

Transparency of Power” in E Claes, A Duff & S Gutwirth (eds), Privacy and the Criminal law,

Antwerp/Oxford, Intersentia, 2006, 61-104 Xem tại:

https://www.researchgate.net/publication/254800085_Privacy_Data_Protection_and_Law_Enforcement_Opa city_of_the_Individual_and_Transparency_of_Power , (truy cập ngày 20/4/2022)

40 Antoinette Rouvroy, Yves Poullet, “The Right to Informational Determination and the Value of

Self-Development: Reassessing the Importance of Privacy for Democracy”, Springer, 2009

KẾT LUẬN CHƯƠNG 1

Trong Chương 1 Khóa luận tốt nghiệp, tác giả đã trình bày ba vấn đề pháp lý như sau: (i) Khái niệm, đặc điểm, và ý nghĩa của bảo vệ dữ liệu cá nhân; (ii) Lịch sử hình thành và pháp triển pháp luật bảo vệ dữ liệu cá nhân; và (iii) Mối quan hệ giữa quyền riêng tư và bảo vệ dữ liệu cá nhân

Sau khi phân tích thuật ngữ và tham khảo các quy định pháp luật liên quan, tác giả xác định bảo vệ dữ liệu cá nhân là việc thực hiện mọi hiện mọi biện pháp nhằm ngăn chặn, phòng ngừa các thông tin liên quan đến cá nhân được dùng để xác định hoặc nhận dạng cá nhân đó khỏi tình trạng bị xâm phạm, bị đánh cắp hoặc bị tiết lộ bởi một bên không có quyền Bên cạnh đó, bảo vệ DLCN có ba đặc điểm sau: (i) hình thức thực hiện quyền bảo vệ dữ liệu cá nhân; (ii) phải được thực hiện trong sự tương quan với việc thực hiện các quyền cơ bản khác của con người; và (iii) được thực hiện theo nhiều hình thức đa dạng Ý nghĩa của việc bảo vệ dữ liệu cá nhân là nhằm thực hiện quyền cơ bản của con người và góp phần phát triển xã hội bền vững, duy trì trật

từ cộng đồng, nhằm cân bằng quyền lợi cá nhân và quyền lợi xã hội chung

Qua việc nghiên cứu lịch sử hình thành, phát triển pháp luật bảo vệ dữ liệu cá nhân, tác giả nhận thấy các vấn đề sau: (i) quy định về bảo vệ dữ liệu cá nhân gắn liền với sự phát triển công nghệ điện tử; (ii) quan điểm về bảo vệ dữ liệu cá nhân giữa các quốc gia trên thế giới có sự khác biệt nhau

Cuối cùng, việc nghiên cứu mối quan hệ giữa bảo vệ dữ liệu cá nhân và quyền riêng tư cho thấy rằng việc bảo vệ dữ liệu cá nhân độc lập nhưng không tách rời với quyền riêng tư Hiện nay trên thế giới vẫn còn nhiều tranh cãi về sự tương quan giữa bảo vệ dữ liệu cá nhân và quyền riêng tư, nhưng đều thống nhất rằng: (i) Bảo vệ dữ liệu cá nhân có sự khác biệt so với quyền riêng tư; và (ii) Bảo vệ dữ liệu cá nhân và quyền riêng tư đều có những giá trị, ý nghĩa đối với toàn bộ hệ thống quy định pháp luật chung

CHƯƠNG 2 BẢO VỆ DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT CỦA

LIÊN MINH CHÂU ÂU VÀ HOA KỲ

2.1 Bảo vệ dữ liệu cá nhân theo quy định pháp luật của Liên minh Châu Âu

2.1.1 Phạm vi điều chỉnh và đối tượng áp dụng

2.1.1.1 Phạm vi điều chỉnh

Theo nội dung, khoản 1 Điều 2 GDPR quy định việc xử lý DLCN bằng phương

tiện tự động đương nhiên thuộc sự điều chỉnh của GDPR vì hoạt động xử lý DLCN lúc này là khó kiểm soát, không thể lường trước được đối với chủ thể dữ liệu

(“CTDL”) vì quá trình xử lý tự động là sử dụng hệ thống máy tính theo thuật toán

nên rất khó kiểm soát so với xử lý DLCN không bằng phương tiện tự động là do con người thực hiện

Theo không gian, Điều 3 GDPR xác định phạm vi điều chỉnh theo không gian

của GDPR trên nền tảng phân định nơi mà bên quản lý dữ liệu, bên xử lý dữ liệu có trụ sở kinh doanh Nếu bên quản lý dữ liệu, bên xử lý dữ liệu có trụ sở kinh doanh tại

EU, GDPR đương nhiên được áp dụng Nếu bên quản lý dữ liệu, bên xử lý dữ liệu không có trụ sở kinh doanh tại EU, GDPR chỉ có thể được áp dụng nếu thỏa mãn một

số điều kiện bổ sung như quy định cụ thể tại khoản 2, khoản 3 Điều 3 GDPR 2.1.1.2 Đối tượng áp dụng

Mặc dù GDPR không quy định cụ thể về đối tượng áp dụng nhưng sau khi xem xét tổng quát các quy định của văn bản, có thể xác định đối tượng áp dụng của GDPR bao gồm: (i) chủ thể dữ liệu; (ii) bên quản lý dữ liệu; (iii) bên xử lý dữ liệu và (iii) bên thứ ba

Một là, chủ thể dữ liệu (“data subject”)

CTDL không được định nghĩa trực tiếp tại GDPR mà được giải thích thông qua một nội hàm khác có liên quan chặt chẽ là DLCN tại khoản 1 Điều 4 GDPR41 Việc xác định CTDL có thể thực hiện song hành với việc xác định DLCN, khi xác định được một yếu tố thì có thể suy ngược lại yếu tố còn lại Ví như khi xác định A

là CTDL thì có thể suy đoán được những thông tin nào là DLCN của A, và ngược lại khi có được DLCN của A thì có thể khẳng định CTDL của DLCN đó là A Việc GDPR chỉ quy định về DLCN mà không quy định về CTDL cho phép luận giải rằng GDPR có dụng ý phải xác định DLCN đầu tiên, sau đó mới tiến đến xác định CTDL

DLCN theo GDPR có những đặc điểm sau: Một là, DLCN đó phải là thông tin

về một cá nhân cụ thể, là một con người tự nhiên đang sống Điều này dẫn đến sự loại trừ các thông tin về pháp nhân, tổ chức, cơ quan hoặc người đã chết, bào thai khỏi phạm vi của DLCN42 Hai là, DLCN có thể là các thông tin nhận dạng cá nhân đã

được xác định hoặc cá nhân có thể xác định được một cách trực tiếp hoặc gián tiếp, như thông tin có được thông qua địa chỉ IP43, cookies44 và giả danh tính45

CTDL theo GDPR có thể là cá nhân xác định và cá nhân có thể xác định được

Cá nhân xác định là cá nhân đã được định danh thông qua DLCN, tức là bằng DLCN,

cá nhân đó có thể được phân biệt với những người khác46 Cá nhân có thể xác định

41 Khoản 1 Điều 4 GDPR quy định: “DLCN là bất kỳ thông tin nào liên quan đến một cá nhân xác định hoặc

một cá nhân có thể xác định được (“chủ thể dữ liệu”); cá nhân có thể xác định được là người có thể được xác định một cách trực tiếp hoặc gián tiếp bằng cách liên hệ đến yếu tố định danh như tên, số định danh, dữ liệu

vị trí, yếu tố định danh trực tuyến hoặc một hoặc nhiều yếu tố khác mang tính đặc trưng đối với một cá nhân theo khía cạnh vật lý, sinh lý, di truyền, tâm lý, kinh tế, văn hóa hoặc xã hội.”

42 Cơ sở xác lập số 27 GDPR

43 Địa chỉ IP (“Internet Protocol”) là số định dạng cho một phần cứng mạng, các thiết bị sử dụng địa chỉ IP để liên lạc với nhau qua mạng dựa trên IP như mạng Internet Tham khảo tại: European Commission, “What is personal data?”, xem tại: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal- data_en , (truy cập ngày 26/4/2022)

44 Cookies là một đoạn văn bản được lưu, xử lý bởi một trình duyệt web Cookies có thể lưu trữ một lượng lớn

dữ liệu, đủ để định danh người dùng mà không cần sự đồng ý của người dùng Tham khảo tại: GDPR.EU,

“Cookies, the GDPR, and the ePrivacy Directive” Xem tại: https://gdpr.eu/cookies/, (truy cập ngày 26/4/2022)

45 Khoản 5 Điều 4 GDPR: “giả danh tính” là “việc xử lý dữ liệu cá nhân theo cách mà dữ liệu cá nhân không

thể ảnh hưởng đến một chủ thể dữ liệu cụ thể nào, không sử dụng thêm thông tin nào nếu các thông tin bổ sung được giữ riêng rẽ và cần thiết đối với biện pháp kĩ thuật và biện pháp tổ chức để đảm bảo rằng dữ liệu cá nhân không gây ảnh hưởng đến một cá nhân được xác định hoặc có thể xác định được.”

46 Nicolas J Bullot, “Explaining Person Identification: An Inquiry Into the Tracking of Human Agents”,

Cognitive Science, 2014, Vol 6 Xem tại: https://onlinelibrary.wiley.com/doi/10.1111/tops.12109 , (truy cập ngày 26/4/2022)

được là cá nhân chưa được định danh nhưng bằng một cách trực tiếp hoặc gián tiếp, thông qua các yếu tố định danh thì có khả năng định danh cá nhân đó

Hai là, bên quản lý dữ liệu (“controller”)

Khoản 7 Điều 4 GDPR quy định bên quản lý dữ liệu là “bất kì cá nhân, pháp nhân, cơ quan chức năng, tổ chức hoặc cơ quan nào có thể tự mình hoặc liên đới với bên khác để quyết định mục đích và phương thức xử lý DLCN ” Bên quản lý dữ liệu

có vai trò quan trọng trong quá trình xử lý DLCN vì nắm quyền quyết định những vấn đề chính yếu nhất tác động đến tính hợp pháp của hoạt động xử lý DLCN là mục đích và phương thức xử lý dữ liệu

Ba là, bên xử lý dữ liệu (“processor”)

Bên xử lý dữ liệu được quy định tại khoản 8 Điều 4 GDPR là “bất kì cá nhân, pháp nhân, cơ quan chức năng, tổ chức hoặc cơ quan nào thực hiện xử lý DLCN trên

lý dữ liệu và bên xử lý dữ liệu là quyền xử lý DLCN thuộc về bên quản lý dữ liệu, việc hiện thực hóa nội dung của xử lý DLCN thuộc về bên xử lý dữ liệu

Bốn là, bên thứ ba (“third party”)

Căn cứ khoản 10 Điều 4 GDPR, bên thứ ba là “bất kì cá nhân, pháp nhân, cơ quan chức năng, tổ chức hoặc cơ quan nào không phải là CTDL, bên quản lý dữ liệu, bên xử lý dữ liệu nhưng có quyền xử lý DLCN theo sự ủy quyền trực tiếp của bên quản lý dữ liệu hoặc của bên xử lý dữ liệu.” Bên thứ ba là một chủ thể tham gia vào

quá trình xử lý dữ liệu một cách gián tiếp thông qua quan hệ ủy quyền trực tiếp từ bên quản lý dữ liệu hoặc bên xử lý dữ liệu

47 Khoản 2 Điều 4 GDPR quy định “Xử lý DLCN là bất kỳ hoạt động nào hoặc tập hợp các hoạt động tác động

đến DLCN hoặc đến tập hợp DLCN, không phân biệt thông qua phương tiện tự động hay không, như là thu thập, ghi lại, tổ chức, cấu trúc, lưu trữ, điều chỉnh hoặc thay đổi, truy xuất, tham vấn, sử dụng, tiết lộ dữ liệu bằng cách truyền tải, phân phối hoặc công bố, liên kết hoặc tích hợp, hạn chế, tẩy xóa hoặc phá hủy DLCN.”

2.1.2 Những nguyên tắc cơ bản

GDPR đã đặt ra bảy nguyên tắc cơ bản thể hiện chủ trương xuyên suốt của văn bản quy định về bảo vệ DLCN Trong đó, sáu nguyên tắc đầu tiên tại khoản 1 Điều 5 GDPR đặt ra đối với quá trình xử lý DLCN nhằm đảm bảo thực hiện mục tiêu của GDPR nêu tại Điều 1 là bảo vệ cá nhân có liên quan đến xử lý DLCN và duy trì tự

do dịch chuyển DLCN, còn nguyên tắc thứ bảy là một nguyên tắc đặc biệt vì chỉ được thực hiện khi đã thực hiện đầy đủ sáu nguyên tắc trước đó

Một là, nguyên tắc hợp pháp, công bằng, minh bạch

DLCN chỉ được xem là đã được xử lý một cách hợp pháp chỉ khi được thực hiện dựa trên ít nhất một trong các căn cứ luật định tại khoản 1 Điều 6 GDPR Trong

đó, một căn cứ đáng lưu ý là sự đồng ý của CTDL đối với việc xử lý dữ liệu theo một hoặc nhiều mục đích cụ thể48 Vì đây là căn cứ duy nhất thể hiện sự chủ động của CTDL đối với việc xử lý DLCN, rằng CTDL có quyền tự định đoạt DLCN của mình

có được phép xử lý hay không; và nếu được phép xử lý, DLCN của mình sẽ được xử

lý vì mục đích nào Các căn cứ còn lại dù đều được quy định theo hướng ưu tiên bảo

vệ lợi ích của DLCN hoặc lợi ích cộng đồng nhưng lại không trao cho CTDL sự chủ động định đoạt đối với hoạt động xử lý DLCN

Nguyên tắc công bằng yêu cầu việc xử lý DLCN được thực hiện theo cách thức mà CTDL có thể lường trước được một cách hợp lý và không theo cách thức mà tạo nên những tác động tiêu cực mang tính phân biệt đối với CTDL49 Nguyên tắc công bằng được thực hiện song hành với nguyên tắc hợp pháp, rằng ngay khi được thực hiện theo căn cứ luật định, việc xử lý DLCN vẫn phải đảm bảo kết quả mà xử lý DLCN mang lại là trong phạm vi hiểu biết của CTDL và không gây ảnh hưởng xấu

48 Khoản 11 Điều 4 GDPR quy định sự đồng ý của chủ thể dữ liệu là “với sự thể hiện một cách tự do, cụ thể,

đã có đầy đủ thông tin và rõ ràng về nguyện vọng của chủ thể dữ liệu, chủ thể dữ liệu đồng thuận với hoạt động xử lý dữ liệu cá nhân liên quan đến bản thân bằng văn bản hoặc hành động cụ thể.”

49 Principle (a): Lawfulness, fairness and transparency, Information Commissioner ‘s Officer Xem tại:

gdpr/principles/lawfulness-fairness-and-

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-transparency/#:~:text=In%20general%2C%20fairness%20means%20that,also%20about%20whether%20you

%20should , (truy cập ngày 22/04/2022)

đến CTDL Nguyên tắc minh bạch yêu cầu sự rõ ràng, công khai và thành thật của bên quản lý dữ liệu hoặc bên xử lý dữ liệu đối với CTDL về danh tính của bên thực hiện việc xử lý dữ liệu và lý do, cách thức xử lý DLCN của CTDL

Hai là, nguyên tắc giới hạn mục đích Nội dung của nguyên tắc giới hạn mục đích được trình bày tại điểm b khoản 1 Điều 5 GDPR: “DLCN phải được thu thập cho những mục đích cụ thể, rõ ràng và hợp pháp, và không được khai thác theo cách không tương thích với những mục đích đó…” Nguyên tắc này vạch ra sự giới hạn về

các hoạt động trong quá trình xử lý DLCN phải được thực hiện trong phạm vi cần thiết để đáp ứng mục đích đã đặt ra, nhằm ngăn chặn việc lạm dụng DLCN vào những mục đích khác không liên quan dưới vỏ bọc thực hiện đúng với mục đích ban đầu

Ba là, nguyên tắc tối thiểu hóa thông tin Nguyên tắc tối thiểu hóa thông tin

yêu cầu việc xử lý DLCN phải thực hiện trên lượng dữ liệu phù hợp, liên quan và giới hạn trong mức độ cần thiết để thực hiện mục đích xử lý DLCN50 Điều này đồng nghĩa với việc xử lý DLCN chỉ được thực hiện với lượng dữ liệu thấp nhất có thể để hoàn thành mục đích xử lý DLCN Nguyên tắc này có quan hệ mật thiết với nguyên tắc giới hạn mục đích khi đều hướng đến ngăn chặn sự lạm dụng DLCN trái với mục đích và căn cứ xử lý DLCN

Bốn là, nguyên tắc chính xác Áp dụng nguyên tắc chính xác tức là việc xử lý

DLCN phải được thực hiện chính xác và cập nhật nếu cần thiết, phải thực hiện mọi biện pháp hợp lý để đảm bảo rằng DLCN không chính xác so với mục đích xử lý thì

sẽ ngay lập tức được xóa bỏ hoặc chỉnh sửa kịp thời51

Năm là, nguyên tắc giới hạn lưu trữ Nguyên tắc này cũng là một trong những

công cụ đảm bảo thực hiện nguyên tắc hợp pháp, công bằng và minh bạch khi yêu cầu việc xử lý DLCN mà cho phép định dạng CTDL chỉ được lưu trữ trong khoảng thời gian cần thiết để thực hiện mục đích xử lý52 Ngoại lệ của nguyên tắc này xuất hiện đối với trường hợp thực hiện mục đích vì lợi ích cộng đồng, nghiên cứu khoa

50 Điểm c khoản 1 Điều 5 GDPR

51 Điểm d khoản 1 Điều 5 GDPR

52 Điểm e khoản 1 Điều 5 GDPR

học hoặc lịch sử hoặc thống kê theo khoản 1 Điều 89 GDPR với điều kiện phải thiết lập các biện pháp kỹ thuật và tổ chức hợp lý để bảo vệ quyền và tự do của CTDL

Sáu là, nguyên tắc toàn vẹn và bảo mật Nội dung của nguyên tắc toàn vẹn và

bảo mật tập trung vào cách thức xử lý DLCN phải được tiến hành cùng với các biện pháp bảo vệ mang tính kỹ thuật hoặc tính tổ chức để phòng chống các hành vi xử lý

dữ liệu trái pháp luật (không có sự đồng ý của CTDL hoặc không có căn cứ luật định) hoặc các tổn thất ngẫu nhiên, phá hủy hoặc thiệt hại đối với DLCN53, từ đó xây dựng môi trường trao đổi thông tin lành mạnh và vững chắc

Bảy là, nguyên tắc trách nhiệm giải trình Nguyên tắc trách nhiệm giải trình

là nguyên tắc đặc thù vì chỉ có thể thực hiện sau khi đã hoàn thành sáu nguyên tắc trước đó Hơn nữa, nguyên tắc thứ bảy là nguyên tắc duy nhất mà GDPR chỉ định rõ ràng đối tượng thực hiện là bên quản lý dữ liệu tại khoản 2 Điều 5 GDPR như sau:

“Bên quản lý DLCN phải có trách nhiệm và có khả năng chứng minh sự tuân thủ các nguyên tắc nêu tại khoản 1.” Việc chứng minh sự tuân thủ của bên quản lý dữ liệu có

thể được thể hiện bằng Bộ quy tắc ứng xử theo Điều 40 GDPR hoặc Giấy chứng nhận bảo vệ dữ liệu theo Điều 42 GDPR Như vậy, bên quản lý dữ liệu có hai trách nhiệm

chính: thực hiện đầy đủ sáu nguyên tắc tại khoản 1 Điều 5 và chứng minh sự tuân thủ

nguyên tắc (giải trình)

2.1.3 Quyền của chủ thể dữ liệu

Quyền của CTDL được quy định toàn bộ trong Chương 3 GDPR, có thể được phân định quyền như sau54: (i) quyền của CTDL nhưng được chủ thể khác thực hiện; (ii) quyền do CTDL trực tiếp thực hiện

2.1.3.1 Các quyền của chủ thể dữ liệu nhưng được chủ thể khác thực hiện

53 Điểm f khoản 1 Điều 5 GDPR

54 Việc phân chia nhóm quyền như trên là căn cứ vào sự chủ động của CTDL: nhóm quyền đầu tiên là quyền của CTDL được người khác làm gì cho mình mà không phải quyền của CTDL tự thân làm gì; ngược lại, nhóm

quyền thứ hai là quyền của CTDL tự yêu cầu người khác làm gì cho mình Việc phân định chỉ nhằm sự thuận

tiện trong việc tiếp cận quy định của GDPR, thực chất không tồn tại một ranh giới cụ thể về sự chủ động hoặc

bị động trong việc thực hiện quyền của CTDL

Một là, quyền được thông báo (Điều 13, Điều 14 GDPR) CTDL có quyền

được bên quản lý dữ liệu cung cấp về các thông tin liên quan đến quá trình xử lý dữ liệu tại thời điểm dữ liệu được thu thập, trong cả hai trường hợp: dữ liệu được thu thập từ CTDL (Điều 13 GDPR) và trường hợp dữ liệu không được thu thập từ CTDL (Điều 14 GDPR) Các thông tin liên quan đến quá trình xử lý dữ liệu có thể kể đến là: thông tin về danh tính và thông tin liên lạc của bên quản lý dữ liệu, bên đại diện bên quản lý dữ liệu; thông tin liên lạc của chuyên viên bảo vệ dữ liệu; mục đích xử

lý DLCN và căn cứ pháp lý cho việc xử lý DLCN; thông tin về lợi ích hợp pháp của bên quản lý dữ liệu hoặc bên thứ ba…

Hai là, quyền tiếp cận DLCN (Điều 15 GDPR) Quyền tiếp cận dữ liệu là

quyền của CTDL được bên quản lý dữ liệu thực hiện các việc sau: (i) xác nhận việc

xử lý DLCN liên quan đến CTDL; (ii) cung cấp phương thức truy cập dữ liệu được

xử lý và các thông tin liên quan; (ii) cung cấp một bản sao chép DLCN được xử lý

mà không bị tốn phí Quyền tiếp cận dữ liệu nhấn mạnh đến khả năng truy cập DLCN được xử lý của CTDL như một phương thức đảm bảo sự kiểm tra chéo từ phía CTDL đối với tiến trình, kết quả của hoạt động xử lý DLCN

2.1.3.2 Các quyền của chủ thể dữ liệu do chủ thể dữ liệu thực hiện

Một là, quyền chỉnh sửa (Điều 16 GDPR) Quyền chỉnh sửa là quyền yêu cầu

bên quản lý dữ liệu chỉnh sửa DLCN không chính xác liên quan đến CTDL và bên quản lý dữ liệu phải thực hiện yêu cầu này ngay lập tức Hơn nữa, CTDL có quyền yêu cầu bên quản lý dữ liệu hoàn thiện những DLCN chưa được hoàn thiện, bao gồm việc bổ sung các nhận định, thông tin Quyền chỉnh sửa có mối liên hệ sâu sắc với nguyên tắc chính xác nhằm bảo đảm DLCN khi được xử lý phải đúng đắn và được cập nhật với thực tế Từ quy định về quyền chỉnh sửa tại Điều 16 GDPR, tính chính xác của DLCN không chỉ được nhìn nhận từ sự sai khác của DLCN so với thực tế,

mà còn là từ sự toàn vẹn của DLCN so với toàn bộ thông tin có trên thực tế Tức là, nếu DLCN được xử lý đúng với thực tế nhưng không trình bày toàn bộ tính chất của

vấn đề liên quan thì vẫn không được xem là chính xác, nên CTDL có quyền yêu cầu hoàn thiện phần DLCN chưa hoàn thiện đó

Hai là, quyền xóa bỏ (Điều 17 GDPR) Quyền xóa bỏ, hay còn gọi là quyền

được lãng quên, hàm chứa quyền xóa DLCN và quyền hủy dẫn chiếu Quyền xóa DLCN và quyền hủy dẫn chiếu đều là quyền của CTDL yêu cầu bên quản lý dữ liệu xóa DLCN liên quan đến CTDL nếu thuộc một trong các trường hợp luật định và bên quản lý dữ liệu phải thực hiện ngay lập tức Điểm khác biệt của quyền hủy dẫn chiếu

so với quyền xóa dữ liệu là quyền hủy dẫn chiếu được áp dụng riêng biệt trong trường hợp bên quản lý dữ liệu đã công bố DLCN, thì CTDL có quyền yêu cầu gỡ bỏ các thông tin liên quan trong các kết quả hiển thị khi tra cứu trên các công cụ tìm kiếm bằng cách sử dụng tên của CTDL55 Quyền xóa bỏ “không tuyệt đối” khi có thể bị hạn chế trong các trường hợp luật định mà lợi ích khác phải được ưu tiên hơn; và bên quản lý dữ liệu chỉ thực hiện yêu cầu hủy dẫn chiếu của CTDL ở mức độ hợp lý, tương ứng với các công nghệ hiện có và chi phí thực hiện của bên quản lý dữ liệu

Ba là, quyền hạn chế (Điều 18 GDPR) Nội dung của quyền hạn chế quá trình

xử lý dữ liệu là CTDL có quyền hạn chế cách thức bên quản lý dữ liệu sử dụng DLCN trong các trường hợp quy định tại khoản 1 Điều 18 GDPR Quyền hạn chế thực chất

là một quyền có tính thay thế tạm thời cho quyền xóa bỏ, theo đó CTDL có thể yêu cầu ngừng thực hiện các hoạt động trong quá trình xử lý dữ liệu như thu thập, truy cập… dữ liệu trừ hoạt động lưu trữ trong một khoảng thời gian nhất định

Bốn là, quyền di chuyển dữ liệu (Điều 20 GDPR) Nội dung của quyền di

chuyển dữ liệu cho phép CTDL có được khả năng di chuyển dữ liệu, sao chép hoặc chuyển dữ liệu dễ dàng từ môi trường công nghệ này sang môi trường công nghệ khác một cách an toàn, bảo mật và không gặp cản trở trong khả năng sử dụng56 từ

55 Bạch Thị Nhã Nam, “Quyền được lãng quên từ thực tiễn phán quyết trong phạm vi Liên minh Châu Âu”,

Tạp chí Nghiên cứu Lập pháp, số 24(424), 2021

56 United Kingdom (“UK”) Information Commissioner’s Office – Guide to General Data Protection Regulation (GDPR)/Individual Rights/Right to Data Portability Xem tại: https://ico.org.uk/for-organisations/guide-to- data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-

portability/ , (truy cập ngày 24/4/2022)

bên quản lý dữ liệu theo các căn cứ luật định57 Việc thừa nhận quyền của CTDL đối với khả năng di chuyển dữ liệu góp phần tăng cường khả năng kiểm soát của CTDL đối với DLCN của mình, bởi lẽ khả năng dịch chuyển DLCN mở rộng khả năng ứng dụng của dữ liệu trong đời sống và thúc đẩy khả năng tiếp cận dữ liệu58 Quyền di chuyển dữ liệu cũng không tuyệt đối vì bị giới hạn nếu hoạt động xử lý DLCN là cần thiết đối với mục đích lợi ích cộng đồng hoặc công việc do cơ quan nhà nước ủy quyền cho bên quản lý dữ liệu, hoặc thực hiện quyền di chuyển dữ liệu sẽ tác động tiêu cực đến quyền và tự do của người khác

Năm là, quyền phản đối (Điều 21 GDPR) CTDL có quyền phản đối việc xử

lý DLCN nếu như việc xử lý DLCN được thực hiện theo một trong hai căn cứ pháp

lý tại điểm e hoặc điểm f khoản 1 Điều 6 GDPR, ngoại trừ mục đích nghiên cứu khoa học, lịch sử hoặc thống kê Quyền phản đối việc xử lý DLCN có giá trị đối với tất cả hoạt động được thực hiện trong quá trình xử lý dữ liệu tại bất kì thời điểm nào Đây cũng là một quyền không tuyệt đối của CTDL khi bị giới hạn trước sự ưu tiên về quyền, lợi ích và sự tự do của chính CTDL hoặc việc xác lập, thực hiện và bảo vệ các yêu cầu pháp lý hoặc vì lợi ích cộng đồng

Sáu là, quyền từ chối bị ràng buộc bởi các quyết định được xử lý tự động (Điều

22 GDPR) Điều 22 GDPR trao cho CTDL quyền từ chối sự ràng buộc của các quyết

định được đưa ra dựa trên quá trình xử lý dữ liệu tự động, CTDL không phải chịu tác động bởi các quyết định được lập nên mà không có sự tham gia của con người, kể cả khi các quyết định này có giá trị pháp lý Tuy nhiên, CTDL vẫn phải chịu sự ràng buộc bởi các quyết định được xác lập một cách tự động trong 03 trường hợp: (i) quyết định đó là cần thiết để giao kết, thực hiện hợp đồng giữa CTDL và bên quản lý dữ liệu; (ii) quyết định đó được thực hiện trên cơ sở ủy quyền của Liên minh Châu Âu

57 Khoản 1 Điều 20 GDPR quy định các căn cứ để có quyền di chuyển dữ liệu bao gồm: “[…] (a) Việc xử lý

dữ liệu được thực hiện dựa trên sự đồng ý theo điểm a khoản 1 Điều 6 hoặc điểm a khoản 2 Điều 9 hoặc dựa trên hợp đồng theo điểm b khoản 1 Điều 6; và (b) Việc xử lý dữ liệu được thực hiện bởi phương tiện tự động.”

58 Discussion paper on Data Portability, Personal Data Protection Commission – Competition and Consumer Commission of Singapore Xem tại: https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Resource-for- Organisation/Data-Portability/PDPC-CCCS-Data-Portability-Discussion-Paper -250219.pdf , (truy cập ngày 25/4/2022)

hoặc quốc gia thành viên đối với bên quản lý dữ liệu và đảm bảo các biện pháp cần thiết để bảo vệ quyền, lợi ích hợp pháp và tự do của CTDL; (iii) quyết định đó đã có

sự đồng ý trực tiếp của CTDL

Bảy là, quyền khiếu nại (Điều 77 GDPR) Khi CTDL phát hiện việc xử lý

DLCN có liên quan đến mình có vi phạm với các quy định của GDPR thì CTDL đó

có quyền khiếu nại với cơ quan giám sát tại quốc gia thành viên nơi CTDL cư trú, làm việc hoặc nơi hành vi vi phạm diễn ra Khi nhận được đơn khiếu nại, cơ quan giám sát phải thông báo cho CTDL về quá trình và kết quả giải quyết đơn khiếu nại, quyền được giải quyết tư pháp theo Điều 78 GDPR

Tám là, quyền được giải quyết tư pháp hiệu quả (Điều 78, Điều 79 GDPR)

Quyền được giải quyết tư pháp hiệu quả được phân định thành hai trường hợp: (i) bên bị kiện là cơ quan giám sát tại Điều 78 GDPR; (ii) bên bị kiện là bên quản lý dữ liệu hoặc bên xử lý dữ liệu tại Điều 79 GDPR Đối với trường hợp bên bị kiện là cơ quan giám sát, CTDL có quyền khởi kiện quyết định của cơ quan giám sát có hiệu lực pháp lý (quyết định đối với đơn khiếu nại của CTDL) Đối với trường hợp bên bị kiện là bên quản lý dữ liệu hoặc bên xử lý dữ liệu, CTDL có quyền khởi kiện khi cho rằng quyền hợp pháp của CTDL đã bị xâm phạm vì việc xử lý DLCN không tuân thủ đúng với quy định GDPR CTDL có thể đồng thời yêu cầu các biện pháp hành chính hoặc biện pháp phi tố tụng khác đối với các vi phạm59

2.1.4 Quy định về các chủ thể tham gia xử lý dữ liệu cá nhân

2.1.4.1 Bên quản lý dữ liệu

Bên quản lý dữ liệu là một trong những chủ thể có vai trò then chốt trong quá trình xử lý DLCN Song song với thẩm quyền sâu sắc trong việc quyết định tiến trình, kết quả của hoạt động xử lý DLCN, bên quản lý dữ liệu được đặt ra những nghĩa vụ pháp lý tương ứng nhằm đảm bảo tính hợp pháp và hiệu quả của hoạt động xử lý

59 Khoản 1 Điều 78 và khoản 1 Điều 79 GDPR đều quy định rằng: “Không phụ thuộc vào biện pháp hành chính

hoặc biện pháp phi tố tụng…”

DLCN Nghĩa vụ đầu tiên và trên hết của bên quản lý DLCN là thực hiện nguyên tắc giải trình bằng cách lắp đặt các biện pháp kỹ thuật và biện pháp tổ chức thích hợp để đảm bảo tuân thủ quy định tại GDPR và có khả năng chứng minh sự tuân thủ này Các biện pháp mà bên quản lý dữ liệu áp dụng phải được đảm bảo thực hiện nghiêm chỉnh theo chính sách bảo vệ dữ liệu do bên quản lý ban hành, thường xuyên được kiểm tra và cập nhật nếu cần thiết (khoản 2 Điều 24 GDPR) Việc xác định như thế nào là biện pháp thích hợp sẽ căn cứ vào bản chất, quy mô, bối cảnh và mục đích của việc xử lý dữ liệu cũng như mối nguy cơ, mức độ nghiêm trọng thiệt hại có thể xảy

ra đối với quyền và tự do của CTDL (khoản 1 Điều 24 GDPR)

Mặt khác, bên quản lý dữ liệu còn được quy định về nghĩa vụ bảo vệ DLCN theo thiết kế (“by design”) tại khoản 1 Điều 25 GDPR và theo mặc định (“by default”) tại khoản 2 Điều 25 GDPR Đây là hướng tiếp cận mới của GDPR so với các văn bản pháp luật bảo vệ DLCN trước đó của EU như Chỉ thị bảo vệ DLCN Khác với lối tư duy trước đó rằng việc bảo vệ DLCN chỉ được đặt ra tại thời điểm sự riêng tư thông tin bị xâm phạm, bảo vệ DLCN theo thiết kế60 giúp bảo vệ QRT thông tin hữu hiệu hơn khi buộc bên quản lý dữ liệu phải thiết kế hoạt động xử lý dữ liệu sao cho bảo đảm QRT thông tin của CTDL ngay từ giai đoạn đầu tiên cho đến giai đoạn cuối cùng

Để thực hiện bảo vệ DLCN theo thiết kế, bên quản lý dữ liệu phải thực hiện DLCN theo mặc định thông qua sự tổ chức, sắp xếp các hoạt động nội bộ của bản thân bên quản lý dữ liệu như hệ thống công nghệ thông tin, hoạt động giải trình doanh nghiệp,

cơ sở hạ tầng vật lý và cơ sở hạ tầng mạng61

60 Khoản 1 Điều 25 GDPR: “Bằng việc cân nhắc tình hình, chi phí thực hiện và bản chất, quy mô, bối cảnh và

mục đích xử lý dữ liệu cũng như mối nguy cơ và mức độ nghiêm trọng thiệt hại có thể xảy ra đối với quyền, tự

do của CTDL bị tác động bởi quá trình xử lý dữ liệu, tại cả thời điểm quyết định phương tiện xử lý và thời điểm xử lý, bên quản lý dữ liệu phải thiết lập các biện pháp kỹ thuật và tổ chức thích hợp như giả danh tính, một biện pháp được thiết kế để thực hiện nguyên tắc bảo vệ dữ liệu cá nhân [ ]”

61 Information Commissioner’s Office, “Data protection by design and default” Xem tại: organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability- and-governance/data-protection-by-design-and-default/#:~:text=External%20link-

https://ico.org.uk/for-,What%20is%20data%20protection%20by%20design%3F,and%20then%20throughout%20the%20lifecycle , (truy cập ngày 31/5/2022)

Bên cạnh đó, bên quản lý dữ liệu phải thực hiện các nghĩa vụ lập biên bản ghi nhận tất cả các thông tin quan trọng trong quá trình xử lý dữ liệu (Điều 30 GDPR), phối hợp với cơ quan giám sát (Điều 31 GDPR), thực hiện đánh giá tác động bảo vệ

dữ liệu và tham vấn (Điều 35, 36 GDPR), thiết lập các biện pháp kỹ thuật và biện pháp tổ chức nhằm tăng cường an ninh dữ liệu tương ứng với nguy cơ bị xâm phạm như giả danh tính, mã hóa dữ liệu; cơ chế kiểm tra, đánh giá thường xuyên tính hiệu quả của các biện pháp kĩ thuật, tổ chức được áp dụng… (Điều 32 GDPR)

2.1.4.2 Bên xử lý dữ liệu

Dù không có quyền quyết định những vấn đề cơ bản của quá trình xử lý DLCN như bên quản lý dữ liệu, bên xử lý dữ liệu vẫn là thành phần quan trọng khi trực tiếp tham gia vào quá trình xử lý dữ liệu theo sự đại diện cho bên quản lý dữ liệu Do đó, bên xử lý dữ liệu phải có khả năng thực hiện các biện pháp kỹ thuật và tổ chức phù hợp nhằm tuân thủ các quy định của GDPR và bảo vệ quyền của CTDL Nguyên tắc chủ đạo trong cách thức hoạt động của bên xử lý dữ liệu là phải hoạt động phối hợp chặt chẽ với bên quản lý dữ liệu trong phạm vi ủy quyền của bên quản lý dữ liệu theo

sự hướng dẫn của bên quản lý dữ liệu Theo đó, bên xử lý dữ liệu chỉ có thể xử lý dữ liệu trong phạm vi bên quản lý dữ liệu đã ủy quyền, hoặc nếu bên xử lý dữ liệu muốn chỉ định một bên khác tham gia xử lý dữ liệu thì phải có sự ủy quyền từ bên quản lý

dữ liệu, bên xử lý dữ liệu phải cung cấp các thông tin về quá trình xử lý dữ liệu cho bên quản lý dữ liệu để chứng minh sự tuân thủ quy định…

2.1.5 Xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân

Đối với hành vi vi phạm liên quan đến xử lý DLCN, GDPR đã đặt ra ba biện pháp chính gồm: biện pháp dân sự, biện pháp hành chính và biện pháp xử phạt khác 2.1.5.1 Biện pháp dân sự (buộc bồi thường thiệt hại)

Quy định về bồi thường thiệt hại tại Điều 82 GDPR đã thể hiện tính đối ứng giữa quyền của CTDL và trách nhiệm pháp lí của bên quản lý hoặc bên xử lý dữ liệu

ngay tại tiêu đề điều luật: “Quyền được bồi thường thiệt hại và trách nhiệm pháp lí”

Theo đó, bất kì CTDL nào chịu thiệt hại vật chất hoặc phi vật chất từ hành vi vi phạm quy định của GDPR đều được bồi thường thiệt hại từ bên quản lý hoặc bên xử lý dữ liệu và ngược lại, bên quản lý và bên xử lý dữ liệu phải có trách nhiệm bồi thường cho CTDL về thiệt hại gây ra Tuy nhiên, trách nhiệm pháp lí giữa bên quản lý và bên

xử lý dữ liệu là khác nhau Bên quản lý dữ liệu buộc phải chịu trách nhiệm đối với thiệt hại gây ra bởi hoạt động xử lý vi phạm GDPR Còn bên xử lý dữ liệu chỉ chịu trách nhiệm đối với thiệt hại gây ra nếu bên xử lý không thực hiện các nghĩa vụ mà GDPR quy định trực tiếp đối với bên xử lý dữ liệu, hoặc nếu bên xử lý đã hành động vượt quá hoặc ngược lại với sự chỉ dẫn của bên quản lý dữ liệu

2.1.5.2 Biện pháp hành chính (phạt tiền)

Điểm đáng lưu ý của quy định về biện pháp hành chính là GDPR không đặt ra các con số cụ thể về số tiền phạt mà việc xác định phạt tiền sẽ phụ thuộc vào sự đánh giá cơ quan giám sát theo từng vụ việc khác nhau, căn cứ theo các tiêu chí được liệt

kê tại khoản 2 Điều 83 GDPR như: bản chất, quy mô và thời gian thực hiện vi phạm, mục đích của việc xử lý dữ liệu, số lượng CTDL bị thiệt hại, mức độ thiệt hại gây ra, tính chất lỗi (vô ý hay cố ý), mức độ trách nhiệm của bên quản lý hoặc bên xử lý trong việc thực hiện biện pháp kỹ thuật, biện pháp tổ chức…Việc xác định mức phạt tiền phải được xây dựng trên nguyên tắc hiệu quả, phù hợp và có tính can ngăn 2.1.5.3 Biện pháp xử phạt khác

Điều 84 GDPR quy định về biện pháp xử phạt khác đã cho phép các quốc gia thành viên xác lập các cơ chế xử lý hành vi vi phạm trong việc xử lý DLCN ngoài các biện pháp dân sự và biện pháp hành chính Tuy nhiên, biện pháp xử phạt khác này chỉ được áp dụng đối với trường hợp không bị áp dụng biện pháp hành chính theo Điều 83 GDPR Việc lập nên các biện pháp xử phạt khác cũng phải căn cứ vào nguyên tắc hiệu quả, phù hợp và tính can ngăn