Nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân theo pháp luật liên minh châu âu kinh nghiệm cho việt nam

liệu hơn 2 GB là thông tin của hàng triệu công dân Việt.4 Điều này có thể dẫn đến dữliệu cá nhân sẽ phải đối mặt với những rủi ro, nguy cơ bị xâm phạm gây ảnh hưởngtrực tiếp đến các cá n

-*** -HUỲNH ĐĂNG MYMSSV: 1853801015118

NGUYÊN TẮC CÂN BẰNG

TỰ DO DỮ LIỆU VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT LIÊN MINH CHÂU ÂU

KINH NGHIỆM CHO VIỆT NAM

KHÓA LUẬN TỐT NGHIỆPNiên khóa: 2018 - 2022Người hướng dẫn: TH.S NGUYỄN ĐÀO PHƯƠNG THÚY

TP.Hồ Chí Minh – Năm 2022

-*** -HUỲNH ĐĂNG MYMSSV: 1853801015118

NGUYÊN TẮC CÂN BẰNG

TỰ DO DỮ LIỆU VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT LIÊN MINH CHÂU ÂU

VÀ KINH NGHIỆM CHO VIỆT NAM

KHÓA LUẬN TỐT NGHIỆPNiên khóa: 2018 - 2022Người hướng dẫn: TH.S NGUYỄN ĐÀO PHƯƠNG THÚY

TP.Hồ Chí Minh – Năm 2022

Nam” là kết quả nghiên cứu của riêng tôi, được thực hiện dưới sự hướng dẫn của Thạc

sĩ Nguyễn Đào Phương Thúy, giảng viên Khoa Luật Quốc tế-Trường Đại học LuậtThành phố Hồ Chí Minh, đảm bảo trung thực và tuân thủ quy định về trích dẫn, chúthích tài liệu tham khảo Tôi xin hoàn toàn chịu trách nhiệm về lời cam đoan này

Thành phố Hồ Chí Minh, ngày 28 tháng 6 năm 2022

Sinh viên thực hiện

Huỳnh Đăng My

1.1 Khái quát về dữ liệu, dữ liệu cá nhân 8

1.1.1 Dữ liệu 8

1.1.2 Dữ liệu cá nhân và thông tin cá nhân 10

1.2 Bảo vệ quyền riêng tư và dữ liệu cá nhân 13

1.3 Tự do dữ liệu 14

1.4 Mối quan hệ giữa tự do dữ liệu và bảo vệ dữ liệu cá nhân trong bối cảnh thương mại điện tử 16

1.4.1 Tầm quan trọng của tự do dữ liệu đối với sự phát triển kinh tế 16

1.4.2 Sự cần thiết bảo vệ dữ liệu, thông tin cá nhân trong thương mại điện tử19 1.5 Các cách tiếp cận đối với quy định chuyển dữ liệu cá nhân qua biên giới21 CHƯƠNG 2: NGUYÊN TẮC CÂN BẰNG TỰ DO DỮ LIỆU VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT TẠI LIÊN MINH CHÂU ÂU 26

2.1 Nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân theo pháp luật Liên minh Châu Âu 26

2.2 Áp dụng nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân 28

2.2.1 Đối tượng của nguyên tắc 28

2.2.2 Chủ thể 30

2.2.3 Phạm vi nguyên tắc 33

2.3 Các quy định về nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân 36

2.3.1 Tự do dữ liệu 36

2.3.2 Bảo vệ dữ liệu cá nhân 42

xuyên biên giới và bảo vệ dữ liệu cá nhân trong bối cảnh thương mại kỹ thuật

số 55

3.1.1 Thực trạng ban hành văn bản quy định pháp luật 56

3.1.2 Thực trạng áp dụng 60

3.2 Kiến nghị cho việc hoàn thiện pháp luật bảo vệ quyền với dữ liệu cá nhân ở việt nam 62

3.2.1 Kiến nghị hoàn thiện quy định pháp luật 62

3.2.2 Kiến nghị các giải pháp hỗ trợ việc thực hiện 65

KẾT LUẬN: 67

DLCN Dữ liệu cá nhân

Chữ viết tắt Nội dung được viết tắt bằng tiếng anh

Protection Regulation), 04.05.2016

for the Free Flow of Non-Personal Data in theEuropean Union

PHẦN MỞ ĐẦU 1.Tính cấp thiết của đề tài

Với sự phát triển nhanh chóng và không ngừng của công nghệ, càng ngày, cáchoạt động của con người chịu sự tác động và vận hành xoay quanh sự luân chuyển của

dữ liệu, thông tin trong môi trường số1 Dữ liệu cá nhân hiện đã và đang trở thành mộtloại hàng hoá được các tổ chức, cá nhân tìm kiếm, sử dụng để khai thác cho mục đíchthương mại Điều này đã góp phần thúc đẩy phát triển nền kinh tế số một cách mạnh

mẽ Bên cạnh việc thu thập, phân tích và xử lý, để có thể tối đa hóa giá trị, dữ liệu cánhân cần phải có sự chuyển giao dữ liệu giữa các quốc gia vì đặc trưng của internetluôn là công cụ để xóa mờ đi khoảng cách địa lý2

Theo số liệu được công bố năm 2019 bởi Nikkei Asiai về tình hình chuyển dữ liệuqua biên giới, có năm quốc gia châu Á (trong đó có Việt Nam) trong số mười một quốcgia có dòng dữ liệu xuyên biên giới lớn nhất thế giới và Việt Nam có mức độ tăngtrưởng của dòng chảy dữ liệu qua biên giới cao nhất với 230.000 lần, gấp khoảng 30lần so với quốc gia đứng đầu về lưu lượng luân chuyển dữ liệu là Trung Quốc với7.500 lần3 Đứng trước những lợi ích to lớn, việc một khối lượng lớn dữ liệu cá nhânđược thu thập mỗi ngày đã phát sinh ra những vấn đề về quyền riêng tư - quyền cơ bảncủa chủ thể dữ liệu bị đe dọa và không được bảo đảm Ví dụ như trong thời gian gầnđây, một số thành viên diễn đàn chuyên dành cho hacker đã thực hiện rao bán cơ sở dữ

1 Lê Trần Quốc Công, “Quy định về tự do dữ liệu trong các hiệp định thương mại tự do thế hệ mới - Tác động

đối với pháp luật Việt Nam”, Tạp chí Khoa học Pháp lý, Tạp chí Khoa học pháp lý Việt Nam, 2021, số 07 (146),

tr.94-103.

2 Monica Tremblay, M.Sc Anthropologue, “Flux transfrontières de données et protection de la vie privée : une

https://leppm.enap.ca/leppm/docs/Cahier%20recherche/Cahier%20de%20recherche_Tremblay_Flux%20donn%C 3%A9esvf.pdf, truy cập ngày 15/4/2022

3 Nhật Xuân, “Việt Nam tăng trưởng cao nhất về luân chuyển dữ liệu xuyên biên giới”, https://ictnews.vietnamnet.vn/bao-mat/bao-ve-du-lieu-trong-dong-chay-du-lieu-xuyen-bien-gioi-294385.htm (truy cập ngày 4/3/2022)

liệu hơn 2 GB là thông tin của hàng triệu công dân Việt.4 Điều này có thể dẫn đến dữliệu cá nhân sẽ phải đối mặt với những rủi ro, nguy cơ bị xâm phạm gây ảnh hưởngtrực tiếp đến các cá nhân chủ thể của dữ liệu chẳng hạn như giả danh để thực hiện cáchành vi lừa đảo, chiếm đoạt tài sản, gây thiệt hại về danh dự, nhân phẩm…

Nhận thấy được tầm quan trọng của việc bảo vệ dữ liệu cá nhân, một số nước đã

và đang rất chú trọng, thiết lập các quy định về vấn đề này một cách chặt chẽ đã tạo racác rào cản đối với luồng dữ liệu xuyên biên giới các quốc gia Điều này đã gây ra ảnhhưởng to lớn đến nền kinh tế nước nhà trong thời kỳ mà thương mại điện tử đang dầnbao phủ mọi khía cạnh trong cuộc sống Vì vậy, vấn đề được đặt ra cho các nhà hoạchđịnh chính sách là tìm ra các giải pháp để có thể cân bằng được luồng dữ liệu tự do vàvẫn đảm bảo yêu cầu bảo vệ dữ liệu cá nhân5

Quy định chung về bảo vệ dữ liệu cá nhân của Liên minh châu Âu (GDPR) là mộttrong những bộ quy tắc đầu tiên đưa ra các quy định nghiêm ngặt về vấn đề bảo vệ dữliệu cá nhân và đồng thời vẫn tạo điều kiện cho phép tự do dữ liệu trong khu vực vàmột số quốc gia đáp ứng được điều kiện của bộ quy tắc này Tuy nhiên, vấn đề bảo vệ

dữ liệu ở Việt Nam hiện vẫn đang trong quá trình hình thành và dần hoàn thiện các quyđịnh Hiện nay, pháp luật Việt Nam vẫn chưa có văn bản riêng nào để điều chỉnh về

vấn đề tự do dữ liệu và bảo vệ dữ liệu cá nhân Do đó, tác giả chọn đề tài “Nguyên tắc cân bằng giữa bảo vệ dữ liệu cá nhân và tự do dữ liệu theo pháp luật Liên minh châu Âu (EU) và kinh nghiệm cho Việt Nam” để nghiên cứu, từ đó đưa ra một số kiến

nghị đối với vấn đề cân bằng tự do dữ liệu xuyên biên giới và bảo đảm an toàn dữ liệu

cá nhân cho Việt Nam

4 Anh Quân & Thành Luân, 2021; “Tin tặc rao bán hàng chục GB dữ liệu công dân và doanh nghiệp Việt”, 2021, https://thanhnien.vn/tin-tac-rao-ban-hang-chuc-gb-du-lieu-cong-dan-va-doanh-nghiep-viet-post1067950.html (truy cập ngày 20/5/2022)

5 Monica Tremblay, M.Sc Anthropologue, “Flux transfrontières de données et protection de la vie privée : une

https://leppm.enap.ca/leppm/docs/Cahier%20recherche/Cahier%20de%20recherche_Tremblay_Flux%20donn%C 3%A9esvf.pdf (truy cập ngày 15/4/2022)

2.Tổng quan tình hình nghiên cứu

2.1 Tại Việt Nam

ThS Huỳnh Thiên Tứ, TS Dương Kim Thế Nguyên, ThS Lê Thùy Khanh, ThS.Mai Nguyễn Dũng – Khoa Luật, Trường Kinh tế, Luật và Quản lý nhà nước UEH, “Cảicách pháp luật đáp ứng nhu cầu bảo vệ dữ liệu cá nhân trong chuyển đổi số” Bài viếtchỉ ra nhu cầu điều chỉnh về mặt pháp lý đối với việc tiếp nhận thông tin và xử lý dữliệu cá nhân trên cơ sở đánh giá tổng quan các quy định pháp luật hiện hành, đối sánhvới các quy định bảo vệ dữ liệu cá nhân của một số nước trên thế giới, sau đó tác giả đềxuất một số giải pháp nhằm cân bằng lợi ích giữa các chủ thể

Lưu Minh Sang, Nguyễn Thùy Dung, “Nguyên tắc xử lý dữ liệu cá nhân trênkhông gian mạng theo pháp luật Việt Nam dưới góc nhìn so sánh với pháp luậtSingapore, Liên minh châu Âu” Bài viết đã so sánh các nguyên tắc xử lý dữ liệu cánhân của Singapore và Liên Minh Châu Âu, từ đó gợi mở cho Việt Nam trong việchoàn thiện quy định về xử lý dữ liệu cá nhân

Lê Trần Quốc Công, “Quy định về tự do dữ liệu trong các hiệp định thương mại

tự do thế hệ mới - Tác động đối với pháp luật Việt Nam” Dữ liệu là yếu tố không thểthiếu cho các hoạt động thương mại điện tử, tuy nhiên một số quốc gia đã chọn cách đingược lại xu hướng tự do dữ liệu vì những lý do an ninh và quyền riêng tư Sự đối lậpgiữa bảo vệ quyền riêng tư cá nhân và sự phát triển kinh tế số đã đặt ra vấn đề tự dodịch chuyển dữ liệu trong các hiệp định thương mại tự do thế hệ mới nói chung vàpháp luật Việt Nam nói riêng

Nguyễn Quang Đồng, Nguyễn Lan Phương - Viện Nghiên cứu Chính sách và Pháttriển Truyền thông, “Dòng chảy dữ liệu cá nhân xuyên biên giới: Thực trạng và khuyến

nghị chính sách”, Tạp chí khoa học công nghệ Việt Nam là một trong mười quốc gia

có khối lượng DLCN chuyển qua biên giới lớn nhất thế giới nên các nhà hoạch địnhchính sách cần xác lập các quy định pháp lý cụ thể về vấn đề này theo hướng bảo vệ

DLCN, đồng thời vẫn thúc đẩy được dòng chảy dữ liệu xuyên biên giới tự do và thôngsuốt để phục vụ cho phát triển nền kinh tế số

2.2 Trên thế giới

Francesca Casalini và Javier López González (2019-01-23), “Trade and

Cross-Border Data Flows”, OECD Trade Policy Papers, No 220, OECD Publishing, Paris.

Việc chuyển giao dữ liệu xuyên biên giới giữa các quốc gia đã làm phát sinh nhữngmối quan tâm, lo ngại cho sự bảo đảm về quyền riêng tư và đồng thời duy trì lợi ích từluồng dữ liệu tự do Bài báo đã phân tích những phương pháp tiếp cận của quốc gia đốivới quy định luồng dữ liệu xuyên biên giới và các yêu cầu lưu trữ cục bộ có tác độngđến việc hình thành các chính sách, quy định của quốc gia về vấn đề tự do dữ liệu.Trong bối cảnh đó, Tác giả cũng đã nêu bật lên những thách thức cho việc đi tìm sựcân bằng giữa việc hưởng lợi ích từ nền kinh tế dựa trên luồng dữ liệu tự do và đáp ứngyêu cầu bảo vệ quyền riêng tư

Manh Hung Tran, “Cross-border transfer of personal data: How Vietnam is

positioning itself in the global regulatory tendency”(28/01/2022) Các quy định

trong lĩnh vực chuyển dữ liệu cá nhân xuyên biên giới đã thu hút sự chú ý đáng kể từ

cả các nhà lập pháp và doanh nghiệp, và Việt Nam không phải là một ngoại lệ đối vớiquy định này Tác giả đã phân tích quy định về chuyển dữ liệu qua biên giới trong Dựthảo Nghị định quy định bảo vệ dữ liệu cá nhân (PDPD) và so sánh với Quy địnhchung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR)

Yuxiao Duan, “Balancing the Free Flow of Information and Personal Data

Protection” Bài báo này cho rằng giá trị của luồng thông tin tự do nên được ưu tiên

hơn giá trị của việc bảo vệ dữ liệu cá nhân và đưa ra các nhận xét dựa trên quy địnhcủa GDPR về vấn đề cân bằng giữa hai giá trị Bên cạnh đó, tác giả đã đưa ra một số đềxuất và thể hiện một trong những vấn đề quan trọng nhất mà luật bảo vệ thông tin cánhân trong tương lai của Trung Quốc phải đối mặt

Các công trình nghiên cứu trên hiện chỉ phân tích quy định về chuyển dữ liệu cánhân sang biên giới và bảo vệ dữ liệu cá nhân mà chưa đi sâu vào nguyên tắc tự do dữliệu và bảo vệ dữ liệu cá nhân theo pháp luật Liên minh châu Âu Trên tinh thần kếthừa thành quả nghiên cứu của các công trình đi trước, nghiên cứu của tác giả tập trungphân tích nguyên tắc tự do dữ liệu và bảo vệ dữ liệu cá nhân theo pháp luật Liên minhchâu Âu, từ đó làm cơ sở phân tích thực trạng và nguyên tắc cân bằng tự do dữ liệu vàbảo vệ dữ liệu cá nhân trong pháp luật Việt Nam.

3 Mục đích nghiên cứu

Đề tài “Nguyên tắc cân bằng giữa tự do dữ liệu và bảo vệ dữ liệu cá nhân theopháp luật Liên minh Châu Âu và kinh nghiệm cho Việt Nam” được thực hiện nhằmmục đích làm sáng tỏ mối quan hệ của tự do dữ liệu và bảo vệ dữ liệu cá nhân, bêncạnh việc bảo vệ quyền riêng tư - quyền cơ bản của con người, đề tài thể hiện tầm quantrọng của dữ liệu đối với sự phát triển kinh tế Từ các vấn đề trên, tác giả sẽ thông quaviệc phân tích quy định của pháp luật của Liên minh Châu Âu thể hiện cho nguyên tắccân bằng giữa tự do dữ liệu và bảo vệ dữ liệu cá nhân để đưa ra gợi mở, đề xuất cácgiải pháp và kiến nghị cho việc hoàn thiện Pháp luật Việt Nam

4 Phạm vi nghiên cứu

Đề tài trọng tâm nghiên cứu những vấn đề lý luận và pháp lý liên quan đến tự do

dữ liệu và bảo vệ dữ liệu cá nhân cụ thể là quyền riêng tư, quyền được bảo vệ dữ liệu

cá nhân, cho phép dữ liệu được tự do di chuyển Từ đó, tác giả phân tích những quyđịnh, biểu hiện của nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân dựatrên các quy định cho phép dữ liệu được tự do di chuyển, nghĩa vụ, trách nhiệm pháp lýcủa chủ thể kiểm soát, xử lý dữ liệu trong pháp luật Liên minh châu Âu Vì vậy, đề tàitập trung nghiên cứ Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR),quy định về quản lý dữ liệu phi cá nhân của Liên minh châu Âu (FFD)

Không chỉ dừng lại ở pháp luật Liên minh Châu Âu, tác giả còn nghiên cứu quyềnriêng tư trong pháp luật Việt Nam, thực trạng và các quy định của pháp luật Việt Nam

trong vấn đề tự do dữ liệu và bảo vệ dữ liệu cá nhân Cụ thể: Hiến pháp 2013, Bộ luậtDân sự 2015, Luật An ninh mạng, Nghị định 72/2013/ND-CP, Dự thảo nghị định quyđịnh về bảo vệ dữ liệu cá nhân.

5 Phương pháp nghiên cứu

Thứ nhất, phương pháp phân tích và tổng hợp được sử dụng để phân tích và đánh

giá từ tổng quan đến chuyên sâu về các vấn đề lý luận, các quy định pháp luật liênquan đến quyền riêng tư, nguyên tắc cân bằng giữa tự do dữ liệu và bảo vệ dữ liệu cánhân trong pháp luật Liên minh Châu Âu Đây là phương pháp chủ đạo và xuyên suốttrong nghiên cứu đề tài, từ đó giúp hệ thống hóa, phân tích, đưa ra kết quả nghiên cứu

và dự báo về pháp luật điều chỉnh cần thiết trong tương lai

Thứ hai, phương pháp so sánh được sử dụng nhằm nhận diện điểm tương đồng,

khác biệt, sau đó thực hiện đánh giá giữa các quy định của pháp luật Việt Nam và phápluật của Liên minh Châu Âu Việc đối chiếu, đánh giá này góp phần gợi mở, kiến nghịcho Việt Nam trong việc hoàn thiện các quy định về cân bằng tự do dữ liệu và bảo vệ

dữ liệu cá nhân dựa trên kinh nghiệm của pháp Luật Liên minh Châu Âu

6 Kết cấu đề tài

Chương 1: Tổng quan về tự do dữ liệu và bảo vệ dữ liệu cá nhân

Đề tài phân tích một số khái niệm nền tảng về dữ liệu, dữ liệu cá nhân, thông tin

cá nhân, quyền bảo vệ dữ liệu cá nhân, giải thích về tự do dữ liệu Sau khi trình bày cáckhái niệm, tác giả tiến hành phân tích mối quan hệ của tự do dữ liệu và bảo vệ dữ liệu

cá nhân và các cách tiếp cận đối với quy định về bảo vệ dữ liệu cá nhân

Chương 2: Nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân theo pháp luật tại Liên minh châu Âu

Từ các khái niệm, mối quan hệ của tự do dữ liệu và bảo vệ dữ liệu cá nhân đề tàiphân tích nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân thông qua cáckhía cạnh và quy định của pháp luật Liên minh Châu Âu

Chương 3: Thực trạng về về cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân

và kinh nghiệm cho Việt Nam

Dựa trên phần trình bày về nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cánhân ở Liên minh Châu Âu, tác giả phân tích tình hình và thực trạng của pháp luật ViệtNam về các quy định liên quan đến tự do dữ liệu và bảo vệ dữ liệu cá nhân Và cuốicùng, tác giả đưa ra những đề xuất cho việc hoàn thiện pháp luật Việt Nam về tự do dữliệu và bảo vệ dữ liệu cá nhân

CHƯƠNG 1: TỔNG QUAN VỀ TỰ DO DỮ LIỆU VÀ

BẢO VỆ DỮ LIỆU CÁ NHÂN

Ở chương 1, tác giả sẽ đề cập và phân tích các khái niệm, kiến thức nền tảngmang tính lý luận về tự do dữ liệu, bảo vệ dữ liệu cá nhân Từ những kiến thức này, tácgiả sẽ phân tích mối quan hệ giữa tự do dữ liệu và bảo vệ dữ liệu cá nhân

Các kết quả có được tại chương 1 được tác giả đúc kết dựa vào tình hình nghiêncứu, tham khảo từ các bài viết, đánh giá quan điểm và cách áp dụng của một số nướctrên thế giới với mục đích đưa ra cái nhìn tổng quan về bảo vệ dữ liệu cá nhân và tự do

dữ liệu

1.1 Khái quát về dữ liệu, dữ liệu cá nhân

Trong những năm gần đây, sự phát triển nhanh của công nghệ ky thuật số đãgiúp thu thập và lưu trữ lượng dữ liệu khổng lồ trong các hồ dữ liệu lớn Việc khai thác

dữ liệu đã trở thành nhu cầu thiết yếu và dữ liệu trở thành một thành phần quan trọngtrong nền kinh tế hiện đại6 Do đó, để có thể vận hành nền kinh tế số một cách tốt nhất,việc hiểu dữ liệu là gì sẽ giúp con người có những chính sách, giải pháp phù hợp choviệc thúc đẩy tự do, bảo vệ dữ liệu và phát triển nền kinh tế

1.1.1 Dữ liệu

Dữ liệu từ lâu đã trở thành một yếu tố quan trọng và không thể thiếu cho sự pháttriển thương mại điện tử7, nó xuất hiện khi khách hàng tiềm năng xem, so sánh và muasản phẩm trên Internet hoặc khi người bán cung cấp, quảng cáo và bán sản phẩm trựctuyến Một lượng dữ liệu lớn được thu thập mỗi ngày thông qua sự trợ giúp của các nềntảng thương mại điện tử như trang mua sắm amazon với số lượng lớn người mua,người bán và các giao dịch diễn ra khắp nơi trên thế giới Khi mua hàng trực tuyến,khách hàng sẽ bị doanh nghiệp, nhà cung cấp hàng hóa, dịch vụ thu thập thông tin về

6 Libor Klimek1, Rastislav Funta, “Data and e-commerce: an economic relationship”, xem tại: https://sciendo.com/it/article/10.2478/danb-2021-0003, truy cập ngày 10/4/2022.

7 Libor Klimek1, Rastislav Funta, “Data and e-commerce: an economic relationship”, xem tại https://sciendo.com/it/article/10.2478/danb-2021-0003, truy cập ngày 10/4/2022.

địa chỉ, số điện thoại, email,… việc thu thập những thông tin này để phục vụ cho việcquản lý kinh doanh và đồng thời để thực hiện việc giao hàng.

Theo từ điển Cambridge, dữ liệu là tập hợp các dữ kiện, phần thông tin riêng biệt,được thu thập, định dạng và lưu trữ theo cách phù hợp để kiểm tra, xem xét, sử dụngbởi máy tính8 Kể từ khi khoa học máy tính ra đời vào giữa những năm 1900, dữ liệuthường đề cập đến thông tin được truyền hoặc lưu trữ dưới dạng điện tử

Dữ liệu (Data) được sử dụng trong nghiên cứu khoa học, quản lý doanh nghiệp(ví dụ như dữ liệu bán hàng, doanh thu, lợi nhuận, giá cổ phiếu), tài chính, quản trị (ví

dụ như tỷ lệ tội phạm, tỷ lệ thất nghiệp, tỷ lệ biết chữ) và hầu như trong mọi hình thứchoạt động tổ chức khác của con người (ví dụ như hoạt động điều tra dân số về sốlượng người vô gia cư bởi các tổ chức phi lợi nhuận) Dữ liệu được đo lường, thu thập,báo cáo và phân tích, đồng thời được sử dụng để tạo trực quan hóa dữ liệu như đồ thị,bảng hoặc hình ảnh Dữ liệu là một khái niệm chung đề cập đến thực tế là một số thôngtin hoặc kiến thức hiện có được biểu diễn hoặc mã hóa ở một số hình thức phù hợp để

sử dụng hoặc xử lý tốt hơn

Ngoài ra, quy định tại khoản 5 Điều 4 Luật Giao dịch điện tử 20059 cũng đưa rađịnh nghĩa “Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âmthanh hoặc dạng tương tự”

Nhìn chung, các khái niệm về dữ liệu đã thể hiện được những đặc điểm cơ bảnnhư: là thông tin, được biểu hiện dưới dạng chữ, số, hình ảnh Dữ liệu được tạo ra cóthể mang tính cá nhân (chẳng hạn như tên, địa chỉ và thông tin tài khoản) hoặc phi cánhân (chẳng hạn như số lần bán một sản phẩm cụ thể, số lần trả lại), Tuy nhiên,trong bối cảnh giao dịch thương mại, các cuộc bàn luận chủ yếu xoay quanh vấn đề về

dữ liệu hoặc thông tin nhận dạng cá nhân, dữ liệu công nghiệp

8 Meaning of data in English, Cambridge English dictionary, xem tại: https://dictionary.cambridge.org/dictionary/english/data, truy cập ngày 15/4/2022.

9 Luật Giao dịch điện tử 2005 (số: 51/2005/QH11), ngày 29/11/2005.

1.1.2 Dữ liệu cá nhân và thông tin cá nhân

Khi dữ liệu đóng vai trò then chốt cho sự tiến bộ thời đại và việc thu thập mộtkhối lượng dữ liệu lớn từ đời sống xã hội dựa trên sự phát triển của các công nghệ lưutrữ đã đặt ra yêu cầu phải bảo đảm để mọi người có thể kiểm soát, bảo vệ thông tin hay

dữ liệu cá nhân của mình10 Từ đó, thuật ngữ dữ liệu cá nhân được ghi nhận và trở nênphổ biến trong khoa học pháp lý

Thuật ngữ “thông tin cá nhân, dữ liệu cá nhân” được nhắc đến từ những năm 1980trong Công ước năm 1981 của Hội đồng châu Âu về bảo vệ cá nhân liên quan đến việc

xử lý dữ liệu cá nhân tự động và Hướng dẫn của Tổ chức Hợp tác và Phát triển Kinh tế(OSCD) điều chỉnh việc bảo vệ quyền về sự riêng tư và việc chuyển đổi dữ liệu cánhân xuyên biên giới Các văn kiện này mô tả “thông tin cá nhân là dữ liệu được bảo

vệ ở mọi bước, từ thu thập đến lưu trữ và phổ biến” Quyền của mọi người được truycập và sửa đổi dữ liệu của mình cũng là một khía cạnh chính của các quy tắc này11.Nhìn chung, phần mô tả trong các văn kiện trên vẫn chưa cụ thể cho việc xác địnhphạm vi để thực hiện bảo vệ dữ liệu, thông tin cá nhân

Quy định chung về bảo vệ dữ liệu của Liên minh Châu âu (GDPR) là một văn bảnpháp lý quan trọng, thể hiện sự phát triển của các quy định về dữ liệu cá nhân Trong

đó, dữ liệu cá nhân được định nghĩa rõ ràng và chi tiết hơn Cụ thể, Dữ liệu cá nhân là

bất kỳ thông tin nào liên quan đến một thể nhân được xác định hoặc có thể nhận dạngđược (chủ thể dữ liệu); thể nhân có thể nhận dạng là người có thể được xác định, trựctiếp hoặc gián tiếp, đặc biệt bằng cách tham chiếu đến một định danh như tên, số nhậndạng, dữ liệu vị trí, số nhận dạng trực tuyến hoặc một hoặc nhiều yếu tố cụ thể về thể

10 PGS.TS Vũ Công Giao, THS Lê Trần Như Tuyên “Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc

tế, pháp luật ở một số quốc gia và giá trị tham khảo cho việt nam”, xem tại: http://www.lapphap.vn/Pages/TinTuc/210546/Bao-ve-quyen-doi-voi-du-lieu-ca-nhan-trong-phap-luat-quoc-te phap-luat-o-mot-so-quoc-gia-va-gia-tri-tham-khao-cho-Viet-Nam.html, truy cập ngày 10/4/2022.

11 Lê Thị Thùy Trang, “Các nguyên tắc cơ bản về bảo vệ thông tin cá nhân trong Hướng dẫn về quyền riêng tư của Tổ chức Hợp tác và Phát triển kinh tế OECD”, [ https://aita.gov.vn/cac-nguyen-tac-co-ban-ve-bao-ve-thong- tin-ca-nhan-trong-huong-dan-ve-quyen-rieng-tu-cua-to-chuc-hop-tac-va-phat-trien-kinh-te-oecd, truy cập ngày 5/4/2022.

chất, sinh lý, di truyền, tinh thần, kinh tế, tôn giáo hoặc bản sắc xã hội của thể nhân

đó12

Bên cạnh dữ liệu cá nhân, GDPR còn quy định thêm về loại dữ liệu cá nhân nhạycảm dưới dạng hạng mục dữ liệu cá nhân đặc biệt, cụ thể: “Bất kỳ dữ liệu nào tiết lộchủng tộc hoặc sắc tộc, tư tưởng chính trị, đức tin tôn giáo, quan niệm triết lý, thànhviên công đoàn, và việc xử lý dữ liệu di truyền và sinh trắc nhằm mục đích định danh,hoặc dữ liệu liên quan đến sức khoẻ, tình trạng sinh dục, và xu hướng tính dục”13 Dotính chất của loại dữ liệu này nhạy cảm, mức độ bảo vệ được đặt ra cao hơn; theo đó,việc xử lý dữ liệu bị cấm hoàn toàn trừ trường hợp ngoại lệ được sự đồng ý của chủ thể

dữ liệu

Ngoài ra, một số nước trên thế giới lại có cách tiếp cận khác khi định nghĩa

“thông tin cá nhân” (personally identifiable information – PII) Cụ thể, theo định nghĩa của Bộ Thương mại My, PII “thông tin cá nhân là những thông tin có thể sử dụng để

phân biệt hay nhận dạng một cá nhân như tên, số an sinh xã hội, hồ sơ sinh trắc v.v nói riêng, hoặc khi kết hợp với các thông tin cá nhân hay thông tin nhận dạng khác liên quan hoặc có thể liên quan với một người cụ thể như ngày và nơi sinh, tên khai sinh của mẹ”.

Tuy nhiên, khái niệm dữ liệu cá nhân ở Châu Âu có phần rộng hơn so với kháiniệm về thông tin cá nhân ở My14 Việc xác định thông tin cá nhân trong quy định củaLiên minh châu Âu còn hướng tới các yếu tố văn hóa, xã hội của cá nhân có liên quanđến việc nhận diện cá nhân, bên cạnh các yếu tố nhằm nhận diện trực tiếp cá nhân.Pháp luật của Liên minh châu Âu nêu rõ về cách thức nhận diện, bao gồm cả nhận diệntrực tiếp và nhận diện gián tiếp thông qua các công cụ nhận diện Trong khi đó, pháp

12 Khoản 1 Điều 4 Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu

13 Khoản 1, Điều 9 Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu.

14 Ths Nguyễn Hương Ly, Cục QLMMDS & KĐSPMM “Vai trò và sự cần thiết bảo vệ dữ liệu, thông tin cá nhân trong quản trị và quản lý dữ liệu”, xam tại: https://nacis.gov.vn/nghien-cuu-trao-doi/-/view- content/214109/vai-tro-va-su-can-thiet-bao-ve-du-lieu-thong-tin-ca-nhan-trong-quan-tri-va-quan-ly-du-lieu-1 (truy cập ngày 22/4/2022)

luật My không nói rõ đến các yêu tố trên Ví dụ: Đối với số nhận dạng trực tuyến của

cá nhân (như địa chỉ IP, MAC, cookie…), nếu theo quy định của My thì không phải làPII nhưng theo quy định của châu Âu thì thuộc DLCN15

Pháp luật Việt Nam có những quy định định nghĩa khái niệm “thông tin cá nhân”.Theo khoản 15, Điều 3 Luật An toàn thông tin mạng năm 2015, thông tin cá nhân làthông tin gắn với việc xác định danh tính của một người cụ thể Tuy nhiên, quy địnhnày hiện chưa rõ ràng, nó thiếu tính đầy đủ, cụ thể Đồng thời, theo khoản 16 Điều 3Nghị định số 72/2013/NĐ-CP16 thông tin cá nhân đã định nghĩa về thông tin “Thôngtin cá nhân là thông tin gắn liền với việc xác định danh tính, nhân thân của cá nhân baogồm tên, tuổi, địa chỉ, số chứng minh nhân dân, số điện thoại, địa chỉ thư điện tử vàthông tin khác theo quy định của pháp luật” Với quy định này, rất khó có thể xác địnhthông tin nào của cá nhân là TTCN được pháp luật bảo vệ Như vậy, khái niệm vềthông tin cá nhân của pháp luật Việt Nam có nội hàm hẹp hơn khái niệm dữ liệu cánhân của pháp luật Châu Âu và thông tin cá nhân trong pháp luật của My

Nhìn chung, các khái niệm về thông tin cá nhân, dữ liệu cá nhân của các quốc giađều đề cập đến yếu tố như xác định, nhận dạng một cá nhân, đây là những yếu tố cơbản, nền tảng của các khái niệm này Bên cạnh đó, việc đưa ra quy định về khái niệm

dữ liệu cá nhân giúp các quốc gia xác định phạm vi và đối tượng bảo vệ đối với dữ liệu

cá nhân Chúng ta nên tránh việc giải thích nội hàm dữ liệu cá nhân một cách quá hẹp

vì điều này có thể ảnh hưởng đến phạm vi bảo vệ đối với dữ liệu cá nhân mà hiện tạichưa lường trước được17

15 Khái niệm thông tin cá nhân, xem tại: https://ehealth.gov.vn/?action=News&newsId=49547, truy cập ngày 17/4/2022.

16 Nghị định số 72/2013/NĐ-CP được sửa đổi, bổ sung bởi Nghị định số 27/2018 ngày 01 tháng 03 năm 2018 của Chính Phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng)

17 Cécilia Darnault, “La protection des données personnelles : présentation des approches européennes et

https://www.researchgate.net/publication/353014838_La_protection_des_donnees_personnelles_presentation_de s_approches_europeennes_et_americaines , truy cập ngày 01/4/222.

1.2 Bảo vệ quyền riêng tư và dữ liệu cá nhân

Bảo vệ dữ liệu cá nhân là một khía cạnh lớn của sự riêng tư và quyền bảo vệ dữliệu cá nhân được ghi nhận và phát triển từ quyền riêng tư Sự ra đời thiết bị công nghệthông minh như điện thoại, máy ghi âm và đặc biệt là máy tính cùng internet đã tạo ramối quan tâm lớn về bảo vệ dữ liệu từ các quốc gia, đặc biệt là trong thập niên 70 củathế kỷ XX Nhận biết được sự phát triển của thương mại điện tử và là internet sẽ khôngngừng phát triển trong tương lai nên việc xây dựng luật về bảo vệ dữ liệu sẽ giúp ngườidùng yên tâm hơn khi tham gia hay trao đổi trên không gian mạng18

Quyền về sự riêng tư được xem là một phần của Công ước châu Âu về quyền conngười năm 1950, theo nội dung của tuyên bố này, mọi người đều có quyền được tôntrọng riêng tư và cuộc sống gia đình, nhà ở và thư từ Từ cơ sở đó, các nước trong Liênminh châu Âu (EU) đã tìm cách đảm bảo quyền này thông qua việc xây dựng một vănbản pháp luật chung, đặc biệt khi Internet xuất hiện Luật nhân quyền quốc tế côngnhận quyền riêng tư của cá nhân, đặc biệt là trong Điều 12 của Tuyên ngôn Thế giới vềNhân quyền và trong Điều 17 của Công ước Quốc tế về các Quyền Dân sự và Chính trị

Ở châu Âu, quyền riêng tư được đảm bảo theo Điều 8 của Công ước châu Âu về Nhânquyền (ECHR), và là một phần của truyền thống hiến pháp của các nước Châu Âu.Khái niệm về quyền được bảo vệ dữ liệu cá nhân đã phát triển để đáp ứng vớinhững tiến bộ trong khả năng xử lý dữ liệu tự động Năm 1981, Hội đồng Châu Âu đãthông qua Công ước số 108 về Bảo vệ Cá nhân liên quan đến Xử lý Tự động Dữ liệu

Cá nhân ECHR giải thích việc bảo vệ dữ liệu cá nhân thuộc phạm vi rộng của quyềnđược tôn trọng quyền riêng tư trong Điều 8 của ECHR19 Trong suốt những năm 1990,luật bảo vệ dữ liệu đã phát triển nhanh chóng ở các nước Châu Âu Năm 1995, EU đãthông qua Chỉ thị bảo vệ dữ liệu (DPD), đây là khuôn khổ bảo vệ dữ liệu toàn diện đầu

18 ThS Lê Xuân Tùng - Viện khoa học pháp lý, Bộ Tư pháp, “Bảo vệ dữ liệu cá nhân tại Nhật Bản thông qua đạo luật về bảo vệ thông tin cá nhân và một số khuyến nghị đối với Việt Nam”, xem tại: http://www.lapphap.vn/Pages/anpham/xemchitiet.aspx?ItemID=299, truy cập ngày 22/4/2022.

19ECtHR, Leander v Sweden [1987], ECtHR 9248/81, para 48.

tiên nhằm bảo vệ quyền cơ bản về quyền riêng tư đối với việc xử lý dữ liệu cá nhân20.Quốc gia Thành viên Liên minh Châu Âu sau đó đã ban hành luật theo Chỉ thị này kếthợp cách tiếp cận khái niệm xác định của luật bảo vệ dữ liệu của Liên minh Châu Âu.Đến năm 2016, Liên minh Châu Âu đã thông qua Quy định chung về bảo vệ dữliệu có giá trị ràng buộc toàn bộ và áp dụng trực tiếp trên toàn EU Theo đó, bộ quy tắcnày được xây dựng nhằm cung cấp cho công dân EU quyền kiểm soát nhiều hơn đốivới dữ liệu cá nhân của họ Dựa vào các điều khoản của GDPR, dữ liệu cá nhân đượcđảm bảo thu thập hợp pháp và trong các điều kiện nghiêm ngặt Bên cạnh đó, tất cảnhững bên thu thập và quản lý dữ liệu nghĩa vụ bảo vệ dữ liệu khỏi việc bị lạm dụng vàkhai thác, cũng như tôn trọng quyền của chủ sở hữu dữ liệu21.

Như vậy, quyền về dữ liệu cá nhân nói riêng, quyền về sự riêng tư nói chung làmột quyền con người có ý nghĩa to lớn để các cá nhân có thể khẳng định phẩm giá, sự

tự chủ và nhân trạng của mình Công nghệ thông tin với khả năng thu thập, phân tích

và phổ biến dữ liệu về các cá nhân ngày càng tinh vi đã đặt ra nhu cầu cấp bách về bảo

vệ quyền với dữ liệu cá nhân nói riêng và quyền về sự riêng tư nói chung Các tổ chứcquốc tế và các quốc gia cần nhận thức được thách thức to lớn này trong sự phát triểncủa Cách mạng công nghệ 4.0 để có biện pháp giải quyết hiệu quả, cụ thể là ban hànhnhững chính sách và văn bản pháp luật nhằm bảo vệ dữ liệu cá nhân trước sự vi phạmcủa bất kỳ chủ thể nào, kể cả các cơ quan công quyền và các thiết chế tư nhân

1.3 Tự do dữ liệu

“Tự do dữ liệu” thường được đề cập trong cuộc tranh luận về các hạn chế đối vớiluồng dữ liệu xuyên biên giới Trong bối cảnh đó, luồng dữ liệu tự do đại diện cho mộtkịch bản lý tưởng mà ở đó không có rào cản pháp lý nào đối với các luồng dữ liệu

20 Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data (the “Data Protection Directive”, DPD), [1995], Official Journal L 281/31.

21 Vũ Công Giao, Lê Trần Như Tuyên (2020), Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp

luật ở một số quốc gia và giá trị tham khảo cho Việt Nam, Tạp chí Nghiên cứu Lập pháp, số 09 (409), tháng

5/2020.

xuyên biên giới22 Hiện nay, tự do dữ liệu vẫn chưa thành hiện thực trên quy mô toàncầu nhưng Châu Âu nhận thức được thực tế rằng tăng trưởng và đổi mới phát sinh từnền kinh tế dữ liệu có thể bị chậm lại hoặc bị cản trở bởi các rào cản đối với việc dichuyển tự do dữ liệu xuyên biên giới, tức là các rào cản liên quan đến bảo vệ dữ liệutrong EU Do đó, Ủy ban châu Âu đã trình bày đề xuất về Quy định về dòng chảy tự docủa dữ liệu phi cá nhân ở EU đã được thông qua vào ngày 14 tháng 11 năm 2018 và sẽ

có hiệu lực vào tháng 5 năm 201923

Theo Ủy ban Châu Âu, tự do dữ liệu phi cá nhân có nghĩa là di chuyển không bịhạn chế dữ liệu xuyên biên giới và hệ thống công nghệ thông tin ở Liên minh châu Âu.Điều này bổ sung vào Quy định chung về bảo vệ dữ liệu, theo khoản 1 Điều 3 “việc dichuyển tự do dữ liệu cá nhân trong Liên minh sẽ không bị hạn chế hoặc bị cấm vì lý dođược kết nối với việc bảo vệ thể nhân liên quan đến việc xử lý dữ liệu cá nhân” Nó làmột chìa khóa xây dựng thị trường ky thuật số và được xem xét là yếu tố quan trọngnhất để nền kinh tế dữ liệu phát huy tiềm năng đầy đủ của nó, tăng gấp đôi giá trị của

nó lên 4% GDP trong 2020 Các biện pháp mới phù hợp với các quy tắc hiện có về việc

di chuyển tự do và tính di động của dữ liệu cá nhân ở EU24

Dựa vào khái niệm trên, ta có thể thấy rằng “Chuyển dữ liệu cá nhân” là một trongnhững nội dung cốt lỗi của tự do dữ liệu “Chuyển dữ liệu cá nhân” thường là các hànhđộng gửi hoặc truyền theo dữ liệu cá nhân từ quốc gia này sang quốc gia khác bằngcách gửi tài liệu giấy hoặc điện tử chứa dữ liệu cá nhân qua đường bưu điện hoặc thư

22 ”Big Data & Issues & Opportunities: Free Flow of Data”, xem tại: https://www.twobirds.com/en/insights/2019/global/big-data-issues-and-opportunites-free-flow-of-data, truy cập ngày 20/4/2022.

23 Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on a

framework for the free flow of non-personal data in the European Union, OJ L 303.

24 “Free flow of non-personal data”, xem tại: personal-

https://digital-strategy.ec.europa.eu/en/library/free-flow-non-data#:~:text=Free%20flow%20of%20non%2Dpersonal%20data%20means%20unrestricted%20movement,the%2 0data%20economy%20to%20unleash, truy cập ngày 5/5/2022.

điện tử hoặc trường hợp mà bộ điều khiển thực hiện hành động để cung cấp dữ liệu cánhân cho bên thứ ba ở quốc gia thứ ba25.

Trên thực tế, truyền dữ liệu không nhất thiết phải là việc dịch chuyển dữ liệu từnơi này sang nơi khác, mà có thể là các hoạt động xử lý dữ liệu thường bao gồm trongquá trình sao chép dữ liệu, tạo ra nhiều bản sao dữ liệu có thể gây ra các vấn đề biêngiới khác nhau do các tiêu chuẩn quy định chúng

Có thể thấy, tự do dữ liệu thúc đẩy sự phát triển nền kinh tế nhưng hiện nay, hầuhết các quốc gia còn khá e ngại trong việc tự do dữ liệu cá nhân vì những rủi ro ảnhhưởng đến công dân của mình Do đó, mục tiêu mà một số nhà hoạch định chính sách

và các quốc gia đang đi tìm giải pháp để làm sao vừa có thể tạo điều kiện tự do dữ liệunhưng vẫn đảm bảo bảo vệ dữ liệu cá nhân, quyền riêng tư đối với dữ liệu26 Cho nên,các chính sách phải được thiết kế sao cho hài hòa các giá trị này với hiệu quả kinh tế

1.4 Mối quan hệ giữa tự do dữ liệu và bảo vệ dữ liệu cá nhân trong bối cảnh thương mại điện tử

1.4.1 Tầm quan trọng của tự do dữ liệu đối với sự phát triển kinh tế

Đầu thế kỉ XIX, cuộc cách mạng công nghiệp lần thứ 4 (hay còn gọi là cách mạngcông nghiệp 4.0) đã tạo ra sức ảnh hưởng to lớn và thay đổi toàn diện đến nhiều khíacạnh trong cuộc sống của con người trong đó có mặt kinh tế27 Đến nay, khi tốc độ pháttriển của thương mại ky thuật số vẫn không ngừng tăng dẫn đến yêu cầu về chuyểngiao dữ liệu xuyên biên giới cần có những bước tiến để có thể đáp ứng kịp thời, hỗ trợ

và thúc đẩy nền kinh tế Các doanh nghiệp sử dụng dữ liệu để tạo ra giá trị và nhiềudoanh nghiệp chỉ có thể tối đa hóa giá trị, nếu thiếu sự chuyển giao của dữ liệu xuyên

25 Gloria González Fuster, “Un-mapping Personal Data Transfers”,

https://heinonline.org/HOL/Page?collection=journals&handle=hein.journals/edpl2&id=175&men_tab=srchresult

s, truy cập ngày 3/5/2022.

26 Monica Tremblay, Anthropologue, “Flux transfrontières de données et protection de la vie privée : une

https://leppm.enap.ca/leppm/docs/Cahier%20recherche/Cahier%20de%20recherche_Tremblay_Flux%20donn%C 3%A9esvf.pdf, truy cập ngày 15/4/2022.

27 “Công nghiệp 4.0 là gì? Sự tác động của cách mạng công nghiệp 4.0”, xem tại: tuc-chung/cong-nghiep-4-0-la-gi-su-tac-dong-cua-cach-mang-cong-nghiep-4-0, truy cập ngày 3/4/2022.

https://sitde.neu.edu.vn/vi/tin-biên giới thì các giao dịch và hoạt động thương mại quốc tế trở nên khó khăn hơn, điềunày sẽ làm ảnh hưởng đến tốc độ phát triển của nền kinh tế trong nước28 Kể từ khi

OECD xuất bản Hướng dẫn về bảo vệ quyền riêng tư và luồng dữ liệu cá nhân xuyên

biên giới cách đây hơn 30 năm thì hướng dẫn này đã ảnh hưởng đến việc tạo ra sự cân

bằng giữa việc sử dụng dữ liệu và bảo vệ sự riêng tư cá nhân vì nhận thấy tầm quantrọng của các tác động, ảnh hưởng nếu hạn chế dữ liệu cá nhân29

Tự do dữ liệu là chính sách nhằm hạn chế các rào cản thương mại được quy địnhtrong Hiệp định Đối tác Toàn diện và Tiến bộ Xuyên Thái Bình Dương, yêu cầu cácquốc gia không tạo ra sự phân biệt đối xử tùy tiện, không chính đáng hoặc hạn chế tráhình đối với thương mại và không áp đặt các hạn chế đối với việc chuyển giao thôngtin lớn hơn mức cần thiết để đạt được mục tiêu30 Trong điều kiện cạnh tranh ngangnhau giữa các sản phẩm, dịch vụ trong và ngoài nước, tự do dữ liệu sẽ tạo ra sự cạnhtranh góp phần thúc đẩy sự phát triển kinh tế và xã hội, khả năng đổi mới nâng cao chấtlượng sản phẩm khi khách hàng có nhiều sự lựa chọn

Luồng dữ liệu tự cho phép các doanh nghiệp vừa và nhỏ truy cập các dịch vụ côngnghệ thông tin, chẳng hạn như điện toán đám mây, giảm nhu cầu đầu tư trả trước tốnkém vào cơ sở hạ tầng ky thuật số Điều này cho phép họ linh hoạt hơn, nhanh chóng

mở rộng các chức năng công nghệ để đáp ứng với những thay đổi của nhu cầu Tiếpcận tốt hơn và nhanh hơn với kiến thức và thông tin quan trọng cũng giúp các doanhnghiệp vừa và nhỏ khắc phục những nhược điểm về thông tin, đặc biệt là đối với cácdoanh nghiệp lớn hơn, từ đó, giảm bớt các rào cản đối với việc tham gia vào thươngmại quốc tế và cho phép họ dễ dàng cạnh tranh với các doanh nghiệp lớn hơn

28 BY NIGEL CORY, “Cross-Border Data Flows: Where Are the Barriers, and What Do They Cost?”, xem tại: https://www.researchgate.net/publication/333292633_CrossBorder_Data_Flows_Where_Are_the_Barriers_and_ What_Do_They_Cost, truy cập ngày 25/4/2022.

29 PGS.TS Vũ Công Giao, ThS Lê Trần Như Tuyên “Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc

tế, pháp luật ở một số quốc gia và giá trị tham khảo cho việt nam”, xem tại: http://www.lapphap.vn/Pages/TinTuc/210546/Bao-ve-quyen-doi-voi-du-lieu-ca-nhan-trong-phap-luat-quoc-te phap-luat-o-mot-so-quoc-gia-va-gia-tri-tham-khao-cho-Viet-Nam.html, truy cập ngày 22/4/2022.

30 Điều 14.11 Hiệp định Đối tác Toàn diện và Tiến bộ Xuyên Thái Bình Dương (CPTPP)

Cho phép chuyển giao dữ liệu xuyên biên giới cũng là một cách để có thể thu hútcác nhà đầu tư nước ngoài vì hầu hết, các công ty đa quốc gia cũng chủ yếu dựa vàocác luồng dữ liệu xuyên biên giới cho các hoạt động hàng ngày của họ Họ sử dụng dữliệu từ các chi nhánh của họ trên khắp thế giới cho một số lượng lớn các nhiệm vụ nội

bộ hoặc văn phòng và thậm chí cả các quyết định thường ngày Điều này bao gồm việc

di chuyển dữ liệu nguồn nhân lực đến và đi từ trụ sở chính, gửi dữ liệu đến các cơ sở ởnước ngoài, quản lý quy trình sản xuất và tham gia vào các dịch vụ sau bán hàng Ngàynay, quản lý chuỗi cung ứng hiệu quả đòi hỏi sự lưu chuyển thông suốt không chỉ củahàng hóa, dịch vụ và vốn mà còn cả các ý tưởng và bí quyết quản lý Ví dụ, Unilever,công ty hàng tiêu dùng với hơn 174.000 nhân viên và hoạt động trên 190 quốc gia, đãphát triển một kho dữ liệu doanh nghiệp toàn cầu, trong đó nó thu thập thông tin từ tất

cả các hoạt động của mình để cung cấp khả năng hiển thị đầy đủ vào toàn bộ hệ thống.Mục tiêu chính của nỗ lực này là biên soạn một cơ sở dữ liệu toàn diện về người tiêudùng, cho phép phân tích ở cấp độ chi tiết nhất có thể Ngoài ra, việc tổng hợp thôngtin về hoạt động của công ty giúp xác định các lĩnh vực mà việc giảm chi phí và cảithiện hiệu quả hoạt động kinh doanh có thể mang lại các sản phẩm hợp túi tiền hơn chongười tiêu dùng31

Ở Châu Âu, Quy định về tự do dữ liệu đã được thực hiện với nỗ lực phá vỡ các

rào cản ky thuật số trong Liên minh Châu Âu, cấm bản địa hóa dữ liệu trong một quốcgia thành viên EU trừ khi việc bản địa hóa được chứng minh vì lý do an ninh côngcộng Mặc dù, EU vẫn còn những hạn chế và yêu cầu một số điều kiện nhất định đốivới chuyển dữ liệu cá nhân ra các quốc gia khác nằm ngoài cộng đồng liên minh Nhìnchung, Liên minh châu Âu đã thận trọng khi đưa các quy tắc về dữ liệu vào các thỏathuận thương mại tự do của mình và chỉ gần đây EU mới thực hiện một bước hướng tới

31 Robert Pepper, John Garrity, Connie LaSalle, CISCO SYSTEMS, “Cross-Border Data Flows, Digital

https://www3.weforum.org/docs/GITR2016/WEF_GITR_Chapter1.2_2016.pdf, truy cập ngày 20/4/2022

các quy tắc về vấn đề dữ liệu, theo đó các bên đã đồng ý xem xét trong các cuộc đàmphán trong tương lai các cam kết liên quan đến luồng thông tin xuyên biên giới32.

Chuyển đổi số, kinh tế số đặt ra những vấn đề lớn về an toàn, an ninh mạng trong

đó có vấn đề dữ liệu cá nhân Các vấn đề về đánh cắp danh tính, mạo danh, lừa đảo…đang ngày càng trở nên phổ biến gây những phiền phức không nhỏ đến cuộc sống từng

cá nhân Trong khuôn khổ tự do dữ liệu, chúng ta cần có những cách thức trong mứccần thiết để có thể bảo vệ quyền của các cá nhân, tránh khỏi những rủi ro, thiệt hại, bảođảm an toàn cho các cá nhân, bảo vệ dữ liệu cá nhân cũng để tạo lòng tin cho ngườitiêu dùng

1.4.2 Sự cần thiết bảo vệ dữ liệu, thông tin cá nhân trong thương mại điện tử

Trong thương mại điện tử, việc khách hàng cung cấp các thông tin cá nhân của họ

để đảm bảo được phục vụ một cách tốt nhất Từ các dữ liệu được thu thập và lưu trữ,các doanh nghiệp hay nhà cung ứng dịch vụ này sẽ tiến hành phân tích để hiểu về nhucầu và đưa ra các đề xuất thích hợp nhằm đáp ứng với nhu cầu của khách hàng Việcthu thập, lưu trữ dữ liệu, thông tin khách hàng cũng nhằm quản lý kinh doanh và manglại một số nguồn lợi to lớn cho các công ty, doanh nghiệp Tuy nhiên, sử dụng dữ liệu

cá nhân chắc chắn sẽ xung đột với một số quyền mà những người có liên quan nắm giữ

Để ngăn chặn việc sử dụng sai mục đích và có ảnh hưởng xấu đối với dữ liệu cá nhâncũng như để ngăn một thuật toán trở thành một công cụ phân biệt đối xử hoặc mộtcông cụ để vi phạm các quyền cơ bản của các cá nhân đòi hỏi sự quản lý của Nhà nướcthông qua các quy phạm pháp luật

Từ giữa những năm 1900, nhận thấy được tiềm năng giám sát ngày càng cao của

công nghệ mới ảnh hưởng đến vấn đề bảo vệ dữ liệu cá nhân, Công ước năm 1981 của

Hội đồng châu Âu về bảo vệ cá nhân liên quan đến việc xử lý dữ liệu cá nhân tự động

và Hướng dẫn của Tổ chức Hợp tác và Phát triển Kinh tế (OSCD) đã tiên phong trong

32 Mira Burri, “Approaches to digital trade and data flow regulation across jurisdictions: implications for the

future eu-asean agreement”, Legal Issues of Economic Integration Volume 49, Issue 2 (2022) pp 149 – 168.

việc nghiên cứu các nguyên tắc bảo vệ quyền riêng tư giữa các quốc gia33 Hai văn kiệnnêu trên đã có tác động sâu sắc đến việc xây dựng và áp dụng luật pháp về bảo vệ dữliệu cá nhân trên toàn thế giới, không giới hạn ở các nước châu Âu và các quốc giathành viên của OECD.

Vấn đề bảo vệ dữ liệu cá nhân là một khía cạnh trong bảo vệ quyền riêng tư củacác chủ thể dữ liệu Bảo vệ quyền về sự riêng tư của mỗi cá nhân góp phần bảo đảmtính dân chủ, văn minh và sự phát triển ổn định, hài hòa của xã hội Từ “quyền đượctôn trọng đời sống riêng tư”, các quy định về vấn đề bảo vệ dữ liệu cá nhân nhằm mụcđích đảm bảo việc xử lý hợp lý (thu thập, sử dụng, lưu trữ) dữ liệu cá nhân của cả khuvực công và tư

Ở Châu Âu dữ liệu cá nhân thuộc về các yếu tố cụ thể gắn liền với một cá nhân

mà việc khai thác, được chấp nhận trong các điều kiện pháp lý rất cụ thể, phải đượcđóng khung để bảo vệ mọi người không chỉ dưới danh nghĩa các quyền cơ bản mà còndưới một công chúng đặc biệt Việc lưu trữ dữ liệu liên quan đến đời tư của một cánhân đã tạo nên sự can thiệp theo nghĩa của Điều 8 của Công ước Châu Âu về Nhânquyền, trong tôn trọng cuộc sống riêng tư và gia đình, nhà riêng và thư từ, cho dùthông tin được lưu trữ sau đó có được sử dụng hay không Việc bảo vệ tất cả các côngdân chống lại việc vi phạm quyền riêng tư và dữ liệu cá nhân trong một thế giới kythuật số ngày càng phát triển và nó cũng đặt ra một khuôn khổ rõ ràng và chặt chẽ hơncho các chủ thể thu thập, xử lý dữ liệu”

Mặc dù không thể phủ nhận rằng các tiêu chuẩn bảo vệ dữ liệu khác nhau ảnhhưởng đến thương mại dịch vụ xuyên biên giới, nhưng cũng phải thừa nhận rằng cácquy định đó là một thành phần quan trọng trong việc củng cố lòng tin của người tiêu

33 Casalini, F and J López González (2019-01-23), “Trade and Cross-Border Data Flows”, OECD Trade Policy Papers, No 220, OECD Publishing, Paris Francesca Casalini, Javier López González, “Trade and Cross-Border Data Flows”.

dùng đối với thương mại điện tử và giao dịch trực tuyến34 Thiết chế bảo vệ dữ liệu cánhân được thiết lập nhằm bảo vệ quyền của người tiêu dùng trong các giao dịch thươngmại công bằng Ở My, dữ liệu cá nhân được xem là một loại hàng hóa, trong khi, vấn

đề bảo vệ dữ liệu cá nhân được thiết lập nhằm bảo vệ quyền lợi của người tiêu dùng.Chẳng hạn, nếu dữ liệu người dùng bị thương mại hoá bất hợp pháp, người dùng sẽ cóthể bị lạm dụng và quấy rầy bằng các hành vi tiếp thị, quảng cáo ngoài ý muốn

Việc bảo vệ dữ liệu cá nhân đã trở thành một khía cạnh quan trọng của việc quản

lý và bảo mật hệ thống thông tin Giờ đây, những người ra quyết định cũng như các ky

sư cần phải làm quen với các quy định và thông lệ trong lĩnh vực này, để các công cụCNTT không trở thành nguy cơ đối với quyền riêng tư của cá nhân hoặc đối với bảomật pháp lý của tổ chức Không chỉ ở Châu Âu, mà giờ đây hầu hết các nước trên thếgiới đã và đang trong quá trình đưa ra các quy định, nguyên tắc để bảo vệ dữ liệu cánhân trong bối cảnh thương mại ky thuật số - nơi các hoạt động diễn ra hầu hết phụthuộc vào công nghệ thông tin Tuy nhiên, cho đến nay vẫn chưa có điều ước quốc tếtoàn cầu nào về bảo vệ quyền đối với dữ liệu cá nhân

1.5 Các cách tiếp cận đối với quy định chuyển dữ liệu cá nhân qua biên giới

Có nhiều lý do tại sao các quốc gia có thể muốn điều chỉnh các luồng dữ liệu Mộttrong những lý do chính là để bảo vệ an ninh quốc gia, bảo vệ sự riêng tư của các cánhân và dữ liệu cá nhân Cách tiếp cận đối với quyền riêng tư và bảo vệ dữ liệu cá nhânkhác nhau giữa các nền văn hóa là lý do tại sao các quy định của các quốc gia cũngkhác nhau Ngoài ra, nhằm đáp ứng các mục tiêu quy định khác, các quốc gia cũng cóthể hạn chế luồng dữ liệu hoặc yêu cầu dữ liệu phải được lưu trữ cục bộ, chẳng hạnnhư quyền truy cập thông tin cho mục đích công của nhà nước Các hạn chế đối vớiluồng dữ liệu cũng có thể nảy sinh để bảo vệ thông tin được coi là nhạy cảm từ góc độ

34 Commission, “Data Protection, Special Eurobarometer 431”, (June 2015), xem tại: http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_en.pdf , truy cập ngày 25/4/2022.

an ninh quốc gia Ngoài ra, một số quốc gia cũng đang tăng cường sử dụng quy định

dữ liệu nhằm giúp phát triển năng lực trong nước

Một quốc gia có thể áp dụng một số cách tiếp cận khác nhau đối với các luồng dữliệu xuyên biên giới tùy thuộc vào bản chất của dữ liệu liên quan Ví dụ: có thể có sựkhác biệt giữa các lĩnh vực, trong khi một quốc gia có thể áp dụng phương pháp tiếpcận tự do để di chuyển dữ liệu cá nhân qua biên giới, thì quốc gia đó có thể điều kiệnchuyển dữ liệu cá nhân liên quan đến sức khỏe Tương tự, một quốc gia có thể điềukiện chuyển dữ liệu cá nhân nhưng áp dụng cách tiếp cận tự do cho tất cả các loại dữliệu khác Đa số, các luật bảo vệ dữ liệu được xem xét đề cập đến việc chuyển dữ liệu

cá nhân hoặc dữ liệu nhận dạng cá nhân

Cách tiếp cận thứ nhất, không có quy định về luồng dữ liệu xuyên biên giới Với

phương pháp này, thường là do không có luật bảo vệ dữ liệu nào cả, dữ liệu của quốcgia này sẽ được tự do chuyển ra ngoài biên giới mà không bị rào cản Tuy nhiên, vớinhững quan ngại do không có quy định về chuyển giao dữ liệu xuyên biên giới có thểảnh hưởng đến sự tự nguyện của các thực thể hoặc các quốc gia khác về việc gửi dữliệu đến các quốc gia này35

Cách thứ hai, không cấm việc truyền dữ liệu xuyên biên giới cũng như không yêu

cầu đáp ứng bất kỳ điều kiện cụ thể nào để chuyển dữ liệu qua biên giới, nhưng nócung cấp trách nhiệm giải trình cho nhà xuất khẩu dữ liệu nếu dữ liệu được gửi ra nướcngoài sử dụng sai mục đích Đối với cách tiếp cận này, ta sẽ thấy trong mô hình quản

lý dữ liệu của Singapore thể hiện trong PDPA36

Cách thứ ba, tạo điều kiện cho luồng dữ liệu bằng cách chỉ cho phép chuyển đến

các quốc gia đã đáp ứng được tính “đầy đủ” hoặc trong trường hợp cung cấp các

“biện pháp bảo vệ tương đương”, chẳng hạn như cơ chế hợp đồng, hoặc trong trường

35 Casalini, F and J López González (2019-01-23), “Trade and Cross-Border Data Flows”, OECD Trade Policy Papers, No 220, OECD Publishing, Paris Francesca Casalini, Javier López González, “Trade and Cross-Border Data Flows”.

36 Đạo luật bảo vệ dữ liệu cá nhân 2012 (PDPA)

hợp có một số ngoại lệ hẹp Tuy nhiên, ngay cả khi không thể thiết lập được tính đầy

đủ hoặc tính tương đương, vẫn có những lựa chọn thay thế cho phép việc chuyển giaodiễn ra thông qua các thỏa thuận theo hợp đồng hoặc các điều kiện khá tiêu chuẩnkhác như: có được sự đồng ý của chủ thể dữ liệu; rằng cần phải chuyển dữ liệu để đápứng nhu cầu theo hợp đồng; rằng việc chuyển dữ liệu là vì lợi ích công cộng; rằng cầnchuyển dữ liệu để hợp tác pháp lý; hoặc việc chuyển dữ liệu được coi là cần thiết đểbảo vệ lợi ích quan trọng của chủ thể dữ liệu Trong nhóm phương pháp tiếp cận này,các thực thể vận hành quá trình chuyển giao phải chịu nhiều yêu cầu hơn liên quanđến các bước mà họ cần thực hiện trước khi chuyển dữ liệu Do đó, đối với các tổchức hoạt động ở các quốc gia này, mức độ trách nhiệm pháp lý cao hơn Ví dụ: Cách

bộ quy tắc GDPR của Liên minh Châu Âu đang áp dụng đối với các quy định vềchuyển dữ liệu cá nhân xuyên biên giới Theo đó, việc truyền dữ liệu chỉ được phépcho một quốc gia thứ ba đảm bảo "mức độ bảo vệ thích hợp" theo luật nội bộ hoặc cáccam kết quốc tế của quốc gia đó Sau khi phân tích các yếu tố khác nhau - bản chấtcủa dữ liệu, mục đích, dự định xử lý, quốc gia đến cuối cùng và các quy tắc pháp lý

có hiệu lực tại quốc gia đó - Ủy ban Châu Âu xác định xem mức độ bảo vệ có phùhợp và tương ứng với các yêu cầu của Chỉ thị 1995 Khi luật pháp của quốc gia thứ bakhông đưa ra mức độ bảo vệ thích hợp, các biện pháp được thực hiện để ngăn chặnviệc chuyển dữ liệu sang quốc gia đó Tuy nhiên, “việc chuyển dữ liệu sẽ được thựchiện nếu là cần thiết hoặc được thực hiện theo nghĩa vụ pháp lý để bảo vệ lợi ích côngcộng quan trọng, hoặc để thiết lập, thực hiện hoặc bảo vệ quyền hợp pháp”37 Quốcgia cho phép chuyển giao dữ liệu mà không có sự đảm bảo về mức độ bảo vệ thíchhợp thì phải ký kết với người kiểm soát dữ liệu một thỏa thuận bao gồm các đảm bảo

“liên quan đến việc bảo vệ quyền riêng tư và các quyền và tự do cơ bản của nhữngngười này, cũng như với liên quan đến việc thực hiện các quyền tương ứng”38

37 Chỉ thị 95/46 / EC, Chương IV, Điều 26 khoản 1 điểm d

38 Chỉ thị 95/46 / EC, chương IV, Điều 26 khoản 2

Cách tiếp cận thứ tư, liên quan đến các hệ thống chỉ cho phép truyền dữ liệu

theo từng trường hợp cụ thể dưới sự xem xét và phê duyệt tùy ý của cơ quan côngquyền có liên quan (không phải lúc nào cũng là cơ quan về dữ liệu) Cách tiếp cậnnày không chỉ liên quan đến lý do bảo mật dữ liệu cá nhân mà còn liên quan đến mộtloại dữ liệu sâu rộng hơn được gọi là “dữ liệu quan trọng” và an ninh quốc gia Ví dụ:

Mô hình quản lý của Trung Quốc thể hiện trong Luật An ninh mạng Trung Quốc, cácyếu tố chuyển dữ liệu xuyên biên giới áp dụng cho dữ liệu cá nhân và dữ liệu quantrọng Dữ liệu cá nhân được định nghĩa là thông tin có thể được sử dụng để xác địnhdanh tính của thể nhân; và dữ liệu quan trọng, được định nghĩa là dữ liệu liên quanđến an ninh quốc gia, kinh tế phát triển và lợi ích xã hội và công cộng Trước khichuyển dữ liệu xuyên biên giới đối với hai loại dữ liệu này, các nhà điều hành phảithực hiện tự đánh giá bảo mật và báo cáo với các cơ quan chức năng, sau khi xem xéttính hợp pháp và phê duyệt, nếu rủi ro cao, việc chuyển dữ liệu xuyên biên giới sẽkhông được phép chuyển ra ngoài biên giới

Cách tiếp cận thứ năm, cấm chuyển dữ liệu cá nhân qua biên giới Phương pháp

này đòi hỏi chủ thể thu thập, nắm giữ dữ liệu cá nhân phải lưu trữ, xử lý dữ liệu cánhân tại quốc gia thu thập mà không được chuyển dữ liệu này tới bất kì quốc gia,vùng lãnh thổ khác Chính sách này thường áp dụng cho các bộ dữ liệu cụ thể đượccoi là đặc biệt nhạy cảm, chẳng hạn như dữ liệu sức khỏe hoặc tài chính,

Như vây, cách tiếp cận của pháp luật quốc gia về chuyển dữ liệu cá nhân sẽ phụthuộc vào quan điểm và mối quan tâm quốc gia đang hướng tới Có thể thấy, các quốcgia một mặt luôn thúc đẩy sự phát triển thương mại thông qua thương mại số, mặt khácphải bảo vệ quyền riêng tư, quyền con người

bảo vệ dữ liệu cá nhân và luồng thông tin tự do Khi dữ liệu trở thành huyết mạch củathương mại trong kỷ nguyên ky thuật số, các biện pháp ảnh hưởng đến dòng chảy của

nó có khả năng gây ra hậu quả thương mại Thách thức lớn của nền kinh tế số là phảibảo vệ được an toàn dữ liệu cho người dùng, bảo vệ quyền riêng tư cá nhân người dùng,nhưng không để ảnh hưởng đến sự phát triển của nền kinh tế số39 Trong bối cảnh này,vấn đề đặt ra là đi tìm sự cân bằng giữa việc đảm bảo đáp ứng các mục tiêu quan trọng,đồng thời duy trì lợi ích từ các luồng dữ liệu tự do, bao gồm cả lợi ích từ thương mại

ky thuật số gia tăng Trong Chương 2 sau đây, bài viết này thể hiện sự chú trọng cácnguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân của Liên minh Châu Âu

39 “ Việt Nam còn khoảng trống pháp lý về chuyển giao dữ liệu cá nhân ra khỏi biên giới”, xem tại:

https://phutho.gov.vn/vi/viet-nam-con-khoang-trong-phap-ly-ve-chuyen-giao-du-lieu-ca-nhan-ra-khoi-bien-gioi, truy cập ngày 30/3/2022

CHƯƠNG 2: NGUYÊN TẮC CÂN BẰNG TỰ DO DỮ LIỆU VÀ

BẢO VỆ DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT TẠI LIÊN MINH CHÂU ÂU

Sự phát triển của nền kinh tế số đặt ra yêu cầu dữ liệu không thể chỉ được gói gọntrong biên giới hoặc một lãnh thổ hải quan nào bởi lẽ đặc trưng của Internet luôn làcông cụ để xóa mờ đi khoảng cách địa lý40 Do đó, việc tạo điều kiện tự do dữ liệu đểthúc đẩy sự phát triển của thương mại quốc tế là rất cần thiết Tuy nhiên, vấn đề quyềnriêng tư và quyền được bảo vệ dữ liệu cá nhân là một trong những lý do một số quốcgia lựa chọn hạn chế, ngăn cản việc tự do chuyển dữ liệu xuyên biên giới Ở Liên minhChâu Âu, các quy định về bảo vệ quyền riêng tư đối với dữ liệu đặt ra rất nghiêm ngặt,tuy nhiên vẫn có những quy định cho dữ liệu tự do khi đáp ứng một số điều kiện Ởchương 2, tác giả sẽ phân tích các nội dung của nguyên tắc cân bằng tự do dữ liệu vàbảo vệ dữ liệu cá nhân theo pháp luật Liên minh Châu Âu

2.1 Nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân theo pháp luật Liên minh Châu Âu

Quyền được bảo vệ dữ liệu cá nhân là một khía cạnh trong bảo vệ quyền riêng tư quyền cơ bản của con người Tuy nhiên, quyền được bảo vệ dữ liệu không phải là tuyệtđối41 bởi vì nó được dung hòa với “chức năng trong xã hội” của dữ liệu, như: chứcnăng như phát triển kinh tế, y tế, giáo dục, Bên cạnh đó, quyền được bảo vệ dữ liệucũng được cân bằng với các quyền khác42vì vậy việc xử lý dữ liệu cá nhân nên được

-thiết kế để phục vụ nhân loại; nó phải được xem xét trong mối quan hệ với chức năng

của nó trong xã hội và được cân bằng với các quyền cơ bản khác, phù hợp với nguyên

40 Lê Trần Quốc Công, “Quy định về tự do dữ liệu trong các hiệp định thương mại tự do thế hệ mới - Tác động đối với pháp luật Việt Nam”, Khoa học pháp lý Việt Nam, Trường Đại học Luật TP Hồ Chí Minh, 2021, Số 07 (146), tr 94 - 103

41 Recital 4, Chỉ thị 95/46 / EC của Liên minh Châu Âu

42 Chẳng hạn như các quyền được quy định trong Hiến chương về các quyền cơ bản của Liên minh châu Âu (Liên minh châu Âu 2012) và các quyền trong Công ước châu Âu về quyền con người (ECHR) (Hội đồng châu Âu 1950) - một hiệp ước quốc tế mà các Quốc gia Thành viên EU cũng là thành viên ký kết.

tắc tương xứng”43 Nói cách khác, cần có sự cân bằng giữa tự do dữ liệu với bảo vệ dữliệu cá nhân.

Hiểu được tầm quan trọng của nguyên tắc cân bằng tự do dữ liệu với bảo vệ dữliệu cá nhân, pháp luật Liên minh châu Âu đã xây dựng quy định pháp luật nhằm bảo

vệ dữ liệu theo phương thức kép: Một mặt, cố gắng tạo điều kiện thuận lợi cho dòng dữliệu cá nhân tự do; Mặt khác, làm cho luồng dữ liệu cá nhân tự do tuân theo các yêucầu pháp lý bắt nguồn từ đặc tính cơ bản của quyền về quyền riêng tư và quyền đượcbảo vệ dữ liệu cá nhân44 Từ đó, hình thành một thị trường chung về dữ liệu, cho phépcác doanh nghiệp chuyển dữ liệu cá nhân trong không gian kinh tế EU, đáp ứng yêucầu phát triển thương mại trong và ngoài Liên minh, đồng thời hài hòa dữ liệu của cácQuốc gia Thành viên

Nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân được thể hiện thôngqua các quy định cho phép dữ liệu được tự do di chuyển sang biên giới của các quốcgia thành viên và các quốc gia thứ ba khi đáp ứng yêu cầu theo quy định của GDPR.Bên cạnh đó, các quy định về việc thu thập, xử lý dữ liệu, trách nhiệm và nghĩa vụ củachủ thể xử lý, kiểm soát dữ liệu đã thể hiện rõ nét quan điểm pháp lý của Liên minhChâu Âu đối với bảo vệ dữ liệu cá nhân

Tóm lại, nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân được xem lànguyên tắc cốt lõi trong việc hình thành các quy định pháp luật về việc xử lý dữ liệu ởLiên minh Châu Âu Nguyên tắc nay đã góp phần làm cho các quy định về tự do dữliệu và bảo vệ dữ liệu trong liên minh hài hoà với nhau hơn, tạo điều kiện cho các quốcgia thành viên xây dựng một thị trường chung góp phần thúc đẩy sự phát triển của kinhtế

43 Recital 4, Chỉ thị 95/46 / EC của Liên minh Châu Âu

44 Khoản 2 và khoản 3 Điều 1Quy định chung về bảo vệ dữ liệu cá nhân của Liên minh châu Âu

2.2 Áp dụng nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân

2.2.1 Đối tượng của nguyên tắc

Nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân tác động đến các chủthể trong quá trình xử lý dữ liệu nhằm đảm bảo sự hài hòa giữa phát triển kinh tế vàbảo vệ quyền riêng tư Để thực hiện có hiệu quả mục đích trên, nguyên tắc cân bằng tự

do dữ liệu và bảo vệ dữ liệu cá nhân thông qua các quy định pháp luật của GDPR đểđiều chỉnh dữ liệu cá nhân và các quy định của Quy định về việc lưu chuyển tự do dữliệu phi cá nhân45(sau đây được gọi là FFD) điều chỉnh dữ liệu phi cá nhân Như vậy,đối tượng mà nguyên tắc này hướng tới chính là dữ liệu cá nhân của các chủ thể dữ liệu

và cả dữ liệu phi cá nhân

Theo FFD, dữ liệu phi cá nhân định nghĩa là bất kỳ dữ liệu nào không tạo thành

dữ liệu cá nhân theo Điều 4 của GDPR hay chính xác hơn là mọi khối dữ liệu khôngnhằm xác định một cá nhân nào đó46 Đây là một định nghĩa khá mở và nó có thể baogồm các bộ dữ liệu khác nhau, cả tổng hợp và ẩn danh, cũng như các bộ dữ liệu cụ thểnhư dữ liệu về hoạt động canh tác có thể được sử dụng để giám sát và tối ưu hóa cáchoạt động nông nghiệp hoặc dữ liệu về nhu cầu bảo trì cho máy móc công nghiệp.Theo GDPR, dữ liệu cá nhân được định nghĩa là tất cả các thông tin liên quan đếnmột thể nhân được nhận diện47hoặc có thể được nhận diện, dù trực tiếp hay gián tiếp48

Ví dụ về những thông tin được xem như dữ liệu cá nhân như những thông tin liên quanđến tên, số chứng minh thư, dữ liệu về nơi cư trú, số điện thoại, hoặc bất kỳ một hoặcnhững yếu tố đặc biệt nào liên quan đến việc nhận diện về thể chất, tâm lý, sinh lý, ditruyền, kinh tế, văn hóa hoặc xã hội của cá nhân Bên cạnh đó, nếu các phần thông tin

45 Regulation (EU) 2018/1807 on a Framework for the Free Flow of Non-Personal Data in the European Union

46 Khoản 1 Điều 3 định nghĩa thuật ngữ “dữ liệu” trong Quy chế số 2018/1807 về khung pháp lý tự do di chuyển

dữ liệu phi cá nhân trong liên minh Châu Âu.

47 Tiếng Anh là “identify” Căn cứ Từ điển Tiếng Anh trực tuyến của Cambridge, từ nhận diện (identity) được hiểu là hành vi nhận ra được một người và nói được anh ta là ai Do vậy, tác giả bài viết sử dụng thuật ngữ “nhận diện” nhằm thể hiện ý trên Xem dịch nghĩa từ “identify” trên https://dictionary.cambridge.org/dictionary/english/identify, truy cập ngày 02/2/2022.

48 Khoản 1 Điều 4 Quy định chung về bảo vệ dữ liệu cá nhân của Liên minh châu Âu

rời rạc khác nhau nhưng được thu thập và tập hợp lại mà có thể dẫn đến việc nhận diệnmột cá nhân cụ thể thì cũng được coi là dữ liệu cá nhân hay thông tin cá nhân49 Nhữngthông tin này có thể là thông tin khách quan như họ tên, ngày sinh, chiều cao, cânnặng, … và thông tin chủ quan như đánh giá của người sử dụng lao động.

Liên quan đến vấn đề các định dữ liệu cá nhân, khoản 1 Điều 4 GDPR đề cập đến

cá nhân có thể được nhận diện Theo đó, bất kỳ cá nhân nào có thể được phân biệt vớingười khác thì được coi là có thể nhận diện được Đây là người có thể được nhận diệnmột cách trực tiếp hoặc gián tiếp, đặc biệt qua các phương thức nhận diện như tên, sốchứng minh thư, dữ liệu vị trí, công cụ định danh trực tuyến hoặc qua một hoặc nhữngyếu tố đặc thù về danh tính thể chất, tâm lý, di truyền, tinh thần, kinh tế, văn hóa, xãhội của người đó50 Công cụ nhận diện trong pháp luật của Liên minh châu Âu đượchiểu là những thông tin nhận diện cá nhân và những thông tin liên quan đến các vậtdụng của cá nhân như máy tính, điện thoại smartphone giúp nhận diện cá nhân đó51.Một người có thể được nhận diện một cách trực tiếp khi việc nhận diện được thựchiện hoàn toàn trên các thông tin sẵn có Nhận diện một cách gián tiếp là khi việc nhậndiện không thể được thực hiện trên thông tin sẵn có, mà cần phải sử dụng thêm cácthông tin ở các nguồn khác Như vậy, những thông tin, ngay cả khi không chứa đựngtên của cá nhân, nhưng nếu chúng giúp hiểu rõ về cá nhân đó hoặc có tác động lên cánhân đó thì có thể được coi là thông tin cá nhân52

Ngoài ra, GDPR còn phân biệt dữ liệu cá nhân với dữ liệu cá nhân nhạy cảm.Theo đó, dữ liệu cá nhân nhạy cảm bao gồm: “Bất kỳ dữ liệu nào tiết lộ chủng tộc hoặcsắc tộc, tư tưởng chính trị, đức tin tôn giáo, quan niệm triết lý, thành viên công đoàn,

49 Xem thêm giải thích của Ủy ban châu Âu về dữ liệu cá nhân trong Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu xem tại: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en, truy cập ngày 02/2/2022.

50 Khoản 1 Điều 4 Quy định chung về bảo vệ dữ liệu cá nhân của Liên minh châu Âu

51 Tìm hiểu thêm về thông tin cá nhân trong pháp luật của Liên minh châu Âu xem tại: personal-data/, truy cập ngày 02/2/2022.

https://gdpr.eu/eu-gdpr-52 Xem thêm về cách giải thích của Liên minh châu Âu xem tại: https://gdpr.eu/eu-gdpr-personal-data/, truy cập ngày 16/4/2021.

việc xử lý dữ liệu di truyền và sinh trắc nhằm mục đích định danh hoặc dữ liệu liênquan đến sức khỏe, tình trạng sinh dục và xu hướng tình dục”53 Việc tách dữ liệu cánhân nhạy cảm thành một quy định riêng so với dữ liệu cá nhân thể hiện tầm quantrọng của loại dữ liệu này cũng như yêu cầu về sự bảo vệ gần như tuyệt đối đối với dữliệu cá nhân nhạy cảm Đối với dữ liệu cá nhân, GDPR cho phép việc xử lý dữ liệu củacác tổ chức, cá nhân Ngược lại, đối với dữ liệu cá nhân nhạy cảm, mức độ bảo vệđược đặt ra cao hơn; theo đó, việc xử lý dữ liệu bị cấm hoàn toàn trừ trường hợp được

xử lý theo trường hợp ngoại lệ54

2.2.2 Chủ thể

Chủ thể của nguyên tắc cân bằng tự do dữ liệu và bảo vệ dữ liệu cá nhân là nhữngchủ thể có khả năng tác động đến dữ liệu cá nhân bao gồm: chủ thể dữ liệu (datasubject), chủ thể kiểm soát và xử lý dữ liệu (controller and processor), cơ quan giámsát (authority) và bên thứ ba (third party)55

Trong quy định GDPR, chủ thể dữ liệu sẽ có các quyền như:

53 Điều 9 Quy định chung về bảo vệ dữ liệu cá nhân của Liên minh châu Âu.

54 PGS.TS TRẦN THỊ THU PHƯƠNG, Quy định chung của Liên minh châu Âu về bảo vệ dữ liệu cá nhân và một số khuyến nghị đến Quốc hội, Chính phủ và doanh nghiệp Việt Nam, Tạp chí Nghiên cứu lập pháp số 23(447), tháng 12/2021.

55 “FAQ: What are the different roles of parties in GDPR?”, xem tại:

parties-in-gdpr-, truy cập ngày 21/4/2022.

https://support.focus.teamleader.eu/en/support/solutions/articles/7000032843-faq-what-are-the-different-roles-of-56 Khoản 1 Điều 4 Quy định chung về bảo vệ dữ liệu cá nhân.

(i) Quyền được thông tin về việc dữ liệu cá nhân của mình bị thu thập và sử dụng

(right to be informed) Quyền được thông tin của chủ thể dữ liệu được thể hiện thông

qua nghĩa vụ thông tin về mục đích của việc xử lý dữ liệu cá nhân, thời gian lưu trữ dữliệu và những chủ thể mà dữ liệu có thể được chia sẻ đến (Điều 13) của chủ thể xử lý

dữ liệu;

(ii) Quyền được tiếp cận dữ liệu cá nhân của mình (right to data access) Cụ thể,

chủ thể dữ liệu cá nhân được quyền nhận xác nhận từ phía chủ thể kiểm soát thông tin

về việc xử lý dữ liệu cá nhân của họ (Điều 15);

(iii) Quyền chỉnh sửa dữ liệu trong trường hợp dữ liệu có lỗi (Điều 16), được xóa

dữ liệu (right to erasure or right to be forgotten) trong trường hợp đáp ứng một số tiêu

chí nhất định (Điều 17)

(iv) Quyền hạn chế một số trường hợp sử dụng dữ liệu của mình, trong đó baogồm cả quyền tạm thời di chuyển dữ liệu cá nhân đã chọn sang hệ thống xử lý khác,làm cho dữ liệu cá nhân đã chọn không có sẵn cho người dùng hoặc tạm thời xóa dữliệu cá nhân đã được công bố ra khỏi trang web (Điều 18);

(v) Quyền nhận dữ liệu mà mình đã cung cấp cho chủ thể kiểm soát thông tin vàyêu cầu truyền những dữ liệu này cho chủ thể kiểm soát khác, mà không bị cản trở từphía chủ thể đang kiểm soát dữ liệu cá nhân của mình, khi đáp ứng yêu cầu đặt ra(Điều 20)

(vi) Quyền phản đối việc xử lý dữ liệu cá nhân của họ (Điều 21) trong những tìnhhuống cụ thể

- Chủ thể kiểm soát và xử lý dữ liệu

Bên cạnh chủ thể dữ liệu, GDPR còn điều chỉnh chủ thể kiểm soát dữ liệu và chủthể xử lý dữ liệu Chủ thể kiểm soát dữ liệu là người trực tiếp đưa ra các quyết định xử

lý dữ liệu Theo GDPR, chủ thể kiểm soát dữ liệu là cá nhân hoặc pháp nhân, cơ quancông quyền, cơ quan hoặc cơ quan khác, những người xác định mục tiêu, ý nghĩa của

việc xử lý dữ liệu cá nhân57 Còn chủ thể xử lý thông tin cá nhân là người trực tiếp tiếnhành xử lý dữ liệu cá nhân nhân danh chủ thể kiểm soát dữ liệu cá nhân58.

Ví dụ sau đây sẽ minh họa về chủ thể kiểm soát dữ liệu và chủ thể xử lý dữ liệu.Theo đó, một nhà máy bia có nhiều nhân viên thực hiện ký hợp đồng với một công tytrả lương để trả lương Nhà máy bia trao đổi với công ty trả lương khi nào nên trảlương, khi nào một nhân viên nghỉ việc hoặc được tăng lương, và cung cấp tất cả cácchi tiết khác về phiếu lương và thanh toán Công ty trả lương cung cấp hệ thống CNTT

và lưu trữ dữ liệu của nhân viên Như vậy, trong trường hợp này, nhà máy bia là ngườikiểm soát dữ liệu và công ty trả lương là người xử lý dữ liệu Cũng vì vậy, công ty trảlương và nhà máy bia phải đảm bảo việc thu thập, xử lý dữ liệu hợp pháp, tuân theoquy định của GDPR để bảo vệ quyền của chủ thể dữ liệu mà ở đây, chủ thể dữ liệu lànhân viên của công ty bia

- Cơ quan giám sát

Cơ quan giám sát là một cơ quan công quyền độc lập được một Quốc gia Thànhviên thành lập theo Điều 5159

Cơ quan giám sát có các chức năng, quyền hạn được quy định tại Điều 58 GDPR,

bao gồm: quyền điều tra, quyền khắc phục, ủy quyền và quyền tư vấn Đối với quyền

điều tra, cơ quan giám sát được thực hiện để yêu cầu cung cấp thông tin từ người kiểm

soát xử lý, kiểm tra, cấp giấy phép, thông báo về hành vi bị cáo buộc60, Đối vớiquyền khắc phục quy định tại GDPR được quy định để hỗ trợ cho cơ quan giám sátthực hiện nhiệm vụ giám sát, cụ thể như đưa racảnh báo về hoạt động dự kiến có khảnăng vi phạm, khiển trách kiểm soát viên, ra lệnh và áp đặt chế tài cho chủ thể vi

57 Khoản 7 Điều 4 Quy định chung về bảo vệ dữ liệu cá nhân của Liên minh châu Âu

58 Khoản 8 Điều 4 Quy định chung về bảo vệ dữ liệu cá nhân của Liên minh châu Âu

59 Khoản 21 Điều 4 Quy định chung về bảo vệ dữ liệu cá nhân của Liên minh châu Âu

60 Khoản 1 Điều 58 Quy định chung về bảo vệ dữ liệu cá nhân của Liên minh châu Âu