Dữ liệu cá nhân xuyên biên giới và vấn đề bảo vệ dữ liệu cá nhân

Đáp ứng yêu cầu này, các công cụ pháp lý quốc tế đã được thiết lập, trong đó nổi bật nhất là Hướng dẫn của OECD về bảo vệ quyền riêng tư và dữ liệu cá nhân xuyên biên giới năm 1980 OECD

-*** -

NGUYỄN THỊ NGÂN HÀ

MSSV: 1853801011046

DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI

VÀ VẤN ĐỀ BẢO VỆ DỮ LIỆU CÁ NHÂN

KHÓA LUẬN TỐT NGHIỆP Niên khóa: 2018 - 2022

Người hướng dẫn:

ThS Lê Trần Quốc Công

TP.Hồ Chí Minh – Năm 2022

dưới sự hướng dẫn của ThS Lê Trần Quốc Công

Các nội dung, kết quả nghiên cứu trong Khoá luận này là trung thực Những

thông tin, số liệu, bản án được lấy từ nhiều nguồn khác nhau nhằm phục vụ cho việc

phân tích đề tài Ngoài ra, trong Khoá luận còn sử dụng một số nhận xét, đánh giá,

báo cáo cũng như quan điểm của các tác giả, cơ quan, tổ chức khác đều có trích dẫn

và chú thích nguồn gốc theo đúng quy định Nếu phát hiện có bất kỳ sự gian lận nào,

tôi xin hoàn toàn chịu trách nhiệm về nội dung trong Khoá luận của mình

Thành phố Hồ Chí Minh, ngày 29 tháng 6 năm 2022 Tác giả

Nguyễn Thị Ngân Hà

(Act of Protection Personal Information) sửa đổi năm

2015 có hiệu lực ngày 30 tháng 5 năm 2017 Chỉ thị 95/46/EC Chỉ thị 95/46/EC của Nghị viện châu Âu về bảo về các

cá nhân về xử lý dữ liệu cá nhân và quyền tự do di chuyển dữ liệu (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement

Data Protection Act) có hiệu lực ngày 25 tháng 5 năm

2018 GDPR Quy định chung về bảo vệ dữ liệu của Liên minh châu

Âu (General Data Protection Regulation) ban hành năm 2016

PDPA Đạo luật bảo vệ dữ liệu cá nhân của Singapore

(Personal Data Protection Act) ban hành năm 2012 PDP Regulations Quy định bảo vệ dữ liệu cá nhân của Singapore

(Personal Data Protection Regulations) sửa đổi, bổ sung Đạo luật bảo vệ dữ liệu cá nhân năm 2012 (Personal Data Protection Act 2012) có hiệu lực ngày

01 tháng 02 năm 2021

CHƯƠNG 1 NHỮNG VẤN ĐỀ CHUNG VỀ DỊCH CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG HOẠT ĐỘNG THƯƠNG MẠI QUỐC TẾ 6 1.1 Tổng quan về dữ liệu cá nhân xuyên biên giới trong hoạt động thương mại quốc tế 6

1.1.1 Khái niệm dữ liệu cá nhân xuyên biên giới trong hoạt động thương mại quốc tế 6 1.1.2 Đặc điểm dữ liệu cá nhân xuyên biên giới trong hoạt động thương mại quốc

tế 13 1.2.3 Cơ sở quyền được bảo vệ dữ liệu cá nhân xuyên biên giới 16 1.2.4 Sự thiết yếu của khung pháp lý điều chỉnh hoạt động chuyển dữ liệu cá nhân xuyên biên giới 19

KẾT LUẬN CHƯƠNG 1 25 CHƯƠNG 2: CÁC VẤN ĐỀ PHÁP LÝ VỀ DỊCH CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI VÀ GIẢI PHÁP CHO VIỆT NAM TỪ KINH NGHIỆM NƯỚC NGOÀI 26 2.1 Xu hướng pháp luật nước ngoài về chuyển dữ liệu cá nhân xuyên biên giới 26

2.1.1 Khái quát các cách tiếp cận điển hình về pháp luật chuyển dữ liệu cá nhân xuyên biên giới 26 2.1.2 Cách tiếp cận của pháp luật Liên minh châu Âu đối với chuyển dữ liệu cá nhân xuyên biên giới 28 2.1.3 Cách tiếp cận của pháp luật Singapore đối với chuyển dữ liệu cá nhân xuyên biên giới 31

2.2.2 Mức độ bảo vệ dữ liệu cá nhân xuyên biên giới 36 2.2.3 Biện pháp cam kết bảo vệ dữ liệu cá nhân xuyên biên giới 39 2.2.4 Khử nhận dạng dữ liệu cá nhân xuyên biên giới 43 2.2.5 Sự đồng ý của chủ thể dữ liệu đối với dữ liệu cá nhân xuyên biên giới 46 2.2.6 Trách nhiệm giải trình của các chủ thể đối với dữ liệu cá nhân xuyên biên giới 49

2.3 Biện pháp đảm bảo thực thi pháp luật về dịch chuyển dữ liệu cá nhân xuyên biên giới 54

2.3.1 Chế tài xử lý vi phạm hành chính đối với xâm phạm dữ liệu cá nhân xuyên biên giới 54 2.3.2 Chế tài hình sự đối với xâm phạm dữ liệu cá nhân xuyên biên giới 57

2.4 Gợi mở và kiến nghị hoàn thiện pháp luật về dữ liệu cá nhân xuyên biên giới và bảo vệ dữ liệu cá nhân 60 KẾT LUẬN CHƯƠNG 2 67 PHẦN KẾT LUẬN 68 DANH MỤC TÀI LIỆU THAM KHẢO

PHỤ LỤC

PHẦN MỞ ĐẦU

1 Tính cấp thiết của đề tài

Với sự xuất hiện và phát triển của Internet vạn vật (Internet of Things – IoT), trí tuệ nhân tạo (Artificial Intelligence – AI), dữ liệu lớn (Big Data), dữ liệu và dòng

chảy dữ liệu giữa các quốc gia, khu vực trên thế giới ngày càng đóng vai trò trọng yếu trong mọi lĩnh vực đời sống Dữ liệu đã trở thành động lực tiềm năng cho sự phát triển của nền kinh tế các quốc gia, trong đó dữ liệu cá nhân (DLCN) là “nguồn tài nguyên” quan trọng được các tổ chức, cá nhân thu thập, phân tích, sử dụng thành cơ

sở dữ liệu khổng lồ phục vụ cho kinh doanh và trao đổi thương mại Các luồng dữ liệu xuyên biên giới này chứa đựng DLCN của hàng tỉ người dùng và những năm gần đây đã trở thành một phần quan trọng của các mô hình dịch vụ kỹ thuật số nói riêng

và của thương mại quốc tế nói chung Tuy nhiên, sự phát triển nhanh chóng của kinh

tế số cũng đặt ra nhiều vấn đề mới mà pháp luật cần điều chỉnh, cụ thể là vấn đề bảo

vệ DLCN xuyên biên giới

Hiện nay, vấn đề bảo vệ DLCN xuyên biên giới vẫn chưa được nội luật hóa mà chỉ mới được đề cập trong Dự thảo Nghị định BVDLCN Nhưng nhìn chung, các quy định về điều kiện chuyển DLCN xuyên biên giới, biện pháp cam kết, xử lý vi phạm đối với DLCN xuyên biên giới còn tồn tại nhiều thiếu sót và cần được hoàn thiện để bảo vệ hiệu quả DLCN Bên cạnh đó, các quy định về bảo vệ DLCN được quy định rải rác trong các văn bản pháp luật như: Luật An toàn thông tin mạng số 86/2015/QH13 ban hành ngày 19 tháng 11 năm 2015 (Luật ATTTM 2015), Luật Tiếp cận thông tin số 104/2016/QH13 ban hành ngày 06 tháng 4 năm 2016, Nghị định số 52/2013/NĐ-CP ngày 16 tháng 5 năm 2013 của Chính phủ quy định về Thương mại điện tử (Nghị định số 52/2013/NĐ-CP),… Tuy nhiên, quy định trong những văn bản nêu trên chưa thống nhất, còn chồng chéo, chưa có cách hiểu cụ thể về DLCN, cơ chế kiểm soát và bảo vệ DLCN vẫn còn nhiều điểm chưa phù hợp với sự tăng trưởng nhanh chóng của nhu cầu trong nền kinh tế số

Trên thế giới, các quốc gia phát triển về công nghệ số đã ban hành các đạo luật

để điều chỉnh về DLCN xuyên biên giới và bảo vệ DLCN như: GDPR của Liên minh

châu Âu (EU), PDPA của Singapore, APPI của Nhật Bản hay FDPA của Đức Tác giả nhận thấy các đạo luật có nhiều điều chỉnh tiến bộ về DLCN xuyên biên giới và các quy định có tính ứng dụng cao trong bảo vệ hiệu quả DLCN Trong khi đó tại Việt Nam, như đã đề cập, sự thiếu sót các quy định liên quan đến DLCN xuyên biên giới cũng như những bất cập trong áp dụng các điều luật về bảo vệ DLCN đã gây cản

trở cho việc chuyển DLCN xuyên biên giới Vì vậy, tác giả chọn đề tài “Dữ liệu cá nhân xuyên biên giới và vấn đề bảo vệ dữ liệu cá nhân” làm đề tài nghiên cứu cho

Khóa luận tốt nghiệp nhằm đóng góp về mặt lý luận, thực tiễn để tìm ra phương hướng điều chỉnh phù hợp với tình hình kinh tế, chính trị, xã hội của Việt Nam và đưa ra những kiến nghị giúp hoàn thiện Dự thảo Nghị định BVDLCN

2 Tổng hợp tình hình nghiên cứu trong và ngoài trường

Vấn đề DLCN xuyên biên giới và bảo vệ DLCN đang phát triển mạnh mẽ trong nền kinh tế số và đã được điều chỉnh trong nhiều đạo luật của các quốc gia phát triển trên thế giới Trong khi đó, tại Việt Nam, vấn đề này vẫn còn khá mới mẻ và phức tạp Vì vậy, hiện nay vẫn chưa có nhiều công trình đi sâu vào nghiên cứu đối tượng DLCN xuyên biên giới Có thể kể đến một số đề tài nghiên cứu khoa học và bài viết liên quan đến DLCN nói chung như: Nguyễn Văn Dương, Nguyễn Thị Ngân Hà và

Nguyễn Văn Lãm, Pháp luật về bảo vệ dữ liệu cá nhân trong mô hình kinh tế chia

sẻ, Đề tài Nghiên cứu khoa học cấp trường, Trường Đại học Luật Tp Hồ Chí Minh,

2021; Nguyễn Thị Kim Ngân, “Pháp luật của một số quốc gia Đông Nam Á về bảo

vệ dữ liệu cá nhân và các gợi ý cho Việt Nam”, Tạp chí Nghiên cứu Lập pháp, Viện

nghiên cứu Lập pháp, 2019, Số 7 (383), tr 53-64; Lê Xuân Tùng, “Bảo vệ dữ liệu cá nhân tại Nhật Bản thông qua đạo luật về bảo vệ thông tin cá nhân và một số khuyến

nghị đối với Việt Nam”, Tạp chí Nghiên cứu Lập pháp, Viện nghiên cứu Lập pháp,

2020, Số 13 (413), tr 57-64;… Tuy nhiên, hầu hết các tác giả chỉ mới tập trung nghiên cứu một cách khái quát các quy định liên quan đến DLCN của các đạo luật nói chung chứ chưa đi vào xem xét đến các điều kiện, biện pháp pháp lý, biện pháp kỹ thuật hay chế tài đặt ra đối với hoạt động dịch chuyển dữ liệu xuyên biên giới

3 Mục tiêu nghiên cứu của đề tài

Thông qua đề tài “Dữ liệu cá nhân xuyên biên giới và vấn đề bảo vệ dữ liệu cá nhân”, tác giả hướng đến những mục đích nghiên cứu quan trọng sau:

Thứ nhất, xây dựng và hệ thống những vấn đề lý luận cơ bản liên quan đến

DLCN xuyên biên giới và bảo vệ DLCN, đặc biệt là khái niệm, đặc điểm của DLCN

và sự khác biệt giữa DLCN và thông tin cá nhân (TTCN) Từ đó, xác định tầm quan trọng của việc bảo vệ DLCN và sự cần thiết điều chỉnh DLCN xuyên biên giới

Thứ hai, phân tích, so sánh các quy định của pháp luật Việt Nam và các quy

định trong GDPR hay PDPA về DLCN xuyên biên giới và các cơ chế đảm bảo bảo

vệ hiệu quả DLCN, từ đó chỉ ra những thiếu sót còn tồn tại

Thứ ba, đánh giá hiệu quả thực tiễn áp dụng các quy định hiện hành trong pháp

luật Việt Nam và các quy định trong Dự thảo về bảo vệ DLCN xuyên biên giới, bao gồm các quy định về điều kiện, biện pháp bảo mật, biện pháp pháp lý, sự đồng ý của chủ thể dữ liệu, trách nhiệm giải trình của các chủ thể và các chế tài xử phạt vi phạm

về DLCN xuyên biên giới và bảo vệ DLCN

Thứ tư, đưa ra các kiến nghị và gợi mở nhằm hoàn thiện pháp luật Việt Nam

dựa trên cơ sở lý luận và thực tiễn đã nghiên cứu trong Khóa luận

4 Đối tượng nghiên cứu của đề tài

Đối tượng nghiên cứu của đề tài “Dữ liệu cá nhân xuyên biên giới và vấn đề bảo

vệ dữ liệu cá nhân” bao gồm các vấn đề sau:

Thứ nhất, những vấn đề lý luận chung về DLCN xuyên biên giới và dịch chuyển

DLCN xuyên biên giới Ở đây tác giả làm rõ khái niệm và đặc điểm của DLCN xuyên biên giới cùng với phân tích các cơ sở pháp lý cho việc bảo vệ DLCN xuyên biên giới

và cơ sở quyền được bảo vệ DLCN Từ đó tác giả chỉ ra sự cần thiết phải xây dựng khung pháp lý điều chỉnh hoạt động chuyển DLCN xuyên biên giới

Thứ hai, đạo luật của một số quốc gia/khu vực phát triển đã có kinh nghiệm về

DLCN xuyên biên giới và bảo vệ DLCN

Thứ ba, pháp luật Việt Nam về DLCN xuyên biên giới và bảo vệ DLCN, cụ thể

là: DLCN xuyên biên giới và dịch chuyển DLCN xuyên biên giới; xu hướng pháp luật của các quốc gia đối với chuyển DLCN xuyên biên giới; điều kiện, mức độ bảo

mật, biện pháp cam kết, khử nhận dạng, sự đồng ý của chủ thể dữ liệu, trách nhiệm giải trình và chế tài xử phạt vi phạm đối với DLCN xuyên biên giới Đồng thời, thông qua so sánh, phân tích các quy định của pháp luật Việt Nam, cụ thể là Dự thảo Nghị định BVDLCN với các chế định tương ứng của pháp luật các quốc gia/khu vực khác

Từ đó, rút ra kinh nghiệm, đề xuất những gợi mở và kiến nghị hoàn thiện pháp luật Việt Nam về DLCN xuyên biên giới và bảo vệ DLCN

Thứ tư, thực tiễn áp dụng quy định pháp luật Việt Nam về DLCN xuyên biên

giới kết hợp so sánh với việc áp dụng các chế định về DLCN xuyên biên giới trong các đạo luật GDPR, PDPA, FDPA và APPI

5 Phạm vi nghiên cứu của đề tài

Trong phạm vi Khóa luận, tác giả tập trung nghiên cứu các vấn đề lý luận về DLCN xuyên biên giới như là một trong những biện pháp nhằm bảo vệ DLCN; các quy định trong pháp luật Việt Nam hiện nay về chuyển DLCN xuyên biên giới và các

cơ chế bảo đảm bảo vệ hiệu quả DLCN được đề cập trong Dự thảo Nghị định BVDLCN Bên cạnh đó, tác giả còn xem xét tính khả thi trong việc áp dụng các quy định nêu trên trong chuyển DLCN xuyên biên giới và bảo vệ DLCN khi so sánh với thực tiễn áp dụng các quy định về DLCN xuyên biên giới trong đạo luật của các quốc gia như GDPR hay PDPA

Tác giả cũng kết hợp phân tích, so sánh và đánh giá cách thức điều chỉnh của một số quốc gia/khu vực trên thế giới liên quan đến DLCN xuyên biên giới và bảo vệ DLCN như EU, Singapore,… Từ đó, tác giả rút ra kinh nghiệm, học hỏi những điểm tiến bộ và đề xuất những gợi mở, kiến nghị hoàn thiện pháp luật Việt Nam về cùng vấn đề Trong quá trình nghiên cứu, tác giả cũng tham khảo kiến thức của các ngành khoa học liên quan để có cái nhìn khách quan, tiếp cận vấn đề dưới nhiều góc độ nhằm hoàn thiện Khóa luận

6 Phương pháp nghiên cứu

Để thực hiện đề tài, tác giả chủ yếu sử dụng phương pháp phân tích, phương pháp so sánh, phương pháp phân tích bản án, vụ việc và phương pháp lịch sử cụ thể như sau:

Thứ nhất, phương pháp phân tích và tổng hợp: đây là hai phương pháp chính và

được sử dụng xuyên suốt đề tài Tác giả sử dụng hai phương pháp này nhằm xây dựng luận điểm cho đề tài, làm rõ các vấn đề mang tính lý luận của các quy định hiện hành

về DLCN xuyên biên giới và bảo vệ DLCN, chỉ ra thực tiễn áp dụng tại Việt Nam hiện nay

Thứ hai, phương pháp so sánh: được sử dụng để so sánh và đối chiếu giữa các

quy định của pháp luật Việt Nam với các quy định của pháp luật một số quốc gia/khu vực về khái niệm DLCN, chuyển DLCN xuyên biên giới và các chính sách bảo vệ DLCN Qua đó, tác giả làm rõ những điểm tương đồng và khác biệt, đưa ra sự tham khảo, học hỏi những quy định tiến bộ nhằm kiến nghị hoàn thiện pháp luật Việt Nam

Thứ ba, phương pháp phân tích bản án, vụ việc: được áp dụng để phân tích,

đánh giá và bình luận những vấn đề liên quan đến DLCN xuyên biên giới và bảo vệ DLCN; từ đó, tạo cơ sở pháp lý vững chắc cả về lý luận và thực tiễn để có cái nhìn toàn diện hơn trong nghiên cứu một đề tài khoa học pháp lý

7 Kết cấu của Khóa luận

Ngoài Phần mở đầu, Phần kết luận, Danh mục tài liệu tham khảo và Phụ lục, nội dung của Khóa luận gồm 02 chương:

Chương 1: Những vấn đề chung về dịch chuyển dữ liệu cá nhân xuyên biên giới

và bảo vệ dữ liệu cá nhân trong hoạt động thương mại quốc tế

Chương 2: Các vấn đề pháp lý về dịch chuyển dữ liệu cá nhân xuyên biên giới

và giải pháp cho Việt Nam từ kinh nghiệm nước ngoài

CHƯƠNG 1 NHỮNG VẤN ĐỀ CHUNG VỀ DỊCH CHUYỂN DỮ LIỆU

CÁ NHÂN XUYÊN BIÊN GIỚI VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG

HOẠT ĐỘNG THƯƠNG MẠI QUỐC TẾ 1.1 Tổng quan về dữ liệu cá nhân xuyên biên giới trong hoạt động thương mại quốc tế

1.1.1 Khái niệm dữ liệu cá nhân xuyên biên giới trong hoạt động thương mại quốc tế

Thuật ngữ “dữ liệu cá nhân” đã được ghi nhận và trở nên phổ biến trong vài thập niên gần đây, được xem là vấn đề quan trọng gắn liền với quyền con người nói chung và quyền riêng tư nói riêng Theo thời gian, sự phát triển của công nghệ trong cuộc cách mạng công nghiệp 4.0 đã giúp cho tốc độ xử lý dữ liệu của hệ thống máy tính ngày càng nhanh, song điều này cũng đặt ra nhiều thách thức trong bảo vệ DLCN Đáp ứng yêu cầu này, các công cụ pháp lý quốc tế đã được thiết lập, trong đó nổi bật nhất là Hướng dẫn của OECD về bảo vệ quyền riêng tư và dữ liệu cá nhân xuyên biên

giới năm 1980 (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) và Công ước Bảo vệ dữ liệu cá nhân liên quan đến xử lý tự động dữ liệu cá nhân năm 1981 của Hội đồng châu Âu (Convention for the Protection

of Individuals with Regard to Automatic Processing of Personal Data), đây là những

văn bản pháp lý đầu tiên đưa ra khái niệm về DLCN.1

Theo Hướng dẫn của OECD năm 1980, DLCN được hiểu là “bất kỳ thông tin nào liên quan đến hoặc cho phép xác định một cá nhân nhất định (còn gọi là chủ thể

dữ liệu)”.2 Với cách hiểu này, đến nay nhiều quốc gia đã ban hành một số đạo luật

với thuật ngữ tương đồng Khoản 1 Điều 4 GDPR quy định: “Bất kỳ thông tin nào liên quan đến một cá nhân (hay còn gọi là chủ thể dữ liệu), có thể được xác định hoặc nhận dạng trực tiếp hoặc gián tiếp, bằng cách tham chiếu bởi một mã định danh như

1 Vũ Quỳnh, “Dữ liệu cá nhân hay thông tin cá nhân?”, Báo Điện Tử Đại Biểu Nhân Dân, ngày 29/11/2020,

xem tại: https://www.daibieunhandan.vn/bai-2-du-lieu-ca-nhan-hay-thong-tin-ca-nhan-exa2wzm6x9-50245 (truy cập ngày 25/3/2022)

2 “OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data”, OECD, xem tại:

https://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonalda ta.htm#part1 (truy cập ngày 25/3/2022)

tên, số chứng minh nhân dân, dữ liệu vị trí, số tài khoản ngân hàng mà những dữ liệu này liên quan tới một hoặc nhiều yếu tố cụ thể như vật lý, sinh lý, sinh trắc học, tinh thần, kinh tế, văn hóa hoặc xã hội của cá nhân đó” Bên cạnh đó, Điều 2 PDPA của Singapore cũng quy định: “Dữ liệu cá nhân là dữ liệu mà thông qua dữ liệu đó, hoặc

từ dữ liệu đó và thông tin khác mà các tổ chức có hoặc có khả năng truy cập, có thể dùng để xác định một cá nhân”

Thông qua định nghĩa của GDPR và PDPA, khái niệm DLCN đã được các quốc gia quy định dựa trên khái niệm khung được OECD đưa ra nhưng có sự chi tiết hóa

và được tiếp cận theo nghĩa rộng, bao gồm bốn thành tố nội dung quan trọng sau:

Một là, bất kỳ dữ liệu nào liên quan đến một cá nhân, được thu thập một cách

chủ động hay thụ động, đều cần được bảo vệ

Hai là, dữ liệu được xem là “có liên quan đến” một cá nhân phải được tiếp cận

trên mọi phương diện như nội dung của dữ liệu, mục đích của dữ liệu hay kết quả của việc sử dụng dữ liệu

Ba là, dữ liệu “nhận dạng và có thể nhận dạng” sẽ bao gồm cấp độ rõ ràng, tức

có đủ yếu tố để phân biệt người này với người khác, và cấp độ không rõ ràng nhưng vẫn có khả năng xác định được tùy thuộc vào các điều kiện khác hay ngữ cảnh

Bốn là, cá nhân là chủ thể dữ liệu Thành tố này trong khái niệm DLCN của

GDPR được lấy theo định nghĩa của Điều 6 Tuyên ngôn phổ quát của Liên Hợp Quốc

về Quyền con người năm 1948 (Universal Declaration of Human Rights of 1948 – UDHR 1948) Theo đó, chủ thể dữ liệu được bảo vệ là một cá nhân đang sống, tuy

nhiên, nếu dữ liệu về một người đã chết mà được sử dụng để nhận dạng một người khác còn sống thì cũng thuộc định nghĩa này

Tại Việt Nam, trước khi Dự thảo Nghị định BVDLCN được Bộ Công An đề nghị xây dựng thì thuật ngữ được sử dụng trong hệ thống pháp luật là “thông tin cá

nhân” (personal information) Qua những khái niệm được đề cập trong các văn bản

quy phạm pháp luật, có thể thấy nội hàm của thuật ngữ TTCN có phần hẹp hơn so với thuật ngữ DLCN trong quy định của các quốc gia châu Âu, TTCN ở đây chủ yếu

được sử dụng để trực tiếp định danh một cá nhân.3 Tuy nhiên, DLCN đã lần đầu tiên được pháp luật Việt Nam quy định trong Dự thảo Nghị định BVDLCN tại khoản 1

Điều 2: “Dữ liệu cá nhân là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc

có thể xác định một cá nhân cụ thể” Như vậy, cách tiếp cận của Việt Nam đối với

thuật ngữ DLCN đã có sự thay đổi cho phù hợp với các quy định chung của quốc tế cũng như thực tiễn của thời đại kinh tế số cần thiết phải bảo vệ đối tượng DLCN Đối chiếu định nghĩa của hai thuật ngữ DLCN và TTCN trong pháp luật Việt Nam, tác giả nhận thấy cách hiểu về hai đối tượng này có sự khác biệt Khoản 1 Điều

2 Dự thảo đã đi theo hướng quy định chung như trong Hướng dẫn của OECD năm

1980, khoản 2 và 3 theo sau lần lượt quy định về các nhóm DLCN cụ thể bằng phương pháp liệt kê Mặc dù cách quy định này chưa được chi tiết hóa như GDPR nhưng về

cơ bản, định nghĩa này đã thể hiện được bốn thành tố nội dung quan trọng như đã được phân tích Tuy nhiên, TTCN ở Việt Nam được hiểu theo nghĩa hẹp, trực tiếp và đơn giản hơn, các thông tin không chính xác, rõ ràng nhưng kết hợp với các thông tin khác để gián tiếp xác định danh tính một người không được coi là đối tượng được bảo vệ Từ sự khác biệt này có thể thấy việc bảo vệ đối tượng DLCN là cần thiết Thực tế, với sự phát triển không ngừng của khoa học kỹ thuật, lượng dữ liệu khổng

lồ được thu thập và lưu trữ có thể được phân tích vô thời hạn và cấu trúc thành vô hạn các dạng TTCN DLCN không nhất thiết phải thể hiện hoặc chứa TTCN của một

cá nhân nào nhưng vẫn có giá trị nhất định và cần phải được bảo vệ.4 Quan điểm này

đã được thể hiện trong tư duy pháp lý của Tòa án Nhân quyền châu Âu (ECtHR), rằng một trình tự ADN của con người hoặc một mẫu tế bào của con người đã chứa một lượng dữ liệu đáng kể của một cá nhân và dưới góc độ bản thể học thì DLCN là

3 “Bảo vệ dữ liệu và thông tin cá nhân cho Việt Nam: Đã đến lúc cần có đạo luật riêng”, ngày 24/6/2020, xem tại: https://ips.org.vn/vn/tin-tuc/bao-ve-du-lieu-va-thong-tin-ca-nhan-cho-viet-nam-da-den-luc-can-co-dao- luat-rieng-ct71.html (truy cập ngày 27/3/2022)

4 Nguyễn Văn Dương, Nguyễn Thị Ngân Hà và Nguyễn Văn Lãm, Pháp luật về bảo vệ dữ liệu cá nhân trong

mô hình kinh tế chia sẻ, Đề tài Nghiên cứu khoa học cấp trường, Trường Đại học Luật Tp Hồ Chí Minh, 2021,

tr 15

yếu tố cấu thành danh tính của thể nhân.5 Như vậy, có thể xem DLCN như một ADN, tuy nhỏ lẻ nhưng quan trọng với một cá nhân, từ đó phát sinh quyền được bảo vệ.6

1.1.2 Đặc điểm dữ liệu cá nhân xuyên biên giới trong hoạt động thương mại quốc tế

Thông qua khái niệm về DLCN có thể thấy về bản chất, DLCN trong chuyển DLCN xuyên biên đều có những đặc điểm giống với DLCN nói chung, cụ thể:

Thứ nhất, DLCN trong chuyển DLCN xuyên biên giới có thể được dùng để xác định danh tính của một cá nhân

DLCN của người dùng là bất kỳ thông tin có thể được sử dụng để trực tiếp hoặc gián tiếp định danh một cá nhân, đó có thể là tên, ảnh, địa chỉ email hay dữ liệu sinh trắc học, địa chỉ IP của máy tính Những DLCN này đều mang đặc tính nhận dạng của mỗi chủ thể, khi thực hiện xử lý DLCN thì những dữ liệu này có thể được dùng

để xác định một con người cụ thể.7 Định dạng của dữ liệu trong chuyển DLCN xuyên biên giới không phải là yếu tố quan trọng để xác định một thông tin có phải là DLCN hay không Bất kỳ định dạng nào được lưu trữ bằng văn bản, điện tử, giọng nói, sinh trắc học hoặc những định dạng khác có thể phục hồi đều được xem là DLCN.8

Thứ hai, việc bảo vệ DLCN trong chuyển DLCN xuyên biên phải được xem xét trên mọi phương diện: mục đích xử lý dữ liệu, nội dung của dữ liệu hay kết quả của việc xử lý hoặc sử dụng dữ liệu

Trong chuyển DLCN xuyên biên giới, dữ liệu sẽ được xử lý bằng nhiều cách thức và có thể được lưu giữ thông qua nhiều phương tiện khác nhau Những thông tin trực tiếp hoặc gián tiếp định danh thể nhân được coi là DLCN, tuy nhiên, nếu nội dung thông tin không thể hiện tên, tuổi rõ ràng thì vẫn có thể được xem là DLCN nếu việc xử lý dữ liệu là nhằm định danh một cá nhân hoặc hướng đến một mục đích có liên quan đến cá nhân đó Ngoài ra, mối liên quan giữa dữ liệu với một cá nhân còn

5 Václav Janeček, “Ownership of personal data in the Internet of Things”, Computer Law & Security Review,

2019, Volume 34, Issue 5, tr 07

6 Nguyễn Văn Dương, Nguyễn Thị Ngân Hà và Nguyễn Văn Lãm, tlđd (04), tr 15

7 Nguyễn Văn Dương, Nguyễn Thị Ngân Hà và Nguyễn Văn Lãm, tlđd (04), tr 16

8 “An Overview of Personal Data in the GDPR”, ngày 05/9/2017, GDPR Informer, xem tại:

https://gdprinformer.com/gdpr-articles/overview-personal-data-gdpr (truy cập ngày 28/3/2022)

được xem xét nếu việc xử lý hoặc sử dụng dữ liệu tác động đến quyền và lợi ích của chủ thể dữ liệu.9

Thứ ba, DLCN trong chuyển DLCN xuyên biên giới gắn liền với quyền riêng

tư và quyền con người

Sự phát triển ngày càng tinh vi của công nghệ thông tin với khả năng thu thập, phân tích và phổ biến DLCN đã gây ra mối lo ngại về an ninh dữ liệu, đặc biệt là khi chuyển dữ liệu xuyên biên giới, các hàng rào bảo vệ dữ liệu có thể trở nên lỏng lẻo nếu bên nhận DLCN không đáp ứng mức độ bảo mật Trong quá trình chuyển dữ liệu, nhiều đối tượng có thể sử dụng mã độc, phần mềm có tính năng xâm nhập hệ thống máy tính, làm gián đoạn, tổn hại tới tính bí mật, toàn vẹn và sẵn sàng của máy tính người dùng để chiếm đoạt DLCN Thậm chí nhiều doanh nghiệp, công ty kinh doanh dịch vụ có thu thập DLCN của khách hàng, khi chuyển dữ liệu cho bên thứ ba lại không có yêu cầu, quy định chặt chẽ, để bên thứ ba chuyển giao, buôn bán dữ liệu cho các đối tượng khác.10 Có thể thấy, gần như mọi thao tác trong việc xử lý DLCN,

từ thu thập đến sử dụng, lưu giữ và chia sẻ DLCN xuyên biên giới đều có thể tác động tiêu cực đến quyền riêng tư

Thứ tư, DLCN trong chuyển DLCN xuyên biên giới gắn liền với yêu cầu được bảo mật

Trong thời đại bùng nổ công nghệ thông tin hiện nay, DLCN trên không gian mạng đã trở thành “mỏ vàng” đối với các doanh nghiệp cung ứng dịch vụ số Đặc biệt, trong thời kỳ phát triển và giao lưu kinh tế, văn hóa, chuyển dữ liệu xuyên biên giới đã tạo điều kiện cho doanh nghiệp và người tiêu dùng tiếp cận với công nghệ và dịch vụ tốt nhất, mang lại nhiều lợi ích trong các lĩnh vực kinh tế, xã hội Song điều này cũng đặt ra yêu cầu phải xây dựng các hàng rào bảo vệ tương xứng, ngăn chặn nguy cơ đánh cắp DLCN và xâm phạm quyền riêng tư Để đảm bảo an toàn, việc

9 Normann Witzleb and Julian Wagner, “When is Personal Data “About” or “Relating to” an Individual? A

Comparison of Australian, Canadian, and EU Data Protection and Privacy Laws”, Canadian Journal of

Comparative and Contemporary Law, 2018, Volume 4, Issue 1, tr 318-319

10 Phòng An ninh mạng Công an Đồng Tháp, “Tầm quan trọng của bảo mật dữ liệu cá nhân trong thời đại số”,

Báo Đồng Tháp, ngày 20/8/2021, xem tại:

https://www.baodongthap.vn/so-hoa/tam-quan-trong-cua-bao-mat-du-lieu-ca-nhan-trong-thoi-dai-so-100057.aspx (truy cập ngày 30/3/2022)

chuyển DLCN xuyên biên giới chỉ được thực hiện khi đáp ứng các điều kiện nhất định, đồng thời, các nền tảng cung cấp dịch vụ và thu thập dữ liệu người dùng phải đảm bảo xây dựng và áp dụng hiệu quả các biện pháp bảo vệ DLCN

1.2 Dịch chuyển dữ liệu cá nhân xuyên biên giới đối với hoạt động thương mại quốc tế

1.2.1 Vai trò của chuyển dữ liệu cá nhân xuyên biên giới đối với hoạt động thương mại quốc tế

Ngày nay, các công ty dựa vào các giải pháp kỹ thuật số để bán và cung ứng sản phẩm của mình, yêu cầu chuyển DLCN giữa người bán và người mua là điều cần thiết để bắt đầu và hoàn thành giao dịch cũng như duy trì mối quan hệ làm ăn giữa đôi bên Bên cạnh đó, các doanh nghiệp còn sử dụng dịch vụ kỹ thuật số của bên thứ

ba (ví dụ như điện toán đám mây) để cung cấp dịch vụ cho khách hàng hay thậm chí các doanh nghiệp còn có thể tự mình trở thành nhà cung cấp mà không cần phụ thuộc vào bên nào Dù hoạt động với tư cách nào, việc các cá nhân và doanh nghiệp sử dụng

Internet và công nghệ thông tin và truyền thông (the Internet and information and communication technologies – ICT) đã tạo ra một lượng lớn dữ liệu, bao gồm cả

DLCN Khi số lượng DLCN được tạo ra ngày càng nhiều, lo ngại đối với sự an toàn trong việc sử dụng và xử lý DLCN cũng tăng lên Đây là một lý do tại sao chính phủ các quốc gia lại hạn chế chuyển DLCN xuyên biên giới Các hạn chế được đặt ra có thể là các yêu cầu pháp lý về việc lưu trữ dữ liệu tại quốc gia “gốc” hay các quy định hạn chế khả năng di chuyển và xử lý DLCN ngoài biên giới Vấn đề đặt ra là bất chấp những rủi ro có thể xảy ra đối với luồng dữ liệu này, các quốc gia vẫn khuyến khích chuyển dữ liệu xuyên biên giới và nỗ lực xây dựng hành lang pháp lý vững chắc để thúc đẩy sự tự do dữ liệu toàn cầu

Thứ nhất, dịch chuyển dữ liệu xuyên biên giới là một phần không thể tách rời trong hoạt động kinh doanh của các doanh nghiệp

Ngày nay, gần một nửa thương mại dịch vụ toàn cầu được hỗ trợ bởi Internet

và công nghệ thông tin, trong đó bao gồm cả hoạt động dịch chuyển DLCN xuyên biên giới Trên thực tế, rất ít công ty nào có thể kinh doanh hoặc tham gia vào thương

mại quốc tế mà không có khả năng chuyển dữ liệu qua biên giới Có thể nói, dịch chuyển DLCN xuyên biên giới đã không còn chỉ giới hạn đối với các công ty công nghệ cao trong lĩnh vực công nghệ thông tin và truyền thông, hay nói đúng hơn, DLCN đã trở nên rất cần thiết trong mọi lĩnh vực kinh tế

Bằng cách thu thập và phân tích DLCN, doanh nghiệp có thể hiểu rõ hơn về sở thích và mức độ sẵn sàng chi trả của khách hàng, đồng thời điều chỉnh sản phẩm và dịch vụ của mình cho phù hợp với thị hiếu của khách hàng Thêm vào đó, hoạt động dịch chuyển dữ liệu cũng diễn ra thường xuyên và là một phần không thể thiếu trong hoạt động mua bán.11 Bất kỳ một giao dịch nào được thực hiện tại các cơ sở kinh doanh cũng đều yêu cầu quyền truy cập vào thẻ hoặc các dịch vụ tài chính khác, quy trình xử lý này sẽ được hỗ trợ bởi dịch vụ lưu trữ và truyền dữ liệu để hoàn tất giao dịch Tương tự, các nhà cung cấp cũng cần phải xử lý và lưu chuyển dữ liệu để vận hành các dịch vụ cho thuê, phân phối, hậu cần và quản lý cơ sở vật chất trong cung ứng hàng hóa.12 Từ nhận định trên có thể thấy, việc chuyển DLCN xuyên biên giới

là một phần quan trọng gắn liền với hoạt động kinh doanh của doanh nghiệp

Thứ hai, sử dụng dòng DLCN xuyên biên giới là động lực thúc đẩy sự phát triển của chuỗi giá trị toàn cầu (global value chains – GVCs)

Chuỗi giá trị toàn cầu là một dây chuyền sản xuất kinh doanh theo phương thức toàn cầu hóa trong đó có nhiều nước tham gia, chủ yếu là các doanh nghiệp tham gia vào các công đoạn khác nhau từ thiết kế, chế tạo, tiếp thị đến phân phối và hỗ trợ người tiêu dùng.13 Để vận hành GVCs, một lượng lớn dữ liệu cần phải được truyền tải xuyên biên giới nhằm: (i) kiểm soát tổng thể và điều phối quy trình sản xuất dàn trải về mặt địa lý; (ii) tiến hành nghiên cứu, phát triển và thử nghiệm trong giai đoạn tiền sản xuất; (iii) quản lý chuỗi cung ứng hiệu quả và sự dịch chuyển thông suốt của hàng hóa, dịch vụ và nguồn vốn cần thiết cho sản xuất; (iv) quản lý quá trình sản xuất

11 Kommerskollegium, National Board of trade, No Transfer, No Trade – the Importance of Cross-Border Data

Transfers for Companies Based in Sweden, First Edition, 01-2014, tr 02

12 The United States Chamber of Commerce, The Economic Importance of Getting Data Protection Right:

Protecting Privacy, Transmitting Data, Moving Commerce, Belgium, 2013, tr 05

13 “Chuỗi giá trị toàn cầu (Global Value Chain) là gì? Tầm quan trọng đối với xã hội”, ngày 10/10/2019, xem tại: https://vietnambiz.vn/chuoi-gia-tri-toan-cau-global-value-chain-la-gi-tam-quan-trong-doi-voi-xa-hoi- 20191010115828069.htm (truy cập ngày 01/4/2022)

thực tế và khâu lắp ráp cuối cùng ;và (v) chạy và giám sát các sản phẩm đã bán trong giai đoạn hậu bán hàng

Có thể thấy, trong GVCs, nhiều loại dữ liệu khác nhau phải được dịch chuyển xuyên biên giới, từ dữ liệu khách hàng đến dữ liệu sản phẩm kỹ thuật và cả dữ liệu được tạo ra trong quá trình sử dụng sản phẩm Bằng việc sử dụng GVCs, hoạt động của các doanh nghiệp được phân tán xuyên biên giới giúp tăng hiệu quả, hạ giá thành

và tăng tốc độ sản xuất Việc hạn chế hoạt động chuyển dữ liệu xuyên biên giới có thể trở thành gánh nặng trong sản xuất của các công ty, gây ra hai loại tác động: (i) những thay đổi tiêu cực trong việc thiết lập GVCs (việc thiết lập GVCs liên quan mật thiết đến cách các doanh nghiệp thiết lập quy trình sản xuất và phân bổ nguồn nhân lực trong mỗi quy trình); và (ii) hoạt động kém tối ưu của chuỗi giá trị (hoạt động kém tối ưu làm tăng chi phí sản xuất và sự chậm trễ việc cung ứng hàng hóa, dịch vụ) Từ góc độ thương mại có thể thấy, dịch chuyển DLCN đóng vai trò rất quan trọng đối với hoạt động của chuỗi giá trị toàn cầu, giúp sản xuất có hiệu quả Với việc

số hóa sản xuất ngày càng tăng, nắm bắt và tạo điều kiện cho việc chuyển DLCN xuyên biên giới chính là hỗ trợ khả năng cạnh tranh giữa các doanh nghiệp.14

1.2.2 Cơ sở pháp lý về bảo vệ dữ liệu cá nhân trong hoạt động thương mại quốc tế

Cách mạng công nghiệp 4.0 và sự xuất hiện của Internet vạn vật đánh dấu sự phát triển vượt bậc của ứng dụng dữ liệu vào đời sống xã hội, đặc biệt là trong lĩnh vực kinh doanh như thương mại điện tử (TMĐT) và kinh tế chia sẻ TMĐT và các dịch vụ hỗ trợ Internet tại các quốc gia phụ thuộc mạnh mẽ vào sự dịch chuyển dữ liệu ra quốc tế Luồng dữ liệu xuyên biên giới cho phép người dùng tiếp cận các loại hình dịch vụ chất lượng toàn cầu, đồng thời cho phép các doanh nghiệp giảm thiểu chi phí và giá cả cho khách hàng.15 Dịch chuyển DLCN xuyên biên giới đã trở thành hoạt động phổ biến đối với kinh tế, chính trị, xã hội và DLCN là “nguyên liệu” thiết

14 Kommerskollegium, National Board of trade, No Transfer, No Production – a Report on Cross-border Data

Transfer, Global Value Chains, and the Production of Goods, First Edition, 01-2015, tr 02

15 GSMA, “Cross-border data flows”, ngày 25/9/2017, xem tại: content/uploads/2017/10/GSMA-Cross-Border-Data-Flows_4pp_2017_WEB.pdf (truy cập ngày 02/4/2022)

https://www.gsma.com/publicpolicy/wp-yếu của nền kinh tế toàn cầu Từ đây, quyền riêng tư trở thành một vấn đề cần được quan tâm và là yếu tố quan trọng cho phép trao đổi thương mại

Internet là một hệ thống thông tin toàn cầu có thể được truy cập công cộng gồm các mạng máy tính liên kết với nhau, có thể hiểu một cách đơn giản, không gian mạng

về cơ bản không có ranh giới địa lý Sự kết nối vô hạn trên không gian mạng tạo cơ hội cho các quốc gia, doanh nghiệp, tổ chức tiếp cận với nguồn tài nguyên kỹ thuật tiên tiến, nâng cao năng suất lao động, khai thác triệt để tiềm năng của Internet khi kết hợp máy móc với các mạng lưới quản lý thông minh Song, tiện dụng, dễ dàng, nhanh chóng hơn thì cũng rủi ro hơn Trên không gian mạng, mọi đối tượng đều có thể tiếp cận và tác động đến các phần tử còn lại mà không cần bất cứ một sự di chuyển mang tính vật chất nào Thông tin, dữ liệu bị phơi bày nhiều hơn thì cũng dễ bị mất mát và lạm dụng hơn

Vấn đề bảo vệ quyền riêng tư ở phạm vi toàn cầu đã được thiết lập thông qua một số công cụ pháp lý về nhân quyền như Tuyên ngôn Nhân quyền phổ quát năm

1948 và Công ước Quốc tế về các Quyền Dân sự và Chính trị năm 1966 (International Covenant on Civil and Political Rights of 1966 – ICCPR), cùng lúc đó vấn đề bảo vệ

DLCN và dịch chuyển DLCN xuyên biên giới cũng được đặt ra thông qua các bộ luật được ban hành sớm nhất vào những năm 1970.16 Tại thời điểm này, động lực chính

16 Vào cuối những năm 1960, tiến bộ kỹ thuật và những cơ hội mới được đặt ra đối với xử lý dữ liệu tự động

đã gây nên nhiều rủi ro đối với phần mềm và hệ thống máy tính, bên cạnh đó, nhận thức ngày càng cao của xã hội về tự do dân chủ và sự hoài nghi đối với chính phủ đặt ra nhu cầu hạn chế quyền thu thập thông tin của công dân Kết quả là bang Hesse của Đức đã ban hành Đạo luật bảo vệ dữ liệu đầu tiên trên thế giới vào ngày

30 tháng 9 năm 1970, đáng chú ý là đạo luật này không có bất kỳ hạn chế nào đối với chuyển dữ liệu xuyên biên giới

Không lâu sau đó, vào ngày 01 tháng 01 năm 1978, Đạo luật bảo vệ dữ liệu liên bang đầu tiên đã có hiệu lực

(The Federal Data Protection Act – BDSG) Đạo luật này đã thiết lập các nguyên tắc cơ bản về bảo vệ DLCN

như yêu cầu về sự cho phép hợp pháp hoặc sự đồng ý của chủ thể dữ liệu đối với bất kỳ quá trình xử lý nào của DLCN Tuy nhiên, những điều luật này chủ yếu nhằm ngăn chặn Chính phủ sử dụng sai DLCN, đạo luật chỉ trao cho chủ thể dữ liệu một số quyền nhất định Có thể nói, cách hiểu hiện tại của người Đức về việc chủ thể dữ liệu có toàn quyền tự quyết đối với việc xử lý và tiết lộ DLCN không tồn tại vào thời điểm đó

Đạo luật bảo vệ dữ liệu của Đức đã triển khai một khía cạnh mới vào năm 1983 với Quyết định điều tra dân số của Tòa án Hiến pháp Liên bang Đức Trong quyết định này, Tòa án cho rằng cá nhân có quyền hiến định đối với “quyền tự quyết về thông tin”, một quyền cơ bản được quy định tại khoản 1 Điều 1 và khoản 1 Điều 2 Hiến pháp Đức Bên cạnh đó, Tòa án đã đưa ra khái niệm về quyền của cá nhân đối với việc sử dụng và tiết lộ DLCN của họ, quyền quyết định thời điểm và mức độ dữ liệu sẽ được tiết lộ Quan trọng hơn, Tòa án cho rằng bất kỳ việc thu thập và xử lý DLCN đều phải có sự đồng ý hợp pháp Cách tiếp cận này của Tòa án đã bao gồm các nguyên tắc cơ bản hình thành nên nền tảng ngày nay của luật bảo vệ DLCN tại Đức và Châu Âu, đó là các

để pháp luật các quốc gia điều chỉnh vấn để chuyển dữ liệu ra ngoài lãnh thổ của mình chủ yếu nhằm ngăn chặn việc các tổ chức, cá nhân hạn chế tác động của luật bảo vệ DLCN bằng cách chuyển DLCN đến các quốc gia không có luật bảo vệ DLCN tương xứng và tiến hành xử lý dữ liệu tại đó Bên cạnh đó, vấn đề chuyển dữ liệu xuyên biên giới còn được thể hiện lần đầu tiên trong Hướng dẫn của OECD về bảo vệ quyền riêng tư và dữ liệu cá nhân xuyên biên giới năm 1980.17 Đến năm 1990, Liên Hợp Quốc đã ban hành Hướng dẫn về Quy định liên quan đến Hồ sơ dữ liệu cá nhân được

máy tính hóa (Guidelines for the Regulation of Computerized Personal Data Files), theo đó, “khi luật pháp của hai hay nhiều quốc gia liên quan đến luồng dữ liệu xuyên biên giới cung cấp các biện pháp bảo vệ quyền riêng tư tương xứng với nhau, dữ liệu

có thể được tự do lưu hành như khi lưu chuyển trong mỗi quốc gia liên quan Nếu không có các biện pháp bảo vệ tương xứng, các giới hạn đối với việc lưu chuyển dữ liệu sẽ không được áp đặt một cách quá mức và chỉ trong chừng mực việc bảo vệ quyền riêng tư yêu cầu”

Có thể thấy, vấn đề truyền tải DLCN xuyên biên giới đã được các quốc gia nhận thức từ rất sớm, khi mà Internet vẫn chưa được phát triển một cách mạnh mẽ và được

sử dụng rộng rãi như hiện nay Tuy vậy, sự thiếu vắng ranh giới địa lý trên không gian mạng là mối quan ngại lớn đối với nhà nước Thách thức đặt ra là làm thế nào

để bảo vệ toàn vẹn lãnh thổ, giữ gìn sự an toàn của người dân và bảo vệ họ khỏi những xâm phạm về danh dự, nhân phẩm khi mà sự đe doạ có thể đến từ bất cứ đâu.18

Việt Nam cũng không là ngoại lệ khi đứng trước xu hướng dịch chuyển DLCN xuyên biên giới của thế giới Ở phạm vi quốc tế, là đất nước đang trên đà phát triển,

nguyên tắc giảm thiểu dữ liệu, tiết kiệm dữ liệu, giới hạn nghiêm ngặt và tính liên quan của việc sử dụng dữ liệu cho các mục đích cụ thể

Tuy nhiên, người dân Đức đã không hài lòng với Quyết định này và kết quả là đã có hơn 1.600 đơn khiếu nại được đệ trình lên Tòa án Hiến pháp Liên bang chống lại luật điều tra dân số đã được Quốc hội Đức đặc biệt thông qua cho cuộc điều tra dân số Cuối cùng vào tháng 12 năm 1983, Tòa án Hiến pháp Liên bang Đức đã

tuyên bố Đạo luật điều tra dân số là vi hiến Xem thêm tại: Jens-Marwin Koch, “Chapter 7: Germany”, The

Privacy, Data Protection and Cybersecurity Law Review, 2014, Edition 1, tr 84-85

17 Hướng dẫn của OECD về bảo vệ quyền riêng tư và dữ liệu cá nhân xuyên biên giới năm 1980 là một tập hợp các nguyên tắc không ràng buộc mà các nước thành viên có thể ban hành và có mục đích kép là đạt được sự chấp nhận các tiêu chuẩn tối thiểu nhất định về quyền riêng tư và bảo vệ DLCN, đồng thời loại bỏ càng nhiều càng tốt những yếu tố có thể khiến các quốc gia hạn chế dòng chảy dữ liệu xuyên biên giới

18 Vũ Thái Hà, “Biên giới và phi biên giới”, Báo Tuổi Trẻ, ngày 19/11/2017, xem tại:

https://tuoitre.vn/bien-gioi-va-phi-bien-gioii-1408909.htm (truy cập ngày 03/4/2022)

Việt Nam cần thiết phải gia nhập thị trường quốc tế, tham gia những hiệp định thương mại thế hệ mới như Hiệp định Đối tác Toàn diện và Tiến bộ xuyên Thái Bình Dương

(Comprehensive and Progressive Agreement for Trans-Pacific Partnership – CPTPP) và Hiệp định thương mại tự do Liên minh châu Âu – Việt Nam (European- Vietnam Free Trade Agreement – EVFTA) để mở rộng cơ hội trao đổi thương mại và

văn hóa Trong khi đó, ở phạm vi quốc gia, Việt Nam đang dần hoàn thiện hệ thống pháp luật của mình về dịch chuyển DLCN xuyên biên giới, học tập các quy định tiến

bộ từ các đạo luật về bảo vệ quyền riêng tư để phù hợp với thông lệ quốc tế, hướng đến đạt được mục tiêu kép là bảo vệ DLCN, đồng thời thúc đẩy sự phát triển của dòng chảy dữ liệu xuyên biên giới và thông suốt để phục vụ cho phát triển nền kinh tế số Tuy nhiên, để đạt được những mục tiêu đã đề ra đối với phát triển kinh tế và xã hội, Việt Nam còn cần hoàn thiện hệ thống chính sách quốc gia cả về mặt pháp lý, khuyến khích các doanh nghiệp tự nguyện tham gia xây dựng tiêu chuẩn bảo vệ DLCN Ngoài ra, trong tầm nhìn rộng hơn, Việt Nam cần sớm tham gia nhiều hơn các khuôn khổ quốc tế đa phương về bảo vệ DLCN để nâng cao hiệu quả thực thi pháp luật ở phạm vi toàn cầu Đồng thời, Việt Nam cần thiết phải đàm phán các hiệp định thương mại số với các nước có tầm quan trọng đặc biệt về kinh tế – thương mại

số như Hoa Kì, Vương quốc Anh, Singapore, Nhật Bản,… Các hiệp định kiểu mẫu thế hệ mới này sẽ bao gồm các quy định về dữ liệu xuyên biên giới Để “đón đầu” xu thế đó, cách tiếp cận về quy định DLCN xuyên biên giới cần có sự “thông thoáng” nhất định để thúc đẩy và tương thích với các hiệp định thương mại số này.19

1.2.3 Cơ sở quyền được bảo vệ dữ liệu cá nhân xuyên biên giới

Sự ra đời và phát triển của Internet cho phép con người gửi lượng lớn dữ liệu nhanh chóng và hầu như không mất chi phí đến nhiều nơi trên thế giới Dữ liệu xuyên biên giới đã tạo điều kiện cho người tiêu dùng có nhiều lựa chọn, được tiếp cận với công nghệ và dịch vụ tốt nhất từ nhà cung cấp trong và ngoài nước Bên cạnh đó, các

19 Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS), “Đảm bảo dòng chảy dữ liệu an toàn và tự

do cho phát triển kinh tế số: Khuyến nghị chính sách và pháp lý về chuyển dữ liệu cá nhân qua biên giới đối

với Việt Nam”, Toạ đàm Dữ liệu xuyên biên giới và vấn đề bảo vệ dữ liệu cá nhân, Hà Nội, 2021, tr 01-02

doanh nghiệp cũng có thể tham gia vào chuỗi cung ứng toàn cầu, thúc đẩy khả năng đổi mới và cạnh tranh với các doanh nghiệp khác.20

Ở cấp độ luật quốc tế, quy định về bảo vệ DLCN nói chung và DLCN xuyên biên giới nói riêng đã lần lượt ra đời và được các quốc gia tiếp thu Điều 12 Tuyên ngôn Nhân quyền phổ quát năm 194821 lần đầu tiên đề cập đến bảo vệ quyền riêng

tư Dựa trên nội dung quy định này, có thể thấy nội hàm của các giá trị riêng tư cần được bảo vệ không chỉ bao gồm cuộc sống riêng tư của mỗi cá nhân, mà còn cả những khía cạnh đời sống có sự gắn kết mật thiết với cá nhân, ví dụ như gia đình, nơi ở và những giá trị định tính như danh dự, uy tín,…22 Sau UDHR, nhiều công ước quốc tế

về quyền con người và các đạo luật cũng đã được ban hành, trong đó chi tiết hóa và công nhận quyền của chủ thể dữ liệu bao gồm cả quyền đối với DLCN ngay cả khi

dữ liệu được chuyển ra khỏi biên giới quốc gia Trước xu thế phát triển của thế giới

và để đáp ứng nhu cầu cần có những biện pháp củng cố an ninh mạng và an toàn dữ liệu, Việt Nam cũng đã tham gia nhiều điều ước quốc tế như Công ước Quốc tế về

các Quyền Dân sự và Chính trị, Công ước về Quyền Trẻ em (United Nations Convention on the Rights of the Child – UNCRC), Công ước về Quyền của Người khuyết tật (Convention on the Rights of Persons with Disabilities – CRPD),…23

20 Chu Khôi, “Hoàn thiện hệ thống pháp luật về luân chuyển dữ liệu xuyên biên giới”, VnEconomy, ngày

06/10/2021, xem tại: gioi.htm (truy cập ngày 04/4/2022)

https://vneconomy.vn/hoan-thien-he-thong-phap-ly-ve-luan-chuyen-du-lieu-xuyen-bien-21 Điều 12 Tuyên ngôn Nhân quyền phổ quát 1948: “Không ai có thể bị xâm phạm một cách độc đoán vào đời

tư, gia đình, nhà ở, thư tín, hay bị xúc phạm đến danh dự hay thanh danh Ai cũng có quyền được luật pháp bảo vệ chống lại những xâm phạm ấy”

22 Vũ Công Giao và Lê Trần Như Tuyên, “Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp

luật ở một số quốc gia và giá trị tham khảo cho Việt Nam”, Tạp chí Nghiên cứu Lập pháp, Viện nghiên cứu

Lập pháp, 2020, Số 9 (409), tr 57

23 Điều 17 Công ước Quốc tế về các Quyền Dân sự và Chính trị: “1 Không ai bị can thiệp một cách tuỳ tiện

hoặc bất hợp pháp vào đời sống riêng tư, gia đình, nhà ở, thư tín, hoặc bị xâm phạm bất hợp pháp đến danh

dự và uy tín; 2 Mọi người đều có quyền được pháp luật bảo vệ chống lại những can thiệp hoặc xâm phạm như vậy”

Điều 16 Công ước về Quyền Trẻ em: “1 Không trẻ em nào phải chịu sự can thiệp tùy tiện hay bất hợp pháp

vào việc riêng tư, gia đình, nhà cửa hoặc thư tín cũng như những sự công kích bất hợp pháp vào danh dự và thanh danh của các em; 2 Trẻ em có quyền được pháp luật bảo vệ chống lại sự can thiệp hay công kích như vậy”

Điều 22 Công ước về Quyền của Người khuyết tật: “1 Không người khuyết tật nào, dù họ sống ở bất cứ đâu,

cư trú ở khu vực nào, bị can thiệp vào cuộc sống riêng tư, gia đình, nhà riêng hoặc thư tín, hoặc bất kỳ hình thức giao tiếp nào, hay bị tấn công trái pháp luật vào danh dự và uy tín của mình một cách tùy tiện hoặc trái pháp luật Người khuyết tật có quyền được pháp luật bảo vệ chống lại sự can thiệp hoặc tấn công nêu trên; 2

Ở cấp độ luật quốc gia, tại Việt Nam, nhiều quy định về bảo vệ quyền riêng tư

và quyền con người cũng đã được xây dựng Cụ thể, khoản 1 Điều 21 Hiến pháp 2013

đã quy định về quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân, bí mật gia đình và quyền được bảo vệ danh dự, uy tín của mình; Điều 38 Bộ luật Dân sự số 91/2015/QH13 ban hành ngày 24 tháng 11 năm 2015 (BLDS) đã quy dịnh về quyền được bảo mật thư tín, điện thoại, điện tín và các hình thức thông tin điện tử khác Bên cạnh những quy định mang tính định hướng chung nêu trên, bảo vệ quyền riêng tư còn tồn tại trong các văn bản pháp luật chuyên ngành, cụ thể hóa trong nhiều lĩnh vực khác nhau như công nghệ thông tin, TMĐT,…

Về cơ bản, những quy định trong các luật chuyên ngành đều đề cập đến quyền được bảo vệ TTCN, quyền của cá nhân đối với thông tin được thu thập như quyền được từ chối cung cấp thông tin, quyền được cập nhật, sửa đổi thông tin hoặc sự đồng

ý đối với thông tin nhằm giới hạn phạm vi xử lý thông tin,… Tuy nhiên, sự tiếp cận của các quy định nêu trên chủ yếu hướng đến đối tượng là TTCN, cách hiểu khác nhau giữa thuật ngữ TTCN và DLCN đã phần nào thu hẹp lại quyền được bảo vệ DLCN của chủ thể dữ liệu, dẫn đến hậu quả là việc chủ thể dữ liệu trở lên lúng túng

và khó bao quát được hết những quyền bảo vệ DLCN của mình Điều quan trọng nhất

là hầu hết các văn bản pháp luật hiện nay vẫn chưa có các quy định đối với chuyển DLCN xuyên biên giới Gần đây nhất, Dự thảo Nghị định BVDLCN đã lần đầu tiên

đề cập đến vấn đề chuyển DLCN xuyên biên giới Đây được xem là bước ngoặt lớn của pháp luật Việt Nam trong hội nhập vào xu thế chung của thế giới cũng như tiếp thu những điểm tiến bộ của pháp luật các quốc gia Dù vậy, các quy định trong Dự thảo đối với chuyển DLCN xuyên biên giới vẫn chưa được toàn diện, các trường hợp được và không được chuyển dữ liệu xuyên biên giới còn chồng chéo, các biện pháp cam kết bảo vệ DLCN xuyên biên giới vẫn chưa cụ thể Khoa học công nghệ trong

kỷ nguyên số ngày càng phát triển, tạo tiền đề cho phạm vi giao lưu thương mại được

mở rộng và vì vậy việc trao đổi dữ liệu giữa các quốc gia/khu vực, doanh nghiệp, tổ

Các quốc gia thành viên phải bảo vệ tính riêng tư của các thông tin cá nhân, thông tin về sức khỏe và sự hồi phục của người khuyết tật trên cơ sở bình đẳng với những người khác”

chức và các cá nhân cũng diễn ra thường xuyên Sự chưa thống nhất và quy định rõ ràng của các văn bản pháp luật sẽ gây khó khăn cho các bên khi tham gia vào kinh tế

số, đặc biệt là bảo vệ tốt nhất quyền của các chủ thể đối với các hoạt động liên quan đến DLCN bên ngoài quyền tài phán của quốc gia

1.2.4 Sự thiết yếu của khung pháp lý điều chỉnh hoạt động chuyển dữ liệu

cá nhân xuyên biên giới

Thương mại kỹ thuật số xuyên biên giới phát triển nhanh chóng trong những năm gần đây, làm xuất hiện thêm nhiều các sản phẩm kỹ thuật số và mô hình kinh doanh mới Hội nhập vào xu thế chung, Việt Nam đã thúc đẩy tự do hóa thương mại

và kéo theo đó ngày càng có nhiều doanh nghiệp nước ngoài cung cấp các dịch vụ số vào lãnh thổ Việt Nam và ngược lại Có thể thấy, chuyển DLCN xuyên biên giới là công cụ hữu hiệu trong thúc đẩy sự phát triển của kinh tế, văn hóa và khoa học Theo

số liệu được công bố năm 2019 bởi Nikkei Asia, châu Á là khu vực năng động bậc nhất thế giới, trong đó Việt nam trở thành quốc gia nổi bật về hoạt động trao đổi dữ liệu xuyên biên giới, cụ thể:

Một là, có đến năm quốc gia châu Á bao gồm Trung Quốc, Ấn Độ, Singapore,

Nhật Bản và Việt Nam nằm trong danh sách 11 quốc gia có dòng dữ liệu xuyên biên giới lớn nhất thế giới Cụ thể, Trung Quốc dẫn đầu với lưu lượng 111 triệu Mbps

(Megabit per second), ở vị trí thứ hai là Hoa Kỳ với 60 triệu Mbps và kế đến là Vương

quốc Anh với 51,22 triệu Mbps Trong danh sách này, Việt Nam nằm ở vị trí thứ bảy với lưu lượng 7,99 triệu Mbps

Hai là, Việt Nam là quốc gia có mức độ tăng trưởng của dòng chảy dữ liệu

xuyên biên giới cao nhất trong giai đoạn 2001 – 2009 trong số 11 quốc gia với 230.000 lần, gấp khoảng 30 lần so với quốc gia đứng đầu về lưu lượng luân chuyển

dữ liệu là Trung Quốc với 7.500 lần Các quốc gia châu Á khác cũng có mức độ tăng trưởng ấn tượng, có thể kể đến Ấn Độ với 22.000 lần và Singapore với 3.000 lần

Ba là, về sự thay đổi tỷ trọng dữ liệu được chuyển đến các quốc gia giữa năm

2001 và 2020, tỷ trọng dữ liệu được chuyển đến Việt Nam và Singapore từ Hoa Kỳ, Trung Quốc và Ấn Độ năm 2020 lớn hớn so với năm 2001 Điều đáng chú ý là năm

2001, Trung Quốc chủ yếu chuyển dữ liệu đến Hoa Kỳ, Nhật Bản thì đến năm 2020,

tỷ trọng dữ liệu được chuyển đến Việt Nam và Singapore từ Trung Quốc lớn hơn tỷ trọng dữ liệu được chuyển đến Hoa Kỳ, Nhật Bản từ Trung Quốc.24

Có thể thấy, chuyển DLCN xuyên biên giới đã trở thành xu hướng tất yếu mà không một quốc gia nào có thể đứng ngoài, song sự phát triển của kỹ thuật cũng đồng thời gây ra những tác động tiêu cực đối với việc bảo vệ quyền riêng tư của con người, đặc biệt là quyền được bảo vệ DLCN xuyên biên giới

Thứ nhất, hành vi xâm phạm DLCN xuyên biên giới đang diễn ra ngày càng phổ biến

Trong thời đại kinh tế số, chuyển DLCN xuyên biên giới có quan hệ mật thiết với các hoạt động kinh tế, thương mại, khoa học, văn hóa và là một bộ phận của khối

dữ liệu được trao đổi trên môi trường Internet toàn cầu giữa các quốc gia Tuy nhiên, chuyển đổi số cũng đặt ra những vấn đề lớn về an ninh mạng, đặc biệt là ngăn chặn

và xử lý các hành vi xâm phạm DLCN xuyên biên giới của các tội phạm dữ liệu quốc

tế Theo Công ty nghiên cứu an ninh mạng Check Point Research (CRP), từ đầu năm

2021, trên toàn cầu, số vụ tấn công mạng nhắm vào các công ty và tổ chức tăng tới 40% so với năm 2020 Vào tháng 9 năm 2021, trung bình số vụ tấn công hằng tuần nhằm vào mỗi tổ chức trên toàn cầu ở mức cao nhất, với hơn 870 vụ tấn mạng, cao hơn gấp đôi so với con số được ghi nhận vào tháng 3 năm 2020 Thêm vào đó, theo Báo cáo tội phạm Internet năm 2020 được công bố hồi tháng 3 năm 2021, Cục Điều tra Liên bang Mỹ (FBI) cho biết số khiếu nại mà họ nhận được thông qua Trung tâm Khiếu nại tội phạm Internet trong năm 2020 lên tới gần 800.000, gần gấp đôi mức trung bình trong 05 năm trước đó, thiệt hại được báo cáo là hơn 4,1 tỷ USD.25

Thực tế cho thấy con số sẽ không chỉ dừng lại ở đây, với sự phát triển không ngừng của khoa học máy tính và hệ thống thông tin, những vụ tấn công mạng sẽ ngày càng gia tăng và thủ đoạn thực hiện vô cùng tinh vi Xâm phạm DLCN xuyên biên giới chủ yếu tập trung vào đánh cắp, mua bán dữ liệu nhằm thu lợi, ngoài ra DLCN

24 Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS), tlđd (19), tr 03-04

25 Hà Dung, “Bùng nổ tội phạm mạng”, Báo Thời Nay, ngày 14/12/2021, xem tại:

https://nhandan.vn/baothoinay-hosotulieu/bung-no-toi-pham-mang 678190/ (truy cập ngày 06/4/2022)

xuyên biên giới còn bị xâm phạm thông qua hành vi sử dụng, khai thác dữ liệu trái với mục đích thu thập ban đầu Đối với trường hợp này, tội phạm có thể sử dụng dữ liệu vào các mục đích thù địch, chống phá và phản động quốc tế, gây chia rẽ giữa các Đảng chính trị hay thậm chí là mối quan hệ hợp tác giữa các quốc gia Có thể nhận định rằng, với xu hướng tăng trưởng mạnh mẽ của kinh tế số, cần thiết phải xây dựng

và áp dụng các biện pháp bảo vệ DLCN xuyên biên giới trước tình hình tội phạm công nghệ cao đang diễn biến phức tạp và khó lường, hướng đến một môi trường không gian mạng an toàn, góp phần tạo động lực thúc đẩy kinh tế, xã hội phát triển

Thứ hai, bảo vệ DLCN xuyên biên giới là góp phần đảm bảo quyền riêng tư

và lợi ích cho người tiêu dùng

Một là, chuyển DLCN xuyên biên giới tạo ra lo ngại đối với an ninh mạng và

an toàn dữ liệu trên phạm vi quốc tế Sự dịch chuyển của dòng dữ liệu từ quốc gia này sang quốc gia khác đã đặt ra thách thức đối với việc ngăn chặn xâm nhập an ninh mạng và đánh cắp dữ liệu của các tội phạm dữ liệu quốc tế Trình độ phát triển về khoa học kỹ thuật giữa các quốc gia không giống nhau, mức độ bảo vệ đối với DLCN

vì vậy cũng có sự chênh lệch nhất định Khi dữ liệu được chuyển từ một quốc gia/khu vực sang một quốc gia/khu vực có mức độ bảo mật DLCN thấp hơn sẽ tạo điều kiện cho việc xâm nhập và đánh cắp dữ liệu diễn ra trong quá trình chuyển giao

Hai là, DLCN xuyên biên giới đặt ra vấn đề bảo vệ quyền riêng tư của người

dùng, đặc biệt là đối với chủ thể dữ liệu Thực tế, mỗi quốc gia sẽ có các chuẩn mực pháp lý về quyền đối với dữ liệu khác nhau Chẳng hạn như các quốc gia châu Âu trao quyền cao nhất về DLCN cho công dân của mình, đồng thời đặt ra các chuẩn mực và nghĩa vụ pháp lý chặt chẽ về bảo vệ DLCN Tuy nhiên, ở nhiều quốc gia khác, pháp luật thậm chí chưa quy định về quyền đối với DLCN Điều này đặt ra vấn

đề là khi DLCN được chuyển sang một khu vực tài phán với những quy định bảo vệ DLCN không tương thích với quy định của quốc gia “gốc” của dữ liệu sẽ khó đảm bảo DLCN được an toàn Nếu xảy ra sự cố mất an toàn đối với dữ liệu thì sẽ rất khó

để chủ thể dữ liệu có thể thực hiện được quyền kiểm soát hay bảo vệ đối với dữ liệu của mình vì dữ liệu đó đang được một quốc gia khác nắm giữ Về phía quốc gia “gốc”

của dữ liệu, trong trường hợp này, Nhà nước cũng có rất ít khả năng để hỗ trợ công dân của mình thực hiện các quyền của chủ thể dữ liệu do bị giới hạn về thẩm quyền tài phán.26 Có thể kể đến vụ việc Facebook làm lộ dữ liệu của người dùng trong vụ việc Cambridge Analytica, người dùng ở Việt Nam không được đền bù thiệt hại cũng như không thể tự thực hiện các giải pháp tự bảo vệ khi có xâm phạm DLCN xảy ra.27

Ba là, chuyển DLCN xuyên biên giới đặt ra vấn đề đối với thực thi pháp luật

quốc gia Dòng dữ liệu xuyên biên giới đặt các quốc gia trước thách thức thực thi các quy định pháp lý liên quan đến các chủ thể không nằm trong lãnh thổ quốc gia mình Phạm vi không gian mạng vô cùng rộng, có thể nói là không có biên giới, do đó về

cơ bản, một tổ chức, doanh nghiệp hay cá nhân có thể kinh doanh ở một quốc gia khác mà không cần đặt văn phòng hay trụ sở Ngoài ra, như đã đề cập, sau khi dữ liệu được chuyển ra khỏi biên giới quốc gia thì về cơ bản, cả chủ thể dữ liệu và các cơ quan nhà nước sẽ rất khó thực hiện quyền giám sát của mình đối với việc xử lý, khai thác dữ liệu vì bị giới hạn quyền tài phán Về mặt này, cơ quan thực thi pháp luật sẽ phải đối mặt với thách thức rất lớn khi thực hiện nghĩa vụ theo luật định như thanh tra, xử lý vi phạm, giải quyết khiếu nại.28

Thứ ba, bảo vệ DLCN xuyên biên giới là xây dựng động lực phát triển bền vững và hội nhập kinh tế quốc tế

Một là, DLCN xuyên biên giới cung cấp phương tiện cho các doanh nghiệp và

người tiêu dùng tiếp cận với nhiều loại hàng hóa và dịch vụ của nhiều thị trường Nghiên cứu của Diễn đàn Kinh tế Thế giới năm 2020 cho thấy khoảng một nửa hoạt động thương mại xuyên biên giới được vận hành nhờ kết nối kỹ thuật số, cho

26 Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS), tlđd (19), tr 06

27 Vụ bê bối dữ liệu Facebook – Cambridge Analytica: Cuối tháng 3/2018, Facebook dính vào vụ bê bối vì để

lộ DLCN của 87 triệu người dùng Facebook trên toàn cầu cho một nhà phát triển Sau đó người này bán lại dữ liệu cho Cambridge Analytica – công ty làm việc cho chiến dịch tranh cử Tổng thống Mỹ hồi năm 2016 của ông Donald Trump Sau vụ việc lộ lọt thông tin, Giám đốc điều hành kiêm người đồng sáng lập mạng xã hội lớn nhất hành tinh Facebook – Mark Zuckerberg đã phải ra điều trần trước Quốc hội Mỹ Vụ việc này đã khiến Facebook mất 86 tỷ USD vốn hóa Trong vụ việc này, Việt Nam nằm trong Top 10 quốc gia bị lộ thông tin trên Facebook nhiều nhất Theo con số mà Facebook ước tính, Việt Nam có 427.466 tài khoản bị hãng Cambridge Analytica sử dụng dữ liệu phục vụ cho cuộc bầu cử Mỹ Xem thêm tại: Cẩm Thi, “Thủ tướng yêu cầu báo cáo thông tin Việt Nam thuộc Top 10 nước bị lộ thông tin trên Facebook”, ngày 20/4/2018, xem tại: https://kiemsat.vn/thu-tuong-yeu-cau-bao-cao-thong-tin-viet-nam-thuoc-top-10-nuoc-bi-lo-thong-tin-tren- facebook-49628.html (truy cập ngày 08/4/2022)

28 Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS), tlđd (19), tr 06

phép các nước đang phát triển và doanh nghiệp siêu nhỏ, nhỏ và vừa xuất khẩu thông qua khả năng tiếp thị, tiếp cận thị trường dễ dàng hơn và phân phối ít tốn kém hơn Nghiên cứu của AlphaBeta năm 2019 ước tính rằng các công cụ kỹ thuật số đã giúp các doanh nghiệp vừa và nhỏ trên khắp châu Á giảm 82% chi phí xuất khẩu và 29% thời gian giao dịch.29

Bằng cách sử dụng Internet và đường truyền dữ liệu, các tổ chức kinh doanh đều có thể tiếp thị và cung cấp ý tưởng, hàng hóa và dịch vụ của mình đến bất kỳ nơi nào trên thế giới mà dữ liệu được phép lưu chuyển Các doanh nghiệp có thể mở rộng hoạt động kinh doanh một cách hiệu quả, tiết kiệm chi phí, sử dụng cơ sở hạ tầng linh hoạt và giảm thiểu đầu tư vào các thiết bị công nghệ thông tin bổ sung Việc DLCN được tự do di chuyển trên phạm vi quốc tế cũng cho phép các doanh nghiệp, tổ chức thu thập, phân tích, xử lý và lưu trữ dữ liệu khi khảo sát trải nghiệm của người tiêu dùng đối với hoạt động và sản phẩm của doanh nghiệp nhằm cải thiện chất lượng dịch

vụ, nâng cao sự hài lòng và thu hút khách hàng Bên cạnh đó, doanh nghiệp vừa và nhỏ cũng được hưởng lợi từ việc tiếp cận các nền tảng và phần mềm từ dịch vụ dựa trên điện toán đám mây bao gồm: ứng dụng, phần mềm trung gian, hệ điều hành, máy chủ, lưu trữ, khả năng kết nối mạng hoặc thiết bị Các dịch vụ này được vận hành theo mô hình trả tiền thay vì cam kết đầu tư vốn lớn nên các rào cản tài chính đối với việc gia nhập thị trường của các doanh nghiệp vừa và nhỏ được giảm đáng kể.30

Về phía người tiêu dùng, các luồng dữ liệu tự do tạo điều kiện để khách hàng tiếp cận đa dạng hàng hóa và dịch vụ có sẵn trực tuyến một cách nhanh chóng và tiện lợi Sự di chuyển tự do của dữ liệu xuyên biên giới cho phép các tổ chức sử dụng cơ

sở hạ tầng chung để phục vụ nhiều thị trường, do đó hàng hóa và dịch vụ được đưa đến khách hàng nhanh hơn, tiếp thị kỹ thuật số cũng vì vậy làm tăng sự lựa chọn và

sự hài lòng của người dùng

Hai là, DLCN xuyên biên giới thúc đẩy tiến bộ kinh tế và xã hội quốc gia, xây

dựng tiền đề cho gia nhập thị trường quốc tế

29 Chu Khôi, tlđd (20)

30 Robert Pepper, John Garity and Connie LaSalle, “Cross-Border Data Flows, Digital Innovation, and

Economic Growth”, The Global Information Technology Report 2016, Geneva, 2016, tr 42

Dòng dữ liệu tự do mang lại lợi ích cho tất cả các lĩnh vực công nghiệp, từ sản xuất đến dịch vụ tài chính, giáo dục, chăm sóc sức khỏe,… Sự tăng trưởng, mở rộng quy mô kinh doanh của các tổ chức, doanh nghiệp cũng đồng nghĩa với việc tạo thêm việc làm, tăng thu nhập cho người dân để từ đó, chất lượng cuộc sống và phúc lợi xã hội được cải thiện Thêm vào đó, ứng dụng luồng dữ liệu tự do là cơ hội cho quốc gia hội nhập sâu rộng hơn và hiệu quả hơn vào nền kinh tế thế giới, tiến thẳng vào lĩnh vực công nghiệp mới, tranh thủ các thành tựu khoa học – công nghệ để đẩy nhanh tiến trình công nghiệp hóa, hiện đại hóa đất nước Chuyển DLCN xuyên biên giới có mối liên hệ chặt chẽ với sự tăng trưởng và thành công của nền kinh tế quốc gia và kinh tế toàn cầu

Việt Nam với tư cách là quốc gia nằm trong Top 10 thế giới về luân chuyển dữ liệu xuyên biên giới đang từng bước khẳng định vị thế của mình trong lĩnh vực kinh

tế số Đặc biệt, việc tận dụng lợi thế từ dữ liệu xuyên biên giới đã tạo cơ hội cho quốc gia được tiếp cận nhiều công nghệ tiến bộ, tham gia vào chuỗi cung ứng toàn cầu giúp kết nối các khu vực kinh tế, nâng cao năng suất sản xuất, thu hút vốn đầu tư và tăng lợi nhuận trong các ngành nghề kinh doanh Tuy nhiên, sự tham gia của Việt Nam vào thị trường dữ liệu toàn cầu vẫn còn gặp nhiều hạn chế So với pháp luật quốc tế

về DLCN xuyên biên giới như GDPR hay PDPA, hiện nay, pháp luật Việt Nam vẫn chưa có nhiều quy định liên quan đến DLCN xuyên biên giới, hầu hết các quy định đều tập trung vào TTCN có nội hàm hẹp hơn so với DLCN.Bên cạnh đó, tuy Dự thảo Nghị định BVDLCN đã được xây dựng và lấy ý kiến đóng góp nhưng còn tồn tại nhiều điểm bất cập liên quan đến chuyển DLCN xuyên biên giới Cụ thể, giữa các điều kiện cần phải đáp ứng với các trường hợp ngoại lệ trong chuyển DLCN xuyên biên giới có sự chồng chéo và chưa thống nhất, các biện pháp cam kết khi chuyển dữ liệu ra khỏi biên giới quốc gia cũng chưa được quy định chi tiết Đồng thời, yêu cầu lưu trữ dữ liệu gốc tại Việt Nam vẫn còn vấp phải nhiều ý kiến trái chiều liên quan đến những tác động mà doanh nghiệp phải chịu khi thực hiện yêu cầu này Nhận thấy được thực tế này, việc xây dựng các quy định chặt chẽ đối với chuyển DLCN và bảo

vệ DLCN xuyên biên giới là vô cùng cần thiết, là tiền đề cho Việt Nam thâm nhập sâu hơn vào thị trường quốc tế và thị trường dữ liệu toàn cầu

KẾT LUẬN CHƯƠNG 1

Chương 1 của Khóa luận đã tiếp cận những vấn đề lý luận liên quan đến dịch chuyển DLCN xuyên biên giới và bảo vệ DLCN, đây cũng chính là cơ sở cho việc phân tích và nghiên cứu sâu hơn ở Chương 2 Cụ thể, Chương 1 đã làm rõ những nội

dung sau: Một là, làm rõ khái niệm của DLCN trong chuyển DLCN xuyên biên giới

và dựa trên khái niệm này, tác giả đã chỉ ra những đặc điểm liên quan đến DLCN xuyên biên giới; hai là, khái quát chung về dịch chuyển DLCN xuyên biên giới, ở đây, tác giả chỉ rõ tầm quan trọng của việc thúc đẩy hoạt động chuyển dữ liệu xuyên biên giới và nhận thức của thế giới hiện nay đối với vấn đề này Đồng thời, tác giả cũng đưa ra những cơ sở pháp lý làm nền tảng cho việc bảo vệ DLCN trong hoạt động thương mại quốc tế cũng như các cơ sở quan trọng cho quyền được bảo vệ DLCN xuyên biên giới Từ đó chỉ ra được sự cần thiết phải xây dựng khung pháp lý vững chắc đối với hoạt động truyền tải DLCN xuyên biên giới cũng như bảo vệ dữ liệu trong thời đại phát triển kinh tế số

Như vậy, từ kết quả của Chương 1, có thể nhận định rằng: chuyển DLCN xuyên biên giới là hoạt động đóng vai trò quan trọng trong thúc đẩy sự phát triển kinh tế và

xã hội của thế giới, trong đó có Việt Nam Vấn đề bảo vệ DLCN xuyên biên giới là vấn đề cấp thiết và cần được pháp luật quan tâm nhằm đảm bảo quyền con người nói chung và quyền riêng tư nói riêng

CHƯƠNG 2: CÁC VẤN ĐỀ PHÁP LÝ VỀ DỊCH CHUYỂN DỮ LIỆU

CÁ NHÂN XUYÊN BIÊN GIỚI VÀ GIẢI PHÁP CHO VIỆT NAM TỪ KINH

NGHIỆM NƯỚC NGOÀI 2.1 Xu hướng pháp luật nước ngoài về chuyển dữ liệu cá nhân xuyên biên giới

2.1.1 Khái quát các cách tiếp cận điển hình về pháp luật chuyển dữ liệu cá nhân xuyên biên giới

Trước thách thức bảo vệ DLCN xuyên biên giới trong thời đại chuyển đổi số, các quốc gia cần phải xây dựng những quy định tiếp cận với pháp luật quốc tế về chuyển DLCN qua biên giới Hiện nay, trên thế giới có năm cách tiếp cận chính đối với vấn đề DLCN xuyên biên giới, cụ thể:

Cách tiếp cận thứ nhất: không có quy định về chuyển DLCN qua biên giới

Lý do cho việc hệ thống pháp luật của một quốc gia không có quy định về chuyển DLCN xuyên biên giới có thể là do không có bất cứ văn bản pháp luật nào đề cập đến vấn đề bảo vệ DLCN hoặc có văn bản pháp lý về bảo vệ DLCN nhưng lại không quy định về DLCN xuyên biên giới Cần hiểu rằng việc không quy định này không ngụ ý hạn chế hoạt động chuyển dữ liệu qua biên giới, tuy nhiên điều này có thể làm giảm khả năng dự liệu và điều chỉnh của pháp luật quốc gia khi có xâm phạm xảy ra đối Hành vi xâm phạm này có thể đến từ phía chủ thể nước ngoài nhận DLCN hoặc khi hội nhập quốc tế với những quốc gia có quy định điều kiện về cùng vấn đề

Cách tiếp cận thứ hai: quy định trách nhiệm giải trình cho chủ thể chuyển DLCN xuyên biên giới

Đối với quốc gia có quy định theo hướng tiếp cận này, các chủ thể chuyển DLCN qua biên giới khi muốn thực hiện hành vi không nhất thiết phải đáp ứng các điều kiện được quy định trước hay phải được cơ quan nhà nước có thẩm quyền cấp phép Trong trường hợp này, các chủ thể được phép thực hiện hành vi chuyển dữ liệu xuyên biên giới với nghĩa vụ đảm bảo an toàn cho dữ liệu và phải chịu trách nhiệm nếu dữ liệu này bị xâm phạm Có thể xem mô hình quản lý của Singapore thể hiện trong PDPA đối với DLCN xuyên biên giới là điển hình cho cách thức tiếp cận này

Cách thức tiếp cận thứ ba: quy định điều kiện an toàn cần phải đáp ứng trước khi chuyển DLCN qua biên giới

Khi áp dụng phương pháp quy định này, các chủ thể trong dịch chuyển DLCN xuyên biên giới phải đáp ứng các điều kiện được đặt ra bởi các cơ quan có thẩm quyền như quyết định về mức độ bảo vệ DLCN tương thích giữa các quốc gia với quốc gia gốc của DLCN, chính sách bảo vệ DLCN tương thích với luật hoặc các điều khoản hợp đồng về chuyển DLCN qua biên giới được ấn định,… Ví dụ cho mô hình quản

lý này có thể kể đến đạo luật bảo vệ DLCN của Liên minh châu Âu – GDPR

Cách thức tiếp cận thứ tư: cấp phép cho từng trường hợp cụ thể trong chuyển DLCN xuyên biên giới

Đối với các quốc gia có mô hình pháp luật quy định theo cách thức này, các chủ thể khi chuyển dữ liệu xuyên biên giới phải được sự chấp thuận từ cơ quan có thẩm quyền trước khi hoạt động được diễn ra và trong từng trường hợp cụ thể Hướng tiếp cận này có thể được tìm thấy trong mô hình quản lý của Trung Quốc thể hiện ở Luật

bảo vệ thông tin cá nhân (Personal Information Protection Law – PIPL)

Cách tiếp cận thứ năm: cấm chuyển DLCN qua biên giới

Với trường hợp này, các chủ thể nắm giữ DLCN bắt buộc phải lưu trữ, xử lý dữ liệu tại quốc gia thu thập DLCN mà không được chuyển dữ liệu này tới bất kỳ quốc gia/khu vực nào khác.31

Trong năm phương thức tiếp cận trên, quy định điều kiện an toàn cần phải đáp ứng và quy định trách nhiệm giải trình cho chủ thể chuyển DLCN xuyên biên giới là hai cách thức tiếp cận chủ đạo hiện nay với nổi bật là GDPR và PDPA Trong hơn

100 quốc gia trên thế giới hiện đã áp dụng luật bảo vệ dữ liệu thì có 28 quốc gia thành viên EU đã nội luật hóa GDPR Trong khi đó, PDPA được đánh giá là một trong những đạo luật tiến bộ về bảo vệ quyền riêng tư và DLCN người dùng và thường được các chuyên gia so sánh với các quy định trong GDPR

Sau khi Dự thảo Nghị định BVDLCN được công bố, pháp luật Việt Nam đã lần đầu tiên có quy định liên quan đến bảo vệ DLCN và chuyển DLCN qua biên giới

31 Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS), tlđd (19), tr 07

Các quy định trong Dự thảo được đánh giá có sự học tập phần lớn từ GDPR, đặc biệt

là đối với hoạt động chuyển DLCN qua biên giới, các chủ thể khi muốn chuyển dữ liệu đến quốc gia/khu vực khác phải đáp ứng các điều kiện bắt buộc như có sự đồng

ý của chủ thể dữ liệu, dữ liệu gốc phải được lưu trữ tại Việt Nam, có văn bản đồng ý của cơ quan có thẩm quyền và văn bản chứng minh mức độ bảo vệ DLCN tương thích giữa các quốc gia/khu vực Tuy vậy, hiện tại vẫn chưa xác định được cách tiếp cận

mà Dự thảo đang thực sự hướng tới, tuy nhiên thông qua các quy định trong Dự thảo

có thể thấy Việt Nam đang cân nhắc cách tiếp cận thứ ba, thiên về cấp phép cho từng trường hợp cụ thể trong chuyển DLCN ra khỏi biên giới Việt Nam.32 Có ý kiến cho rằng, nếu áp dụng cách thức tiếp cận cấp phép cho từng trường hợp cụ thể sẽ dễ dẫn đến gia tăng gánh nặng thực thi cho các chủ thể liên quan quan Đồng thời điều này cũng sẽ tạo rào cản đối với thu hút đầu tư nước ngoài và có khả năng làm suy giảm

an ninh dữ liệu do dữ liệu hoàn toàn tập trung công khai tại một khu vực.33 Thay vào

đó, việc xây dựng pháp luật theo hướng quy định trách nhiệm giải trình cho các chủ thể như PDPA sẽ phù hợp hơn, giúp doanh nghiệp Việt Nam từng bước nâng cao hiệu quả bảo vệ DLCN người dùng, đồng thời cũng giúp Việt Nam có chế tài hiệu quả hơn cho các doanh nghiệp nước ngoài cung cấp dịch vụ xuyên biên giới.34 Trong tiểu mục 2.1.2 và 2.1.3, tác giả tập trung làm rõ cách thức tiếp cận của pháp luật Liên minh châu Âu và Singapore nhằm cung cấp cái nhìn rõ hơn về xu hướng quy định của pháp luật hai quốc gia, cũng như làm cơ sở đề xuất phướng hướng tiếp cận phù hợp đối với pháp luật Việt Nam về hoạt động dịch chuyển DLCN xuyên biên giới

2.1.2 Cách tiếp cận của pháp luật Liên minh châu Âu đối với chuyển dữ liệu cá nhân xuyên biên giới

GDPR của EU được xem là đạo luật điển hình trên thế giới về bảo vệ DLCN và đặc biệt là các quy định liên quan đến chuyển DLCN qua biên giới Văn bản pháp lý

32 Nguyễn Quang Đồng, “An toàn và tự do cho dữ liệu xuyên biên giới”, Báo Điện Tử Đại Biểu Nhân Dân,

ngày 29/8/2021, xem tại: gngrwrasla-62519 (truy cập ngày 10/4/2022)

https://daibieunhandan.vn/an-toan-va-tu-do-cho-du-lieu-xuyen-bien-gioi-33 Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS), “Luân chuyển dữ liệu cá nhân xuyên biên giới – Từ tin cậy đến tự do”, xem tại: https://sway.office.com/OOqXIrFo0z5ydDL2?ref=Link (truy cập ngày 10/4/2022)

34 Nguyễn Quang Đồng, tlđd (32)

đầu tiên được EU ban hành đề cập đến DLCN xuyên biên giới và bảo vệ DLCN là Chỉ thị 95/46/EC của Nghị viện châu Âu về bảo vệ các cá nhân về xử lý dữ liệu cá nhân và quyền tự do di chuyển dữ liệu Văn bản này được Nghị viện xây dựng dựa trên Công ước Bảo vệ dữ liệu cá nhân liên quan đến xử lý tự động dữ liệu cá nhân năm 1981 của Hội đồng châu Âu.35 Có tổng cộng ba trường hợp DLCN được phép chuyển ra khỏi EU: (i) quốc gia nơi nhận dữ liệu được EU công nhận có mức độ bảo

vệ dữ liệu thích hợp; (ii) việc chuyển DLCN ra khỏi biên giới thuộc các trường hợp ngoại lệ được liệt kê tại khoản 1 Điều 26; và (iii) quốc gia nhận dữ liệu cung cấp đầy

đủ các biện pháp bảo vệ như cam kết tại khoản 2 Điều 26.36 Có thể xem đây là một trong những quy định đặt nền móng cho sự phát triển về sau của luồng dữ liệu xuyên biên giới tại EU trong bối cảnh hội nhập kinh tế và xã hội đang là xu hướng Tuy nhiên, Chỉ thị này đã bị thay thế bởi GDPR vào ngày 25 tháng 5 năm 2018 Cũng từ đây, nhiều quốc gia thành viên EU đã ban hành luật về bảo vệ dữ liệu từ việc nội luật hóa GDPR dựa trên những quy định mở, tạo nên một khuôn khổ pháp lý vững chắc

về bảo vệ quyền riêng tư và DLCN (có thể kể đến FDPA của Đức đã thay thế cho BDSG là đạo luật bảo vệ dữ liệu ra đời sớm nhất tại châu Âu) Về cơ bản, các quy định trong GDPR không có nhiều sự khác biệt so với Chỉ thị 95/46/EC Tuy nhiên, GDPR đã đưa ra một số quy định mới đối với dịch chuyển dữ liệu cũng như những thay đổi đáng kể về việc công nhận các quốc gia có mức độ bảo vệ tương đương

(adequate level of data protection)

Có thể xem GDPR là đạo luật nổi bật với cách thức tiếp cận trong quy định điều kiện an toàn cần đáp ứng trước khi chuyển DLCN qua biên giới Điều này được thể

35 Công ước Bảo vệ dữ liệu cá nhân liên quan đến xử lý tự động dữ liệu cá nhân năm 1981 của Hội đồng châu

Âu hướng đến đảm bảo quyền được bảo vệ DLCN của mọi cá nhân bất kể mang quốc tịch hay đang cư trú trên lãnh thổ nào Nguyên tắc tương đương được chọn làm tiêu chí cốt lõi đối với luồng dữ liệu xuyên biên giới

Cơ sở của nguyên tắc này chính là việc các quốc gia thành viên Công ước đều phải tuân thủ nguyên tắc chung

đã được đặt ra đối với các điều khoản về bảo vệ dữ liệu và các quốc gia phải đáp ứng mức độ bảo vệ tối thiểu nhất định Tuy nhiên, việc chuyển DLCN ra khỏi biên giới sang các quốc gia không phải thành viên Công ước

sẽ bị cấm, trừ khi quốc gia nhận dữ liệu có mức độ bảo vệ tương đương với quốc gia chuyển dữ liệu Do số lượng các quốc gia thành viên bị hạn chế và việc chuyển DLCN sang các quốc gia không phải thành viên mà không đáp ứng mức độ bảo vệ tương đương bị cấm, theo thời gian Công ước đã không thể đáp ứng nhu cầu ngày càng tăng của việc chuyển DLCN giữa các quốc gia ký kết và các quốc gia không ký kết

36 Lingjie Kong, “Data Protection and Transborder Data Flow in the European and Global Context”, The

European Journal of International Law, 2010, Vol 21, No.2, tr 443

hiện qua các trường hợp mà EU cho phép DLCN được tự do và bị hạn chế khi truyền tải xuyên biên giới Cụ thể, GDPR tạo điều kiện cho dòng DLCN được tự do dịch chuyển xuyên biên giới đến các quốc gia đáp ứng đầy đủ các yêu cầu về bảo mật, trong khi đó luồng dữ liệu sẽ bị hạn chế nghiêm ngặt khi được chuyển đến các quốc gia không đáp ứng mức độ bảo mật tương thích

Theo nguyên tắc chung, việc chuyển DLCN sang các quốc gia bên ngoài Khu

vực kinh tế châu Âu (European Economic Area – EEA) có thể diễn ra nếu các quốc

gia này được coi là đảm bảo mức độ bảo vệ dữ liệu tương thích Mức độ bảo vệ DLCN

sẽ được Ủy ban châu Âu (European Commission – EC) đánh giá thông qua “bản đánh giá mức độ tương thích” (adequate findings) có giá trị ràng buộc đối với tất cả các

quốc gia thành viên trong Liên minh Sau khi mức độ bảo vệ của các quốc gia đã được công nhận, DLCN có thể được chuyển đến quốc gia này mà không cần phải thực hiện thêm các biện pháp bảo vệ Một điểm mới trong GDPR liên quan đến quyết định về mức độ bảo vệ tương thích là phải được đánh giá định kỳ ít nhất bốn năm một lần dựa trên sự phát triển trong những năm qua ở nước thứ ba Ngoài ra GDPR cũng yêu cầu EC theo dõi trên cơ sở những tác động có thể ảnh hưởng đến hoạt động đúng đắn của các quyết định nêu trên, trong trường hợp cần thiết để bảo vệ DLCN, những quyết định này có thể bị bãi bỏ, sửa đổi hoặc đình chỉ Nếu các quốc gia nhận DLCN xuyên biên giới không đáp ứng mức độ bảo vệ tương thích như yêu cầu, về nguyên tắc, DLCN chỉ có thể được chuyển giao nếu: (i) bên kiểm soát hoặc bên xử

lý chịu trách nhiệm xuất dữ liệu đã cung cấp các biện pháp bảo vệ thích hợp; hoặc (ii) quốc gia/khu vực nhận dữ liệu đảm bảo chủ thể dữ liệu có thể thực thi quyền của mình và tồn tại các biện pháp pháp lý hiệu quả để bảo vệ DLCN

Có thể thấy, GDPR quy định rất nghiêm ngặt đối với các điều kiện mà quốc gia/khu vực cần đáp ứng trước khi chuyển DLCN xuyên biên giới Tuy nhiên, trước nhu cầu mở rộng giao lưu kinh tế, văn hóa, GDPR đã cho phép một số trường hợp ngoại lệ cho phép dữ liệu được truyền tải dù không đáp ứng mức độ bảo vệ tương ứng hay các biện pháp bảo vệ thích hợp Bên cạnh đó, GDPR cũng xác nhận rõ ràng rằng nếu không tồn tại cơ sở pháp lý nào khác, bất kỳ phán quyết nào của tòa án,

trọng tài hoặc quyết định của cơ quan hành chính của quốc gia thứ ba yêu cầu bên kiểm soát hoặc bên xử lý chuyển giao, tiết lộ DLCN chỉ được công nhận hoặc có hiệu lực thi hành dựa trên thỏa thuận quốc tế (chẳng hạn như hiệp định tương trợ tư pháp) giữa quốc gia thứ ba và EU hoặc một quốc gia thành viên.37

2.1.3 Cách tiếp cận của pháp luật Singapore đối với chuyển dữ liệu cá nhân xuyên biên giới

PDPA là khuôn khổ pháp lý đầu tiên được Singapore thiết lập để bảo vệ DLCN

Dự luật đã được thông qua vào năm 2012 nhưng việc thực hiện được tiến hành theo từng giai đoạn để các tổ chức có thời gian (18 tháng) điều chỉnh các hoạt động theo hướng tuân thủ PDPA Trước khi có PDPA, nghĩa vụ bảo vệ DLCN được quy định riêng cho từng ngành, lĩnh vực và có phạm vi điều chỉnh hẹp Xu hướng ngày càng

có nhiều quốc gia/khu vực ban hành luật bảo vệ DLCN đã đặt ra nhu cầu cần có một đạo luật tương tự tại Singapore với các quy định tiệm cận với tiêu chuẩn quốc tế nhằm tạo điều kiện thuận lợi cho việc chuyển DLCN xuyên biên giới Singapore xem PDPA như một cơ chế thiết yếu giúp nâng cao khả năng cạnh tranh và củng cố vị thế của quốc gia, là đối tác kinh doanh đáng tin cậy.38 Để đáp ứng bối cảnh thay đổi nhanh chóng của nền kinh tế kỹ thuật số, ngày 05 tháng 10 năm 2020, PDPA đã được sửa đổi, bổ sung39 để đảm bảo cho đạo luật luôn được cập nhật với sự phát triển của công

37 Loyens and Loeff, “GDPR – Cross-border data transfers”, ngày 26/4/2017, xem tại: https://s3.amazonaws.com/documents.lexology.com/87abea7f-611c-4121-a00e-

d9a2ace811e8.pdf?AWSAccessKeyId=AKIAVYILUYJ754JTDY6T&Expires=1650118813&Signature=rSG KKsf8QEfcu3sWt%2B8MRfOa2ms%3D (truy cập ngày 12/4/2022)

38 Yuet Ming Tham, Ijin Tan and Teena Zhang, “Chapter 16: Singapore”, The Privacy, Data Protection and

Cybersecurity Law Review, 2014, Edition 1, tr 204

39 Các văn bản sửa đổi, bổ sung PDPA của Singapore bao gồm Quy định bảo vệ dữ liệu cá nhân 2021 (Personal

Data Protection Regulations 2021), Quy định về thông báo vi phạm dữ liệu 2021 (Personal Data Protection (Notification of Data Breaches) Regulations 2021), Quy định về thực thi bảo vệ dữ liệu cá nhân 2021 (Personal Data Protection (Enforcement) Regulations 2021), Quy định về các khoản bồi thường trong bảo vệ dữ liệu cá

nhân (Personal Data Protection (Composition of Offences) Regulations 2021)

Xem thêm tại: Stella Cramer (SG), Wilson Ang (SG), Jeremy Lua (SG) and Crystal Wong, “Amendments to the Personal Data Protection Act In Force”, ngày 01/02/2021, xem tại: https://www.dataprotectionreport.com/2021/02/amendments-to-the-personal-data-protection-act-in-force/ (truy cập ngày 15/4/2022)

nghệ, quy định quốc tế, nâng cao sự phù hợp và ổn định của Singapore với tư cách là một trung tâm kinh tế toàn cầu.40

Tại Sinagpore, vấn đề dịch chuyển DLCN xuyên biên giới được tiếp cận theo hướng quy định trách nhiệm giải trình cho chủ thể khi muốn chuyển dữ liệu đến các quốc gia/khu vực khác Theo khoản 1 Điều 26 PDPA được bổ sung bởi khoản 1 Điều

10 PDP Regulations, một tổ chức không được phép chuyển DLCN đến một quốc gia/khu vực bên ngoài Singapore trừ khi tuân theo các yêu cầu được quy định trong PDPA, phải cam kết thực hiện các biện pháp thích hợp để đảm bảo rằng quốc gia/khu

vực nhận DLCN bị ràng buộc bởi các nghĩa vụ có hiệu lực pháp lý (legally enforceable obligations) nhằm đảm bảo bảo vệ DLCN với tiêu chuẩn tương đương

PDPA Có thể thấy, khác với GDPR, PDPA không yêu cầu các bên phải đáp ứng những điều kiện có trước hoặc được chấp thuận bằng văn bản bởi cơ quan nhà nước Trong trường hợp này, bên chuyển DLCN chỉ cần cam kết thực hiện việc bảo vệ DLCN và tự chịu trách nhiệm cho bất kỳ xâm phạm nào xảy ra đối với DLCN Những nghĩa vụ có hiệu lực pháp lý bao gồm các nghĩa vụ áp đặt đối với bên nhận dữ liệu theo bất kỳ luật nào hiện hành của quốc gia nơi DLCN được chuyển đến, nghĩa vụ hợp đồng, quy tắc nội bộ ràng buộc đối với việc chuyển giao trong nội bộ công ty hoặc bất kỳ công cụ pháp lý nào khác Tuy nhiên, tại khoản 2 Điều 10 PDP Regulations cũng quy định trường hợp các tổ chức chuyển giao được xem là đã đáp ứng các yêu cầu của khoản 1, chẳng hạn như: chủ thể dữ liệu đồng ý với việc chuyển DLCN ra ngoài lãnh thổ Singapore hoặc khi DLCN đã được cung cấp công khai tại Singapore Với sự sửa đổi, bổ sung trong PDP Regulations, các tổ chức, doanh nghiệp

đã có nhiều cơ hội hơn trong việc thúc đẩy hoạt động chuyển DLCN xuyên biên giới

so với những quy định trước đây trong PDPA 2012 Song, được trao thêm quyền lợi cũng đi kèm với nghĩa vụ tăng lên Các bên trong chuyển DLCN xuyên biên giới sẽ phải tự chịu trách nhiệm với vấn đề bảo mật DLCN và trong trường hợp có xâm phạm

40 “Personal Data Protection Act Amendments”, GuideMeSingapore, ngày 30/11/2020, xem tại:

https://www.guidemesingapore.com/in-the-news/2020/personal-data-protection-amendment-bill (truy cập ngày 15/4/2022)

xảy ra, tổ chức, doanh nghiệp sẽ phải đối mặt với trách nhiệm pháp lý nặng nề do PDPA đặt ra, bao gồm trách nhiệm dân sự, hành chính hoặc trách nhiệm hình sự

2.2 Một số vấn đề pháp lý cụ thể trong đảm bảo dịch chuyển dữ liệu cá nhân xuyên biên giới

2.2.1 Điều kiện chuyển dữ liệu cá nhân xuyên biên giới

Khoản 1 và khoản 3 Điều 21 Dự thảo đề cập đến những điều kiện chung các bên phải đáp ứng đầy đủ trước khi chuyển DLCN ra khỏi biên giới và những điều kiện ngoại lệ được áp dụng trong trường hợp không đạt đủ những điều kiện chung Tác giả nhận thấy những quy định về chuyển dữ liệu xuyên biên giới được đưa ra trong Dự thảo khá giống với các quy định trong GDPR, đồng thời cũng có một số điểm tương đồng với PIPL Bên cạnh việc thể hiện những điểm tiến bộ, Dự thảo vẫn còn tồn tại một số hạn chế về những điều kiện đặt ra đối với các chủ thể, cụ thể:

Thứ nhất, về những điều kiện cần đáp ứng đầy đủ trước khi chuyển DLCN xuyên biên giới với những điều kiện ngoại lệ và các cơ sở để Cơ quan bảo vệ dữ liệu ra văn bản đồng ý

Một là, đối chiếu khoản 1 và khoản 3 Điều 21 Dự thảo Nghị định BVDLCN có

thể thấy ở cả hai khoản này đều yêu cầu: (i) sự đồng ý của chủ thể dữ liệu và (ii) có văn bản đồng ý của Ủy ban bảo vệ dữ liệu cá nhân (UBBVDLCN) Khác biệt ở chỗ, tại khoản 1 thì hai điều kiện này là hai kiện cần phải được đáp ứng đồng thời (kèm theo hai điều kiện khác tại điểm b và c khoản 1 Điều 21), tuy nhiên, tại khoản 2 thì các bên chỉ cần đáp ứng một trong các điều kiện được nêu Câu hỏi đặt ra ở đây là các bên sẽ phải tuân theo những quy định cụ thể nào khi có sự trùng lặp giữa các điều kiện để chuyển DLCN xuyên biên giới Chẳng hạn như khi đã có được sự đồng ý của chủ thể dữ liệu thì các bên có nhất thiết phải đáp ứng ba điều kiện còn lại, hay chăng

có thể trực tiếp áp dụng trường hợp ngoại lệ như đã được nêu

Hai là, điểm a và b khoản 2 Điều 21 Dự thảo quy định hai cơ sở để Cơ quan bảo vệ dữ liệu ra văn bản về việc chuyển DLCN qua biên giới, gồm “bảo vệ hiệu quả các quyền của chủ thể dữ liệu” và “cam kết của Bên xử lý dữ liệu cá nhân khi đăng

ký chuyển dữ liệu cá nhân qua biên giới”, song đây cũng là hai trong bốn trường hợp

ngoại lệ tại khoản 3 mà các bên có thể áp dụng khi chuyển DLCN xuyên biên giới Vấn đề đặt ra là liệu các cá nhân, tổ chức có nhất thiết phải có văn bản đồng ý của Cơ quan bảo vệ dữ liệu khi đã có cam kết bảo vệ hiệu quả các quyền của chủ thể dữ liệu hoặc cam kết áp dụng các biện pháp bảo vệ DLCN Trên thực tế, các bên thường sẽ lựa chọn áp dụng các điều kiện ngoại lệ vì để có được văn bản đồng ý của Cơ quan bảo vệ dữ liệu không phải là điều dễ dàng và việc này cũng tốn rất nhiều thời gian Việc quy định lặp lại như trong Dự thảo khiến cho văn bản đồng ý của Cơ quan bảo

vệ dữ liệu không phát huy hiệu quả Đồng thời, điều này cũng làm cho các bên lúng túng khi xác định những yêu cầu cần đáp ứng để chuyển DLCN xuyên biên giới

Ba là, việc yêu cầu chấp thuận từ Cơ quan bảo vệ dữ liệu là chưa phù hợp với

các quy định quốc tế Xu hướng của khung pháp lý thế giới hiện nay hướng đến việc loại bỏ càng nhiều càng tốt các rào cản đối với chuyển DLCN xuyên biên giới Chẳng hạn như GDPR cho phép việc sử dụng chấp thuận làm cơ sở cho hoạt động chuyển

dữ liệu chỉ trong những trường hợp giới hạn như khi hoạt động truyền dữ liệu không thể thực hiện được theo nhiều quy định bảo vệ phù hợp khác Đặc biệt, Việt Nam là

một thành viên của Diễn đàn Hợp tác Kinh tế châu Á – Thái Bình Dương Pacific Economic Cooperation – APEC) Một trong những tiền đề cơ bản của Khung

(Asia-pháp lý bảo vệ quyền riêng tư của APEC và hệ thống các nguyên tắc trong trao đổi

dữ liệu cá nhân xuyên biên giới (CBPR) mà Việt Nam đã thông qua vào năm 2011,

là tạo ra “các điều kiện để thông tin có thể lưu thông an toàn và có trách nhiệm, ví dụ thông qua việc sử dụng hệ thống CBPR” Các yêu cầu về chương trình của hệ thống CBPR APEC không đưa ra các lựa chọn hoặc sự chấp thuận riêng liên quan đến hoạt động chuyển dữ liệu xuyên biên giới Do đó, quy định của Việt Nam về việc đưa ra yêu cầu chấp thuận là không phù hợp với mục tiêu trong Khung pháp lý CBPR.41

Thứ hai, về điều kiện lưu trữ dữ liệu gốc tại Việt Nam

41 The Centre for Information Policy Leadership, “Ý kiến từ Trung tâm Nghiên cứu và Tư vấn Chính sách Thông tin đối với Dự thảo Nghị định về bảo vệ dữ liệu cá nhân của Việt Nam”, ngày 02/4/2021, xem tại: https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl_comments_on_vietnam_draft_decr ee_vietnamese 8_apr_2021_.pdf (truy cập ngày 17/4/2022)

Hiện nay trên thế giới tồn tại bốn cách thức tiếp cận chính đối với yêu cầu về lưu trữ dữ liệu gốc.42 Điểm b khoản 1 Điều 21 Dự thảo quy định dữ liệu gốc phải được lưu trữ tại Việt Nam như một điều kiện bắt buộc trước khi được chuyển ra khỏi biên giới quốc gia Có thể thấy Việt Nam đang tiếp cận theo hướng quy định “địa phương hóa dữ liệu” kèm với các điều kiện khác trước khi truyền tải dữ liệu và tác giả nhận thấy quy định này có sự tương đồng với PIPL của Trung Quốc.43

Tuy nhiên, quy định về lưu trữ dữ liệu gốc tại Việt Nam đã vấp phải nhiều ý

kiến phản đối Theo quan điểm của Liên minh Dữ liệu Toàn cầu (Global Data Alliance - GDA), yêu cầu lưu trữ dữ liệu gốc trong nước sẽ gây ra ảnh hưởng tiêu cực

tới các doanh nghiệp bởi việc làm này sẽ ngăn cản tiếp cận các công nghệ tiên tiến, khiến ngành công nghiệp trong nước bị loại khỏi chuỗi cung ứng toàn cầu và không thể tiếp cận khách hàng ở thị trường nước ngoài.44 Ngoài ra, Trung tâm Nghiên cứu

và Tư vấn Chính sách Thông tin (The Centre for Information Policy Leadership – CIPL) cũng có ý kiến cho rằng các yêu cầu đối với việc lưu trữ dữ liệu này có thể dẫn

42 Cách tiếp cận thứ nhất: không có quy định chung về “địa phương hóa dữ liệu” mà quy định này thường chỉ

dành cho một số lĩnh vực cụ thể, đặc biệt quan trọng như y tế, tài chính

Cách tiếp cận thứ hai: quy định về việc lưu trữ một bản sao dữ liệu tại quốc gia “gốc” trước khi chuyển hoặc

xử lý, lưu trữ dữ liệu tại nước ngoài Quy định này không hạn chế dòng chảy dữ liệu xuyên biên giới mà chủ yếu nhằm đảm bảo khả năng truy cập của cơ quan có thẩm quyền của quốc gia

Cách tiếp cận thứ ba: quy định lưu trữ dữ liệu với ngoại lệ xử lý dữ liệu tại nước ngoài Quy định này không

hạn chế dòng chảy dữ liệu xuyên quốc gia, cho phép DLCN được chuyển ra nước ngoài để xử lý nhưng sau đó bắt buộc phải chuyển về quốc gia mà DLCN được thu thập để lưu trữ

Cách tiếp cận thứ tư: quy định “địa phương hóa dữ liệu” kèm với các điều kiện khác trước khi chuyển dữ liệu

ra nước ngoài hoặc xử lý dữ liệu ở nước ngoài Quy định này hạn chế dòng chảy dữ liệu xuyên quốc gia và chủ yếu khuyến khích lưu trữ, xử lý dữ liệu trong nước, phục vụ mục tiêu chính sách công nghiệp – công nghệ Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS), tlđd (19), tr 08

43 Điều 40 PIPL quy định doanh nghiệp khai thác cơ sở hạ tầng thông tin quan trọng và bên xử lý thông tin cá nhân, khi xử lý thông tin đạt đến số lượng do Bộ Thông tin và An ninh mạng quy định phải lưu trữ thông tin thu thập được tại Trung Quốc Trường hợp cần cung cấp cho một quốc gia khác, họ phải vượt qua đánh giá bảo mật của Cục An ninh mạng và thông tin, trừ trường hợp có quy định miễn trừ nghĩa vụ đánh giá bảo mật

44 GDA cho rằng hàng hóa và dịch vụ sẽ có tính cạnh tranh cao hơn nếu dữ liệu được sử dụng trong các giai đoạn khác nhau của chu kỳ sản xuất sản phẩm Ngoài ra, khi chọn lưu trữ dữ liệu tại nhiều vị trí địa lý khác nhau có thể tránh làm lộ vị trí của dữ liệu, giảm nguy cơ cơ sở lưu trữ bị tấn công trực tiếp, cho phép các công

ty giảm độ trễ mạng, duy trì dữ liệu dự phòng và tăng khả năng phục hồi các dữ liệu thiết yếu khi xảy ra thiệt hại vật chất tại các cơ sở lưu trữ Ngoài ra, nơi lưu trữ dữ liệu không phải là yếu tố quyết định đối với hoạt động điều tra của cơ quan quản lý và thi hành pháp luật bởi những cơ quan này vẫn còn rất nhiều lựa chọn khác như: các điều ước quốc tế - bao gồm các Hiệp định tương trợ tư pháp (MLAT/ MLAA), các hiệp định đa phương và các thỏa thuận khác, chẳng hạn các thỏa thuận được quy định tại Đạo luật sử dụng dữ liệu ở nước ngoài hợp pháp (CLOUD) của Hoa Kỳ Xem thêm tại: Global Data Alliance, “Chuyển giao dữ liệu xuyên biên giới & Lưu trữ dữ liệu trong nước, 02/2020, xem tại: https://globaldataalliance.org/wp- content/uploads/2021/07/vtgdacrossborderdata.pdf (truy cập ngày 19/4/2022)