Pháp luật về bảo vệ thông tin bí mật cá nhân mã số MHN2019 04

Do đó, việc nghiên cứu chuyên sâu góp phần xác định nội hàm và đặc trưng của quyền bí mật thông tin cá nhân với tư cách các quyền con người nói chung và quyền nhân thân của cá nhân nói r

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI

BÁO CÁO TỔNG KẾT

ĐỀ TÀI KHOA HỌC VÀ CÔNG NGHỆ CẤP TRƯỜNG

PHÁP LUẬT VỀ BẢO VỆ THÔNG TIN BÍ MẬT CÁ NHÂN

Mã số: MHN2019-04

Chủ nhiệm đề tài: PGS TS Nguyễn Thị Nhung

Năm 2020

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI

BÁO CÁO TỔNG KẾT

ĐỀ TÀI KHOA HỌC VÀ CÔNG NGHỆ CẤP TRƯỜNG

PHÁP LUẬT VỀ BẢO VỆ THÔNG TIN BÍ MẬT CÁ NHÂN

Mã số: MHN2019-04

Chủ nhiệm đề tài

PGS TS Nguyễn Thị Nhung

Năm 2020

DANH SÁCH THÀNH VIÊN THAM GIA NGHIÊN CỨU ĐỀ TÀI

1 Nguyễn Thị Nhung Trường ĐH Mở HN

(Luật Kinh tế)

Viết thuyết minh

đề tài; Nội dung

3, Tổng hợp và hoàn thiện báo cáo đề tài;

2 Lê Đình Nghị Trường ĐH Luật HN

4 Mạc Vân Hải Trường ĐH Mở HN

(Quản trị kinh doanh)

Thu thập tài liệu;

Phân bổ kinh phí

đề tài

DANH MỤC TỪ VIẾT TẮT

2 BLHS Bộ luật Hình sự

4 GDPR General Data Protection Regulation, Bộ luật bảo vệ dữ

liệu chung

5 TTCN Thông tin cá nhân

6 CNTT Công nghệ thông tin

7 ATTTM An toàn thông tin mạng

10 CMND Chứng minh nhân dân

MỤC LỤC

PHẦN MỞ ĐẦU 7

1 Tính cấp thiết của đề tài 7

2 Tổng quan tình hình nghiên cứu thuộc lĩnh vực của đề tài ở trong và ngoài nước 9

3 Mục tiêu đề tài 13

4 Đối tượng, phạm vi nghiên cứu 13

5 Cách tiếp cận, phương pháp nghiên cứu 14

Chương I: Cơ sở lý luận về quyền được bảo vệ đời tư, bảo vệ thông tin bí mật cá nhân 16

1.1 Khái quát về bảo vệ thông tin bí mật của cá nhân ở Việt Nam 16

1.2 Pháp luật về bảo vệ thông tin bí mật cá nhân ở 1 số nước trên thế giới 21

1.2.1 Bộ luật bảo vệ dữ liệu chung (General Data Protection Regulation) cho các nước thuộc Liên minh châu Âu (EU) 22

1.2.2 Luật Bảo vệ dữ liệu cá nhân của Estonia 26

Chương II: Thực trạng về đảm bảo quyền được bảo vệ thông tin bí mật cá nhân theo quy định của pháp luật Việt Nam và thực tiễn áp dụng, những vấn đề đặt ra 36

2.1 Khái quát về thông tin dữ liệu cá nhân và bảo vệ quyền đối với thông tin dữ liệu cá nhân trong môi trường mạng xã hội 36

2.1.1 Thông tin dữ liệu cá nhân 36

2.1.2 Môi trường mạng xã hội 39

2.1.3 Bảo vệ quyền đối với thông tin dữ liệu cá nhân trong môi trường mạng xã hội 41

2.2 Các phương thức bảo vệ quyền đối với thông tin dữ liệu của cá nhân trong môi trường mạng xã hội ở Việt Nam 45

2.3 Thực trạng bảo vệ quyền đối với thông tin dữ liệu của cá nhân trong môi trường mạng xã hội ở Việt Nam hiện nay 50

Chương III: Giải pháp hoàn thiện các qui định về quyền được bảo vệ thông tin bí mật cá nhân 57

3.1 Một số ý kiến đề xuất trong việc hoàn thiện pháp luật Việt Nam trên cơ

sở so sánh, đối chiếu với pháp luật một số quốc gia để tăng cường bảo vệ bí mật của cá nhân 57 3.2 Một số ý kiến đề xuất hoàn thiện pháp luật bảo vệ quyền đối với thông tin

dữ liệu của cá nhân trong môi trường mạng xã hội ở Việt Nam hiện nay 59

KẾT LUẬN 63 DANH MỤC TÀI LIỆU THAM KHẢO 64

PHẦN MỞ ĐẦU

1 Tính cấp thiết của đề tài

Thông tin bí mật được xem là tài sản có giá trị đặc biệt đối với mỗi cá nhân, tổ chức và thậm chí cả quốc gia Có nhiều cá nhân, tổ chức mà thông tin

bí mật cá nhân của họ còn có giá trị lớn hơn rất nhiều so với các tài sản hữu hình khác Vấn đề bí mật cá nhân trong thời gian gần đây trở nên nóng hơn bao giờ hết với hàng loạt những vụ việc rò rỉ thông tin cá nhân không chỉ giới hạn ở Việt Nam mà còn xuất hiện ở nhiều quốc gia trên thế giới Do đó, việc tìm hiểu về thông tin bí mật cá nhân và các cơ chế của pháp luật hiện hành bảo vệ như thế nào đối với mỗi cá nhân trở nên cần thiết hơn bao giờ hết Trên thế giới, vấn đề bảo vệ đời tư và thông tin bí mật cá nhân đầu tiên được

đề cập tại Điều 12 Tuyên bố quốc tế về Nhân quyền được Đại hội đồng Liên hợp quốc thông qua ngày 10/12/1948 đã ghi nhận rằng “Không ai phải chịu

sự can thiệp một cách tùy tiện vào cuộc sống riêng tư, gia đình, nơi ở hoặc thư tín, cũng như bị xúc phạm danh dự hoặc uy tín cá nhân Mọi người đều có quyền được pháp luật bảo vệ chống lại sự can thiệp và xâm phạm như vậy” Quyền được bảo vệ đời tư cũng được tái khẳng định tại Điều 17 Công ước quốc tế về các quyền dân sự và chính trị, trong đó nêu rằng: Không ai bị can thiệp một cách tùy tiện hoặc bất hợp pháp vào đời sống riêng tư, gia đình, nhà

ở, thư tín, hoặc bị xâm phạm bất hợp pháp đến danh dự và uy tín Mọi người đều có quyền được pháp luật bảo vệ chống lại những can thiệp hoặc xâm phạm như vậy Đây là khuôn mẫu chung cần được đạt đến của mọi quốc gia

và mọi dân tộc Tại Việt Nam, từ rất sớm, hệ thống pháp luật Việt Nam đã có

sự ghi nhận về vấn đề bảo vệ thông tin bí mật cá nhân trong những đạo luật cơ bản nhất Hiến pháp năm 1959, 1980, 1992 và mới nhất là Hiến pháp năm

2013 Việc bảo vệ bí mật thông tin của cá nhân đã được Nhà nước Việt Nam công nhận và bảo vệ thông qua quy định về bảo đảm an toàn và bí mật đối với thư tín, điện thoại, điện tín của công dân Trong đó, Hiến pháp năm 2013 đã

mở rộng một cách toàn diện phạm vi quy định quyền được bảo vệ bí mật đời

sống riêng tư, bí mật cá nhân, bí mật gia đình Cùng với đó, Luật an ninh mạng 2018 có hiệu lực từ 1/1/2019 ra đời được xem là một bước tiến mới của ngành lập pháp Việt Nam trong việc bảo vệ các quyền nhân thân của công dân, cụ thể là quyền được bảo vệ bí mật thông tin cá nhân Song trên thực tế, những quy định pháp luật cụ thể về bảo vệ dữ liệu cá nhân vẫn còn đang thiếu vắng và chỉ được quy định rải rác ở một số đạo luật ở Việt Nam Cụ thể, quyền được bảo vệ về bí mật thông tin cá nhân được ghi nhận trong Bộ luật hình sự và Bộ luật dân sự nhưng chỉ được viện dẫn khi có “thiệt hại” của nạn nhân (bồi thường thiệt hại ngoài hợp đồng…) chứ chưa quy định một cách cụ thể, đầy đủ như ai là người có quyền thu thập thông tin cá nhân người khác, trình tự thu thập, lưu giữ, sử dụng, tiết lộ thông tin bí mật cá nhân như thế nào? Nếu áp dụng theo quy định của Bộ luật Dân sự thì cũng rất khó để có thể xác định mức độ thiệt hại thực tế như thế nào trong trường hợp thông tin bí mật cá nhân bị xâm phạm Đặc biệt, đó là sự thiếu vắng hành lang pháp lý để bảo vệ bí mật thông tin cá nhân không bị tiết lộ cũng như những chế tài (dân

sự, hành chính và hình sự) áp dụng đối với ngay cả những trường hợp không

có thiệt hại xảy ra nhằm bảo vệ quyền hợp pháp của công dân cũng như mang tính giáo dục chung cho toàn xã hội, nhất là trong trong bối cảnh không gian mạng ngày càng phát triển, những trang thông tin cá nhân, mạng xã hội và các ứng dụng toàn cầu có tốc độ chia sẻ thông tin nhanh đến chóng mặt thông qua các ứng dụng chụp ảnh, ghi âm, quay phim trên điện thoại thông minh đã đặt

ra vấn đề bảo vệ thông tin bí mật cá nhân Do đó, việc nghiên cứu chuyên sâu góp phần xác định nội hàm và đặc trưng của quyền bí mật thông tin cá nhân với tư cách các quyền con người nói chung và quyền nhân thân của cá nhân nói riêng được xem là một trong những vấn đề rất cấp thiết và quan trọng trong giai đoạn hiện nay, và đó cũng chính là những lý do cơ bản để chúng tôi

lựa chọn đề tài: “ Pháp luật về bảo vệ thông tin bí mật cá nhân” nhằm có

một cái nhìn bao quát toàn diện hơn về vấn đề này, đồng thời đưa ra những giải pháp nhằm khắc phục những yếu kém, hạn chế trong công tác quản lý,

bảo vệ thông tin bí mật cá nhân từ lý luận và thực tiễn đã đặt ra, qua đó góp phần nâng cao hiệu quả trong công tác bảo vệ thông tin bí mật cá nhân thông thời gian tới Đồng thời, đề tài còn đáp ứng nhu cầu giảng dạy, nghiên cứu của giảng viên, học viên, sinh viên của Khoa Luật và Khoa Sau đại học - Trường Đại học Mở Hà Nội

2 Tổng quan tình hình nghiên cứu thuộc lĩnh vực của đề tài ở trong

và ngoài nước

2.1 Trong nước (phân tích, đánh giá tình hình nghiên cứu thuộc lĩnh vực

của đề tài ở Việt Nam, liệt kê danh mục các công trình nghiên cứu, tài liệu có liên quan đến đề tài được trích dẫn khi đánh giá tổng quan)

Liên quan đến đề tài: “Pháp luật về bảo vệ thông tin bí mật cá nhân”, hiện nay các công trình nghiên cứu trong nước đã nghiên cứu về lý luận và thực tiễn về bảo vệ quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình, trong đó có thể kể đến một số công trình như:

- Lê Đình Nghị (2009), “Quyền bí mật đời tư theo quy định của pháp

luật Việt Nam”, Luận án Tiến sĩ Luật học, Trường Đại học Luật Hà Nội, Hà

Nội;

- Thái Thị Tuyết Dung (2012), “Quyền tiếp cận thông tin và quyền riêng

tư ở Việt Nam và một số quốc gia”, Sách chuyên khảo, Nxb Đại học Quốc gia

Thành phố Hồ Chí Minh, Thành phố Hồ Chí Minh;

- Vũ Công Giao, Phạm Thị Hậu, “Pháp luật bảo vệ quyền bí mật dữ liệu

cá nhân trên thế giới và Việt Nam”, Bài đăng Tạp chí khoa học Nhà nước và

Pháp luật số 2/2017, trang 67;

- Nguyễn Ngọc Anh, “Lý lịch tư pháp, bí mật đời tư về tình trạng tiền án

của cá nhân”, Bài đăng Tạp chí khoa học Dân chủ và Pháp luật số Chuyên đề

về Lý lịch tư pháp, trang 8;

- Phùng Trung Tập, “Bí mật đời tư bất khả xâm phạm”, Bài đăng Tạp

chí Luật học số 6/1996, trang 41;

- Nguyễn Thị Ánh Hồng, “Bảo vệ quyền đảm bảo bí mật, an toàn thư

tín, điện thoại, điện tín của công dân trong pháp luật quốc tế và pháp luật Việt Nam”, Bài đăng trên Tạp chí Khoa học pháp lý số 2/2014, Trường Đại

học Luật Thành phố Hồ Chí Minh, trang 51;

- Hoàng Lê Minh (2016), „„Quyền bí mật đời tư trong Hiến pháp năm

2013 và thực tiễn tại Việt Nam‟‟, Luận văn thạc sĩ luật học, Đại học Luật Hà

Nội, Hà Nội;

- Lê Văn Sua, “Quyền bí mật đời tư cần được hướng dẫn cụ thể”, Bài

đăng trên Tạp chí Luật sư Việt Nam số 5/2016, trang 27;

- Lê Văn Sua, “Quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia

đình”, Bài đăng trên Tạp chí Luật sư Việt Nam.Liên đoàn Luật sư Việt

NamSố 6(39)/2017, tr 4 - 8;

- Phùng Trung Tập, “Quyền về đời sống riêng tư, bí mật cá nhân, bí mật

gia đình”, Bài đăng Tạp chí Kiểm sát, Viện Kiểm sát nhân dân tối cao, Số

02/2018, tr 23 – 30

Các công trình nêu trên đã nghiên cứu, đánh giá một cách chung nhất về quyền bí mật đời tư, bí mật thông tin cá nhân ở nước ta và một số quốc gia trên thế giới, trong đó có đã có những đóng góp khoa học như: đưa ra khái niệm và cách tiếp cận về quyền riêng tư; phân biệt quyền riêng tư và bí mật đời tư; các mô hình bảo vệ quyền riêng tư trên thế giới; nghiên cứu chung dưới góc độ quyền con người trong việc bảo vệ bí mật dữ liệu cá nhân; khái quát về lịch sử phát triển về quyền bí mật đời tư ở Việt Nam và tìm hiểu về việc ghi nhận và bảo hộ quyền bí mật đời tư ở một số quốc gia trên thế giới… Tuy nhiên, qua rà soát cho thấy, việc phân tích, đánh giá trong các tài liệu, các công trình nghiên cứu nêu trên mới chỉ dừng ở việc đánh giá chung nhất về quyền riêng tư, bí mật đời tư, bí mật thông tin cá nhân dưới góc độ quyền con người nói chung và sự bảo hộ, ghi nhận của pháp luật đối với các quyền này, mà chưa tập trung đánh giá, phân tích kỹ những vấn đề lý luận và thực tiễn về cơ chế pháp lý bảo vệ quyền về đời sống riêng tư, bí mật cá nhân,

bí mật gia đình trong đó có cần thiết phải đưa ra: Nội hàm và đặc trưng của quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình với tư cách các quyền nhân thân của cá nhân; Khái niệm và các yếu tố cấu thành của cơ chế pháp lý bảo vệ quyền nhân thân về đời sống riêng tư, bí mật cá nhân, bí mật gia đình đặc biệt là việc đánh giá đúng thực trạng thực thi pháp luật trong thời gian qua về vấn đề này trong từng lĩnh vực cụ thể và gắn với đối tượng cụ thể,

để từ đó hoàn thiện hệ thống pháp luật và hệ thống thiết chế thực thi Do vậy, các tài liệu, các công trình nghiên cứu nêu trên đã thiếu các giải pháp tổng thể, toàn diện nhằm từng bước hoàn thiện cơ chế pháp lý bảo vệ quyền về đời sống riêng tư, bí mật thông tin cá nhân, bí mật gia đình ở nước ta trong giai đoạn hiện nay Khái quát lên, số lượng công trình nghiên cứu về việc bảo vệ thông tin bí mật cá nhân ở nước ta hiện nay chưa nhiều, nội dung nghiên cứu mang tính dàn trải và các thức tiếp cận của các công trình này vẫn có những hướng tiếp cận khác nhau, dẫn đến việc xác định phạm vi “thông tin bí mật” của cá nhân cũng như nghiên cứu pháp luật bảo vệ “thông tin bí mật” của cá nhân hiện nay ở Việt Nam còn nhiều hạn chế

2.2 Ngoài nước (phân tích, đánh giá tình hình nghiên cứu thuộc lĩnh vực

của đề tài trên thế giới, liệt kê danh mục các công trình nghiên cứu, tài liệu

có liên quan đến đề tài được trích dẫn khi đánh giá tổng quan)

Khác với các công trình nghiên cứu trong nước, công trình nghiên cứu nước ngoài về thông tin bí mật cá nhân và bảo vệ thông tin bí mật cá nhân (protecting private information) khá đa dạng, phong phú cả về cách thức tiếp cận đến nội dung thể hiện Qua nghiên cứu, chúng tôi thấy rằng, “thông tin bí mật” của cá nhân được các công trình ngoài nước nghiên cứu gắn chặt chẽ với quyền con người được coi là bất khả xâm phạm của mỗi cá nhân, và được không những những cá nhân, chủ thể khác trong xã hội tôn trọng mà cả cơ quan Nhà nước cũng phải tôn trọng Dường như “thông tin bí mật” của cá nhân bao phủ rộng khắp rất nhiều lĩnh vực đời sống, kinh doanh thậm chí

cho đến sức khoẻ, hoặc trong quan hệ hôn nhân gia đình cũng được tôn trọng

Cụ thể như một số bài viết:

- “In Sickness, Health, and Cyberspace: Protecting the Security of Electronic Private Health Information” của GS Sharona Hoffman & Andy

Podgurski, Case Western Reserve University School of Law (2007)1;

- “Biomedical databases: protecting privacy and promoting research”

của Jean Ewylie & Geraldine Pmineau (2003)2

;

- “Communication Boundary Management: A Theoretical Model of Managing Disclosure of Private Information between Marital Couples” của

GS Sandra Petronio, Oxford University, 20063;

Bên cạnh đó, có nhiều công trình, trong xu hướng mới, tiếp cận việc bảo

vệ thông tin bí mật của cá nhân được đặt trong môi trường mạng, công nghệ Internet hiện nay, cụ thể như các công trình:

- “Protecting human research participants in the age of big data”,

Susan T Fiske and Robert M Hauser (Princeton University & University of Wisconsin–Madison)4;

- Dimitri Vitaliev (2007), An ninh điện tử và bảo vệ đời tư cho những

người đấu tranh nhân quyền, Frontline International Foundation for the

Protection of Human rights defenders;

- Graeme Laurie (2002), “Genetic privacy: a challenge to medico-legal

norms”, Cambridge, U.K; New York: Cambridge University Press;

- Michael, James (1994), “Privacy and human rights: an international

and comparative study, with special reference to developments in information technology”, Paris: Aldershot UNESCO Publ; Dartmouth,cop

- William N Eskridge, Nan D Hunter (1997), “Sexuality, gender, and

the law”, New York : Foundation press ;

1 Xem thêm tại: https://heinonline.org/HOL/LandingPage?handle=hein.journals/bclr48&div=18&id=&page=

2 Xem thêm tại: https://www.sciencedirect.com/science/article/pii/S0167779902000392s

3

Xem thêm tại: https://academic.oup.com/ct/article-abstract/1/4/311/4430865?redirectedFrom=fulltext

4 Xem thêm tại: https://www.pnas.org/content/111/38/13675.short

- Richard Hunter (2002), “World without secrets: Business, crime, and

privacy in the age of ubiquitous computing”, New York : John Wiley &

Sons ;

- Bruce Schneier, David Banisar (1997), “The Electronic privacy papers

: Documents on the battle for privacy in the age of surveillance”, John Wiley

& Sons

Các công trình này đều hướng đến việc bảo vệ thông tin bí mật cá nhân, việc xác định ranh giới của việc tiếp cận/chia sẻ thông tin này trên các phương tiện thông tin, diễn đàn cũng như nghiên cứu về trách nhiệm của các chủ thể không chỉ chủ thể có thông tin bí mật và các chủ thể khác có liên quan trong việc tôn trọng và bảo vệ bí mật thông tin này

3 Mục tiêu đề tài

3.1 Mục tiêu tổng quát

Đề tài nghiên cứu cụ thể về các quy định của pháp luật Việt Nam về quyền được bảo vệ thông tin bí mật cá nhân và thực tiễn áp dụng quyền này ở Việt Nam, từ đó đưa ra giải pháp nhằm hoàn thiện pháp luật và nâng cao hiệu quả công tác bảo vệ quyền thông tin bí mật cá nhân trong thời gian tới

- Phân tích thực trạng bảo vệ quyền bảo vệ thông tin bí mật cá nhân ở Việt Nam hiện nay, qua đó đề ra các giải pháp xây dựng và hoàn thiện pháp luật, cũng như các giải pháp nâng cao hiệu quả bảo vệ quyền này trong thời gian tới

4 Đối tượng, phạm vi nghiên cứu

4.1 Đối tượng nghiên cứu

Đối tượng nghiên cứu của đề tài là cơ sở lý luận và các quy định của pháp luật Việt Nam hiện hành về vấn đề đảm bảo đảm thông tin bí mật cá nhân, những ưu điểm và hạn chế của những quy định đó khi áp dụng trên thực

tế trong việc đảm bảo thông tin bí mật cá nhân Bên cạnh đó, đề tài cũng nghiên cứu một số quy định pháp luật quốc gia, quốc tế liên quan đến vấn đề bảo vệ thông tin bí mật cá nhân để lấy cơ sở rút kinh nghiệm cho việc hoàn thiện pháp luật Việt Nam

4.2 Phạm vi nghiên cứu

Về phạm vi thời gian, đề tài nghiên cứu quá trình hoàn thiện các quy định của pháp luật hiện hành về đảm bảo thông tin bí mật cá nhân thông qua các quy định của Hiến pháp 2013, qua Bộ luật dân sự 2015, Bộ luật Hình sự

2015, Luật An ninh mạng 2018 cũng như các văn bản luật và dưới luật khác

có liên quan Trong phạm vi bài viết, nhóm tác giả nghiên cứu thực tiễn thực hiện pháp luật về đảm bảo thông tin bí mật cá nhân trong thời gian gần đây đặc biệt trong bối cảnh mạng xã hội đang phát triển một cách nhanh chóng

Về phạm vi không gian, thực tiễn thực hiện các quy định của pháp luật về bảo đảm bí mật thông tin cá nhân thông qua một số vụ việc điển hình xảy ra tại một số địa phương

5 Cách tiếp cận, phương pháp nghiên cứu

5.1 Cách tiếp cận

Đề tài tiếp cận các vấn đề nghiên cứu từ các góc độ sau:

- Tiếp cận từ cơ sở lý luận của chủ nghĩa Mác - Lê nin và tư tưởng Hồ Chí Minh về nhà nước và pháp luật; các học thuyết chính trị về nhà nước và pháp luật trên thế giới

- Tiếp cận dưới góc độ nghiên cứu luật học trên cơ sở quyền con người nói chung, quyền nhân thân của cá nhân nói riêng, từ đó, việc tiếp cận nội dung một cách đa chiều, đi từ cái chung đến cái riêng, từ lý luận đến thực tiễn nhằm làm nổi bật những nội dung nghiên cứu trong đề tài

- Tiếp cận từ những định hướng, mục tiêu, chính sách của Đảng và Nhà nước về thực hiện pháp luật về đảm bảo thông tin bí mật cá nhân

- Tiếp cận từ thực tiễn pháp luật và thực tiễn áp dụng pháp luật về đảm bảo thông tin bí mật cá nhân

5.2 Phương pháp nghiên cứu

Đề tài sử dụng tổng hợp các phương pháp nghiên cứu nhằm làm sáng tỏ các vấn đề nghiên cứu Các phương pháp nghiên cứu được sử dụng trong quá trình nghiên cứu là:

- Phương pháp phân tích và tổng hợp: được sử dụng trong tất cả các chương của báo cáo để phân tích các khái niệm, các quy định pháp luật và các

số liệu, thông tin thu thập được

- Phương pháp so sánh: được sử dụng trong báo cáo để so sánh một số quy định pháp luật trong các văn bản khác nhau; so sánh quy định pháp luật Việt Nam và pháp luật quốc tế, pháp luật một số quốc gia trên thế giới

- Phương pháp diễn giải quy nạp: Được sử dụng trong báo cáo để diễn giải các số liệu, các nội dung trích dẫn liên quan

Chương I: Cơ sở lý luận về quyền được bảo vệ đời tư, bảo vệ thông tin bí mật cá nhân

1.1 Khái quát về bảo vệ thông tin bí mật của cá nhân ở Việt Nam

Vấn đề bí mật cá nhân trong thời gian gần đây trở nên nóng hơn bao giờ với hàng loạt những vụ việc rò rỉ thông tin cá nhân không chỉ giới hạn ở Việt Nam mà còn xuất hiện ở nhiều quốc gia trên thế giới Tìm hiểu về thông tin bí mật cá nhân và các cơ chế của pháp luật hiện hành bảo vệ như thế nào đối với mỗi cá nhân trở nên cần thiết

Hiện nay ở Việt Nam vẫn chưa có các văn bản quy phạm pháp luật cụ

thể điều chỉnh, giải thích về khái niệm này Trong bài viết: “Quyền về đời

sống riêng tư, bí mật cá nhân, bí mật gia đình” 5

của mình, PGS.TS Phùng

Trung Tập từng đưa ra khái niệm về bí mật cá nhân như sau: “Là tổng thể các

quan hệ quá khứ, các thông tin liên quan đến cá nhân mang tính chất chi phối các quan hệ cụ thể của cá nhân mà bị bộc lộ sẽ gây cho cá nhân những bất lợi hoặc dễ gây ra sự hiểu lầm ở các chủ thể khác, mà bản chất của yếu tố bí mật cá nhân không gây ra bất kỳ một thiệt hại nào cho chủ thể khác.” Ở

trong một mối quan hệ trao đổi thông tin hàng ngày, thông tin cá nhân có thể

hiểu là tập hợp những thông tin do người dùng tạo ra và cung cấp trong quá trình mua hàng hoá hoặc sử dụng thông tin Đó có thể là họ tên, số điện thoại, email, sở thích cá nhân,…

Có thể nhận ra với bí mật thông tin của mỗi cá nhân, pháp luật luôn bảo

vệ và đảm bảo tốt nhất các quyền lợi dành cho họ Quyền này của mỗi cá nhân được ghi nhận trong văn bản pháp luật có giá trị pháp lý cao nhất của Việt Nam, Hiến pháp 2013, cụ thể Điều 21 Hiến pháp năm 2013, quy định:

“1 Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật

cá nhân và bí mật gia đình có quyền bảo vệ danh dự, uy tín của mình Thông

5

Xem thêm: Tạp chí Kiểm sát số 02/2018.

tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn

2 Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác Không ai được bóc mở, kiểm soát, thu giữ trái luậtthư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác”

Sau đó, quyền này của công dân còn được cụ thể hoá và được quy định

rõ ràng hơn trong các văn bản luật chuyên ngành Điều 38 BLDS năm 2015, quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình, được quy định như sau:

“1 Đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm

phạm và được pháp luật bảo vệ Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến bí mật gia đình phải được các thành viên gia đình đồng ý, trừ trường hợp luật

có quy định khác

Thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của cá nhân được bảo đảm an toàn và bí mật Việc bóc mở, kiểm soát, thu giữ thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử

và các hình thức trao đổi thông tin riêng tư khác của người khác chỉ được thực hiện trong trường hợp luật quy định

Các bên trong hợp đồng không được tiết lộ thông tin về đời sống riêng

tư, bí mật cá nhân, bí mật gia đình của nhau mà mình đã biết được trong quá trình xác lập, thực hiện hợp đồng, trừ trường hợp có thỏa thuận khác"

Một lần nữa, Bộ luật dân sự (BLDS) đã khẳng định thông bí mật của mỗi

cá nhân là bất khả xâm phạm, mọi hành vi thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý Như vậy, về nguyên tắc, bất cứ đơn vị nào muốn tiếp cận,

sử dụng dữ liệu cá nhân thì phải được sự đồng ý của chủ sở hữu dữ liệu

đó Thực tế, pháp luật không cấm các đơn vị thu thập thông tin cá nhân của người khác, tuy nhiên thì mọi hành vi đều phải nằm trong giới hạn mà pháp luật cho phép Cụ thể phải có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó; chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu sau khi có

sự đồng ý của chủ thể thông tin cá nhân; và chỉ được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền Kể cả khi đã cung cấp thông tin cho các đơn vị thu thập, chủ thể của dữ liệu cá nhân đó vẫn có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cung cấp dữ liệu cá nhân của mình mà họ đã thu thập, lưu trữ Nói cách khác, khi chúng ta cung cấp dữ liệu cá nhân cho người khác, chúng ta không hoàn toàn mất đi quyền kiểm soát đối với chúng Chúng

ta vẫn có quyền yêu cầu đơn vị xử lý thông tin cá nhân cập nhật, sửa đổi, hủy

bỏ thông tin cá nhân của mình mà họ đã thu thập, lưu trữ hoặc ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba, và họ có nghĩa vụ phải thực hiện những yêu cầu này

Luật an ninh mạng 2018 có hiệu lực từ 1/1/2019 ra đời là một bước tiến mới của ngành lập pháp Việt Nam trong việc bảo vệ các quyền nhân thân của công dân, cụ thể là quyền được bảo vệ bí mật thông tin cá nhân Luật An ninh mạng được xây dựng trên cơ sở tuân thủ quy định vể bảo vệ quyền con người, trong đó có quyền bất khả xâm về đời sống riêng tư của Hiến pháp hiện hành Chính vì thế, thông tin cá nhân được Luật này bảo vệ chặt chẽ Theo đó, trách nhiệm bảo vệ bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng của các cơ quan chức năng, doanh nghiệp và tổ chức, cá nhân có liên quan được quy định cụ thể tại Điều 17 của luật này Các hành vi như chiếm đoạt, mua bán, thu giữ, cố ý làm lộ, xóa, làm hư hỏng, thất lạc, thay đổi, đưa lên không gian mạng những thông tin thuộc bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư của

người khác mà chưa được phép của người sử dụng hoặc trái quy định của pháp luật sẽ bị xử lý

Khi thông tin bí mật của cá nhân bị xâm phạm, xét trên các điều kiện phát sinh trách nhiệm dân sự khi có hành vi trái pháp luật, có thiệt hại về mặt tinh thần, có mối quan hệ nhân quả giữa hành vi và thiệt hại thực tế, cá nhân

có thể nhận được những khoản bồi thường thiệt hại Những khoản bồi thường thiệt hại do quyền nhân thân bị xâm phạm là bồi thường thiệt hại về vật chất

và bồi thường thiệt hại về tinh thần theo quy định tại Điều 592 BLDS năm 2015:

a) Bồi thường thiệt hại về tài sản: Thiệt hại về danh dự, nhân phẩm, uy tín bị xâm phạm bao gồm: Chi phí hợp lý để hạn chế, khắc phục thiệt hại; thu nhập thực tế bị mất hoặc bị giảm sút; thiệt hại khác do luật định

b) Bồi thường tổn thất về tinh thần: Người có hành vi trái pháp luật xâm phạm các quyền nhân thân về danh dự, uy tín, nhân phẩm của cá nhân ngoài khoản bồi thường thiệt hại về tài sản xác định được, còn có trách nhiệm bồi thường khoản tiền bù đắp tổn thất về tinh thần mà người có quyền nhân thân

bị xâm phạm gánh chịu Mức bồi thường do tổn thất về tinh thần có thể do các bên thỏa thuận; nếu không thỏa thuận được thì người bị tổn thất về tinh thần

do các quyền nhân thân bị xâm phạm được bồi thường mức tối đa không quá mười lần mức lương cơ sở do Nhà nước quy định tại thời điểm bồi thường (khoản 2 Điều 592 BLDS năm 2015)

Pháp luật Việt Nam cũng có những cơ chế để bảo vệ thông tin bí mật cá nhân, dưới hình thức cưỡng chế, xử phạt hành chính, nghiêm trọng hơn có thể

là hình phạt tù nhằm răn đe các hành vi xâm phạm bí mật cá nhân, trục lợi cho bản thân, mặt khác gây ra những tổn thất không chỉ về vật chất mà còn cả tinh thần đến chủ thể bị xâm phạm Người nào thực hiện một trong các hành vi sau

đây thì còn bị truy cứu trách nhiệm hình sự theo Điều 159 Bộ luật Hình sự năm 20156

:

Với xu hướng phát triển một số công nghệ lớn trên thế giới như: điện toán đám mây (cloud computing), dữ liệu lớn (Big Data), Internet kết nối vạn vật (Internet of Things), các công nghệ kỹ thuật số khác thì việc thu thập, lưu trữ, chuyển giao và phân tích dữ liệu cá nhân ngày càng đơn giản hơn Hệ thống Big Data và công nghệ trí tuệ nhân tạo (gọi tắt là AI) hiện nay đã phát triển đến mức chỉ cần dựa vào những thông tin ban đầu do người dùng cung cấp, chúng có khả năng phân tích hành vi con người, thậm chí có thể đưa ra những định hướng, dự đoán hành vi của chủ sở hữu các thông tin này khi bị đặt trong một tình huống nào đó Có thể thấy một ví dụ rõ nhất trong đời sống

xã hội khi người dùng sử dụng facebook, họ chỉ cần nói hoặc đề cập về đồ ăn khi đang sử dụng mạng xã hội, ngay lập tức sẽ có rất nhiều gợi ý quảng cáo từ facebook liên quan đến đồ ăn sẽ xuất hiện Không chỉ vậy, những tin nhắn, email, cuộc gọi từ các công ty đầu tư, chứng khoán bất ngờ liên lạc với người dùng điện thoại Thông tin của mỗi cá nhân bị rò rỉ và bản thân mỗi cá nhân cũng không nhận thực được tầm quan trọng của thông tin cá nhân chính mình đồng thời chính mỗi cá nhân nhân lại những cảm xúc tiêu cực khi đời sống riêng tư của mình bị xâm phạm

Câu hỏi được đặt ra, chúng ta đang bị xâm phạm bí mật thông cá nhân như thế nào? Chúng ta sẽ không khó để nhận ra những sự xâm phạm bí mật thông tin cá nhân từ đơn giản đến tinh vi trong đời sống xã hội hiện nay

6

“1 Người nào thực hiện một trong các hành vi sau đây, đã bị xử lý k luật hoặc xử phạt vi phạm hành

chính về hành vi này mà c n vi phạm, thì bị phạt cảnh cáo, phạt tiền từ 20.000.000 đồng đến 50.000.000 đồng hoặc phạt cải tạo không giam giữ đến 03 năm: Chiếm đoạt thư tín, điện báo, telex, fax hoặc văn bản khác của người khác được truyền đưa bằng mạng bưu chính, viễn thông dưới bất kỳ hình thức nào Cố ý làm

hư hỏng, thất lạc hoặc cố ý lấy các thông tin, nội dung của thư tín, điện báo, telex, fax hoặc văn bản khác của người khác được truyền đưa bằng mạng bưu chính, viễn thông Nghe, ghi âm cuộc đàm thoại trái pháp luật Khám x t, thu giữ thư tín, điện tín trái pháp luật Hành vi khác xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín, telex, fax hoặc hình thức trao đổi thông tin riêng tư khác của người khác

2 Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt t từ 01 năm đến 03 năm: Có tổ chức Lợi dụng chức vụ, quyền hạn Phạm tội 02 lần trở lên Tiết lộ các thông tin đã chiếm đoạt, làm ảnh hưởng đến danh dự, uy tín, nhân ph m của người khác Làm nạn nhân tự sát

3 Người phạm tội c n có thể bị phạt tiền từ 5.000.000 đồng đến 20.000.000 đồng, cấm đảm nhiệm chức vụ nhất định từ 01 năm đến 05 năm”

Những hành vi xem trộm nhật kí, đọc trộm tin nhắn cho đến sự thu thập thông tin khách hàng của các hãng sim, thẻ điện thoại tới các trường đại học, ghi âm các cuộc nói chuyện bí mật, hay xâm nhập tài khoản cá nhân trên mạng xã hội thông qua những thuật toán công nghệ,… Đa phần những thông tin bí mật của cá nhân bị xâm phạm này nhằm đến mục đích thương mại hoặc tống tiền cùng nhiều hành vi nguy hiểm cho xã hội khác

Pháp luật Việt Nam luôn hướng đến việc bảo vệ tốt nhất các nhóm quyền dành cho công dân, trong đó có quyền được bảo vệ bí mật thông tin cá nhân Trở lại với các quy định pháp luật điều chỉnh bí mật cá nhân Chúng ta đã xây dựng về cơ bản các quy định pháp luật, đưa ra các cơ sở pháp lý khẳng định tuyệt đối quyền riêng tư của cá nhân, không ai có quyền được xâm phạm Chúng ta có Hiến pháp 2013 ghi nhận, có BLDS 2015, BLHS 2015 sửa đổi

2017 quy định cụ thể quyền, trách nhiệm dân sự và hình sự với các hành vi xâm phạm thông tin bí mật cá nhân, ngoài ra mới nhất là Luật An ninh mạng

2018, Luật An toàn thông tin mạng năm 2015, quy định cụ thể hơn trách nhiệm của cơ quan nhà nước trước vấn đề bảo vệ quyền này của công dân Liệu luật mới này có thực sự là bước ngoặt thay đổi nhận thức của công dân đối với quyền được bảo vệ bí mật thông tin cá nhân cũng như có ý nghĩa thực

sự trong việc bảo vệ bí mật thông tin cá nhân của họ, đặc biệt trong môi trường mạng hiện nay? Nội dung bài tham luận chúng tôi sẽ tập trung vào vấn

đề này

1.2 Pháp luật về bảo vệ thông tin bí mật cá nhân ở 1 số nước trên thế giới

Bảo vệ thông tin bí mật cá nhân xuất phát từ việc xác định bảo vệ dữ liệu

cá nhân (personal data protection) là vấn đề được nhiều quốc gia trên thế giới quan tâm, đặc biệt trong bối cảnh cách mạng công nghệ 4.0, khi mà xu hướng toàn cầu hoá, công nghệ số thay đổi căn bản cuộc sống của con người Hiện nay trên 100 quốc gia đã có những đạo luật riêng (personal data protection

act) để bảo vệ thông tin cho các chủ thể cá nhân, công dân nước sở tại7

Tuy nhiên, thực tế cho thấy đạo luật bảo vệ thông tin cá nhân ở các quốc gia là không giống nhau8, cho nên chúng tôi chỉ lựa chọn một số đạo luật tiêu biểu

GDPR được soạn ra là nhằm giải quyết một vấn đề tồn tại lâu nay trong lĩnh vực công nghệ đó là nhiều công ty đang thu thập và lạm dụng thông tin người dùng Chúng ta đều biết rằng kể từ thời đại Internet thì nhiều công ty vẫn đang hoạt động theo kiểu phải lấy càng nhiều dữ liệu người dùng càng tốt Điều này không khó và vì vậy các công ty này chẳng có lý do gì mà từ chối một lượng dữ liệu khổng lồ, nhiều tiềm năng khai thác đến vậy từ chính người dùng sản phẩm/dịch vụ của họ

Vấn đề ở đây là trong vài năm qua, rất nhiều công ty đã không thành công trong việc bảo vệ hoặc cố ý lạm dụng dữ liệu cá nhân của người dùng Như vụ việc nổi cộm gần đây về Cambridge Analytica – một nhà nghiên cứu tại đây đã sử dụng Facebook để thu thập dữ liệu của hàng triệu người dùng Facebook sau đó bán lại nó cho một công ty cố vấn Nguy hiểm hơn là vụ việc công ty thống kê dữ liệu tài chính tiêu dùng Equifax năm ngoái bị hack

https://ec.europa.eu/commission/priorities/justice-and-fundamental-đã khiến thông tin người dùng lộ ra ngoài và được tin tặc sử dụng để mở thẻ tín dụng trái phép Đây là những scandal lớn và rất nhiều công ty vẫn đang lạm dụng dữ liệu cá nhân của người dùng nhưng ở quy mô nhỏ hơn, chẳng hạn như bán dữ liệu này cho các công ty quảng cáo phía thứ 3

Chính vì vậy, EU đã xem xét kỹ tình trạng này và sử dụng GDPR để khắc phục Theo luật mới, các công ty không bảo vệ trọn vẹn dữ liệu người dùng hoặc lạm dụng dữ liệu đó theo bất kỳ cách nào sẽ đối mặt với án phạt rất lớn

Về cách hiểu như thế nào là “Dữ liệu cá nhân”:

GDPR bảo vệ “dữ liệu cá nhân” có nghĩa là “mọi thông tin giúp nhận dạng, nhận diện một con người” Đây là một khái niệm rất rộng và trên thực

tế, dữ liệu cá nhân sẽ bao gồm10

- Mọi dữ liệu về y học và di truyền;

- Những thứ như lịch sử cuộc gọi, tin nhắn cá nhân hay vị trí địa lý …

- Danh sách này còn rất dài và yếu tố quan trọng ở đây là mọi dữ liệu khiến bạn có thể được nhận diện được Trong một số trường hợp, màu tóc của bạn là đủ nhưng cũng có những trường hợp, họ tên của bạn vẫn không thể giúp nhận biết bạn là ai

Về vai tr của GDPR:

10 „personal data‟ means any information relating to an identified or identifiable natural person („data subject‟); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

GDPR sẽ mang lại cho công dân châu Âu – những ai có dữ liệu cá nhân

bị thu thập và sử dụng, 8 quyền cơ bản11

:

- Quyền được thông báo: Nếu một công ty đang thu thập dữ liệu của bạn,

họ cần phải báo cho bạn biết về loại dữ liệu gì đang được lấy, tại sao lấy và chúng được sử dụng làm gì, họ sẽ giữ dữ liệu này trong bao lâu và liệu có chia

sẻ với các phía khác hay không Thông tin này thường bị “chôn vùi” trong những văn bản điều khoản dịch vụ mà hiếm ai đọc và giờ đây, các văn bản đầy chữ này buộc phải được cô đọng lại và giải thích bằng ngôn ngữ đơn giản

- Quyền được truy cập: Nếu được yêu cầu, mọi tổ chức đang lưu trữ dữ

liệu liên quan đến một chủ thể bắt buộc phải cung cấp dữ liệu cho chủ thể yêu cầu trong vòng 1 tháng

- Quyền được cải chính: Nếu một chủ thể có dữ liệu được thu thập phát

hiện ra một công ty sở hữu dữ liệu của họ nhưng dữ liệu này không chính xác thì chủ thể có thể yêu cầu cập nhật dữ liệu Các công ty cũng sẽ có một tháng

để thực hiện

- Quyền được xóa bỏ: Một chủ thể có dữ liệu được thu thập có thể yêu

cầu một công ty xóa mọi dữ liệu mà họ đang nắm giữ trong một số tình huống nhất định Chẳng hạn như nếu dữ liệu này không cần dùng đến nữa hoặc chủ thể không bằng lòng cho công ty sử dụng dữ liệu của mình

- Quyền được giới hạn xử lý: Nếu một tổ chức không thể xóa dữ liệu của

một chủ thể, chẳng hạn như họ cần dữ liệu này để sử dụng cho một vụ việc pháp lý thì chủ thể có quyền yêu cầu công ty đó hạn chế xử lý dữ liệu

- Quyền được luân chuyển dữ liệu: Chủ thể dữ liệu có quyền đưa dữ liệu

cá nhân của mình từ dịch vụ này sang dùng với một dịch vụ khác

- Quyền được phản đối: Nếu dữ liệu được thu thập mà không có sự đồng

ý của chủ thể nhưng vì lợi ích kinh doanh hợp pháp, vì lợi ích công cộng hoặc theo yêu cầu của một cơ quan có thẩm quyền thì chủ thể có quyền phản đối

11 Xem Chapter 3,4,5 của GDPR tại https://gdpr-info.eu

Tổ chức nào thu thập dữ liệu bắt buộc phải ngưng xử lý dữ liệu của chủ thể cho đến khi có thể chứng minh những lý do chính đáng để thực hiện điều này Các quyền liên quan đến việc tự ra quyết định bao gồm lược tả: GDPR

sẽ đưa ra các biện pháp bảo vệ để cá nhân có dữ liệu được thu thập có thể phản đối hoặc được giải thích về những quyết định tự động (do những tổ chức/công ty thu thập dữ liệu) đưa ra ảnh hưởng thế nào đến họ và dữ liệu của

họ

Ngoài ra, GDPR còn buộc các công ty phải đưa ra lý do hợp pháp để thu thập hay xử lý mọi dữ liệu cá nhân Một trong những lý do hợp pháp là họ có được sự chấp thuận để sử dụng dữ liệu cho một mục đích cụ thể hoặc bắt buộc phải thu thập dữ liệu để tuân thủ các nghĩa vụ pháp lý hoặc vì lợi ích cộng đồng

Có thể nói rằng, GDPR là một bộ luật rất khắc nghiệt, một tổ chức có thể

bị phạt tới 20 triệu EUR hoặc 4% doanh thu hàng năm trên toàn cầu (tùy theo mức nào cao hơn) Đối với những công ty như Amazon hay Google, số tiền này có thể lên tới hàng tỷ USD nếu vi phạm GDPR

Về tác động GDPR đến người Mỹ cũng như những quốc gia khác ngoài EU:

GDPR là một bộ luật do EU soạn và hiệu lực tại các quốc gia EU, bảo vệ cho cư dân EU Thế nên người dùng tại Mỹ hay những quốc gia khác về lý thuyết không được lợi gì Thế nhưng GDPR vẫn áp dụng đối với những ai sở hữu hộ chiếu công dân châu Âu, chẳng hạn như bạn là người Việt nhưng mang quốc tịch của một quốc gia EU thì chỉ lúc này bạn mới được bảo vệ bởi GDPR

GDPR áp dụng cho công dân châu Âu nhưng sự thay đổi về chính sách bảo mật dữ liệu của các công ty đối với EU cũng ít nhiều tác động đến chúng

ta bởi GDPR khiến nhiều công ty phải xem xét lại cách họ thu thập và sử dụng dữ liệu người dùng cũng như một số công ty đã bắt đầu áp dụng chính sách mới theo quy chuẩn GDPR cho các khu vực ngoài EU bởi sẽ đơn giản

hơn đối với các công ty nếu dùng một bộ chính sách duy nhất áp dụng lên tất

cả người dùng trong nhiều trường hợp

Chẳng hạn như Apple cũng đã phát hành một cổng thông tin về bảo mật

dữ liệu cá nhân trong đó người dùng tại mọi nơi trên thế giới có thể tải về toàn bộ dữ liệu của mình hoặc xóa tài khoản Nói cách khác, Apple đã cung cấp quyền truy cập và xóa bỏ cho người dùng, trước mắt áp dụng cho các tài khoản tại EU nhưng hãng cũng đã có kế hoạch mở rộng mô hình này ra toàn cầu trong vài tháng tới Tương tự, Facebook cũng đã bắt đầu thay đổi chính sách để tuân theo bộ luật GDPR áp dụng với một số người dùng ngoài EU

1.2.2 Luật Bảo vệ dữ liệu cá nhân của Estonia12

Estonia có các Luật Bảo vệ dữ liệu cá nhân năm 2003 và 2007 Luật Bảo

vệ dữ liệu cá nhân của Estonia quy định dữ liệu cá nhân là thông tin liên quan đến một người được xác định hoặc một người có thể xác định bằng cách tham chiếu đến các đặc điểm thể chất, tinh thần, sinh lý, kinh tế, văn hóa hoặc xã hội, các mối quan hệ và hiệp hội của người đó Luật cũng quy định dữ liệu cá nhân riêng tư bao gồm dữ liệu được quy định trong Luật Thông tin công cộng năm 2001 của Estonia, ngoại trừ dữ liệu tiết lộ tính cách, khả năng hoặc đặc điểm khác của một người Dữ liệu cá nhân nhạy cảm bao gồm các dữ liệu được quy định trong Luật Thông tin công cộng năm 2001 của Estonia; ngoài

ra, bổ sung thêm dữ liệu liên quan đến tình trạng khuyết tật, dữ liệu liên quan đến thông tin di truyền, dữ liệu liên quan đến thành viên trong tổ chức công đoàn

Mục đích của Luật Bảo vệ dữ liệu cá nhân của Estonia là bảo vệ các quyền cơ bản và quyền tự do của cá nhân đó trong quá trình xử lý dữ liệu, quan trọng nhất là quyền bất khả xâm phạm đời tư Phạm vi quy định của Luật: các điều kiện và quy trình xử lý dữ liệu cá nhân; quy trình giám sát nhà nước khi xử lý dữ liệu cá nhân; trách nhiệm đối với việc vi phạm các yêu cầu

về xử lý dữ liệu cá nhân

12 Xem toàn văn tại: https://www.riigiteataja.ee/en/eli/512112013011/consolide

Luật quy định dữ liệu cá nhân là bất kỳ dữ liệu nào liên quan đến cá nhân đó được xác định hoặc nhận dạng, bất kể ở một định dạng tài liệu nào Luật quy định rõ dữ liệu cá nhân nhạy cảm là dữ liệu tiết lộ quan điểm chính trị hoặc niềm tin tôn giáo hoặc triết học, ngoại trừ dữ liệu liên quan đến một

tổ chức có tư cách pháp lý độc lập, có thể tham gia vào các hoạt động kinh tế, chính trị, xã hội theo quy định của pháp luật; dữ liệu tiết lộ nguồn gốc chủng tộc hoặc dân tộc; dữ liệu liên quan đến tình trạng sức khỏe hoặc chức năng sinh lý của một người; thông tin thu thập được trong quá trình tố tụng hình sự hoặc trong các trường hợp tố tụng khác để xác định một hành vi phạm tội trước phiên tòa công khai hoặc trước khi có phán quyết hoặc nếu điều này

là cần thiết để bảo vệ đạo đức xã hội hoặc gia đình và cuộc sống cá nhân của con người hoặc khi cần bảo vệ các quyền lợi của trẻ vị thành niên, nạn nhân, nhân chứng hoặc thẩm phán

Tiếp cận so sánh trên một số tiêu chí cụ thể giữa Luật Bảo vệ dữ liệu cá nhân Estonia với Luật An toàn thông tin mạng Việt Nam năm 201513

Quy định dữ liệu cá nhân là bất kỳ dữ

liệu nào liên quan đến thể nhân được xác

định hoặc nhận dạng, bất kể định dạng

tài liệu Luật chỉ quy định rõ dữ liệu nào

là dữ liệu cá nhân nhạy cảm Luật không

quy định dữ liệu nào là dữ liệu cá nhân

riêng tư như Luật năm 2003:

Estonia quy định dữ liệu cá nhân là dữ

liệu xác định hoặc nhận dạng một cá

nhân ở bất kể định dạng tài liệu nào

- Nghị định số CP: Khoản 5, Điều 3

64/2007/NĐ Luật An toàn thông tin mạng năm 2015: Khoản 15,

Điều 3, Việt Nam quy định

thông tin cá nhân gắn với việc xác định danh tính cá nhân, và không có quy định

cụ thể thông tin cá nhân nào

là thông tin cá nhân nhạy

13

Xem thêm tại: trong-luat-bao-ve-du-lieu-ca-nhan-cua-estonia-so-voi-viet-nam#

http://aita.gov.vn/bai-viet-nghien-cuu-so-sanh-nhung-quy-dinh-ve-bao-ve-du-lieu-ca-nhan-STT Luật Bảo vệ dữ liệu cá nhân Estonia

25/2010/TT-Việt Nam không có quy định chung về các hoạt động xử lý thông tin cá nhân mà quy định cụ thể các hoạt động xử

lý thông tin cá nhân trong các điều của Luật, Thông tư bao gồm quyền của chủ thể thông tin cá nhân và quyền

và trách nhiệm của tổ chức,

cá nhân liên quan đến hoạt động xử lý thông tin cá nhân

3

Quy định các nguyên tắc xử lý dữ liệu cá

nhân mà người xử lý chính và người xử

lý được ủy quyền phải tuân theo:

Estonia quy định các nguyên tắc xử lý dữ

liệu cá nhân trong đó có nguyên tắc bảo

mật để bảo vệ dữ liệu cá nhân

- Estonia quy định về nguyên tắc sử dụng

Luật An toàn thông tin mạng: Điều 16

Việt Nam chỉ quy định nguyên tắc bảo vệ thông tin

cá nhân Trong nguyên tắc bảo vệ thông tin cá nhân, Việt Nam chỉ quy định “cá nhân

STT Luật Bảo vệ dữ liệu cá nhân Estonia

ý của chủ thể dữ liệu hoặc được sự cho

ph p của cơ quan có th n quyền”

tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật”

4

Quy định về bên xử lý dữ liệu cá nhân,

các nhiệm vụ của bên xử lý dữ liệu cá

nhân, việc ủy quyền xử lý dữ liệu cá

nhân:

Estonia quy định bên xử lý dữ liệu cá

nhân bao gồm cả cơ quan, tổ chức, cá

nhân Bên xử lý dữ liệu cá nhân xác

định: mục đích xử lý dữ liệu các loại dữ

liệu cần xử lý quy trình và cách thức xử

lý dữ liệu truyền dữ liệu cho người thứ

ba Bên xử lý dữ liệu cá nhân chính có

thể ủy quyền xử lý dữ liệu cho Bên xử lý

dữ liệu cá nhân được ủy quyền

Luật An toàn thông tin mạng:

Điều 20, Việt Nam chỉ quy

định trách nhiệm bảo vệ thông tin cá nhân của cơ quan quản lý nhà nước

5

Quy định về chủ thể dữ liệu (người có dữ

liệu cá nhân được xử lý), bên thứ ba

(Third person):

Estonia quy định chủ thể dữ liệu là một

người có dữ liệu cá nhân được xử lý tức

là ngoài việc xác định danh tính c n có

hoạt động xử lý Ngoài ra, Estonia quy

định cả bên thứ ba bao gồm cơ quan, tổ

STT Luật Bảo vệ dữ liệu cá nhân Estonia

Estonia quy định việc xử lý dữ liệu cá

nhân chỉ được ph p với sự đồng ý của

chủ thể dữ liệu có Phạm vi quy định của

Estonia rộng hơn Việt Nam

Luật An toàn thông tin mạng:

Điều 17, 18, Việt Nam quy

định việc thu thập thông tin

cá nhân sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu cung cấp, chia sẻ, phát tán thông tin cá nhân cho bên thứ

ba sau khi có sự đồng ý của chủ thể thông tin cá nhân

7

Quy định về việc tiết lộ dữ liệu cá nhân

của chủ thể dữ liệu, tiết lộ dữ liệu cá

nhân không có sự đồng ý của chủ thể dữ

liệu, quyền của chủ thể dữ liệu yêu cầu

chấm dứt tiết lộ dữ liệu cá nhân, việc

truyền đạt dữ liệu cá nhân cho người thứ

ba:

Estonia quy định việc tiết lộ thông tin cá

nhân trên phương tiện truyền thông báo

chí mà không có sự đồng ý của chủ thể

dữ liệu, mang lại lợi ích công cộng và

ph hợp với nguyên tắc đạo đức báo chí

+Việt Nam chưa có quy định việc tiết lộ thông tin cá nhân

mà chưa có sự đồng ý của chủ thể

8

Quy định về việc chấp thuận của chủ thể

dữ liệu đối với việc xử lý dữ liệu cá nhân

bao gồm phạm vi của sự đồng ý, định

dạng đưa ra sự đồng ý, việc cung cấp

Việt Nam chưa có quy định

cụ thể phạm vi sự đồng ý của chủ thể thông tin cá nhân Việt Nam chưa có quy định về

STT Luật Bảo vệ dữ liệu cá nhân Estonia

năm 2007

Luật An toàn thông tin mạng Việt Nam 2015

thông tin của bên xử lý dữ liệu cá nhân

cho chủ thể dữ liệu, quyền của chủ thể

dữ liệu được giải thích trong trường hợp

xử lý dữ liệu cá nhân nhạy cảm, quyền

của chủ thể dữ liệu trong việc cấm xử lý

dữ liệu liên quan đến họ nhằm mục đích

nghiên cứu thói quen tiêu dùng hoặc tiếp

thị trực tiếp, thời hạn hiệu lực sự đồng ý

của chủ thể dữ liệu, việc rút lại sự đồng

ý:

Estonia quy định sự đồng ý của chủ thể

dữ liệu phải xác định rõ dữ liệu được

ph p xử lý, mục đích xử lý dữ liệu và

người được ph p truyền tải dữ liệu, các

điều kiện để truyền dữ liệu cho người thứ

ba và các quyền của chủ thể dữ liệu liên

quan đến việc xử lý thêm dữ liệu cá nhân

của mình và sự đồng ý sẽ được đưa ra ở

một định dạng có thể được sao ch p

bằng văn bản

Việt Nam chưa có quy định cụ thể phạm

vi sự đồng ý của chủ thể thông tin cá

nhân

Estonia quy định chủ thể dữ liệu phải

được giải thích khi xử lý dữ liệu cá nhân

nhạy cảm

thông tin cá nhân nhạy cảm Việt Nam chưa có quy định chủ thể thông tin cá nhân có quyền cấm sử dụng thông tin

cá nhân nhằm mục đích nghiên cứu thói quen tiêu

d ng hoặc tiếp thị trực tiếp Việt Nam chưa có quy định thời gian có hiệu lực đối với

sự đồng ý của chủ thể thông tin cá nhân

STT Luật Bảo vệ dữ liệu cá nhân Estonia

năm 2007

Luật An toàn thông tin mạng Việt Nam 2015

Estonia quy định quyền của chủ thể dữ

liệu trong việc cấm xử lý dữ liệu liên

quan đến họ nhằm mục đích nghiên cứu

thói quen tiêu dùng hoặc tiếp thị trực

tiếp và truyền dữ liệu cho người thứ ba

có ý định sử dụng dữ liệu đó nghiên cứu

thói quen tiêu d ng hoặc tiếp thị trực

tiếp

Estonia quy định thời gian có hiệu lực

đối với sự đồng ý của chủ thể dữ liệu

9 Quy định về việc xử lý dữ liệu cá nhân

sau cái chết của chủ thể dữ liệu

Việt Nam chưa có quy định về việc xử lý thông tin cá nhân sau khi chủ thể thông tin cá nhân qua đời

10

Quy định về việc xử lý dữ liệu cá nhân

mà không có sự đồng ý của chủ thể dữ

liệu bao gồm các trường hợp xử lý dữ

liệu cá nhân được cho phép, các trường

hợp truyền dữ liệu cá nhân hoặc cấp

quyền truy cập vào dữ liệu cá nhân cho

người thứ ba với mục đích xử lý được

phép, trường hợp sử dụng thiết bị giám

sát truyền tải hoặc ghi dữ liệu cá nhân

Việt Nam chưa có quy định

cụ thể về các trường hợp xử

lý thông tin cá nhân, truyền thông tin cá nhân cho người thứ ba, sử dụng các thiết bị giám sát, truyền tải thông tin

cá nhân mà không có sự đồng

ý của chủ thể thông tin cá nhân

11

Quy định về việc thông báo cho chủ thể

dữ liệu về xử lý dữ liệu cá nhân bao gồm

việc thông báo của bên xử lý dữ liệu sau

Việt Nam chưa có quy định các trường hợp chủ thể thông tin cá nhân không cần phải

STT Luật Bảo vệ dữ liệu cá nhân Estonia

năm 2007

Luật An toàn thông tin mạng Việt Nam 2015

khi thu thập hoặc sửa đổi dữ liệu cá nhân

hoặc truyền dữ liệu cho người thứ ba,

các trường hợp chủ thể dữ liệu không

cần phải được thông báo về việc xử lý dữ

liệu cá nhân của mình:

Estonia quy định các trường hợp chủ thể

dữ liệu không cần phải được thông báo

về việc xử lý dữ liệu cá nhân của mình

được thông báo về việc xử lý thông tin cá nhân của mình

12

Quy định về việc xử lý dữ liệu cá nhân

cho nghiên cứu khoa học hoặc nhu cầu

thống kê chính thức

Việt Nam chưa có quy định về việc xử lý thông tin cá nhân cho nghiên cứu khoa học hoặc nhu cầu thống kê chính thức

13

Quy định về quyết định tự động bao gồm

các trường hợp ra quyết định bởi hệ

thống xử lý dữ liệu mà không có sự tham

gia của chủ thể dữ liệu, quyền của chủ

thể dữ liệu được thông báo trước khi đưa

ra quyết định tự động

Việt nam chưa có quy định về các trường hợp ra quyết định

tự động bởi hệ thống xử lý dữ liệu mà không có sự tham gia của chủ thể thông tin cá nhân

14

Quy định về việc chuyển dữ liệu cá nhân

ra nước ngoài khi đủ mức độ bảo vệ dữ

liệu, giữa các nước trong Liên minh châu

Âu, các trường hợp dữ liệu cá nhân được

chuyển sang nước ngoài không đáp ứng

các điều kiện quy định có sự cho phép

của Thanh tra bảo vệ dữ liệu và không có

Việt Nam chưa có quy định về việc chuyển thông tin cá nhân

ra nước ngoài