Bài viết phân tích quy định pháp luật về bảo vệ dữ liệu thông tin cá nhân trong nền kinh tế chia sẻ của Singapore. Từ đó bài viết sẽ trình bày một số vụ việc thực tiễn về bảo vệ dữ liệu thông tin cá nhân để qua đó đề xuất một số kinh nghiệm cho Việt Nam trong việc bảo vệ dữ liệu thông tin cá nhân.
Trang 1PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG MÔ HÌNH KINH TẾ CHIA SẺ CỦA SINGAPORE – KINH NGHIỆM CHO VIỆT NAM
Phạm Thị Hồng Mỵ 1
Tóm tắt: Bài viết phân tích quy định pháp luật về bảo vệ dữ liệu thông tin cá nhân trong nền kinh tế
chia sẻ của Singapore… Từ đó bài viết sẽ trình bày một số vụ việc thực tiễn về bảo vệ dữ liệu thông tin cá nhân để qua đó đề xuất một số kinh nghiệm cho Việt Nam trong việc bảo vệ dữ liệu thông tin cá nhân
Từ khóa: Bảo vệ dữ liệu thông tin cá nhân, kinh tế chia sẻ
1 KHÁI QUÁT KINH TẾ CHIA SẺ VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG NỀN KINH TẾ CHIA SẺ
Cùng với sự phát triển hội nhập quốc tế sâu rộng và cách mạng công nghệ 4.0 bùng nổ thì tất yếu kinh tế chia sẻ sẽ là mô hình kinh tế kiểu mới Kinh tế chia sẻ là mô hình mà trong đó những người có nhu cầu trao đổi hàng hóa, dịch vụ ngang hàng với nhau với sự hỗ trợ của nền tảng mạng internet Chủ thể thực hiện hoạt động chia sẻ các nguồn lực thường là các cá nhân có nhu cầu trực tiếp trao đổi nguồn lực đó trong ngắn hạn Nguồn lực được chia sẻ là nguồn lực nhàn rỗi của chủ sở hữu hoặc người có nhu cầu chia sẻ nguồn lực Các chủ thể tham gia vào hoạt động kinh tế chia sẻ có thể đánh giá lẫn nhau và luôn có sự tham gia hỗ trợ của một nền tảng trực tuyến thông qua việc sử dụng các thiết bị điện thoại thông minh hoặc máy tính có kết nối internet (Hà Thị Thanh Bình, 2020) Điển hình của mô hình kinh
tế chia sẻ ở Việt Nam là hình thức chia sẻ dịch vụ đi lại qua các ứng dụng như Grab, Gojek, Be… và chia sẻ chỗ ở cho người đi du lịch như Airbnb, Luxstay, Agoda, Booking.com, Triip.me, Travelmob… Chỉ với smartphone thông minh hoặc máy tính có kết nối internet là người thuê có thể đặt phòng nghỉ lưu trú ở bất cứ quốc gia nào trên thế giới
Trong mô hình này, dịch vụ gọi xe công nghệ hay dịch vụ kinh doanh lưu trú chia sẻ sẽ bao gồm 3 chủ thể: bên cung ứng dịch vụ và bên tìm kiếm dịch vụ (người sử dụng dịch vụ) sẽ tham gia (gửi yêu cầu) vào hệ thống nền tảng trực tuyến do bên cung cấp nền tảng trong hoạt động kinh tế chia sẻ thực hiện và sẽ cung cấp các thông tin, dữ liệu của mình cho bên thứ ba này như họ và tên, địa chỉ liên hệ, địa chỉ email, số điện thoại, số tài khoản, địa chỉ nơi ở… Trong một số ứng dụng nền tảng trực tuyến còn cho phép quyền của bên cung cấp nền tảng là có quyền xử lý cũng như chia sẻ thông tin cá nhân mà bên thứ ba đã thu thập từ các bên khách hàng của mình Cho nên việc bảo vệ dữ liệu thông tin cá nhân sẽ là điều quan trọng, đặc biệt bên thứ ba (bên cung cấp nền tảng)
sẽ là bên thu thập, xử lý dữ liệu của các bên tham gia Và bên thứ ba này sẽ chính là chủ thể phải chịu trách nhiệm bảo vệ dữ liệu cá nhân Do đó, nếu bên thứ ba, bên cung cấp nền tảng trong hoạt động kinh doanh dịch vụ lưu trú chia sẻ không đảm bảo nghĩa vụ bảo vệ dữ liệu thông tin cá nhân trong quá trình thu thập, xử lý dữ liệu thì sẽ gây ảnh hưởng rất lớn đối với các chủ thể tham gia
1 Trường Đại học Sài Gòn Email: phammydl@gmail.com
Trang 22 QUY ĐỊNH CỦA PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU THÔNG TIN CÁ NHÂN CỦA SINGAPORE
Đạo luật bảo vệ dữ liệu cá nhân năm 2012 (PDPA) là pháp luật bảo vệ dữ liệu chính tại
Singapore, quản lý việc thu thập, sử dụng và tiết lộ dữ liệu cá nhân của các tổ chức Trước khi ban hành PDPA, Singapore không có luật tổng thể quản lý việc bảo vệ dữ liệu cá nhân Việc xử lý dữ liệu cá nhân ở Singapore được điều chỉnh ở một mức độ nhất định bởi sự chắp vá của các luật bao gồm luật chung, luật dành riêng cho ngành và các bộ luật tự điều chỉnh hoặc đồng điều chỉnh khác nhau
PDPA đã được Quốc hội Singapore thông qua vào ngày 15 tháng 10 năm 2012 và được thực hiện trong ba giai đoạn Giai đoạn đầu tiên của các điều khoản chung có hiệu lực vào ngày 2 tháng 1 năm
2013 Những điều khoản này liên quan đến phạm vi và cách giải thích của PDPA; việc thành lập Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC), cơ quan quản lý và thực thi PDPA; việc thành lập Ủy ban Tư vấn Bảo vệ Dữ liệu; thành lập Sổ đăng ký (DNC) của PDPC và các điều khoản chung khác của PDPA Giai đoạn thứ hai chứng kiến các quy định liên quan đến Cơ quan đăng ký DNC có hiệu lực vào ngày 2 tháng 1 năm 2014 Giai đoạn thứ ba và giai đoạn cuối cùng chứng kiến các quy định chính, liên quan đến việc bảo vệ dữ liệu cá nhân (Điều khoản bảo vệ dữ liệu), cụ thể là Phần III đến IV của PDPA, có hiệu lực vào ngày 2 tháng 7 năm 2014
Mục đích của Đạo luật này là quản lý việc thu thập, sử dụng và tiết lộ dữ liệu cá nhân của các tổ chức theo cách công nhận các quyền của cá nhân để bảo vệ cá nhân đó Nhu cầu của các tổ chức để thu thập, sử dụng hoặc tiết lộ dữ liệu cho các mục đích mà một người hợp lý sẽ cho là phù hợp trong các trường hợp
PDPA thường áp dụng cho tất cả các tổ chức liên quan đến dữ liệu cá nhân mà họ thu thập, sử dụng và/hoặc tiết lộ Tuy nhiên, các loại tổ chức sau đây được miễn áp dụng PDPA: cá nhân hành động với tư cách cá nhân hoặc trong nước; nhân viên hành động trong quá trình làm việc của họ với một tổ chức; cơ quan công quyền hoặc tổ chức đại diện cho cơ quan công quyền liên quan đến việc thu thập,
sử dụng hoặc tiết lộ dữ liệu cá nhân; bất kỳ tổ chức hoặc dữ liệu cá nhân nào khác, hoặc các loại tổ chức hoặc dữ liệu cá nhân có thể được quy định bởi luật liên quan PDPA cũng áp dụng cho các tổ chức không có hiện diện thực tế tại Singapore, miễn là các tổ chức này thu thập, sử dụng hoặc tiết lộ dữ liệu trong phạm vi Singapore Ví dụ: Các tổ chức ở nước ngoài thu thập dữ liệu từ các cá nhân ở Singapore thông qua các kênh hoặc nền tảng trực tuyến sẽ phải tuân theo Điều khoản bảo vệ dữ liệu Định nghĩa dữ liệu cá nhân có nghĩa là dữ liệu về cá nhân đó Một tổ chức sẽ không được chỉ định, thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân về một cá nhân trừ khi cá nhân cho phép, hoặc được coi là đã cho, đã đồng ý Theo Đạo luật này đối với việc thu thập, sử dụng hoặc tiết lộ, tùy từng trường hợp mà không có sự đồng ý của cá nhân được yêu cầu hoặc được ủy quyền theo đạo luật hoặc bất kỳ luật thành văn nào khác Một tổ chức không được – như một điều kiện để cung cấp một sản phẩm hoặc dịch vụ, yêu cầu một cá nhân đồng ý với việc thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân về cá nhân ngoài những gì hợp lý để cung cấp sản phẩm hoặc dịch vụ cho cá nhân; hoặc là có được hoặc cố gắng đạt được sự đồng ý cho việc thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân bằng cách cung cấp sai hoặc gây hiểu lầm thông tin liên quan đến việc thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân hoặc sử dụng lừa đảo hoặc gây hiểu lầm Một cá nhân được coi là đồng ý với việc thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân về cá nhân bởi một tổ chức cho một mục đích nếu – cá nhân, mà không thực sự đưa ra sự đồng ý được đề cập đến, tự nguyện cung cấp dữ liệu cá nhân cho
tổ chức cho mục đích đó; và điều hợp lý là cá nhân đó sẽ tự nguyện cung cấp dữ liệu Nếu một cá
Trang 3nhân đưa ra, hoặc được coi là đã đưa ra, đồng ý với tiết lộ dữ liệu cá nhân về cá nhân bởi một tổ chức cho một tổ chức khác cho một mục đích cụ thể, cá nhân được coi là đồng ý với việc thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân cho mục đích cụ thể của tổ chức khác Một tổ chức không được cấm một
cá nhân rút lại sự đồng ý của mình đối với việc thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân về cá nhân, nhưng điều này sẽ không ảnh hưởng đến bất kỳ hậu quả pháp lý phát sinh từ việc rút đó Một tổ chức phải nỗ lực hợp lý để đảm bảo rằng dữ liệu cá nhân được thu thập bởi hoặc thay mặt cho tổ chức là chính xác và hoàn thành, nếu dữ liệu cá nhân – có khả năng được tổ chức sử dụng để đưa ra quyết định điều đó ảnh hưởng đến cá nhân mà dữ liệu cá nhân quan hệ; hoặc là có khả năng được tổ chức tiết lộ cho người khác Một tổ chức phải bảo vệ dữ liệu cá nhân do mình sở hữu hoặc dưới sự kiểm soát của nó bằng cách thực hiện các thỏa thuận an ninh hợp lý để ngăn chặn truy cập trái phép, thu thập, sử dụng, tiết lộ, sao chép, sửa đổi, loại bỏ hoặc các rủi ro tương tự Một tổ chức sẽ ngừng lưu giữ các tài liệu của mình có chứa dữ liệu cá nhân hoặc loại bỏ các phương tiện mà dữ liệu cá nhân có thể liên kết với các cá nhân cụ thể, ngay khi thấy hợp lý giả sử – mục đích mà dữ liệu cá nhân đó được thu thập là không lâu hơn được phục vụ bằng cách lưu giữ dữ liệu cá nhân; và việc lưu giữ không còn cần thiết cho pháp lý hoặc kinh doanh Một tổ chức sẽ không chuyển bất kỳ dữ liệu cá nhân nào cho một quốc gia hoặc vùng lãnh thổ bên ngoài Singapore ngoại trừ theo các yêu cầu được quy định theo Đạo luật này để đảm bảo rằng các tổ chức cung cấp một tiêu chuẩn bảo vệ cho dữ liệu
cá nhân được chuyển giao có thể so sánh với sự bảo vệ theo đạo luật này
Chủ thể dữ liệu có các quyền sau: quyền đưa ra và rút lại sự đồng ý vào bất kỳ lúc nào bằng cách đưa ra thông báo hợp lý, trừ khi điều đó làm cản trở việc thực hiện nghĩa vụ pháp lý; quyền yêu cầu một tổ chức cấp quyền truy cập vào dữ liệu cá nhân của họ trong quyền sở hữu hoặc kiểm soát của tổ chức, tùy thuộc vào các ngoại lệ trong phần thứ năm của PDPA; quyền yêu cầu một tổ chức chỉnh sửa bất kỳ dữ liệu không chính xác nào thuộc quyền sở hữu hoặc kiểm soát của tổ chức, tùy thuộc vào các ngoại lệ trong phần thứ sáu của PDPA Liên quan đến việc rút lại sự đồng ý, các chủ thể dữ liệu nên nhận thức được thực tế là việc rút lại một số sự đồng ý có thể ảnh hưởng đến khả năng tổ chức tiếp tục cung cấp cho họ các dịch vụ được yêu cầu Đối với quyền yêu cầu truy cập, chủ thể dữ liệu có quyền tìm hiểu xem tổ chức có dữ liệu cá nhân nào và tổ chức đã sử dụng dữ liệu cá nhân của họ như thế nào trong năm qua Để tránh nghi ngờ, các chủ thể dữ liệu không có quyền ở Singapore để yêu cầu một tổ chức phá hủy hoặc xóa dữ liệu cá nhân thuộc quyền sở hữu hoặc kiểm soát của tổ chức đó
Ngoài ra, đạo luật bảo vệ dữ liệu cá nhân cũng quy định rõ ràng về các chế tài cụ thể và cách thức giải quyết bảo vệ dữ liệu cá nhân Và một số trường hợp ngoại lệ như là: Một tổ chức có thể sử dụng dữ liệu về một cá nhân mà không cần sự đồng ý của cá nhân đó trong các trường hợp sau đây: Việc sử dụng là cần thiết cho mục đích rõ ràng vì lợi ích của cá nhân, nếu không thể đạt được sự đồng ý cho việc sử dụng nó một cách kịp thời hoặc cá nhân sẽ không được mong đợi một cách hợp lý để giữ lại; Việc sử dụng là cần thiết để ứng phó với tình huống khẩn cấp đe dọa tính mạng, sức khỏe hoặc sự an toàn của cá nhân hoặc cá nhân khác; Dữ liệu cá nhân có sẵn công khai; Việc sử dụng là cần thiết vì lợi ích quốc gia; Việc sử dụng là cần thiết cho bất kỳ cuộc điều tra hoặc tố tụng nào; Việc sử dụng là cần thiết cho các mục đích đánh giá; Dữ liệu cá nhân được sử dụng cho tổ chức để thu hồi một khoản nợ tổ chức do cá nhân hoặc tổ chức trả cho cá nhân vay nợ; Việc sử dụng là cần thiết cho việc cung cấp các dịch vụ pháp lý của tổ chức cho một người khác hoặc cho tổ chức để có được các dịch vụ pháp lý; Tuân theo các điều kiện trong đoạn 2, dữ liệu cá nhân được sử dụng cho mục đích nghiên cứu, bao gồm nghiên cứu lịch sử hoặc thống kê; hoặc là dữ liệu được tổ chức thu thập theo Điều 17 và được tổ chức
sử dụng cho các mục đích nhất quán
Trang 4Về cơ quan chuyên biệt bảo vệ dữ liệu thông tin cá nhân: Đạo luật đã quy định thành lập Ủy ban bảo vệ dữ liệu cá nhân (PDPC) là từ cơ quan phát triển phương tiện thông tin truyền thông PDPC chịu trách nhiệm thực thi PDPA Trong trường hợp PDPC hài lòng rằng một tổ chức đã vi phạm Điều khoản bảo vệ dữ liệu theo PDPA, PDPC được toàn quyền quyết định để đưa ra các hướng khắc phục khi nó cho là phù hợp Chúng bao gồm các hướng dẫn yêu cầu tổ chức: ngừng thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân trái với PDPA; phá hủy dữ liệu cá nhân được thu thập trái với PDPA; cung cấp quyền truy cập hoặc sửa dữ liệu cá nhân; hoặc là nộp phạt tài chính lên đến 1 triệu SGD (khoảng €665.050)
Trong quá trình điều tra, PDPC có thể: bằng văn bản thông báo, yêu cầu tổ chức xuất trình bất kỳ tài liệu hoặc thông tin cụ thể nào; bằng cách thông báo trước ít nhất hai ngày làm việc về dự định nhập cảnh vào cơ sở của tổ chức mà không cần trát; và có được lệnh khám xét để vào cơ sở của một
tổ chức và thu thập hoặc xóa bỏ bất kỳ tài liệu nào.Việc không tuân thủ các điều khoản nhất định trong PDPA cũng có thể cấu thành một hành vi phạm tội, có thể bị phạt tiền hoặc phạt tù có thời hạn Số tiền phạt và thời hạn tù (nếu có) khác nhau, tùy thuộc vào điều khoản nào bị vi phạm Ví dụ: một người bị kết tội đưa ra yêu cầu truy cập hoặc chỉnh sửa dữ liệu cá nhân của người khác mà không có thẩm quyền có thể bị kết án phạt tiền không quá SGD 5.000 (khoảng €3,300) hoặc phạt tù
có thời hạn không quá 12 tháng, hoặc cả hai (Mục 51(2) của PDPA) Một tổ chức hoặc cá nhân cản trở PDPC, một viên chức được ủy quyền, cố ý hoặc thiếu thận trọng đưa ra tuyên bố sai với PDPC,
cố ý gây hiểu lầm hoặc cố tình đánh lừa PDPC trong việc thực hiện quyền hạn hoặc thực hiện nhiệm
vụ của họ theo PDPA, người đó sẽ phải chịu trách nhiệm sau khi bị kết án với khoản tiền phạt lên đến 10.000 SGD (khoảng €6.600) và/hoặc bị phạt tù có thời hạn lên đến 12 tháng (đối với trường hợp
là một cá nhân), hoặc tiền phạt lên đến SGD 100.000 (khoảng 66.000€) (trong bất kỳ trường hợp nào khác) Một cá nhân hoặc tổ chức bị vi phạm có thể làm đơn gửi PDPC để xem xét lại hướng dẫn hoặc quyết định của mình Sau đó, bất kỳ cá nhân hoặc tổ chức nào bị ảnh hưởng bởi quyết định xem xét lại của PDPC đều có thể nộp đơn kháng cáo lên Ban kháng nghị bảo vệ dữ liệu Ngoài ra, một cá nhân hoặc tổ chức bị vi phạm có thể khiếu nại trực tiếp lên Ban kháng nghị bảo vệ dữ liệu mà không cần gửi yêu cầu xem xét lại trước Chỉ đạo hoặc quyết định của Ban kháng nghị bảo vệ dữ liệu (thông qua Ủy ban kháng cáo bảo vệ dữ liệu) có thể bị kháng cáo lên Tòa án cấp cao theo quan điểm của luật hoặc nếu quyết định đó liên quan đến số tiền phạt tài chính Quyết định của Tòa án cấp cao có thể được tiếp tục kháng nghị lên Tòa án cấp phúc thẩm Một cá nhân bị mất mát hoặc thiệt hại trực tiếp do làm trái các quy định của PDPA cũng có thể bắt đầu một vụ kiện dân sự riêng Tuy nhiên, quyền hành động riêng như vậy chỉ có thể được thực hiện sau khi đã hết mọi cách thức kháng cáo, đối với quyết định vi phạm liên quan do PDPC ban hành
Dự luật Bảo vệ Dữ liệu Cá nhân (Sửa đổi) 2020 đã được công bố để lấy ý kiến cộng đồng Những sửa đổi chính được đề xuất trong Dự luật bao gồm:
1 Tăng hình phạt tài chính đối với các hành vi vi phạm Đạo luật bảo vệ dữ liệu cá nhân lên đến 10% tổng doanh thu hàng năm ở Singapore hoặc 1 triệu đô la Singapore, tùy theo mức nào cao hơn
2 Thông báo bắt buộc về vi phạm dữ liệu cho Ủy ban Bảo vệ Dữ liệu Cá nhân của Singapore và các cá nhân bị ảnh hưởng
3 Sự đồng ý được cho là sẽ được mở rộng bao gồm: a) vì sự cần thiết của hợp đồng, tức là khi việc xử lý dữ liệu là cần thiết một cách hợp lý để thực hiện hợp đồng; và b) khi các cá nhân đã được thông báo về mục đích của việc xử lý dữ liệu và có cơ hội từ chối
Trang 54 Các ngoại lệ mới đối với sự đồng ý:
a) Lợi ích hợp pháp: ngoại lệ này áp dụng khi lợi ích hợp pháp của tổ chức và lợi ích của công chúng (hoặc bất kỳ bộ phận nào trong đó) vượt trội hơn bất kỳ ảnh hưởng bất lợi nào đối với cá nhân Điều này có thể bao gồm nơi dữ liệu được xử lý cho mục đích phát hiện hoặc ngăn chặn các hoạt động bất hợp pháp (ví dụ: gian lận hoặc rửa tiền) hoặc các mối đe dọa đối với an toàn và bảo mật vật
lý, đảm bảo công nghệ thông tin và an ninh mạng hoặc ngăn chặn việc sử dụng sai dịch vụ Các tổ chức phải thực hiện đánh giá rủi ro và tác động, đồng thời tiết lộ bất kỳ sự phụ thuộc nào vào lợi ích hợp pháp Ngoại lệ không thể được sử dụng để gửi thông điệp tiếp thị trực tiếp đến các cá nhân
b) Cải tiến hoạt động kinh doanh: ngoại lệ này áp dụng khi có nhu cầu: (i) thực hiện cải tiến hiệu quả hoạt động và dịch vụ; (ii) phát triển hoặc nâng cao sản phẩm/dịch vụ; hoặc (iii) biết thêm về khách hàng của tổ chức Việc sử dụng dữ liệu cá nhân phải là cách mà một người hợp lý sẽ cho là phù hợp trong các trường hợp và dữ liệu không được sử dụng để đưa ra quyết định có khả năng gây ảnh hưởng xấu đến bất kỳ cá nhân nào Ngoại lệ này cũng áp dụng cho một nhóm công ty, bao gồm cả các công ty con trong một tổ chức
c) Ngoại lệ của nghiên cứu đã sửa đổi: ngoại lệ này được áp dụng với điều kiện là trong số những điều khác: (i) việc sử dụng dữ liệu cá nhân hoặc kết quả của nghiên cứu không được có ảnh hưởng xấu đến cá nhân; và (ii) kết quả không được công bố dưới dạng xác định bất kỳ cá nhân nào Cũng sẽ nới lỏng các hạn chế đối với việc sử dụng dữ liệu cá nhân cho mục đích nghiên cứu mà không có sự đồng ý; ví dụ: ngoại lệ có thể áp dụng cho các viện thực hiện nghiên cứu và phát triển khoa học hoặc nghiên cứu khoa học xã hội và nghệ thuật, hoặc nghiên cứu thị trường nhằm tìm hiểu các phân khúc khách hàng tiềm năng Tuy nhiên, việc tiết lộ thông tin cho mục đích nghiên cứu sẽ tiếp tục chịu những hạn chế nghiêm ngặt hơn liên quan đến tính không thực tế và lợi ích công cộng
5 Quyền di chuyển dữ liệu mới cho các cá nhân, cho họ quyền yêu cầu truyền dữ liệu của họ cho một nhà cung cấp dịch vụ khác Nghĩa vụ về khả năng di chuyển của một tổ chức sẽ chỉ áp dụng cho: a) Dữ liệu do người dùng cung cấp và dữ liệu về hoạt động của người dùng được lưu giữ dưới dạng điện tử, bao gồm cả thông tin liên hệ của doanh nghiệp Dữ liệu này có thể bao gồm dữ liệu cá nhân của bên thứ ba, nơi yêu cầu được thực hiện với tư cách cá nhân hoặc trong nước của cá nhân được yêu cầu
b) Yêu cầu các cá nhân có mối quan hệ hiện có, trực tiếp với tổ chức; và
c) Các tổ chức tiếp nhận có sự hiện diện tại Singapore Tuy nhiên, tính khả chuyển của dữ liệu sau
đó có thể được mở rộng cho các khu vực pháp lý có cùng quan điểm cung cấp các biện pháp bảo vệ có thể so sánh được và các thỏa thuận có đi có lại
6 Tăng cường bảo vệ chống lại tiếp thị qua điện thoại không được yêu cầu và spam
7 Sẽ có những tội danh mới bắt các cá nhân phải chịu trách nhiệm về việc xử lý sai nghiêm trọng
dữ liệu cá nhân thay mặt cho một tổ chức hoặc cơ quan công cộng
3 THỰC TIỄN XỬ LÝ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA UỶ BAN BẢO VỆ DỮ LIỆU CÁ NHÂN (PDPC)
Chúng ta cùng tham khảo 1 số vụ việc đã được Uỷ ban bảo vệ dữ liệu cá nhân tiếp nhận, giải quyết
Vụ việc 01: Grabcar Pte Ltd [2020] SGPDPC 14, Số DP–1909–B4675 Grabcar Pte Ltd là một
Trang 6công ty có trụ sở tại Singapore cung cấp dịch vụ vận chuyển gọi xe, giao đồ ăn và thanh toán kỹ thuật
số giải pháp thông qua ứng dụng di động của nó (Ứng dụng Grab) Ứng dụng Grab cũng cung cấp tùy chọn đi chung xe được gọi là “GrabHitch” GrabHitch khớp một hành khách với tài xế sẵn sàng đón hành khách (trên đường đến điểm đến của người lái xe) để đổi lại một khoản phí Vào ngày 30 tháng 8 năm 2019, Grab đã thông báo cho Ủy ban Bảo vệ Dữ liệu Cá nhân rằng, trong một khoảng thời gian ngắn cùng ngày, dữ liệu hồ sơ của 5.651 tài xế GrabHitch có nguy cơ bị các tài xế GrabHitch khác truy cập trái phép thông qua ứng dụng Grab Do sự cố, nên tổng cộng có 21.541 tài
xế GrabHitch và dữ liệu hành khách có nguy cơ bị truy cập trái phép (gọi chung “Tập dữ liệu cá nhân”): (a) Ảnh đại diện; (b) Tên hành khách; (c) Biển số xe; và (d) số dư trên ví bao gồm lịch sử nhật ký của các khoản thanh toán đi xe Ngoài Tập dữ liệu cá nhân, dữ liệu khác được tiếp xúc với rủi ro truy cập trái phép trong khi sự cố xảy ra bao gồm cả việc đặt xe GrabHitch, các chi tiết như địa chỉ, thời gian đón và trả khách; tổng số chuyến đi, mô hình xe Khi được thông báo về sự cố, Grab đã thực hiện các biện pháp sau: (a) Đã đưa lại Ứng dụng Grab về phiên bản trước khi Cập nhật trong vòng khoảng 40 phút; (b) 5.651 tài xế GrabHitch đã thông báo về sự cố trên cùng một ngày; (c) Đã tăng số tiền “rút tiền” tối thiểu cho các ví trong GrabHitch đến $ 200.000 để ngăn chuyển tiền trái phép; (d) Đã triển khai bản cập nhật mới cho Ứng dụng Grab vào ngày 10 tháng 9 năm 2019; (e) Đã xem xét các quy trình thử nghiệm của nó bao gồm cả việckiểm tra tự động bắt buộc cho tất cả các điểm cuối API giao dịch với dữ liệu cá nhân; (f) Cập nhật các thủ tục quản trị liên quan đến việc triển khai và xác minh bảo mật về các thay đổi đối với hệ thống và ứng dụng công nghệ thông tin
Ủy ban bảo vệ dữ liệu cá nhân đã tiến hành xem xét: Liệu Grab có làm trái quy định tại Điều 24 của PDPA hay không? Điều 24 của Đạo luật Bảo vệ Dữ liệu Cá nhân 2012 quy định rằng một tổ chức
sẽ bảo vệ dữ liệu cá nhân thuộc quyền sở hữu của mình hoặc theo kiểm soát bằng cách sắp xếp an ninh hợp lý để ngăn chặn trái phép truy cập, thu thập, sử dụng, tiết lộ, sao chép, sửa đổi hoặc các rủi ro tương tự Trong bối cảnh của trường hợp hiện tại, cho rằng Grab đã thay đổi đối với hệ thống công nghệ thông tin đã xử lý tập dữ liệu cá nhân, có nghĩa là vụ việc đưa ra các thỏa thuận an ninh hợp lý để ngăn chặn bất kỳ sự xâm phạm nào đối với tập dữ liệu cá nhân Grab không thực hiện được vì những lý
do đã giải thích như sau:
Thứ nhất, Grab đã không đưa ra các quy trình đủ mạnh để quản lý các thay đổi đối với hệ thống công nghệ thông tin có thể đưa dữ liệu cá nhân xử lý rủi ro Đây là một lỗi đặc biệt nghiêm trọng vì đây
là lần thứ hai Grab mắc lỗi tương tự, mặc dù liên quan đến một hệ thống khác
Thứ hai, Grab đã không tiến hành thử nghiệm cho bản cập nhật cho ứng dụng Grab đã được triển khai Grab thừa nhận chưa có tiến hành kiểm tra phạm vi phù hợp trước khi có các tính năng công nghệ thông tin mới hoặc các thay đổi đối với hệ thống công nghệ thông tin được triển khai
Dựa vào 2 lý do này, Ủy ban đã kết luận Grab đã vi phạm Điều 24 PDPA Và rằng, Công việc kinh doanh của Grab liên quan đến việc xử lý khối lượng lớn dữ liệu cá nhân trên một nền tảng hàng ngày
và đây là một điều đáng quan tâm Sau khi xem xét tất cả các yếu tố liên quan của trường hợp này, Uỷ ban đã quyết định Grab phải trả khoản tiền phạt 10.000 đô la Singapore Bên cạnh đó, để mà giảm nguy
cơ vi phạm dữ liệu khác, Uỷ ban cũng chỉ đạo Grab bảo vệ dữ liệu bằng thiết kế chính sách cho các ứng dụng di động của mình trong vòng 120 ngày
Vụ việc 02: Thông tin cá nhân từ 2,8 triệu tài khoản Eatigo (nền tảng đặt chỗ nhà hàng) đã bị đánh
cắp và được rao bán trên một diễn đàn trực tuyến, bao gồm từ 400.000 tài khoản thuộc về người dùng ở Singapore Trong một email gửi tới những khách hàng bị ảnh hưởng vào thứ Bảy (31/10/2020) được
Trang 7The Sunday Times đăng tải, nền tảng đặt chỗ nhà hàng trực tuyến cho biết rằng thông tin bị đánh cắp là
từ hơn 18 tháng trước và bao gồm tên, địa chỉ email và số điện thoại Thông tin này là từ một cơ sở dữ liệu cũ được cập nhật lần cuối vào năm 2018 và hiện không còn được sử dụng Eatigo đã thông báo cho
Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC) về vi phạm trên Trong email của mình, Eatigo cho biết họ sẽ hợp tác với các cơ quan liên quan về vấn đề này và đã thiết lập một nhóm hỗ trợ để khách hàng bị ảnh hưởng có thể liên hệ với các thắc mắc hoặc mối quan tâm Eatigo cũng khuyến cáo khách hàng đăng nhập vào tài khoản của họ và đặt lại mật khẩu của họ như một biện pháp phòng ngừa và cảnh giác với bất kỳ thư rác nào yêu cầu thông tin cá nhân hoặc thông tin nhạy cảm PDPC cho biết họ đã biết về vấn
đề này và đang điều tra (Lester Wong, 2020)
4 KẾT LUẬN VÀ KHUYẾN NGHỊ KINH NGHIỆM DÀNH CHO VIỆT NAM TRONG VIỆC BẢO VỆ DỮ LIỆU THÔNG TIN CÁ NHÂN
Đối với Việt Nam, theo quy định tại Điều 21 Hiến pháp năm 2013, mọi người có quyền bất khả xâm phạm về đời sống riêng tư, trong đó bao gồm cả bí mật cá nhân, bí mật gia đình, bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác Quy định này được cụ thể hóa ở nhiều văn bản khác như Bộ luật dân sự, Bộ luật hình sự, Luật bưu chính… Và cũng có thể nói rằng, Việt Nam hiện nay chưa có một văn bản pháp luật thống nhất điều chỉnh bảo vệ quyền về dữ liệu cá nhân Quyền này được bảo vệ bởi nhiều văn bản pháp luật khác nhau như Luật Giao dịch điện tử, Luật Công nghệ thông tin, Luật Bảo vệ quyền lợi Người tiêu dùng, Luật An toàn thông tin mạng, Luật An ninh mạng, Nghị định số 52/2013/ND–CP về thương mại điện tử và Nghị định số 72/2013/ND–CP về quản lý, cung cấp và sử dụng dịch vụ Internet và thông tin trên mạng
Và cũng ở Việt Nam khi có vụ việc xâm phạm dữ liệu cá nhân thì cơ quan có thẩm quyền sẽ phải xem xét rất nhiều văn bản từ cấp độ luật cho đến nghị định và thông tư hướng dẫn Tuy nhiên khi chúng ta so sánh pháp luật Việt Nam với pháp luật của Singapore về bảo vệ dữ liệu cá nhân thì thấy rằng: Pháp luật Việt Nam chưa có văn bản chuyên biệt thống nhất quy định về bảo vệ dữ liệu cá nhân Mặt khác, cơ quan chuyên biệt thực thi pháp luật về bảo vệ dữ liệu cá nhân có đầy đủ kinh nghiệm chuyên môn để xử lý giải quyết và qua đó bảo vệ quyền lợi của chủ thể dữ liệu một cách kịp thời Cho nên, Việt Nam cần sớm ban hành đạo luật chuyên biệt bảo vệ dữ liệu thông tin cá nhân bao gồm các nội dung về phần chung trong đó xác định rõ khái niệm về thông tin cá nhân (vì hiện nay chúng ta có các văn bản đưa ra khái niệm về thông tin cá nhân nhưng các khái niệm lại không có sự đồng nhất), quyền và nghĩa vụ của chủ thể: chủ thể dữ liệu thông tin cá nhân, chủ thể cung cấp dịch vụ trực tuyến nền tảng cho các bên, quy định cơ quan chuyên biệt – Ủy ban bảo vệ dữ liệu thông tin cá nhân, đảm bảo tính độc lập của cơ quan này, chức năng, nhiệm vụ cụ thể của cơ quan bảo vệ dữ liệu cá nhân, quy định các trường hợp giới hạn sử dụng, tiết lộ, xử lý thông tin cá nhân, xây dựng nguyên tắc
xử lý dữ liệu thông tin cá nhân, quy định các biện pháp bảo hộ pháp lý mà chủ thể dữ liệu thông tin cá nhân có thể sử dụng để bảo vệ quyền lợi khi bị xâm phạm, quy định về hình thức xử lý theo hướng chế tài đủ mạnh
Như vậy, việc bảo vệ dữ liệu cá nhân trong nền kinh tế chia sẻ hiện nay là điều rất quan trọng với bối cảnh cách mạng công nghệ 4.0 với công nghệ làm nền tảng Vì thế, việc ban hành khung đạo luật chuyên biệt thống nhất về bảo vệ dữ liệu cá nhân là cơ sở quan trọng để góp phần bảo vệ chủ thể dữ liệu, tạo sự ổn định cho sự phát triển nền kinh tế
Trang 8TÀI LIỆU THAM KHẢO
1 Hà Thị Thanh Bình, 2020, Điều chỉnh bằng pháp luật đối với mô hình kinh tế chia sẻ, Hội thảo Một
số vấn đề pháp lý và quản trị trong mô hình kinh tế chia sẻ
2 PDPC, 2020, Decisions, xem 05.11.2020: https://www.pdpc.gov.sg/–/media/Files/PDPC/PDF–
Files/Commissions–Decisions/Decision–Grabcar–Pte–Ltd–24072020.pdf?la=en
3 Lester Wong, 2020, Personal data from 2.8 million Eatigo accounts stolen, put up for sale online,
xem 05.11.2020 : https://www.straitstimes.com/tech/personal–data–from–28–million–eatigo–
accounts–stolen–put–up–for–sale–online