BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC LUẬT TP.HCM
KHOA LUẬT QUỐC TẾ
-----------***------------
TRẦN THỊ THU HẰNG
MSSV : 1853801015059
VẤN ĐỀ BẢO VỆ DỮ LIỆU CÁ NHÂN
THEO PHÁP LUẬT LIÊN MINH CHÂU ÂU
VÀ HOA KỲ - ĐỀ XUẤT CHO VIỆT NAM
KHÓA LUẬN TỐT NGHIỆP
Niên khóa: 2018 - 2022
Người hướng dẫn : ThS. Nguyễn Thị Kim Duyên
TP. Hồ Chí Minh – Năm 2022
TRƯỜNG ĐẠI HỌC LUẬT THÀNH PHỐ HỒ CHÍ MINH
KHOA LUẬT QUỐC TẾ
-----------***-----------
KHÓA LUẬN TỐT NGHIỆP CỬ NHÂN LUẬT
VẤN ĐỀ BẢO VỆ DỮ LIỆU CÁ NHÂN THEO
PHÁP LUẬT LIÊN MINH CHÂU ÂU VÀ HOA
KỲ - ĐỀ XUẤT CHO VIỆT NAM
SINH VIÊN THỰC HIỆN: TRẦN THỊ THU HẰNG
KHÓA: 43 – MSSV: 1853801015059
GIẢNG VIÊN HƯỚNG DẪN: ThS. NGUYỄN THỊ KIM DUYÊN
TP. HỒ CHÍ MINH – NĂM 2022
1
MỤC LỤC
DANH MỤC TỪ VIẾT TẮT....................................................................................1
LỜI CAM ĐOAN ......................................................................................................4
PHẦN MỞ ĐẦU ........................................................................................................5
CHƯƠNG 1. LÝ LUẬN CHUNG VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN .............12
1.1. Khái quát về bảo vệ dữ liệu cá nhân............................................................12
1.1.1.
Khái niệm về bảo vệ dữ liệu cá nhân ................................................12
1.1.2.
Đặc điểm về bảo vệ dữ liệu cá nhân .................................................14
1.1.3.
Ý nghĩa của bảo vệ dữ liệu cá nhân ..................................................16
1.2. Lịch sử hình thành và phát triển pháp luật bảo vệ dữ liệu cá nhân .............17
1.2.1.
Trước những năm 1970 .....................................................................17
1.2.2.
Sau những năm 1970 .........................................................................19
1.3. Mối quan hệ giữa quyền riêng tư và bảo vệ dữ liệu cá nhân .......................22
KẾT LUẬN CHƯƠNG 1 ........................................................................................25
CHƯƠNG 2. BẢO VỆ DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT CỦA LIÊN
MINH CHÂU ÂU VÀ HOA KỲ ............................................................................26
2.1. Bảo vệ dữ liệu cá nhân theo quy định pháp luật của Liên minh Châu Âu ..26
2.1.1.
Phạm vi điều chỉnh và đối tượng áp dụng.........................................26
2.1.2.
Những nguyên tắc cơ bản ..................................................................29
2.1.3.
Quyền của chủ thể dữ liệu .................................................................31
2.1.4.
Quy định về các chủ thể tham gia xử lý dữ liệu cá nhân ..................35
2.1.5.
Xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân ...............37
2.2. Bảo vệ dữ liệu cá nhân theo quy định pháp luật của Hoa Kỳ .....................39
2.2.1.
Luật liên bang ....................................................................................40
2.2.2.
Luật các bang ....................................................................................48
KẾT LUẬN CHƯƠNG 2 ........................................................................................51
CHƯƠNG 3. KIẾN NGHỊ HOÀN THIỆN PHÁP LUẬT VIỆT NAM VỀ BẢO
VỆ DỮ LIỆU CÁ NHÂN ........................................................................................52
3.1. Thực trạng và bất cập trong pháp luật Việt Nam về bảo vệ dữ liệu cá nhân.52
3.1.1.
Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân ...............52
3.1.2.
Bất cập trong pháp luật Việt Nam về bảo vệ dữ liệu cá nhân...........54
2
3.2. Một số đề xuất hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân..62
3.2.1. Về giải thích thuật ngữ ............................................................................62
3.2.2. Các nguyên tắc ........................................................................................63
3.2.3. Quyền của chủ thể dữ liệu.......................................................................65
3.2.4. Đề xuất khác ............................................................................................67
KẾT LUẬN CHƯƠNG 3 ........................................................................................69
KẾT LUẬN CHUNG ..............................................................................................70
DANH MỤC TÀI LIỆU THAM KHẢO ...............................................................72
3
DANH MỤC TỪ VIẾT TẮT
Từ viết tắt
Nội dung được viết tắt
CTDL
Chủ thể dữ liệu
DLCN
Dữ liệu cá nhân
QRT
Quyền riêng tư
EU
Liên minh Châu Âu
GDPR
Bộ quy tắc chung về bảo vệ dữ liệu ban hành
bởi Liên minh Châu Âu (“General Data
Protection Regulations”)
FTC Act
Đạo luật Hội đồng Thương mại Liên Bang
(“Federal Trade Commission Act”) của Liên
bang Hoa Kỳ
FTC
Hội đồng Thương mại Liên Bang
Dự thảo Nghị định
Dự thảo Nghị định quy định về bảo vệ dữ
liệu cá nhân
4
LỜI CAM ĐOAN
Tôi cam đoan: Khóa luận tốt nghiệp này là kết quả nghiên cứu của riêng tôi, được
thực hiện dưới sự hướng dẫn khoa học của Thạc sĩ Nguyễn Thị Kim Duyên, đảm bảo
tính trung thực và tuân thủ các quy định về trích dẫn, chú thích tài liệu tham khảo.
Tôi xin hoàn toàn chịu trách nhiệm về lời cam đoan này.
Thành phố Hồ Chí Minh, 6/2022
Trần Thị Thu Hằng
5
PHẦN MỞ ĐẦU
1.
Tính cấp thiết của đề tài
Cách mạng công nghiệp 4.0 là một bước ngoặt đánh dấu giai đoạn các hoạt
động kỹ thuật số phát triển bùng nổ, kéo theo sự thay đổi ngoạn mục của tất cả các
phương thức tổ chức và hoạt động của con người, bao gồm hoạt động thông tin. Theo
đó, trong thời đại kĩ thuật số này, nhu cầu sử dụng thông tin của con người ngày càng
được đẩy mạnh, kéo theo sự phát triển liên tục trong quá trình tân tiến các phương
thức tiếp cận, sử dụng thông tin. Một mặt, xu hướng này thỏa mãn nhu cầu thiết yếu
của con người vì nhu cầu sử dụng thông tin là đòi hỏi khách quan của con người nhằm
duy trì hoạt động sống của con người1 nhưng mặt khác lại gây ra những hệ quả tiêu
cực có tác động rất lớn đến cá nhân, cơ quan, tổ chức có liên quan đến thông tin đó.
Hiện tượng tiết lộ, mua bán dữ liệu cá nhân mà không có sự đồng ý của chủ
thể dữ liệu diễn ra rất thường xuyên và phổ biến. Ví dụ, vào tháng 5/2021 vừa qua,
1.300 GB dữ liệu cá nhân tại Việt Nam đã bị rao bán, 10.000 dữ liệu người dùng được
rao bán trên diễn đàn hacker2. Bên cạnh đó, tồn tại không ít các vụ đánh cắp, rao bán
dữ liệu cá nhân ở quy mô toàn cầu nói chung hoặc quy mô quốc gia Việt Nam nói
riêng thông qua các trang mạng xã hội như Facebook, Instagram, WhatsApp…3
Những hiện tượng trên đều để lại những mối nguy hiểm tiềm tàng về mặt tài
chính và pháp lý cho các cá nhân có dữ liệu bị để lộ, sử dụng hoặc rao bán. Về mặt
tài chính, các chủ thể bị sử dụng dữ liệu cá nhân trái phép hoặc trái mục đích có thể
phải đối mặt với các hành vi vay tiền, cưỡng đoạt tiền … dẫn đến thất thoát tài sản.
Về mặt pháp lý, các chủ thể trên đứng trước nguy cơ bị giả mạo danh tính, giấy tờ để
Bùi Thanh Thủy (2018), Thời đại kỹ thuật số và những yếu tố ảnh hưởng tới nhu cầu tin của người dùng tin,
Tạp chí Thư viện Việt Nam, số 03. Xem tại: https://nlv.gov.vn/nghiep-vu-thu-vien/thoi-dai-ky-thuat-so-vanhung-yeu-to-anh-huong-toi-nhu-cau-tin-cua-nguoi-dung-tin.html, (truy cập ngày 29/3/2022)
2
Hải Đăng (2021), Làm gì khi phát hiện dữ liệu cá nhân bị rao bản?, Báo điện tử Vietnamnet. Link truy cập
tại: https://vietnamnet.vn/vn/cong-nghe/bao-mat/lam-gi-khi-phat-hien-du-lieu-ca-nhan-bi-rao-ban738302.html, (truy cập ngày 29/3/2022)
3
Song Minh (2021), Thông tin cá nhân 1,5 tỉ người dùng Facebook bị rao bán, Báo Lao động Online. Link
truy cập tại: https://laodong.vn/the-gioi/thong-tin-ca-nhan-15-ti-nguoi-dung-facebook-bi-rao-ban-960355.ldo,
(truy cập ngày 29/3/2022)
1
6
thực hiện các hành vi vi phạm pháp luật. Ngoài ra, việc bị sử dụng trái phép dữ liệu
liên quan đến cá nhân sẽ tạo nên hành vi xâm phạm quyền nhân thân của các chủ thể
bị lộ dữ liệu vì dữ liệu cá nhân là hình thức thể hiện tính “riêng tư” của mỗi cá nhân.
Đứng trước những rủi ro nghiêm trọng đối với cá nhân, cơ quan, tổ chức nói
riêng và sự mất trật tự công cộng, an ninh xã hội nói chung như thế, pháp luật Việt
Nam hiện hành vẫn chưa có một văn bản quy phạm pháp luật riêng biệt để bảo vệ dữ
liệu cá nhân, đảm bảo thực hiện quyền bảo vệ dữ liệu cá nhân một cách toàn vẹn. Các
quy định liên quan đến bảo vệ dữ liệu cá nhân được xây dựng một cách rải rác tại các
văn bản quy phạm pháp khác nhau như BLDS năm 2015, Luật Công nghệ thông tin
năm 2006, Luật An ninh mạng năm 2018... Hiện nay, Việt Nam đã và đang xây dựng
Dự thảo Nghị định và tiến đến quá trình thông qua hồ sơ xây dựng Nghị định về bảo
vệ dữ liệu cá nhân, xin ý kiến Ủy ban Thường vụ Quốc hội về Dự thảo Nghị định.
Xét thấy tầm quan trọng của quyền bảo vệ dữ liệu cá nhân cũng như thực tiễn
phức tạp trong việc bảo vệ dữ liệu cá nhân trong bối cảnh công nghệ phát triển không
ngừng, tác giả cho rằng việc tiếp tục tham khảo, học hỏi pháp luật của các quốc gia
có kinh nghiệm trong lĩnh vực này là vô cùng cần thiết để xây dựng một văn bản quy
phạm pháp luật toàn diện, đồng thời bảo đảm thực hiện quyền, lợi ích hợp pháp của
công dân Việt Nam. Ngoài ra, hiện nay vẫn chưa tồn tại một công trình nghiên cứu
toàn diện nào tập trung về bảo vệ dữ liệu cá nhân mà chỉ tiếp cận bảo vệ dữ liệu cá
nhân trong sự tương quan với các vấn đề pháp lý khác như thương mại điện tử…
Chính từ những lý do trên, tác giả chọn đề tài “Vấn đề bảo vệ dữ liệu cá nhân theo
pháp luật Liên minh Châu Âu và Hoa Kỳ - Đề xuất cho Việt Nam” để thực hiện đề
tài khóa luận tốt nghiệp.
2.
Tình hình nghiên cứu
2.1. Trong nước
-
Trần Thị Hồng Hạnh, “Hoàn thiện pháp luật về bảo vệ thông tin cá nhân ở Việt
Nam hiện nay”, Luận án Tiến sĩ, 2018, Học viện Chính trị Quốc gia Hồ Chí Minh.
7
Luận án Tiến sĩ đã trình bày một cách tổng quan các vấn đề về pháp luật bảo
vệ về thông tin, bao gồm: (i) cơ sở lý luận hoàn thiện pháp luật về bảo vệ thông tin
cá nhân; (ii) quá trình hình thành, phát triển, và thực trạng pháp luật về bảo vệ thông
tin cá nhân ở Việt Nam; (iii) đưa ra các quan điểm và giải pháp hoàn thiện pháp luật
về bảo vệ thông tin cá nhân ở Việt Nam. Tuy nhiên, thời điểm Luận án Tiến sĩ được
hoàn thành là trước khi xuất hiện Dự thảo Nghị định về bảo vệ dữ liệu cá nhân, do đó
Luận án Tiến sĩ chưa thể đưa ra các đánh giá, phân tích về cách tiếp cận về bảo vệ dữ
liệu cá nhân hiện nay tại Việt Nam thể hiện tại Dự thảo Nghị định.
-
Vũ Công Giao, Lê Trần Như Tuyên (2020), Bảo vệ quyền đối với dữ liệu cá
nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho
Việt Nam, Nghiên cứu Lập pháp, Số 9 (409), tr. 55 – 64.
Bài viết đã giới thiệu khái quát về khái niệm của DLCN, quyền đối với DLCN,
theo đó khẳng định rằng quyền về dữ liệu cá nhân có vai trò to lớn trong quyền có
thể khẳng định phẩm giá, sự tự chủ và nhân trạng của con người. Ngoài ra, bài viết
đã nghiên cứu tổng quan pháp luật quốc tế, pháp luật của Liên minh châu Âu (“EU”)
và Hoa Kỳ về bảo vệ quyền đối với dữ liệu cá nhân, xác định xu hướng chung trên
thế giới hiện nay là nỗ lực tạo nên khung pháp lý hiệu quả để bảo vệ quyền về sự
riêng tư dữ liệu của cá nhân. Tuy nhiên, bài viết chưa đi sâu vào các chi tiết cụ thể để
định hình rõ ràng tầm quan trọng của việc bảo vệ dữ liệu cá nhân, cũng như phương
thức bảo vệ dữ liệu cá nhân một cách hiệu quả bằng công cụ pháp lý.
-
Nguyễn Hoàng Anh (2019), Tự do thông tin, quyền riêng tư, quyền bảo vệ dữ
liệu cá nhân trên mạng internet theo pháp luật của Cộng hòa Pháp, Số đặc biệt, tr. 5
– 19
Bài viết đặt ra ba vấn đề pháp lý cụ thể như sau: (i) tự do tiếp cận internet là
một phần của tự do thông tin, tự do biểu đạt; (ii) quyền bảo vệ dữ liệu cá nhân trong
môi trường thông tin mạng; (iii) quyền riêng tư, quyền được lãng quên trên mạng.
Tuy nhiên, bài viết chỉ dừng ở việc trình bày sơ bộ pháp luật của khu vực châu Âu,
pháp luật Pháp đối với bảo vệ dữ liệu cá nhân trên nền tảng Internet mà chưa đi sâu
8
vào cụ thể các quy định pháp luật cũng như chưa làm rõ các vấn đề khác liên quan
trên các nền tảng khác.
Trần Thị Thu Phương (2021), Quyền bảo vệ thông tin cá nhân theo cách tiếp
-
cận của Hoa Kỳ và Liên minh Châu Âu, Tạp chí Kiểm sát, số 08.
Bài viết đã giới thiệu sơ bộ các văn bản quy phạm pháp luật điều chỉnh vấn đề
bảo vệ dữ liệu cá nhân tại Hoa Kỳ và EU. Theo đó, bài viết xác định rằng pháp luật
Hoa Kỳ và EU có sự khác biệt trong cách tiếp cận quyền được bảo vệ dữ liệu cá nhân.
Cuối cùng, bài viết đưa ra một số gợi ý cho Việt Nam rằng cần phân định quyền được
bảo vệ dữ liệu cá nhân tách biệt với quyền riêng tư, và xác định dữ liệu cá nhân không
phải là tài sản cá nhân.
2.2. Nước ngoài
-
Maria Tzanou, Data protection as a fundamental right next to privacy?
“Reconstructing” a not so new right, International Data Privacy Law, 2013, Vol. 3,
No. 2.
Bài viết phân tích tổng quan về quyền được bảo vệ dữ liệu cá nhân, tập trung
đánh giá vị trí pháp lý của quyền được bảo vệ dữ liệu cá nhân với tư cách là “quyền
cơ bản của công dân”, dựa trên cơ sở pháp luật EU. Theo đó, bài viết trình bày hai lí
thuyết về quyền được bảo vệ dữ liệu cá nhân phổ biến như sau: một là, lý thuyết cho
rằng quyền bảo vệ dữ liệu cá nhân và quyền riêng tư là hai khái niệm tách biệt, có vai
trò riêng biệt nhưng bổ trợ lẫn nhau trong quá trình xây dựng quốc gia văn minh; hai
là, lý thuyết cho rằng quyền được bảo vệ dữ liệu cá nhân và quyền riêng tư đều là
quyền trung gian để bảo vệ quyền nhân thân và danh dự.
-
Yen Vu, Trung Tran, Bao Nguyen, Navigating Vietnam’s cybersecurity and
DP Law, Privacy Laws & Business International Report, 2020.
Bài viết cung cấp một cái nhìn tổng quát về hệ thống pháp luật an ninh mạng
và bảo vệ dữ liệu cá nhân tại Việt Nam. Trong đó, bài viết đã nêu lên thực trạng pháp
luật Việt Nam về bảo vệ dữ liệu cá nhân rằng thực tiễn chưa tồn tại một văn bản luật
để điều chỉnh vấn đề bảo vệ dữ liệu cá nhân, mà chỉ có các văn bản dưới luật và một
số quy định khác đang rải rác ở các văn bản quy phạm pháp luật có liên quan. Bài
9
viết cũng đánh giá một số quy định về bảo vệ dữ liệu cá nhân, từ đó đưa ra một số đề
xuất cho các doanh nghiệp, nhà cung cấp dịch vụ mạng trong việc tuân thủ nghiêm
túc các quy định pháp luật.
-
Rossana Ducato, Data protection, scientific research, and the role of
information, Computer Law & Security Review, 2020, No. 37
Trọng tâm của bài viết là về các vấn đề pháp lý phát sinh từ mối quan hệ giữa
bảo vệ dữ liệu, hoạt động nghiên cứu khoa học và tầm quan trọng của thông tin, đánh
giá trên cơ sở quy định của Bộ Quy tắc bảo vệ dữ liệu cá nhân của EU. Ngoài ra, bài
viết cũng nêu lên thực tiễn nội luật hóa của các Quốc gia thành viên EU đối với vấn
đề bảo vệ dữ liệu cá nhân. Qua đó, bài viết khẳng định các nghĩa vụ đối với thông tin
hoặc quy định hạn chế sự công khai thông tin còn nhiều hạn chế và cần sửa đổi nhằm
bắt kịp tốc độ thay đổi của thực tiễn.
Những tài liệu trên đã tìm hiểu một cách tổng quan về các quy định bảo vệ dữ
liệu cá nhân, chủ yếu là các văn bản pháp luật của EU nhưng chưa có công trình
nghiên cứu nào tập trung luận giải sự xuất hiện của bảo vệ dữ liệu cá nhân, lí giải mối
quan hệ giữa bảo vệ dữ liệu cá nhân và quyền riêng tư, cũng như so sánh giữa pháp
luật bảo vệ dữ liệu cá nhân của hệ thống dân luật và hệ thống thông luật để có cái
nhìn khái quát hơn về bảo vệ dữ liệu cá nhân. Do đó, tác giả lựa chọn nghiên cứu
pháp luật của EU và của Hoa Kỳ vì đều là các quốc gia phát triển, tiến bộ trong việc
xây dựng hành lang pháp lý về bảo vệ dữ liệu cá nhân. Bên cạnh đó, pháp luật của
EU và Hoa Kỳ đều có tính mẫu mực, đại diện cho hai hệ thống pháp luật chủ yếu trên
thế giới, lần lượt là dân luật và thông luật.
Mục đích của khóa luận tốt nghiệp là làm sáng tỏ các vấn đề chưa được thực
hiện trong các tài liệu nghiên cứu nêu trên, từ đó góp phần đưa ra các khuyến nghị
liên quan pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam. Đây cũng là tính mới của
khóa luận tốt nghiệp về vấn đề bảo vệ dữ liệu cá nhân.
3.
Mục tiêu nghiên cứu của đề tài
10
Mục tiêu nghiên cứu của đề tài khóa luận tốt nghiệp hướng đến giải quyết các
vấn đề pháp lý như sau:
Thứ nhất, làm sáng tỏ các vấn đề lý luận về khái niệm, đặc điểm, lịch sử hình
thành và phát triển của bảo vệ dữ liệu cá nhân.
Thứ hai, trình bày và phân tích quy định pháp luật về bảo vệ dữ liệu cá nhân
của EU và Hoa Kỳ.
Thứ ba, trình bày thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá hân và
đặt ra các khuyến nghị để hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân
(cụ thể là Dự thảo Nghị định) dựa trên cơ sở so sánh, đánh giá và kế thừa pháp luật
EU và Hoa Kỳ.
4.
Đối tượng và phạm vi nghiên cứu của đề tài
Đối tượng nghiên cứu
Đề tài có đối tượng nghiên cứu chính là tổng quan pháp luật bảo vệ dữ liệu cá
nhân của Liên minh Châu Âu và Hoa Kỳ, song song với pháp luật Việt Nam hiện
hành, nhằm chỉ rõ các điểm vướng mắc cần hoàn thiện trong hệ thống pháp luật Việt
Nam. Từ đó, thực hiện được mục tiêu nghiên cứu là đưa ra các khuyến nghị nhằm
xây dựng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân một cách toàn diện hơn.
Phạm vi nghiên cứu
Về mặt không gian: đề tài sẽ khảo sát một cách khái quát các quy định pháp
luật của khối Liên minh Châu Âu và của Hoa Kỳ, kết hợp tập trung chuyên sâu vào
quy định pháp luật Việt Nam về bảo vệ dữ liệu cá nhân nhằm làm sáng tỏ và khắc
phục những điểm bất cập hiện nay của pháp luật Việt Nam.
Về mặt thời gian: đề tài sẽ có trọng tâm là các quy định đang có hiệu lực của
Liên minh Châu Âu, Hoa Kỳ và Việt Nam về bảo vệ dữ liệu cá nhân, trên cơ sở
nghiên cứu sơ lược về lịch sử hình thành các quy định pháp luật về bảo vệ dữ liệu cá
nhân nhằm có cái nhìn khách quan, tổng thể về bảo vệ dữ liệu cá nhân.
11
5.
Phương pháp nghiên cứu
Khóa luận tốt nghiệp dự định sử dụng các phương pháp nghiên cứu khác nhau
phù hợp với hướng tiếp cận của đề tài và đảm bảo tính khách quan, toàn diện của kết
quả nghiên cứu, bao gồm các phương pháp nghiên cứu như sau:
-
Phương pháp lịch sử: được sử dụng trong Chương 1 nhằm làm rõ các vấn đề
lý luận của bảo vệ DLCN.
-
Phương pháp phân tích và tổng hợp: áp dụng cho xuyên suốt khóa luận tốt
nghiệp, đặc biệt tập trung vào quy định pháp luật của EU và Hoa Kỳ ở Chương 2 và
quy định pháp luật của Việt Nam ở Chương 3.
-
Phương pháp so sánh: áp dụng chủ yếu tại Chương 2 để làm rõ sự khác biệt về
hướng tiếp cận trong quá trình xây dựng quy định pháp luật về bảo vệ DLCN của EU
và Hoa Kỳ.
-
Phương pháp bình luận: được áp dụng để đưa ra những lý giải cho điểm tương
đồng, khác biệt giữa pháp luật EU và Hoa Kỳ, từ đó đưa ra những ưu, nhược điểm
của từng hệ thống quy định pháp luật. Bên cạnh đó, phương pháp này cũng được sử
dụng để đánh giá thực trạng quy định pháp luật Việt Nam và đặt ra các đề xuất trên
cơ sở đánh giá tổng quan hệ thống pháp luật của EU và Hoa Kỳ.
6.
Bố cục đề tài
Trong phạm vi nghiên cứu của khóa luận tốt nghiệp, ngoài phần mở đầu, kết
luận, danh mục tài liệu tham khảo thì nội dung của khóa luận tốt nghiệp sẽ bao gồm
03 chương sau:
Chương 1: Lý luận chung về bảo vệ dữ liệu cá nhân
Chương 2: Bảo vệ dữ liệu cá nhân theo quy định pháp luật của Liên minh Châu
Âu và Hoa Kỳ
Chương 3: Kiến nghị hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân
12
CHƯƠNG 1. LÝ LUẬN CHUNG VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN
1.1.
Khái quát về bảo vệ dữ liệu cá nhân
1.1.1.
Khái niệm về bảo vệ dữ liệu cá nhân
Để có thể nhận diện khái niệm “bảo vệ dữ liệu cá nhân” một cách tổng quát
nhất, cần phải bóc tách rõ ràng các khái niệm “dữ liệu”, “bảo vệ” và “dữ liệu cá nhân”.
Theo Từ điển Tiếng Việt, “dữ liệu” được hiểu theo hai nội hàm sau: (i) số liệu,
tư liệu đã có, được dựa vào để giải quyết một vấn đề; (ii) sự biểu diễn của một thông
tin trong máy tính dưới dạng quy ước, nhằm làm dễ dàng việc xử lý4. Mặt khác, Đại
Từ điển Tiếng Việt xác định khái niệm “dữ liệu” theo nghĩa hẹp hơn là “những thông
tin như văn bản, số liệu, âm thanh, hình ảnh… được biểu diễn trong máy tính dưới
dạng quy ước, nhằm tạo sự dễ dàng cho việc lưu trữ, xử lý.”5
Từ điển Tiếng Việt diễn giải khái niệm của “bảo vệ” theo hai khía cạnh: (i)
chống lại mọi sự xâm phạm để giữ cho luôn luôn được nguyên vẹn; (ii) bênh vực
bằng lí lẽ để giữ vững ý kiến, quan điểm6. Dưới góc độ tiếp cận nội hàm “bảo vệ”
trong mối tương quan với “dữ liệu”, Black’s Law Dictionary xác định trực tiếp rằng
“bảo vệ dữ liệu” là “bất kì biện pháp nào thực hiện nhằm bảo vệ thông tin, đặc biệt
là thông tin được lưu trữ trên máy tính khỏi tình trạng bị đánh cắp hoặc bị tiết lộ bởi
một bên không có quyền”7.
Định nghĩa dữ liệu cá nhân (“DLCN”) được xác định bởi Tổ chức Hợp tác
kinh tế và phát triển tại Văn bản hướng dẫn về Bảo vệ sự riêng tư và dịch chuyển
xuyên biên giới đối với DLCN như sau: “DLCN là bất kì thông tin nào liên quan đến
một cá nhân xác định hoặc có khả năng xác định được một cá nhân (chủ thể dữ liệu)”8.
Với hướng tiếp cận rộng hơn về nội hàm “DLCN”, Luật Bảo vệ DLCN năm 2012
Viện Ngôn ngữ học, Từ điển Tiếng Việt, Nxb. Đà Nẵng, 2003, tr. 269
Nguyễn Như Ý (chủ biên), Đại Từ điển Tiếng Việt, Nxb. Văn hóa – Thông tin, Hà Nội, 1999, tr. 367
6
Viện Ngôn ngữ học, Từ điển Tiếng Việt, Nxb. Đà Nẵng, 2003, tr. 40
7
Bryan A. Garner (chủ biên), Black’s Law Dictionary, 2004, 8th edition, p. 1188
8
OECD, “Guidelines on the Protection of Privacy and Transborder Flows of Personal Data”. Xem tại:
https://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonalda
ta.htm#part1, (truy cập ngày 11/4/2022)
4
5
13
Singapore quy định: “DLCN là bất kì thông tin nào, không phân biệt đúng hay sai,
liên quan đến một cá nhân mà người đó có thể được nhận dạng: (a) từ chính thông
tin đó; hoặc (b) từ sự kết hợp giữa thông tin đó và các nguồn thông tin khác mà các
tổ chức có hoặc có khả năng truy cập.”9 Theo đó, pháp luật quốc tế về DLCN dường
như có xu hướng ưu tiên tính liên quan của dữ liệu hơn chức năng định danh của dữ
liệu để định hình khái niệm DLCN.
Quy định tại Dự thảo Nghị định hiện nay được cho là thống nhất với xu hướng
quốc tế đối với khái niệm DLCN khi căn cứ vào tính liên quan của thông tin, cụ thể
tại khoản 1 Điều 2 như sau: “DLCN là dữ liệu về cá nhân hoặc liên quan đến việc
xác định hoặc có thể xác định một cá nhân cụ thể”. Tuy nhiên, nếu khảo sát sơ lược
qua các văn bản quy phạm pháp luật hiện hành có liên quan đến DLCN tại Việt Nam,
hướng tiếp cận đối với khái niệm này tại Việt Nam là tương đối hẹp, khi chủ yếu
được xây dựng dựa trên chức năng định danh cá nhân10. Điều này được thể hiện thông
qua một loạt các quy định tại các văn bản khác nhau như khoản 15 Điều 3 Luật An
toàn thông tin mạng năm 201511, khoản 5 Điều 4 Luật Giao dịch điện tử năm 200512,
khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong
hoạt động của cơ quan nhà nước13… Theo đó, chỉ dữ liệu có chức năng định danh cá
nhân mới cấu thành DLCN, còn dữ liệu khác dù có liên quan nhưng không có khả
năng định danh cá nhân theo quy định pháp luật thì không cấu thành DLCN.
9
Personal
Data
Protection
Act
2012
of
Singapore,
Article
2(1).
Xem
tại:
https://sso.agc.gov.sg/Act/PDPA2012, (truy cập ngày 02/06/2022)
10
Lưu Minh Sơn, Nguyễn Thị Thùy Dương, “Nguyên tắc xử lý dữ liệu cá nhân trên không gian mạng theo
pháp luật Việt Nam dưới góc nhìn so sánh với pháp luật Singapore, Liên minh Châu Âu”, Tạp chí Nhà nước
và Pháp luật, 2020, số 11
11
Khoản 15 Điều 3 Luật An toàn thông tin mạng năm 2015: “Thông tin cá nhân là thông tin gắn với việc xác
định danh tính của một người cụ thể.”
12
Khoản 5 Điều 4 Luật Giao dịch điện tử năm 2005: “5. Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ
số, hình ảnh, âm thanh hoặc dạng tương tự.”
13
Khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan
nhà nước: “5. Thông tin cá nhân: là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất
nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư
điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ
sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác.”
14
Sau khi phân tích các khái niệm cấu thành nên “bảo vệ DLCN”, tác giả cho
rằng có thể đưa ra khái niệm khái quát như sau: “Bảo vệ DLCN là việc thực hiện mọi
biện pháp nhằm ngăn chặn, phòng ngừa các thông tin liên quan đến cá nhân được
dùng để xác định hoặc nhận dạng cá nhân đó khỏi tình trạng bị xâm phạm, bị đánh
cắp hoặc bị tiết lộ bởi một bên không có quyền.”
1.1.2.
Đặc điểm về bảo vệ dữ liệu cá nhân
Một là, bảo vệ DLCN là hình thức thực hiện quyền bảo vệ DLCN.
Quyền bảo vệ DLCN là một trong những quyền cơ bản của con người, được
ghi nhận tại khoản 1 Điều 8 Điều lệ về Quyền cơ bản của Liên minh Châu Âu năm
2000 như sau: “Mọi người có quyền được bảo vệ DLCN có liên quan đến họ.” So với
các quyền cơ bản khác, thời điểm mà quyền bảo vệ DLCN được khẳng định một cách
minh thị là tương đối muộn, khi chỉ đến khoảng đầu thế kỉ XXI mới xuất hiện văn
bản quốc tế là Điều lệ về Quyền cơ bản của EU chính thức đặt để một quy định riêng
biệt cho quyền này. Tuy nhiên, nếu nhìn tổng quan về pháp luật quốc tế về nhân
quyền thì quyền bảo vệ DLCN thực chất đã được ghi nhận từ rất sớm tại quy định về
QRT, như Điều 12 Tuyên ngôn quốc tế về Nhân quyền năm 1948 (“UDHR”), Điều
17 Công ước quốc tế về các quyền dân sự và chính trị năm 1966 (“ICCPR”) …
Xét đến tầm quan trọng của quyền cơ bản của con người – quyền bẩm sinh mà
mỗi cá nhân đều sở hữu, được công nhận và là yếu tố chủ chốt cấu thành nên hệ thống
các quy tắc pháp lý điều chỉnh hành vi con người14, có thể khẳng định rằng, nguồn
cơn cho sự tồn tại chế định về “bảo vệ DLCN” là xuất phát từ bản chất của quyền bảo
vệ DLCN với tư cách là một trong các quyền cơ bản của con người. Từ đó, các quy
định bảo vệ DLCN là nhằm bảo đảm quyền bảo vệ DLCN được thực thi trên thực tế.
Hai là, bảo vệ DLCN phải được thực hiện trong sự tương quan với việc thực
hiện các quyền cơ bản khác của con người.
Stephen P. Marks, “Human Rights: A Brief Introduction”, Harvard University, 2016, p. 2. Xem tại:
https://cdn1.sph.harvard.edu/wp-content/uploads/sites/134/2016/07/Human-Rights-A-brief-intro-2016.pdf
(truy cập ngày 12/4/2022).
14
15
Đặc điểm này bắt nguồn từ bản chất của quyền bảo vệ DLCN. Bởi lẽ, hiện nay
các quan điểm về vị trí pháp lý của quyền bảo vệ DLCN dù còn nhiều điểm trái chiều,
nhưng đều thống nhất rằng quyền bảo vệ DLCN có mối quan hệ sâu sắc với QRT15.
Thậm chí có các quan điểm pháp lý cho rằng quyền bảo vệ DLCN xuất hiện trong
mối liên quan đến quyền hình ảnh, quyền tài sản theo pháp luật một số quốc gia trên
thế giới16, mà các quyền này đều được thừa nhận là quyền cơ bản của con người. Khi
quyền bảo vệ DLCN đang được tiếp cận trong mối tương quan với các quyền cơ bản
khác của con người thì các quy định về bảo vệ DLCN cũng phải được xây dựng trên
cơ sở các quy định hiện hành về việc thực hiện các quyền cơ bản khác có liên quan.
Ba là, bảo vệ DLCN được thực hiện theo nhiều hình thức đa dạng.
Song song với sự đa dạng trong cách thức thực hiện hành vi xâm phạm DLCN
cũng như hình thức tồn tại của dữ liệu (ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh
và các hình thức tương tự), hình thức thực hiện việc bảo vệ DLCN cũng được xây
dựng một cách đa dạng… Phương thức bảo vệ DLCN có thể được thực hiện bằng các
biện pháp kĩ thuật hoặc các biện pháp tổ chức17, trong đó có thể kể đến các biện pháp
phổ biến như sau18: mã hóa dữ liệu, lưu trữ dữ liệu trên điện toán đám mây, cài đặt
mật khẩu, quản lý lượt truy cập và nhận dạng, ứng dụng các phần mềm rà soát và
phòng chống sự xâm nhập…
Mireille Hildebrandt, “Privacy and Data Protection”, Oxford Scholarship Online, 2020, p. 100. Xem tại:
https://oxford.universitypressscholarship.com/view/10.1093/oso/9780198860877.001.0001/oso9780198860877-chapter-5 (truy cập ngày 12/4/2022).
16
Quan điểm nhắc đến mối quan hệ giữa quyền bảo vệ dữ liệu cá nhân với quyền nhân thân, quyền hình ảnh
được đặt ra trong hệ thống pháp luật các quốc gia theo hệ thống thông luật (pháp luật các quốc gia này được
cho là có phương hướng tiếp cận quyền nhân thân thông qua các chế định liên quan đến quyền tài sản, cụ thể
là chế định về bồi thường thiệt hại), ví dụ như Singapore. Tham khảo tại: David Tan, “Image Rights and Data
Protection”, NUS Law Working Paper, 2017, p.1. Xem tại:
https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3024434 (truy cập ngày 12/4/2022).
17
Hai phương thức này đều được ghi nhận lần lượt trong Chỉ thị về Bảo vệ dữ liệu EU (“EU Data Protection
Directive”) hoặc GDPR do Liên minh Châu Âu ban hành.
18
Brandi Jaylin, “Top 5 Types of Data Protection”, Otava Blog, 2021. Xem tại:
https://www.otava.com/blog/top-5-types-of-data-protection/ (truy cập ngày 12/4/2022).
15
16
1.1.3.
Ý nghĩa của bảo vệ dữ liệu cá nhân
Một là, bảo vệ DLCN nhằm thực hiện quyền cơ bản của con người – quyền
bảo vệ DLCN. Với đặc điểm là hình thức thực hiện quyền bảo vệ DLCN, bảo vệ
DLCN cần được coi là một chế định không thể thiếu trong hệ thống pháp luật quốc
gia với mục đích phục vụ nhu cầu chính đáng của con người để chống lại mọi sự tấn
công bất hợp pháp đối với DLCN, bảo toàn sự nguyên vẹn của DLCN. Ở một quy
mô hẹp hơn, có thể nhìn nhận việc bảo vệ DLCN thực chất là nhằm bảo vệ lợi ích
của các đối tượng khác nhau trong xã hội, bao gồm19: (i) đối tượng mà dữ liệu phản
ánh; (ii) đối tượng có quyền quản lí dữ liệu. Nói cách khác, bảo vệ DLCN chính là
bảo vệ quyền lợi riêng của từng chủ thể trong xã hội.
Hai là, bảo vệ DLCN là thiết yếu đối với quá trình phát triển xã hội bền vững,
duy trì trật tự cộng đồng. Nếu không có bảo vệ DLCN, các hành vi vi phạm nhằm
lạm dụng DLCN vào những mục đích bất hợp pháp như thu thập, sử dụng dữ liệu trái
phép, đánh cắp thông tin để lừa đảo, làm giả DLCN… sẽ không thể bị ngăn chặn, dẫn
đến sự bất ổn định về mặt thông tin trong xã hội. Từ đó, làm phát sinh hai vấn đề như
sau: (i) trật tự xã hội sẽ bị lung lay khi hệ thống dữ liệu của mỗi cá nhân bị xâm phạm,
khai thác tùy tiện, không đảm bảo tính chính xác, phù hợp của dữ liệu; (ii) sự phát
triển xã hội khó có thể triển khai khi không duy trì được trật tự xã hội. Khi xu hướng
phát triển công nghệ thông tin là hiện tượng mang tính khách quan và khao khát xây
dựng xã hội thông tin là tất yếu20, bảo vệ DLCN càng trở nên cấp thiết hơn bao giờ
hết, nhằm bảo vệ quyền lợi chung của xã hội cũng như quyền lợi của mỗi cá nhân.
Nói chung, bảo vệ DLCN có giá trị cơ bản trong việc bảo vệ lợi ích kinh tế và
lợi ích nhân thân của CTDL, các chủ thể khác có quyền đối với DLCN. Từ đó xa hơn,
Federico Ferretti, “Data Protection and the legitimate interest of data controllers: Much ado about nothing
or the winter of rights?”, Common Market Law Review, 2014, Volume 51. Xem tại:
https://kluwerlawonline.com/journalarticle/Common+Market+Law+Review/51.3/COLA2014063, (truy cập
12/4/2022).
20
Nguyễn Văn Dân, “Về xã hội thông tin và xã hội tri trức hiện nay”, Tạp chí Cộng sản, 2007. Xem tại:
https://www.tapchicongsan.org.vn/web/guest/the-gioi-van-de-su-kien/-/2018/1377/ve-xa-hoi-thong-tin-vaxa-hoi-tri-thuc-hien-nay.aspx, (truy cập 12/4/2022).
19
17
bảo vệ DLCN còn hướng đến bảo vệ lợi ích chung của cả cộng đồng khi mà mối quan
hệ giữa cá nhân và cộng đồng mang tính biện chứng, tác động lẫn nhau sâu sắc theo
hướng đồng thuận21.
1.2.
Lịch sử hình thành và phát triển pháp luật bảo vệ dữ liệu cá nhân
Lịch sử hình thành và phát triển pháp luật bảo vệ DLCN sẽ được nghiên cứu
theo hai giai đoạn chính: (i) giai đoạn trước những năm 1970; (ii) giai đoạn sau những
năm 1970. Sở dĩ việc nghiên cứu được thực hiện như trên là xuất phát từ đặc trưng
của pháp luật bảo vệ dữ liệu cá nhân gắn liền với sự phát triển công nghệ điện tử giai đoạn năm 1970 là thời điểm xuất hiện Cách mạng công nghiệp lần 3, Cách mạng
kỹ thuật số22. Hệ thống quy định pháp luật bảo vệ DLCN có sự chuyển biến trước và
sau cột mốc những năm 1970, theo đó sau kỷ nguyên công nghệ thông tin thì quy
định về bảo vệ DLCN được ban hành một cách trực tiếp, minh thị và độc lập hơn.
1.2.1.
Trước những năm 1970
Trong lịch sử lập pháp các quốc gia trên thế giới và các văn bản pháp luật quốc
tế, quyền bảo vệ DLCN được công nhận trực tiếp tại thời điểm tương đối muộn so
với các quyền cơ bản khác, song những dấu tích về quyền bảo vệ DLCN đã được thể
hiện từ rất sớm một cách gián tiếp với tư cách là một bộ phận không tách rời với QRT.
Văn bản quốc tế đầu tiên chính thức ghi nhận QRT là UDHR tại Điều 12 như
sau: “Không một ai phải chịu sự can thiệp tùy tiện đối với sự riêng tư, gia đình, nhà
ở hoặc thư điện tín, cũng như bất kì sự xúc phạm nào đối với danh dự, uy tín của
người đó. Tất cả mọi người đều có quyền được pháp luật bảo hộ trước những hành
vi xâm phạm nêu trên.” Nội hàm của QRT cũng được quy định tương tự tại Điều 17
Duong Thi Thuy Nga, “The Relationship Between the Individual and Society in Eastern Culture”, American
Journal of Educational Research, 2018. Xem tại: http://pubs.sciepub.com/education/6/7/4/index.html, (truy
cập 14/4/2022).
22
Minh Khoa, “Cuộc cách mạng công nghiệp 4.0 là gì?”, Cổng thông tin điện tử - Học viện Cảnh sát Nhân
dân, 2018. Xem tại: http://hvcsnd.edu.vn/nghien-cuu-trao-doi/dai-hoc-40/cuoc-cach-mang-cong-nghiep-4-0la-gi-4319, (truy cập 14/4/2022).
21
18
ICCPR, theo đó QRT là cơ sở để bảo đảm quyền được tôn trọng về đời sống riêng tư,
gia đình, nhà ở và thư từ của mỗi cá nhân.
Khái niệm của QRT tại các văn bản quốc tế đều hàm chứa sự bảo vệ về mặt
thông tin cá nhân, thông qua yếu tố trực diện nhất là qua “thư điện tín” – công cụ thể
hiện những thông tin trao đổi giữa các chủ thể với nhau. Bên cạnh đó, các yếu tố khác
được nhắc đến trong QRT là “cuộc sống riêng tư, gia đình, nhà ở” mặc dù không có
hình thức tồn tại hoặc/và mục đích tồn tại tương đồng như “thư điện tín” là nhằm trao
đổi thông tin, nhưng những yếu tố này đều có đặc điểm chung là đều cung cấp thông
tin riêng tư về chủ thể được phản ánh khi bị xâm phạm23.
Đặc điểm trên có thể lí giải từ bản chất của QRT là hướng đến bảo vệ những
khía cạnh mật thiết nhất của một cá nhân24. Bởi lẽ, QRT được đặt ra trong bối cảnh
nhu cầu về mặt tâm sinh lý của con người trỗi dậy mạnh mẽ sau khi các quốc gia
Châu Âu tiến hành thiết lập hệ thống thuộc địa tại Hoa Kỳ, truyền bá các khái niệm
về QRT, đặt ra cơ chế quyền sở hữu riêng về đất đai dẫn đến sự phân định rõ ràng về
không gian riêng tư và không gian cộng đồng25. Điều đó làm bùng nổ mong muốn
cân bằng giữa phần bản thể bên ngoài với bản thể bên trong của con người, giữa cuộc
đời riêng tư với cuộc đời xã hội, giữa khao khát mang tính chủ quan được trở nên
riêng tư, một mình với khao khát mang tính khách quan được gắn kết với những người
xung quanh26. Do đó, QRT chính là cơ sở để thực hiện khao khát được một mình,
không bị làm phiền thông qua ngăn chặn sự xâm phạm vào những khía cạnh mật thiết
nhất về một cá nhân.
Ở quy mô khái quát nhất, thông tin là bất kì vật chất tồn tại nào trên thế giới và được xác định cụ thể dựa
trên nhận thức, phản ứng của con người đối với vật chất đó. Tham khảo tại: Sebastian Boell, Dubravka CecezKecmanovic, “Attributes of Information”, AMCIS 2010 Proceedinngs, 2010, pp. 219. Xem tại:
https://www.researchgate.net/publication/220889864_Attributes_of_Information, (truy cập ngày 16/4/2022).
24
Jan Holvast, “History of Privacy”, International Federation for Information Processing, 2009, pp. 14-40.
Xem tại: https://link.springer.com/content/pdf/10.1007/978-3-642-03315-5_2.pdf, (truy cập ngày 16/4/2022).
25
David H. Flaherty, “Privacy in Colonial New England”, The American Historical Review, 1973, Vol. 78,
No.2, pp. 473-473. Xem tại: https://www.jstor.org/stable/1861258?origin=crossref, (truy cập ngày 16/4/2022).
26
David Clark Esseks, “Privacy in a Public Society: Human Rights in Conflict”, University of Michigan Law
School, 1989, Vol. 87, pp. 1624-1630. Xem tại:
https://repository.law.umich.edu/cgi/viewcontent.cgi?article=3395&context=mlr, (truy cập ngày 16/4/2022).
23
- Xem thêm -