Tài liệu Vấn đề bảo vệ dữ liệu cá nhân theo pháp luật liên minh châu âu và hoa kỳ đề xuất cho việt nam

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC LUẬT TP.HCM KHOA LUẬT QUỐC TẾ -----------***------------ TRẦN THỊ THU HẰNG MSSV : 1853801015059 VẤN ĐỀ BẢO VỆ DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT LIÊN MINH CHÂU ÂU VÀ HOA KỲ - ĐỀ XUẤT CHO VIỆT NAM KHÓA LUẬN TỐT NGHIỆP Niên khóa: 2018 - 2022 Người hướng dẫn : ThS. Nguyễn Thị Kim Duyên TP. Hồ Chí Minh – Năm 2022 TRƯỜNG ĐẠI HỌC LUẬT THÀNH PHỐ HỒ CHÍ MINH KHOA LUẬT QUỐC TẾ -----------***----------- KHÓA LUẬN TỐT NGHIỆP CỬ NHÂN LUẬT VẤN ĐỀ BẢO VỆ DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT LIÊN MINH CHÂU ÂU VÀ HOA KỲ - ĐỀ XUẤT CHO VIỆT NAM SINH VIÊN THỰC HIỆN: TRẦN THỊ THU HẰNG KHÓA: 43 – MSSV: 1853801015059 GIẢNG VIÊN HƯỚNG DẪN: ThS. NGUYỄN THỊ KIM DUYÊN TP. HỒ CHÍ MINH – NĂM 2022 1 MỤC LỤC DANH MỤC TỪ VIẾT TẮT....................................................................................1 LỜI CAM ĐOAN ......................................................................................................4 PHẦN MỞ ĐẦU ........................................................................................................5 CHƯƠNG 1. LÝ LUẬN CHUNG VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN .............12 1.1. Khái quát về bảo vệ dữ liệu cá nhân............................................................12 1.1.1. Khái niệm về bảo vệ dữ liệu cá nhân ................................................12 1.1.2. Đặc điểm về bảo vệ dữ liệu cá nhân .................................................14 1.1.3. Ý nghĩa của bảo vệ dữ liệu cá nhân ..................................................16 1.2. Lịch sử hình thành và phát triển pháp luật bảo vệ dữ liệu cá nhân .............17 1.2.1. Trước những năm 1970 .....................................................................17 1.2.2. Sau những năm 1970 .........................................................................19 1.3. Mối quan hệ giữa quyền riêng tư và bảo vệ dữ liệu cá nhân .......................22 KẾT LUẬN CHƯƠNG 1 ........................................................................................25 CHƯƠNG 2. BẢO VỆ DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT CỦA LIÊN MINH CHÂU ÂU VÀ HOA KỲ ............................................................................26 2.1. Bảo vệ dữ liệu cá nhân theo quy định pháp luật của Liên minh Châu Âu ..26 2.1.1. Phạm vi điều chỉnh và đối tượng áp dụng.........................................26 2.1.2. Những nguyên tắc cơ bản ..................................................................29 2.1.3. Quyền của chủ thể dữ liệu .................................................................31 2.1.4. Quy định về các chủ thể tham gia xử lý dữ liệu cá nhân ..................35 2.1.5. Xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân ...............37 2.2. Bảo vệ dữ liệu cá nhân theo quy định pháp luật của Hoa Kỳ .....................39 2.2.1. Luật liên bang ....................................................................................40 2.2.2. Luật các bang ....................................................................................48 KẾT LUẬN CHƯƠNG 2 ........................................................................................51 CHƯƠNG 3. KIẾN NGHỊ HOÀN THIỆN PHÁP LUẬT VIỆT NAM VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN ........................................................................................52 3.1. Thực trạng và bất cập trong pháp luật Việt Nam về bảo vệ dữ liệu cá nhân.52 3.1.1. Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân ...............52 3.1.2. Bất cập trong pháp luật Việt Nam về bảo vệ dữ liệu cá nhân...........54 2 3.2. Một số đề xuất hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân..62 3.2.1. Về giải thích thuật ngữ ............................................................................62 3.2.2. Các nguyên tắc ........................................................................................63 3.2.3. Quyền của chủ thể dữ liệu.......................................................................65 3.2.4. Đề xuất khác ............................................................................................67 KẾT LUẬN CHƯƠNG 3 ........................................................................................69 KẾT LUẬN CHUNG ..............................................................................................70 DANH MỤC TÀI LIỆU THAM KHẢO ...............................................................72 3 DANH MỤC TỪ VIẾT TẮT Từ viết tắt Nội dung được viết tắt CTDL Chủ thể dữ liệu DLCN Dữ liệu cá nhân QRT Quyền riêng tư EU Liên minh Châu Âu GDPR Bộ quy tắc chung về bảo vệ dữ liệu ban hành bởi Liên minh Châu Âu (“General Data Protection Regulations”) FTC Act Đạo luật Hội đồng Thương mại Liên Bang (“Federal Trade Commission Act”) của Liên bang Hoa Kỳ FTC Hội đồng Thương mại Liên Bang Dự thảo Nghị định Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân 4 LỜI CAM ĐOAN Tôi cam đoan: Khóa luận tốt nghiệp này là kết quả nghiên cứu của riêng tôi, được thực hiện dưới sự hướng dẫn khoa học của Thạc sĩ Nguyễn Thị Kim Duyên, đảm bảo tính trung thực và tuân thủ các quy định về trích dẫn, chú thích tài liệu tham khảo. Tôi xin hoàn toàn chịu trách nhiệm về lời cam đoan này. Thành phố Hồ Chí Minh, 6/2022 Trần Thị Thu Hằng 5 PHẦN MỞ ĐẦU 1. Tính cấp thiết của đề tài Cách mạng công nghiệp 4.0 là một bước ngoặt đánh dấu giai đoạn các hoạt động kỹ thuật số phát triển bùng nổ, kéo theo sự thay đổi ngoạn mục của tất cả các phương thức tổ chức và hoạt động của con người, bao gồm hoạt động thông tin. Theo đó, trong thời đại kĩ thuật số này, nhu cầu sử dụng thông tin của con người ngày càng được đẩy mạnh, kéo theo sự phát triển liên tục trong quá trình tân tiến các phương thức tiếp cận, sử dụng thông tin. Một mặt, xu hướng này thỏa mãn nhu cầu thiết yếu của con người vì nhu cầu sử dụng thông tin là đòi hỏi khách quan của con người nhằm duy trì hoạt động sống của con người1 nhưng mặt khác lại gây ra những hệ quả tiêu cực có tác động rất lớn đến cá nhân, cơ quan, tổ chức có liên quan đến thông tin đó. Hiện tượng tiết lộ, mua bán dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu diễn ra rất thường xuyên và phổ biến. Ví dụ, vào tháng 5/2021 vừa qua, 1.300 GB dữ liệu cá nhân tại Việt Nam đã bị rao bán, 10.000 dữ liệu người dùng được rao bán trên diễn đàn hacker2. Bên cạnh đó, tồn tại không ít các vụ đánh cắp, rao bán dữ liệu cá nhân ở quy mô toàn cầu nói chung hoặc quy mô quốc gia Việt Nam nói riêng thông qua các trang mạng xã hội như Facebook, Instagram, WhatsApp…3 Những hiện tượng trên đều để lại những mối nguy hiểm tiềm tàng về mặt tài chính và pháp lý cho các cá nhân có dữ liệu bị để lộ, sử dụng hoặc rao bán. Về mặt tài chính, các chủ thể bị sử dụng dữ liệu cá nhân trái phép hoặc trái mục đích có thể phải đối mặt với các hành vi vay tiền, cưỡng đoạt tiền … dẫn đến thất thoát tài sản. Về mặt pháp lý, các chủ thể trên đứng trước nguy cơ bị giả mạo danh tính, giấy tờ để Bùi Thanh Thủy (2018), Thời đại kỹ thuật số và những yếu tố ảnh hưởng tới nhu cầu tin của người dùng tin, Tạp chí Thư viện Việt Nam, số 03. Xem tại: https://nlv.gov.vn/nghiep-vu-thu-vien/thoi-dai-ky-thuat-so-vanhung-yeu-to-anh-huong-toi-nhu-cau-tin-cua-nguoi-dung-tin.html, (truy cập ngày 29/3/2022) 2 Hải Đăng (2021), Làm gì khi phát hiện dữ liệu cá nhân bị rao bản?, Báo điện tử Vietnamnet. Link truy cập tại: https://vietnamnet.vn/vn/cong-nghe/bao-mat/lam-gi-khi-phat-hien-du-lieu-ca-nhan-bi-rao-ban738302.html, (truy cập ngày 29/3/2022) 3 Song Minh (2021), Thông tin cá nhân 1,5 tỉ người dùng Facebook bị rao bán, Báo Lao động Online. Link truy cập tại: https://laodong.vn/the-gioi/thong-tin-ca-nhan-15-ti-nguoi-dung-facebook-bi-rao-ban-960355.ldo, (truy cập ngày 29/3/2022) 1 6 thực hiện các hành vi vi phạm pháp luật. Ngoài ra, việc bị sử dụng trái phép dữ liệu liên quan đến cá nhân sẽ tạo nên hành vi xâm phạm quyền nhân thân của các chủ thể bị lộ dữ liệu vì dữ liệu cá nhân là hình thức thể hiện tính “riêng tư” của mỗi cá nhân. Đứng trước những rủi ro nghiêm trọng đối với cá nhân, cơ quan, tổ chức nói riêng và sự mất trật tự công cộng, an ninh xã hội nói chung như thế, pháp luật Việt Nam hiện hành vẫn chưa có một văn bản quy phạm pháp luật riêng biệt để bảo vệ dữ liệu cá nhân, đảm bảo thực hiện quyền bảo vệ dữ liệu cá nhân một cách toàn vẹn. Các quy định liên quan đến bảo vệ dữ liệu cá nhân được xây dựng một cách rải rác tại các văn bản quy phạm pháp khác nhau như BLDS năm 2015, Luật Công nghệ thông tin năm 2006, Luật An ninh mạng năm 2018... Hiện nay, Việt Nam đã và đang xây dựng Dự thảo Nghị định và tiến đến quá trình thông qua hồ sơ xây dựng Nghị định về bảo vệ dữ liệu cá nhân, xin ý kiến Ủy ban Thường vụ Quốc hội về Dự thảo Nghị định. Xét thấy tầm quan trọng của quyền bảo vệ dữ liệu cá nhân cũng như thực tiễn phức tạp trong việc bảo vệ dữ liệu cá nhân trong bối cảnh công nghệ phát triển không ngừng, tác giả cho rằng việc tiếp tục tham khảo, học hỏi pháp luật của các quốc gia có kinh nghiệm trong lĩnh vực này là vô cùng cần thiết để xây dựng một văn bản quy phạm pháp luật toàn diện, đồng thời bảo đảm thực hiện quyền, lợi ích hợp pháp của công dân Việt Nam. Ngoài ra, hiện nay vẫn chưa tồn tại một công trình nghiên cứu toàn diện nào tập trung về bảo vệ dữ liệu cá nhân mà chỉ tiếp cận bảo vệ dữ liệu cá nhân trong sự tương quan với các vấn đề pháp lý khác như thương mại điện tử… Chính từ những lý do trên, tác giả chọn đề tài “Vấn đề bảo vệ dữ liệu cá nhân theo pháp luật Liên minh Châu Âu và Hoa Kỳ - Đề xuất cho Việt Nam” để thực hiện đề tài khóa luận tốt nghiệp. 2. Tình hình nghiên cứu 2.1. Trong nước - Trần Thị Hồng Hạnh, “Hoàn thiện pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay”, Luận án Tiến sĩ, 2018, Học viện Chính trị Quốc gia Hồ Chí Minh. 7 Luận án Tiến sĩ đã trình bày một cách tổng quan các vấn đề về pháp luật bảo vệ về thông tin, bao gồm: (i) cơ sở lý luận hoàn thiện pháp luật về bảo vệ thông tin cá nhân; (ii) quá trình hình thành, phát triển, và thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam; (iii) đưa ra các quan điểm và giải pháp hoàn thiện pháp luật về bảo vệ thông tin cá nhân ở Việt Nam. Tuy nhiên, thời điểm Luận án Tiến sĩ được hoàn thành là trước khi xuất hiện Dự thảo Nghị định về bảo vệ dữ liệu cá nhân, do đó Luận án Tiến sĩ chưa thể đưa ra các đánh giá, phân tích về cách tiếp cận về bảo vệ dữ liệu cá nhân hiện nay tại Việt Nam thể hiện tại Dự thảo Nghị định. - Vũ Công Giao, Lê Trần Như Tuyên (2020), Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt Nam, Nghiên cứu Lập pháp, Số 9 (409), tr. 55 – 64. Bài viết đã giới thiệu khái quát về khái niệm của DLCN, quyền đối với DLCN, theo đó khẳng định rằng quyền về dữ liệu cá nhân có vai trò to lớn trong quyền có thể khẳng định phẩm giá, sự tự chủ và nhân trạng của con người. Ngoài ra, bài viết đã nghiên cứu tổng quan pháp luật quốc tế, pháp luật của Liên minh châu Âu (“EU”) và Hoa Kỳ về bảo vệ quyền đối với dữ liệu cá nhân, xác định xu hướng chung trên thế giới hiện nay là nỗ lực tạo nên khung pháp lý hiệu quả để bảo vệ quyền về sự riêng tư dữ liệu của cá nhân. Tuy nhiên, bài viết chưa đi sâu vào các chi tiết cụ thể để định hình rõ ràng tầm quan trọng của việc bảo vệ dữ liệu cá nhân, cũng như phương thức bảo vệ dữ liệu cá nhân một cách hiệu quả bằng công cụ pháp lý. - Nguyễn Hoàng Anh (2019), Tự do thông tin, quyền riêng tư, quyền bảo vệ dữ liệu cá nhân trên mạng internet theo pháp luật của Cộng hòa Pháp, Số đặc biệt, tr. 5 – 19 Bài viết đặt ra ba vấn đề pháp lý cụ thể như sau: (i) tự do tiếp cận internet là một phần của tự do thông tin, tự do biểu đạt; (ii) quyền bảo vệ dữ liệu cá nhân trong môi trường thông tin mạng; (iii) quyền riêng tư, quyền được lãng quên trên mạng. Tuy nhiên, bài viết chỉ dừng ở việc trình bày sơ bộ pháp luật của khu vực châu Âu, pháp luật Pháp đối với bảo vệ dữ liệu cá nhân trên nền tảng Internet mà chưa đi sâu 8 vào cụ thể các quy định pháp luật cũng như chưa làm rõ các vấn đề khác liên quan trên các nền tảng khác. Trần Thị Thu Phương (2021), Quyền bảo vệ thông tin cá nhân theo cách tiếp - cận của Hoa Kỳ và Liên minh Châu Âu, Tạp chí Kiểm sát, số 08. Bài viết đã giới thiệu sơ bộ các văn bản quy phạm pháp luật điều chỉnh vấn đề bảo vệ dữ liệu cá nhân tại Hoa Kỳ và EU. Theo đó, bài viết xác định rằng pháp luật Hoa Kỳ và EU có sự khác biệt trong cách tiếp cận quyền được bảo vệ dữ liệu cá nhân. Cuối cùng, bài viết đưa ra một số gợi ý cho Việt Nam rằng cần phân định quyền được bảo vệ dữ liệu cá nhân tách biệt với quyền riêng tư, và xác định dữ liệu cá nhân không phải là tài sản cá nhân. 2.2. Nước ngoài - Maria Tzanou, Data protection as a fundamental right next to privacy? “Reconstructing” a not so new right, International Data Privacy Law, 2013, Vol. 3, No. 2. Bài viết phân tích tổng quan về quyền được bảo vệ dữ liệu cá nhân, tập trung đánh giá vị trí pháp lý của quyền được bảo vệ dữ liệu cá nhân với tư cách là “quyền cơ bản của công dân”, dựa trên cơ sở pháp luật EU. Theo đó, bài viết trình bày hai lí thuyết về quyền được bảo vệ dữ liệu cá nhân phổ biến như sau: một là, lý thuyết cho rằng quyền bảo vệ dữ liệu cá nhân và quyền riêng tư là hai khái niệm tách biệt, có vai trò riêng biệt nhưng bổ trợ lẫn nhau trong quá trình xây dựng quốc gia văn minh; hai là, lý thuyết cho rằng quyền được bảo vệ dữ liệu cá nhân và quyền riêng tư đều là quyền trung gian để bảo vệ quyền nhân thân và danh dự. - Yen Vu, Trung Tran, Bao Nguyen, Navigating Vietnam’s cybersecurity and DP Law, Privacy Laws & Business International Report, 2020. Bài viết cung cấp một cái nhìn tổng quát về hệ thống pháp luật an ninh mạng và bảo vệ dữ liệu cá nhân tại Việt Nam. Trong đó, bài viết đã nêu lên thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân rằng thực tiễn chưa tồn tại một văn bản luật để điều chỉnh vấn đề bảo vệ dữ liệu cá nhân, mà chỉ có các văn bản dưới luật và một số quy định khác đang rải rác ở các văn bản quy phạm pháp luật có liên quan. Bài 9 viết cũng đánh giá một số quy định về bảo vệ dữ liệu cá nhân, từ đó đưa ra một số đề xuất cho các doanh nghiệp, nhà cung cấp dịch vụ mạng trong việc tuân thủ nghiêm túc các quy định pháp luật. - Rossana Ducato, Data protection, scientific research, and the role of information, Computer Law & Security Review, 2020, No. 37 Trọng tâm của bài viết là về các vấn đề pháp lý phát sinh từ mối quan hệ giữa bảo vệ dữ liệu, hoạt động nghiên cứu khoa học và tầm quan trọng của thông tin, đánh giá trên cơ sở quy định của Bộ Quy tắc bảo vệ dữ liệu cá nhân của EU. Ngoài ra, bài viết cũng nêu lên thực tiễn nội luật hóa của các Quốc gia thành viên EU đối với vấn đề bảo vệ dữ liệu cá nhân. Qua đó, bài viết khẳng định các nghĩa vụ đối với thông tin hoặc quy định hạn chế sự công khai thông tin còn nhiều hạn chế và cần sửa đổi nhằm bắt kịp tốc độ thay đổi của thực tiễn. Những tài liệu trên đã tìm hiểu một cách tổng quan về các quy định bảo vệ dữ liệu cá nhân, chủ yếu là các văn bản pháp luật của EU nhưng chưa có công trình nghiên cứu nào tập trung luận giải sự xuất hiện của bảo vệ dữ liệu cá nhân, lí giải mối quan hệ giữa bảo vệ dữ liệu cá nhân và quyền riêng tư, cũng như so sánh giữa pháp luật bảo vệ dữ liệu cá nhân của hệ thống dân luật và hệ thống thông luật để có cái nhìn khái quát hơn về bảo vệ dữ liệu cá nhân. Do đó, tác giả lựa chọn nghiên cứu pháp luật của EU và của Hoa Kỳ vì đều là các quốc gia phát triển, tiến bộ trong việc xây dựng hành lang pháp lý về bảo vệ dữ liệu cá nhân. Bên cạnh đó, pháp luật của EU và Hoa Kỳ đều có tính mẫu mực, đại diện cho hai hệ thống pháp luật chủ yếu trên thế giới, lần lượt là dân luật và thông luật. Mục đích của khóa luận tốt nghiệp là làm sáng tỏ các vấn đề chưa được thực hiện trong các tài liệu nghiên cứu nêu trên, từ đó góp phần đưa ra các khuyến nghị liên quan pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam. Đây cũng là tính mới của khóa luận tốt nghiệp về vấn đề bảo vệ dữ liệu cá nhân. 3. Mục tiêu nghiên cứu của đề tài 10 Mục tiêu nghiên cứu của đề tài khóa luận tốt nghiệp hướng đến giải quyết các vấn đề pháp lý như sau: Thứ nhất, làm sáng tỏ các vấn đề lý luận về khái niệm, đặc điểm, lịch sử hình thành và phát triển của bảo vệ dữ liệu cá nhân. Thứ hai, trình bày và phân tích quy định pháp luật về bảo vệ dữ liệu cá nhân của EU và Hoa Kỳ. Thứ ba, trình bày thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá hân và đặt ra các khuyến nghị để hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân (cụ thể là Dự thảo Nghị định) dựa trên cơ sở so sánh, đánh giá và kế thừa pháp luật EU và Hoa Kỳ. 4. Đối tượng và phạm vi nghiên cứu của đề tài Đối tượng nghiên cứu Đề tài có đối tượng nghiên cứu chính là tổng quan pháp luật bảo vệ dữ liệu cá nhân của Liên minh Châu Âu và Hoa Kỳ, song song với pháp luật Việt Nam hiện hành, nhằm chỉ rõ các điểm vướng mắc cần hoàn thiện trong hệ thống pháp luật Việt Nam. Từ đó, thực hiện được mục tiêu nghiên cứu là đưa ra các khuyến nghị nhằm xây dựng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân một cách toàn diện hơn. Phạm vi nghiên cứu Về mặt không gian: đề tài sẽ khảo sát một cách khái quát các quy định pháp luật của khối Liên minh Châu Âu và của Hoa Kỳ, kết hợp tập trung chuyên sâu vào quy định pháp luật Việt Nam về bảo vệ dữ liệu cá nhân nhằm làm sáng tỏ và khắc phục những điểm bất cập hiện nay của pháp luật Việt Nam. Về mặt thời gian: đề tài sẽ có trọng tâm là các quy định đang có hiệu lực của Liên minh Châu Âu, Hoa Kỳ và Việt Nam về bảo vệ dữ liệu cá nhân, trên cơ sở nghiên cứu sơ lược về lịch sử hình thành các quy định pháp luật về bảo vệ dữ liệu cá nhân nhằm có cái nhìn khách quan, tổng thể về bảo vệ dữ liệu cá nhân. 11 5. Phương pháp nghiên cứu Khóa luận tốt nghiệp dự định sử dụng các phương pháp nghiên cứu khác nhau phù hợp với hướng tiếp cận của đề tài và đảm bảo tính khách quan, toàn diện của kết quả nghiên cứu, bao gồm các phương pháp nghiên cứu như sau: - Phương pháp lịch sử: được sử dụng trong Chương 1 nhằm làm rõ các vấn đề lý luận của bảo vệ DLCN. - Phương pháp phân tích và tổng hợp: áp dụng cho xuyên suốt khóa luận tốt nghiệp, đặc biệt tập trung vào quy định pháp luật của EU và Hoa Kỳ ở Chương 2 và quy định pháp luật của Việt Nam ở Chương 3. - Phương pháp so sánh: áp dụng chủ yếu tại Chương 2 để làm rõ sự khác biệt về hướng tiếp cận trong quá trình xây dựng quy định pháp luật về bảo vệ DLCN của EU và Hoa Kỳ. - Phương pháp bình luận: được áp dụng để đưa ra những lý giải cho điểm tương đồng, khác biệt giữa pháp luật EU và Hoa Kỳ, từ đó đưa ra những ưu, nhược điểm của từng hệ thống quy định pháp luật. Bên cạnh đó, phương pháp này cũng được sử dụng để đánh giá thực trạng quy định pháp luật Việt Nam và đặt ra các đề xuất trên cơ sở đánh giá tổng quan hệ thống pháp luật của EU và Hoa Kỳ. 6. Bố cục đề tài Trong phạm vi nghiên cứu của khóa luận tốt nghiệp, ngoài phần mở đầu, kết luận, danh mục tài liệu tham khảo thì nội dung của khóa luận tốt nghiệp sẽ bao gồm 03 chương sau: Chương 1: Lý luận chung về bảo vệ dữ liệu cá nhân Chương 2: Bảo vệ dữ liệu cá nhân theo quy định pháp luật của Liên minh Châu Âu và Hoa Kỳ Chương 3: Kiến nghị hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân 12 CHƯƠNG 1. LÝ LUẬN CHUNG VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN 1.1. Khái quát về bảo vệ dữ liệu cá nhân 1.1.1. Khái niệm về bảo vệ dữ liệu cá nhân Để có thể nhận diện khái niệm “bảo vệ dữ liệu cá nhân” một cách tổng quát nhất, cần phải bóc tách rõ ràng các khái niệm “dữ liệu”, “bảo vệ” và “dữ liệu cá nhân”. Theo Từ điển Tiếng Việt, “dữ liệu” được hiểu theo hai nội hàm sau: (i) số liệu, tư liệu đã có, được dựa vào để giải quyết một vấn đề; (ii) sự biểu diễn của một thông tin trong máy tính dưới dạng quy ước, nhằm làm dễ dàng việc xử lý4. Mặt khác, Đại Từ điển Tiếng Việt xác định khái niệm “dữ liệu” theo nghĩa hẹp hơn là “những thông tin như văn bản, số liệu, âm thanh, hình ảnh… được biểu diễn trong máy tính dưới dạng quy ước, nhằm tạo sự dễ dàng cho việc lưu trữ, xử lý.”5 Từ điển Tiếng Việt diễn giải khái niệm của “bảo vệ” theo hai khía cạnh: (i) chống lại mọi sự xâm phạm để giữ cho luôn luôn được nguyên vẹn; (ii) bênh vực bằng lí lẽ để giữ vững ý kiến, quan điểm6. Dưới góc độ tiếp cận nội hàm “bảo vệ” trong mối tương quan với “dữ liệu”, Black’s Law Dictionary xác định trực tiếp rằng “bảo vệ dữ liệu” là “bất kì biện pháp nào thực hiện nhằm bảo vệ thông tin, đặc biệt là thông tin được lưu trữ trên máy tính khỏi tình trạng bị đánh cắp hoặc bị tiết lộ bởi một bên không có quyền”7. Định nghĩa dữ liệu cá nhân (“DLCN”) được xác định bởi Tổ chức Hợp tác kinh tế và phát triển tại Văn bản hướng dẫn về Bảo vệ sự riêng tư và dịch chuyển xuyên biên giới đối với DLCN như sau: “DLCN là bất kì thông tin nào liên quan đến một cá nhân xác định hoặc có khả năng xác định được một cá nhân (chủ thể dữ liệu)”8. Với hướng tiếp cận rộng hơn về nội hàm “DLCN”, Luật Bảo vệ DLCN năm 2012 Viện Ngôn ngữ học, Từ điển Tiếng Việt, Nxb. Đà Nẵng, 2003, tr. 269 Nguyễn Như Ý (chủ biên), Đại Từ điển Tiếng Việt, Nxb. Văn hóa – Thông tin, Hà Nội, 1999, tr. 367 6 Viện Ngôn ngữ học, Từ điển Tiếng Việt, Nxb. Đà Nẵng, 2003, tr. 40 7 Bryan A. Garner (chủ biên), Black’s Law Dictionary, 2004, 8th edition, p. 1188 8 OECD, “Guidelines on the Protection of Privacy and Transborder Flows of Personal Data”. Xem tại: https://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonalda ta.htm#part1, (truy cập ngày 11/4/2022) 4 5 13 Singapore quy định: “DLCN là bất kì thông tin nào, không phân biệt đúng hay sai, liên quan đến một cá nhân mà người đó có thể được nhận dạng: (a) từ chính thông tin đó; hoặc (b) từ sự kết hợp giữa thông tin đó và các nguồn thông tin khác mà các tổ chức có hoặc có khả năng truy cập.”9 Theo đó, pháp luật quốc tế về DLCN dường như có xu hướng ưu tiên tính liên quan của dữ liệu hơn chức năng định danh của dữ liệu để định hình khái niệm DLCN. Quy định tại Dự thảo Nghị định hiện nay được cho là thống nhất với xu hướng quốc tế đối với khái niệm DLCN khi căn cứ vào tính liên quan của thông tin, cụ thể tại khoản 1 Điều 2 như sau: “DLCN là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể”. Tuy nhiên, nếu khảo sát sơ lược qua các văn bản quy phạm pháp luật hiện hành có liên quan đến DLCN tại Việt Nam, hướng tiếp cận đối với khái niệm này tại Việt Nam là tương đối hẹp, khi chủ yếu được xây dựng dựa trên chức năng định danh cá nhân10. Điều này được thể hiện thông qua một loạt các quy định tại các văn bản khác nhau như khoản 15 Điều 3 Luật An toàn thông tin mạng năm 201511, khoản 5 Điều 4 Luật Giao dịch điện tử năm 200512, khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước13… Theo đó, chỉ dữ liệu có chức năng định danh cá nhân mới cấu thành DLCN, còn dữ liệu khác dù có liên quan nhưng không có khả năng định danh cá nhân theo quy định pháp luật thì không cấu thành DLCN. 9 Personal Data Protection Act 2012 of Singapore, Article 2(1). Xem tại: https://sso.agc.gov.sg/Act/PDPA2012, (truy cập ngày 02/06/2022) 10 Lưu Minh Sơn, Nguyễn Thị Thùy Dương, “Nguyên tắc xử lý dữ liệu cá nhân trên không gian mạng theo pháp luật Việt Nam dưới góc nhìn so sánh với pháp luật Singapore, Liên minh Châu Âu”, Tạp chí Nhà nước và Pháp luật, 2020, số 11 11 Khoản 15 Điều 3 Luật An toàn thông tin mạng năm 2015: “Thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể.” 12 Khoản 5 Điều 4 Luật Giao dịch điện tử năm 2005: “5. Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự.” 13 Khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước: “5. Thông tin cá nhân: là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác.” 14 Sau khi phân tích các khái niệm cấu thành nên “bảo vệ DLCN”, tác giả cho rằng có thể đưa ra khái niệm khái quát như sau: “Bảo vệ DLCN là việc thực hiện mọi biện pháp nhằm ngăn chặn, phòng ngừa các thông tin liên quan đến cá nhân được dùng để xác định hoặc nhận dạng cá nhân đó khỏi tình trạng bị xâm phạm, bị đánh cắp hoặc bị tiết lộ bởi một bên không có quyền.” 1.1.2. Đặc điểm về bảo vệ dữ liệu cá nhân Một là, bảo vệ DLCN là hình thức thực hiện quyền bảo vệ DLCN. Quyền bảo vệ DLCN là một trong những quyền cơ bản của con người, được ghi nhận tại khoản 1 Điều 8 Điều lệ về Quyền cơ bản của Liên minh Châu Âu năm 2000 như sau: “Mọi người có quyền được bảo vệ DLCN có liên quan đến họ.” So với các quyền cơ bản khác, thời điểm mà quyền bảo vệ DLCN được khẳng định một cách minh thị là tương đối muộn, khi chỉ đến khoảng đầu thế kỉ XXI mới xuất hiện văn bản quốc tế là Điều lệ về Quyền cơ bản của EU chính thức đặt để một quy định riêng biệt cho quyền này. Tuy nhiên, nếu nhìn tổng quan về pháp luật quốc tế về nhân quyền thì quyền bảo vệ DLCN thực chất đã được ghi nhận từ rất sớm tại quy định về QRT, như Điều 12 Tuyên ngôn quốc tế về Nhân quyền năm 1948 (“UDHR”), Điều 17 Công ước quốc tế về các quyền dân sự và chính trị năm 1966 (“ICCPR”) … Xét đến tầm quan trọng của quyền cơ bản của con người – quyền bẩm sinh mà mỗi cá nhân đều sở hữu, được công nhận và là yếu tố chủ chốt cấu thành nên hệ thống các quy tắc pháp lý điều chỉnh hành vi con người14, có thể khẳng định rằng, nguồn cơn cho sự tồn tại chế định về “bảo vệ DLCN” là xuất phát từ bản chất của quyền bảo vệ DLCN với tư cách là một trong các quyền cơ bản của con người. Từ đó, các quy định bảo vệ DLCN là nhằm bảo đảm quyền bảo vệ DLCN được thực thi trên thực tế. Hai là, bảo vệ DLCN phải được thực hiện trong sự tương quan với việc thực hiện các quyền cơ bản khác của con người. Stephen P. Marks, “Human Rights: A Brief Introduction”, Harvard University, 2016, p. 2. Xem tại: https://cdn1.sph.harvard.edu/wp-content/uploads/sites/134/2016/07/Human-Rights-A-brief-intro-2016.pdf (truy cập ngày 12/4/2022). 14 15 Đặc điểm này bắt nguồn từ bản chất của quyền bảo vệ DLCN. Bởi lẽ, hiện nay các quan điểm về vị trí pháp lý của quyền bảo vệ DLCN dù còn nhiều điểm trái chiều, nhưng đều thống nhất rằng quyền bảo vệ DLCN có mối quan hệ sâu sắc với QRT15. Thậm chí có các quan điểm pháp lý cho rằng quyền bảo vệ DLCN xuất hiện trong mối liên quan đến quyền hình ảnh, quyền tài sản theo pháp luật một số quốc gia trên thế giới16, mà các quyền này đều được thừa nhận là quyền cơ bản của con người. Khi quyền bảo vệ DLCN đang được tiếp cận trong mối tương quan với các quyền cơ bản khác của con người thì các quy định về bảo vệ DLCN cũng phải được xây dựng trên cơ sở các quy định hiện hành về việc thực hiện các quyền cơ bản khác có liên quan. Ba là, bảo vệ DLCN được thực hiện theo nhiều hình thức đa dạng. Song song với sự đa dạng trong cách thức thực hiện hành vi xâm phạm DLCN cũng như hình thức tồn tại của dữ liệu (ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh và các hình thức tương tự), hình thức thực hiện việc bảo vệ DLCN cũng được xây dựng một cách đa dạng… Phương thức bảo vệ DLCN có thể được thực hiện bằng các biện pháp kĩ thuật hoặc các biện pháp tổ chức17, trong đó có thể kể đến các biện pháp phổ biến như sau18: mã hóa dữ liệu, lưu trữ dữ liệu trên điện toán đám mây, cài đặt mật khẩu, quản lý lượt truy cập và nhận dạng, ứng dụng các phần mềm rà soát và phòng chống sự xâm nhập… Mireille Hildebrandt, “Privacy and Data Protection”, Oxford Scholarship Online, 2020, p. 100. Xem tại: https://oxford.universitypressscholarship.com/view/10.1093/oso/9780198860877.001.0001/oso9780198860877-chapter-5 (truy cập ngày 12/4/2022). 16 Quan điểm nhắc đến mối quan hệ giữa quyền bảo vệ dữ liệu cá nhân với quyền nhân thân, quyền hình ảnh được đặt ra trong hệ thống pháp luật các quốc gia theo hệ thống thông luật (pháp luật các quốc gia này được cho là có phương hướng tiếp cận quyền nhân thân thông qua các chế định liên quan đến quyền tài sản, cụ thể là chế định về bồi thường thiệt hại), ví dụ như Singapore. Tham khảo tại: David Tan, “Image Rights and Data Protection”, NUS Law Working Paper, 2017, p.1. Xem tại: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3024434 (truy cập ngày 12/4/2022). 17 Hai phương thức này đều được ghi nhận lần lượt trong Chỉ thị về Bảo vệ dữ liệu EU (“EU Data Protection Directive”) hoặc GDPR do Liên minh Châu Âu ban hành. 18 Brandi Jaylin, “Top 5 Types of Data Protection”, Otava Blog, 2021. Xem tại: https://www.otava.com/blog/top-5-types-of-data-protection/ (truy cập ngày 12/4/2022). 15 16 1.1.3. Ý nghĩa của bảo vệ dữ liệu cá nhân Một là, bảo vệ DLCN nhằm thực hiện quyền cơ bản của con người – quyền bảo vệ DLCN. Với đặc điểm là hình thức thực hiện quyền bảo vệ DLCN, bảo vệ DLCN cần được coi là một chế định không thể thiếu trong hệ thống pháp luật quốc gia với mục đích phục vụ nhu cầu chính đáng của con người để chống lại mọi sự tấn công bất hợp pháp đối với DLCN, bảo toàn sự nguyên vẹn của DLCN. Ở một quy mô hẹp hơn, có thể nhìn nhận việc bảo vệ DLCN thực chất là nhằm bảo vệ lợi ích của các đối tượng khác nhau trong xã hội, bao gồm19: (i) đối tượng mà dữ liệu phản ánh; (ii) đối tượng có quyền quản lí dữ liệu. Nói cách khác, bảo vệ DLCN chính là bảo vệ quyền lợi riêng của từng chủ thể trong xã hội. Hai là, bảo vệ DLCN là thiết yếu đối với quá trình phát triển xã hội bền vững, duy trì trật tự cộng đồng. Nếu không có bảo vệ DLCN, các hành vi vi phạm nhằm lạm dụng DLCN vào những mục đích bất hợp pháp như thu thập, sử dụng dữ liệu trái phép, đánh cắp thông tin để lừa đảo, làm giả DLCN… sẽ không thể bị ngăn chặn, dẫn đến sự bất ổn định về mặt thông tin trong xã hội. Từ đó, làm phát sinh hai vấn đề như sau: (i) trật tự xã hội sẽ bị lung lay khi hệ thống dữ liệu của mỗi cá nhân bị xâm phạm, khai thác tùy tiện, không đảm bảo tính chính xác, phù hợp của dữ liệu; (ii) sự phát triển xã hội khó có thể triển khai khi không duy trì được trật tự xã hội. Khi xu hướng phát triển công nghệ thông tin là hiện tượng mang tính khách quan và khao khát xây dựng xã hội thông tin là tất yếu20, bảo vệ DLCN càng trở nên cấp thiết hơn bao giờ hết, nhằm bảo vệ quyền lợi chung của xã hội cũng như quyền lợi của mỗi cá nhân. Nói chung, bảo vệ DLCN có giá trị cơ bản trong việc bảo vệ lợi ích kinh tế và lợi ích nhân thân của CTDL, các chủ thể khác có quyền đối với DLCN. Từ đó xa hơn, Federico Ferretti, “Data Protection and the legitimate interest of data controllers: Much ado about nothing or the winter of rights?”, Common Market Law Review, 2014, Volume 51. Xem tại: https://kluwerlawonline.com/journalarticle/Common+Market+Law+Review/51.3/COLA2014063, (truy cập 12/4/2022). 20 Nguyễn Văn Dân, “Về xã hội thông tin và xã hội tri trức hiện nay”, Tạp chí Cộng sản, 2007. Xem tại: https://www.tapchicongsan.org.vn/web/guest/the-gioi-van-de-su-kien/-/2018/1377/ve-xa-hoi-thong-tin-vaxa-hoi-tri-thuc-hien-nay.aspx, (truy cập 12/4/2022). 19 17 bảo vệ DLCN còn hướng đến bảo vệ lợi ích chung của cả cộng đồng khi mà mối quan hệ giữa cá nhân và cộng đồng mang tính biện chứng, tác động lẫn nhau sâu sắc theo hướng đồng thuận21. 1.2. Lịch sử hình thành và phát triển pháp luật bảo vệ dữ liệu cá nhân Lịch sử hình thành và phát triển pháp luật bảo vệ DLCN sẽ được nghiên cứu theo hai giai đoạn chính: (i) giai đoạn trước những năm 1970; (ii) giai đoạn sau những năm 1970. Sở dĩ việc nghiên cứu được thực hiện như trên là xuất phát từ đặc trưng của pháp luật bảo vệ dữ liệu cá nhân gắn liền với sự phát triển công nghệ điện tử giai đoạn năm 1970 là thời điểm xuất hiện Cách mạng công nghiệp lần 3, Cách mạng kỹ thuật số22. Hệ thống quy định pháp luật bảo vệ DLCN có sự chuyển biến trước và sau cột mốc những năm 1970, theo đó sau kỷ nguyên công nghệ thông tin thì quy định về bảo vệ DLCN được ban hành một cách trực tiếp, minh thị và độc lập hơn. 1.2.1. Trước những năm 1970 Trong lịch sử lập pháp các quốc gia trên thế giới và các văn bản pháp luật quốc tế, quyền bảo vệ DLCN được công nhận trực tiếp tại thời điểm tương đối muộn so với các quyền cơ bản khác, song những dấu tích về quyền bảo vệ DLCN đã được thể hiện từ rất sớm một cách gián tiếp với tư cách là một bộ phận không tách rời với QRT. Văn bản quốc tế đầu tiên chính thức ghi nhận QRT là UDHR tại Điều 12 như sau: “Không một ai phải chịu sự can thiệp tùy tiện đối với sự riêng tư, gia đình, nhà ở hoặc thư điện tín, cũng như bất kì sự xúc phạm nào đối với danh dự, uy tín của người đó. Tất cả mọi người đều có quyền được pháp luật bảo hộ trước những hành vi xâm phạm nêu trên.” Nội hàm của QRT cũng được quy định tương tự tại Điều 17 Duong Thi Thuy Nga, “The Relationship Between the Individual and Society in Eastern Culture”, American Journal of Educational Research, 2018. Xem tại: http://pubs.sciepub.com/education/6/7/4/index.html, (truy cập 14/4/2022). 22 Minh Khoa, “Cuộc cách mạng công nghiệp 4.0 là gì?”, Cổng thông tin điện tử - Học viện Cảnh sát Nhân dân, 2018. Xem tại: http://hvcsnd.edu.vn/nghien-cuu-trao-doi/dai-hoc-40/cuoc-cach-mang-cong-nghiep-4-0la-gi-4319, (truy cập 14/4/2022). 21 18 ICCPR, theo đó QRT là cơ sở để bảo đảm quyền được tôn trọng về đời sống riêng tư, gia đình, nhà ở và thư từ của mỗi cá nhân. Khái niệm của QRT tại các văn bản quốc tế đều hàm chứa sự bảo vệ về mặt thông tin cá nhân, thông qua yếu tố trực diện nhất là qua “thư điện tín” – công cụ thể hiện những thông tin trao đổi giữa các chủ thể với nhau. Bên cạnh đó, các yếu tố khác được nhắc đến trong QRT là “cuộc sống riêng tư, gia đình, nhà ở” mặc dù không có hình thức tồn tại hoặc/và mục đích tồn tại tương đồng như “thư điện tín” là nhằm trao đổi thông tin, nhưng những yếu tố này đều có đặc điểm chung là đều cung cấp thông tin riêng tư về chủ thể được phản ánh khi bị xâm phạm23. Đặc điểm trên có thể lí giải từ bản chất của QRT là hướng đến bảo vệ những khía cạnh mật thiết nhất của một cá nhân24. Bởi lẽ, QRT được đặt ra trong bối cảnh nhu cầu về mặt tâm sinh lý của con người trỗi dậy mạnh mẽ sau khi các quốc gia Châu Âu tiến hành thiết lập hệ thống thuộc địa tại Hoa Kỳ, truyền bá các khái niệm về QRT, đặt ra cơ chế quyền sở hữu riêng về đất đai dẫn đến sự phân định rõ ràng về không gian riêng tư và không gian cộng đồng25. Điều đó làm bùng nổ mong muốn cân bằng giữa phần bản thể bên ngoài với bản thể bên trong của con người, giữa cuộc đời riêng tư với cuộc đời xã hội, giữa khao khát mang tính chủ quan được trở nên riêng tư, một mình với khao khát mang tính khách quan được gắn kết với những người xung quanh26. Do đó, QRT chính là cơ sở để thực hiện khao khát được một mình, không bị làm phiền thông qua ngăn chặn sự xâm phạm vào những khía cạnh mật thiết nhất về một cá nhân. Ở quy mô khái quát nhất, thông tin là bất kì vật chất tồn tại nào trên thế giới và được xác định cụ thể dựa trên nhận thức, phản ứng của con người đối với vật chất đó. Tham khảo tại: Sebastian Boell, Dubravka CecezKecmanovic, “Attributes of Information”, AMCIS 2010 Proceedinngs, 2010, pp. 219. Xem tại: https://www.researchgate.net/publication/220889864_Attributes_of_Information, (truy cập ngày 16/4/2022). 24 Jan Holvast, “History of Privacy”, International Federation for Information Processing, 2009, pp. 14-40. Xem tại: https://link.springer.com/content/pdf/10.1007/978-3-642-03315-5_2.pdf, (truy cập ngày 16/4/2022). 25 David H. Flaherty, “Privacy in Colonial New England”, The American Historical Review, 1973, Vol. 78, No.2, pp. 473-473. Xem tại: https://www.jstor.org/stable/1861258?origin=crossref, (truy cập ngày 16/4/2022). 26 David Clark Esseks, “Privacy in a Public Society: Human Rights in Conflict”, University of Michigan Law School, 1989, Vol. 87, pp. 1624-1630. Xem tại: https://repository.law.umich.edu/cgi/viewcontent.cgi?article=3395&context=mlr, (truy cập ngày 16/4/2022). 23