Nếu dữ liệu số là một tài sản gắn với cá nhân, thì cá nhân có những quyền gì với dữ liệu đó (cụ thể là dữ liệu về cá nhân ở hình thức số hóa - gọi tắt là dữ liệu)? Làm sao biết dữ liệu cá nhân của mình, từ cái rất cụ thể, dễ biết như tên tuổi, số điện thoại, đến vô hình hơn như suy nghĩ bày tỏ trên Facebook, Zalo... qua các dòng trạng thái; như bao nhiêu bước chân di chuyển, nhịp tim thế nào, huyết áp bao nhiêu... được chiếc điện thoại thông minh trong túi quần thu thập hàng giây, hàng phút? Con người số đó (suy nghĩ, sức khỏe, hành vi) thể hiện qua dữ liệu cá nhân, nhưng mỗi người dùng “có” những gì trên Internet? Ai đang làm gì với những dữ liệu đó?
Tiện ích Internet, mạng xã hội, các ứng dụng số cung cấp thì rõ ràng rồi, nhưng những rủi ro liên quan đi kèm thì như thế nào? Những câu hỏi này ngày càng trở nên rõ ràng hơn, nóng bỏng hơn và đương nhiên đau đầu hơn khi con người tiến sâu vào kỷ nguyên số.
Trong khi tài sản số đang là phạm vi rộng, câu hỏi hẹp hơn là quyền riêng tư và bảo vệ dữ liệu cá nhân trên môi trường số nên được quy định như thế nào đang trở thành vấn đề pháp lý thực tế được nhiều nước tranh luận và đưa vào khuôn khổ pháp luật để thực thi trong đời sống hàng ngày. Đi tiên phong là các nước châu Âu với bộ quy định chung về bảo vệ dữ liệu (GDPR) có hiệu lực thực thi từ năm 2018.
Ở Việt Nam, điều đáng mừng là Chính phủ đã tích cực nghiên cứu, thảo luận và công bố dự thảo nghị định về bảo vệ dữ liệu cá nhân (sau đây gọi tắt là dự thảo), là dự thảo pháp lý đầu tiên cụ thể hóa các quyền và nghĩa vụ của các chủ thể liên quan trong tiến trình thu thập, xử lý, khai thác dữ liệu cá nhân trên môi trường số.
Những vấn đề chính yếu nhất, gồm liên quan đến xác lập quyền về dữ liệu cá nhân; nghĩa vụ của chủ thể xử lý dữ liệu cá nhân; xử lý dữ liệu cá nhân nhạy cảm và chuyển dữ liệu. Vậy trong dự thảo mới được công bố, so sánh với GDPR, có những điểm giống và khác gì?
Mỗi người dùng “có” những gì trên internet? ai đang làm gì với những dữ liệu đó? Tiện ích internet, mạng xã hội, các ứng dụng số cung cấp thì rõ ràng rồi, nhưng những rủi ro liên quan đi kèm thì như thế nào?
Những câu hỏi này ngày càng trở nên rõ ràng hơn, nóng bỏng hơn và đương nhiên đau đầu hơn khi con người tiến sâu vào kỷ nguyên số.
Quyền của chủ thể dữ liệu
Đây là điểm mới nhất và là mấu chốt nhất. Với các câu hỏi đặt ra ở trên, cụ thể chủ thể sở hữu dữ liệu có những quyền gì mới? Cả dự thảo và GDPR đều xác định chủ thể dữ liệu là thể nhân được dữ liệu phản ánh và sở hữu dữ liệu đó. Vì vậy, họ có quyền bày tỏ ý chí đối với dữ liệu cá nhân của mình và buộc các chủ thể khác phải tôn trọng: quyền đồng ý, quyền được nhận thông báo, quyền tiếp cận (xem), quyền chỉnh sửa, quyền yêu cầu hạn chế xử lý dữ liệu, quyền được xóa dữ liệu.
Từ đây, nếu có sự xâm phạm dữ liệu xảy ra, chủ thể dữ liệu có quyền khiếu nại và nhận bồi thường. Bên cạnh đó, GDPR còn ghi nhận cho chủ thể dữ liệu có quyền chống xử lý dữ liệu, quyền được chuyển giao dữ liệu mà không có sự hạn chế, quyền không bị đánh giá/phán xét bởi quyết định được tạo ra bởi xử lý dữ liệu tự động.
Bên xử lý dữ liệu cá nhân
Dự thảo và GDPR có cách tiếp cận khác nhau về chủ thể liên quan đến hoạt động xử lý dữ liệu cá nhân. Dự thảo chỉ xác định một chủ thể duy nhất liên quan đến hoạt động này là “bên xử lý dữ liệu cá nhân” gồm cơ quan, tổ chức, cá nhân trong và ngoài nước thực hiện hoạt động xử lý dữ liệu cá nhân.
Trong khi đó, GDPR xác định hai loại chủ thể gắn với hai loại hoạt động khác nhau liên quan đến dữ liệu cá nhân, gồm bên kiểm soát dữ liệu (data controller) và bên xử lý dữ liệu (data processor).
Trong đó, bên kiểm soát dữ liệu là cá nhân, pháp nhân, cơ quan hoặc tổ chức xác định mục đích và phương tiện xử lý dữ liệu cá nhân một cách độc lập hoặc kết hợp với chủ thể khác; còn bên xử lý dữ liệu là cá nhân, pháp nhân, cơ quan hoặc tổ chức xử lý dữ liệu cá nhân thay mặt cho bên kiểm soát dữ liệu.
Mỗi bên buộc phải tuân thủ, chấp hành phần nghĩa vụ của mình đối với dữ liệu cá nhân và có thể được giới hạn rủi ro trong phạm vi trách nhiệm của mình khi xảy ra vi phạm dữ liệu. Mối quan hệ giữa bên kiểm soát dữ liệu và bên xử lý dữ liệu tương tự như bên sử dụng dịch vụ và bên cung cấp dịch vụ trong hợp đồng thầu. Tuy nhiên, do lĩnh vực dữ liệu cá nhân là lĩnh vực nhạy cảm, quan trọng nên họ được quy định một số nghĩa vụ pháp lý ràng buộc.
Chắc chắn sẽ còn nhiều những tranh luận gay gắt về việc thực thi thế nào, chi phí và lợi ích đạt được bao nhiêu với những quy định cụ thể về xử lý dữ liệu cá nhân nêu trên, đặc biệt là vấn đề chi phí tuân thủ của doanh nghiệp, lẫn vấn đề chuyển dữ liệu xuyên biên giới.
Xử lý dữ liệu cá nhân nhạy cảm
Dự thảo và GDPR có nét tương đồng về cách tiếp cận và phân loại dữ liệu thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm để xác lập biện pháp bảo vệ an toàn dữ liệu tương thích. Tuy nhiên, cách xác định dữ liệu cá nhân nhạy cảm theo dự thảo có phần rộng hơn so với GDPR, khi bao gồm cả dữ liệu tài chính cá nhân, dữ liệu cá nhân về các mối quan hệ xã hội, dữ liệu cá nhân về vị trí địa lý thực tế của họ ở quá khứ và hiện tại và dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
Bên cạnh đó, nguyên tắc xử lý dữ liệu cá nhân nhạy cảm cũng có điểm khác nhau. Dự thảo chú trọng nhiều đến quản lý dữ liệu về mặt hành chính nhà nước khi yêu cầu đăng ký xử lý dữ liệu cá nhân nhạy cảm với Ủy ban Bảo vệ dữ liệu cá nhân. Trong khi đó, theo GDPR, về nguyên tắc, dữ liệu cá nhân nhạy cảm bị cấm xử lý, vì vậy loại dữ liệu này chỉ và chỉ được xử lý trong những điều kiện nhất định.
Chuyển dữ liệu cá nhân qua biên giới
Dự thảo và GDPR có cách tiếp cận tương đối khác nhau về chuyển dữ liệu cá nhân qua biên giới. Dự thảo tập trung vào khía cạnh lưu trữ dữ liệu gốc tại Việt Nam, yêu cầu một thủ tục hành chính đăng ký chuyển dữ liệu cá nhân qua biên giới, trong đó có một điểm đáng lưu ý là buộc bên chuyển dữ liệu cá nhân “có văn bản chứng minh quốc gia, vùng lãnh thổ hoặc một khu vực cụ thể trong quốc gia hoặc vùng lãnh thổ chuyển đến đã ban hành quy định bảo vệ dữ liệu cá nhân ở mức độ bằng hoặc cao hơn với quy định tại Nghị định này”.
Quy định này khác hẳn nguyên tắc luân chuyển dữ liệu theo GDPR, sự bảo vệ đồng hành với dữ liệu, nghĩa là quy định bảo vệ dữ liệu của GDPR vẫn được áp dụng dù dữ liệu được chuyển đến đâu.
GDPR đưa ra ba điều kiện được sử dụng theo phương pháp loại trừ: quyết định về các quốc gia thứ ba an toàn của Ủy ban châu Âu (Adequacy Decision), bên kiểm soát dữ liệu và bên xử lý dữ liệu cung cấp các biện pháp bảo đảm an toàn thích hợp và một số tình huống đặc biệt được chuyển dữ liệu.
Hiện nay, Ủy ban Châu Âu đã công bố 11 quốc gia trong danh sách các quốc gia được tự do nhận dữ liệu gồm: Andora, Argentina, Uruguay, New Zealand, Canada, Faroe Islands, Guernsey, Israel, Isle of Man, Nhật Bản, Jersey, Thụy Sỹ và đang xem xét, đánh giá quốc gia thứ 12 là Hàn Quốc.
Tiếp đó, các biện pháp an toàn thích hợp bao gồm: Quy tắc bảo vệ dữ liệu cá nhân đối với tập đoàn kinh tế được phê chuẩn bởi Cơ quan giám sát quốc gia (Binding Corporate Rules), Thỏa thuận thuộc hợp đồng với chủ thể nhận dữ liệu có sử dụng điều khoản bảo vệ dữ liệu cá nhân tiêu chuẩn được thông qua bởi Ủy ban châu Âu (Standard Data Protection Clause), Bộ quy tắc ứng xử hoặc cơ chế chứng nhận (được phê chuẩn bởi Cơ quan giám sát quốc gia) kèm với cam kết thực thi và ràng buộc từ chủ thể nhận dữ liệu ở nước thứ ba (Code of Conduct or Certification Mechanism).
Một số tình huống đặc biệt được chuyển dữ liệu như: chủ thể dữ liệu thể hiện rõ ràng sự đồng ý của mình sau khi được cung cấp toàn bộ thông tin cần thiết về rủi ro có thể xảy ra khi chuyển dữ liệu, vì lý do quan trọng thuộc lợi ích cộng đồng.
Chắc chắn sẽ còn nhiều những tranh luận gay gắt về việc thực thi thế nào, chi phí và lợi ích đạt được bao nhiêu với những quy định cụ thể về xử lý dữ liệu cá nhân nêu trên, đặc biệt là vấn đề chi phí tuân thủ của doanh nghiệp, lẫn vấn đề chuyển dữ liệu xuyên biên giới. Tuy vậy, về mặt thời điểm, đây là lúc chín muồi để Chính phủ hành động và có những bước đi tiên phong, mang tính thực chất về bảo vệ dữ liệu cá nhân - nền tảng quan trọng cho nền kinh tế số của chúng ta.
Theo TheSaigonTimes