Tái sử dụng dữ liệu cá nhân

Trong nền kinh tế số, hoạt động xử lý dữ liệu cá nhân đóng vai trò quan trọng trong tạo ra giá trị kinh tế cho doanh nghiệp nói riêng và nền kinh tế quốc gia nói chung. Cách đơn giản nhất để nhìn thấy giá trị kinh tế của dữ liệu cá nhân, theo gợi ý của Tổ chức Hợp tác và Phát triển Kinh tế (OECD), đó là xem xét doanh thu của doanh nghiệp có hoạt động kinh doanh dựa trên xử lý dữ liệu cá nhân (data-driven business model).

Google, Meta hay TikTok được coi như những “đại gia công nghệ” nhưng mới chỉ là phần nổi của tảng băng chìm. Trong nền kinh tế số, còn có hàng trăm nghìn doanh nghiệp cung cấp các giải pháp công nghệ xử lý dữ liệu cá nhân như phần mềm sổ liên lạc điện tử, quản lý dữ liệu khách du lịch, quản lý dữ liệu khám, chữa bệnh… Một doanh nghiệp xử lý dữ liệu cá nhân có thể triển khai dịch vụ cho nhiều khách hàng khác nhau và lưu trữ một lượng lớn dữ liệu cá nhân. Khối dữ liệu lớn này có thể được tái sử dụng để nghiên cứu về tình hình thị trường, thậm chí dự báo xu hướng thị trường trong tương lai nhằm giúp doanh nghiệp, cơ quan hoạch định chính sách tham khảo để ra quyết định chính xác hơn.

Tuy nhiên, theo Nghị định 13/2023/NĐ-CP, doanh nghiệp không được tự tái sử dụng dữ liệu cá nhân bởi 3 lý do. 

Thứ nhất, theo Khoản 10 Điều 2, doanh nghiệp xử lý dữ liệu cá nhân là bên thực hiện xử lý dữ liệu theo đúng thỏa thuận với doanh nghiệp kiểm soát dữ liệu cá nhân. Trong quan hệ pháp luật này, chỉ doanh nghiệp kiểm soát dữ liệu cá nhân có quyền quyết định mục đích xử lý dữ liệu cá nhân.

Thứ hai, theo Khoản 3, Điều 3, dữ liệu cá nhân chỉ được xử lý đúng mục đích mà doanh nghiệp kiểm soát dữ liệu cá nhân đã tuyên bố khi lấy sự đồng ý của chủ thể dữ liệu cá nhân.

Thứ ba, khi doanh nghiệp muốn sử dụng dữ liệu cá nhân cho mục đích của mình nghĩa là đã trở thành bên quyết định mục đích xử lý dữ liệu. Như vậy, doanh nghiệp xử lý dữ liệu trở thành doanh nghiệp kiểm soát dữ liệu và thực thi các nghĩa vụ của bên kiểm soát dữ liệu: trước khi xử lý dữ liệu, phải lấy sự đồng ý của chủ thể dữ liệu và sau đó, bảo đảm các quyền khác của chủ thể dữ liệu cá nhân.

Tuy nhiên, với sự phát triển nhanh chóng của công nghệ số gắn với hoạt động kinh tế, việc lấy sự đồng ý của từng chủ thể dữ liệu cá nhân trong trường hợp tái sử dụng dữ liệu rõ ràng làm giảm tốc độ phát triển của doanh nghiệp và của nền kinh tế. Do đó, cơ quan hoạch định chính sách nên cân nhắc bổ sung quy định về xử lý dữ liệu cá nhân hợp pháp và nguyên tắc chính đáng trong hoạt động xử lý dữ liệu cá nhân. Cụ thể, doanh nghiệp xử lý dữ liệu cá nhân tái sử dụng dữ liệu cho mục đích chính đáng trong tương quan với lợi ích chính đáng, hợp pháp của chủ thể dữ liệu nên được xem xét là hành vi hợp pháp. Để bảo vệ lợi ích chính đáng, hợp pháp của chủ thể dữ liệu, bên tái sử dụng dữ liệu cần áp dụng các tiêu chuẩn bảo mật tương thích như mã hóa (encryption), khử nhận dạng (pseudonymisation).

Nhìn ra thế giới, cơ quan bảo vệ dữ liệu cá nhân của Pháp cho phép doanh nghiệp xử lý dữ liệu cá nhân được tái sử dụng dữ liệu vào mục đích kinh doanh của mình khi đáp ứng các điều kiện như sau: được sự cho phép của bên kiểm soát dữ liệu cá nhân, mục đích mới phải tương thích với mục đích ban đầu của bên kiểm soát dữ liệu và thực hiện thông báo đến chủ thể dữ liệu cá nhân. 

Nghị định 13/2023/NĐ-CP ra đời là tín hiệu đáng mừng cho hoạt động bảo vệ dữ liệu cá nhân tại Việt Nam. Tuy nhiên, vẫn cần tiếp tục giải bài toán tìm sự cân bằng giữa bảo vệ dữ liệu cá nhân và tận dụng cơ hội mà dữ liệu cá nhân mang lại để phát triển kinh tế, xã hội. Trước mắt, các văn bản hướng dẫn Nghị định này cần cân nhắc yêu cầu này. Dài hạn hơn, quá trình soạn thảo Luật Bảo vệ dữ liệu cá nhân mà Chính phủ đang đề xuất cần được đẩy nhanh tiến độ lẫn đánh giá tác động kỹ lưỡng chi phí kinh doanh của doanh nghiệp khi thực hiện các yêu cầu của Nghị định 13/2023/NĐ-CP.

Theo Đại biểu Nhân dân