1. Mở đầu
Theo Wikipedia định nghĩa bảo vệ dữ liệu cá nhân khởi đầu dùng để chỉ việc bảo vệ dữ liệu có liên quan đến cá nhân trước sự lạm dụng. Trong vùng nói tiếng Anh người ta gọi đó data privacy; theo luật lệ Châu Âu, thì được gọi là data protection.
Ngày nay, mục đích của việc bảo vệ thông tin, dữ liệu là để bảo vệ thông tin của từng cá nhân thông qua việc sử dụng thông tin, dữ liệu liên quan đến họ. Bảo vệ dữ liệu cá nhân ủng hộ ý tưởng là về nguyên tắc mỗi người đều có thể tự quyết định là người nào, khi nào và dữ liệu cá nhân nào của mình được phép cho người khác xem. Bảo vệ dữ liệu cá nhân muốn ngăn ngừa cái gọi là “con người bằng kính”.
Với xu hướng phát triển một số công nghệ lớn trên thế giới như: điện toán đám mây (cloud computing), dữ liệu lớn (big data), Internet kết nối vạn vật (Internet of Things), các công nghệ kỹ thuật số khác... thì việc thu thập, lưu trữ, chuyển giao và phân tích dữ liệu cá nhân ngày càng đơn giản hơn. Vì vậy, cả cơ quan nhà nước và các tổ chức tư nhân đều quan tâm đến tầm quan trọng của việc bảo vệ các thông tin, dữ liệu có liên quan đến cá nhân. Cơ quan an ninh quốc gia muốn cải tiến việc đấu tranh chống tội phạm, thì phải điều tra đặc tính cá nhân (racial profiling) và giám sát viễn thông, cơ quan tài chính quan tâm đến giao dịch ngân hàng thì phải khám phá vi phạm về thuế. Doanh nghiệp hy vọng tăng năng suất từ việc giám sát nhân viên và hy vọng việc định hình khách hàng sẽ hỗ trợ cho các công việc tiếp thị. Đối lập với sự phát triển này là sự thờ ơ của đại bộ phận người dân mà đối với họ, việc bảo vệ dữ liệu cá nhân là không cần thiết hay chỉ có ít tầm quan trọng trên thực tế.
Bài viết này sẽ giới thiệu những quy định về bảo vệ dữ liệu cá nhân trong Luật Bảo vệ dữ liệu cá nhân năm 2007 của Estonia và so sánh với các quy định của Việt Nam.
2. Tổng quan các quy định về bảo vệ dữ liệu cá nhân trong Luật Bảo vệ dữ liệu cá nhân của Estonia
Estonia có các Luật Bảo vệ dữ liệu cá nhân năm 2003 và 2007. Luật Bảo vệ dữ liệu cá nhân của Estonia quy định dữ liệu cá nhân là thông tin liên quan đến một người được xác định hoặc một người có thể xác định bằng cách tham chiếu đến các đặc điểm thể chất, tinh thần, sinh lý, kinh tế, văn hóa hoặc xã hội, các mối quan hệ và hiệp hội của người đó. Luật cũng quy định dữ liệu cá nhân riêng tư bao gồm dữ liệu được quy định trong Luật Thông tin công cộng năm 2001 của Estonia, ngoại trừ dữ liệu tiết lộ tính cách, khả năng hoặc đặc điểm khác của một người. Dữ liệu cá nhân nhạy cảm bao gồm các dữ liệu được quy định trong Luật Thông tin công cộng năm 2001 của Estonia; ngoài ra, bổ sung thêm dữ liệu liên quan đến tình trạng khuyết tật, dữ liệu liên quan đến thông tin di truyền, dữ liệu liên quan đến thành viên trong tổ chức công đoàn.
Mục đích của Luật Bảo vệ dữ liệu cá nhân của Estonia là bảo vệ các quyền cơ bản và quyền tự do của cá nhân đó trong quá trình xử lý dữ liệu, quan trọng nhất là quyền bất khả xâm phạm đời tư.
Phạm vi quy định của Luật: các điều kiện và quy trình xử lý dữ liệu cá nhân; quy trình giám sát nhà nước khi xử lý dữ liệu cá nhân; trách nhiệm đối với việc vi phạm các yêu cầu về xử lý dữ liệu cá nhân.
Luật quy định dữ liệu cá nhân là bất kỳ dữ liệu nào liên quan đến cá nhân đó được xác định hoặc nhận dạng, bất kể ở một định dạng tài liệu nào. Luật quy định rõ dữ liệu cá nhân nhạy cảm là dữ liệu tiết lộ quan điểm chính trị hoặc niềm tin tôn giáo hoặc triết học, ngoại trừ dữ liệu liên quan đến một tổ chức có tư cách pháp lý độc lập, có thể tham gia vào các hoạt động kinh tế, chính trị, xã hội... theo quy định của pháp luật; dữ liệu tiết lộ nguồn gốc chủng tộc hoặc dân tộc; dữ liệu liên quan đến tình trạng sức khỏe hoặc chức năng sinh lý của một người; thông tin thu thập được trong quá trình tố tụng hình sự hoặc trong các trường hợp tố tụng khác để xác định một hành vi phạm tội trước phiên tòa công khai hoặc trước khi có phán quyết hoặc nếu điều này là cần thiết để bảo vệ đạo đức xã hội hoặc gia đình và cuộc sống cá nhân của con người hoặc khi cần bảo vệ các quyền lợi của trẻ vị thành niên, nạn nhân, nhân chứng hoặc thẩm phán.
3. Quy định về bảo vệ dữ liệu cá nhân của Việt Nam
Mặc dù đã được ghi nhận từ lâu, song những quy định pháp luật cụ thể về bảo vệ dữ liệu cá nhân vẫn còn đang thiếu vắng ở Việt Nam. Trong bối cảnh của thời đại thông tin ngày nay, vấn đề này càng trở nên cấp thiết. Hiện nay, vấn đề bảo vệ dữ liệu cá nhân được quy định rải rác trong các văn bản quy phạm pháp luật với mức độ khác nhau ở Hiến pháp, Luật, Nghị định và Thông tư.
Trên thực tế, hệ thống pháp luật Việt Nam đã ghi nhận vấn đề bảo vệ bí mật đời sống riêng tư và bí mật cá nhân từ bản Hiến pháp năm 1959, 1980, 1992 và mới nhất là Hiến pháp năm 2013. Việc bảo vệ bí mật đời sống riêng tư và bí mật thông tin của cá nhân đã được Nhà nước Việt Nam công nhận và bảo vệ thông qua quy định về bảo đảm an toàn và bí mật đối với thư tín, điện thoại, điện tín của công dân. Trong đó, Hiến pháp năm 2013 đã mở rộng một cách toàn diện phạm vi quy định quyền được bảo vệ bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình.
Các văn bản quy định về bảo vệ dữ liệu cá nhân của Việt Nam được sử dụng để so sánh với Estonia, bao gồm: Luật Công nghệ thông tin năm 2006; Luật An toàn thông tin mạng năm 2015; Nghị định số 64/2007/NĐ-CP của Chính phủ ngày 10/4/2007 về ứng dụng công nghệ thông tin trong các cơ quan nhà nước; Thông tư số 25/2010/TT-BTTTT ngày 15/11/2010 của Bộ trưởng Bộ Thông tin và Truyền thông quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước;
4. So sánh tổng quát các quy định về bảo vệ dữ liệu cá nhân của Việt Nam và Luật Bảo vệ dữ liệu cá nhân năm 2007 của Estonia
|
STT
|
Luật Bảo vệ dữ liệu cá nhân Estonia năm 2007
|
Việt Nam
|
Ghi chú
|
-
|
Quy định dữ liệu cá nhân là bất kỳ dữ liệu nào liên quan đến thể nhân được xác định hoặc nhận dạng, bất kể định dạng tài liệu. Luật chỉ quy định rõ dữ liệu nào là dữ liệu cá nhân nhạy cảm. Luật không quy định dữ liệu nào là dữ liệu cá nhân riêng tư như Luật năm 2003:
Estonia quy định dữ liệu cá nhân là dữ liệu xác định hoặc nhận dạng một cá nhân ở bất kể định dạng tài liệu nào
|
- Nghị định số 64/2007/NĐ-CP: Khoản 5, Điều 3.
- Luật An toàn thông tin mạng năm 2015: Khoản 15, Điều 3
à Việt Nam quy định thông tin cá nhân gắn với việc xác định danh tính cá nhân, và không có quy định cụ thể thông tin cá nhân nào là thông tin cá nhân nhạy cảm như Estonia
|
|
-
|
Quy định cụ thể các hành động xử lý dữ liệu cá nhân:
Estonia có quy định chung về các hành động xử lý dữ liệu cá nhân
|
- Luật An toàn thông tin mạng năm 2015: Điều 17, 18.
- Luật Công nghệ thông tin năm 2006: Điều 21, 22.
- Thông tư số 25/2010/TT-BTTTT: Điều 5, 6, 7, 8, 13
è Việt Nam không có quy định chung về các hoạt động xử lý thông tin cá nhân mà quy định cụ thể các hoạt động xử lý thông tin cá nhân trong các điều của Luật, Thông tư bao gồm quyền của chủ thể thông tin cá nhân và quyền và trách nhiệm của tổ chức, cá nhân liên quan đến hoạt động xử lý thông tin cá nhân
|
|
-
|
Quy định các nguyên tắc xử lý dữ liệu cá nhân mà người xử lý chính và người xử lý được ủy quyền phải tuân theo:
- Estonia quy định các nguyên tắc xử lý dữ liệu cá nhân trong đó có nguyên tắc bảo mật để bảo vệ dữ liệu cá nhân.
- Estonia quy định về nguyên tắc sử dụng hạn chế “dữ liệu cá nhân chỉ được sử dụng cho các mục đích khác với sự đồng ý của chủ thể dữ liệu hoặc được sự cho phép của cơ quan có thẩn quyền”.
|
Luật An toàn thông tin mạng: Điều 16
à Việt Nam chỉ quy định nguyên tắc bảo vệ thông tin cá nhân. Trong nguyên tắc bảo vệ thông tin cá nhân, Việt Nam chỉ quy định “cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật”.
|
|
-
|
Quy định về bên xử lý dữ liệu cá nhân, các nhiệm vụ của bên xử lý dữ liệu cá nhân, việc ủy quyền xử lý dữ liệu cá nhân:
Estonia quy định bên xử lý dữ liệu cá nhân bao gồm cả cơ quan, tổ chức, cá nhân. Bên xử lý dữ liệu cá nhân xác định: mục đích xử lý dữ liệu; các loại dữ liệu cần xử lý; quy trình và cách thức xử lý dữ liệu; truyền dữ liệu cho người thứ ba. Bên xử lý dữ liệu cá nhân chính có thể ủy quyền xử lý dữ liệu cho Bên xử lý dữ liệu cá nhân được ủy quyền.
|
Luật An toàn thông tin mạng: Điều 20
à Việt Nam chỉ quy định trách nhiệm bảo vệ thông tin cá nhân của cơ quan quản lý nhà nước
|
|
-
|
Quy định về chủ thể dữ liệu (người có dữ liệu cá nhân được xử lý), bên thứ ba (Third person):
Estonia quy định chủ thể dữ liệu là một người có dữ liệu cá nhân được xử lý; tức là ngoài việc xác định danh tính còn có hoạt động xử lý. Ngoài ra, Estonia quy định cả bên thứ ba bao gồm cơ quan, tổ chức, cá nhân
|
Luật An toàn thông tin mạng năm 2015: khoản 16, Điều 3
à Việt Nam quy định chủ thể thông tin cá nhân là người được xác định từ thông tin cá nhân mới liên quan đến việc xác định danh tính
|
|
-
|
Quy định về quyền xử lý dữ liệu cá nhân:
Estonia quy định việc xử lý dữ liệu cá nhân chỉ được phép với sự đồng ý của chủ thể dữ liệu có. Phạm vi quy định của Estonia rộng hơn Việt Nam.
|
Luật An toàn thông tin mạng: Điều 17, 18
è Việt Nam quy định việc thu thập thông tin cá nhân; sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu; cung cấp, chia sẻ, phát tán thông tin cá nhân cho bên thứ ba sau khi có sự đồng ý của chủ thể thông tin cá nhân
|
|
-
|
Quy định về việc tiết lộ dữ liệu cá nhân của chủ thể dữ liệu, tiết lộ dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu, quyền của chủ thể dữ liệu yêu cầu chấm dứt tiết lộ dữ liệu cá nhân, việc truyền đạt dữ liệu cá nhân cho người thứ ba:
Estonia quy định việc tiết lộ thông tin cá nhân trên phương tiện truyền thông báo chí mà không có sự đồng ý của chủ thể dữ liệu, mang lại lợi ích công cộng và phù hợp với nguyên tắc đạo đức báo chí.
|
+Việt Nam chưa có quy định việc tiết lộ thông tin cá nhân mà chưa có sự đồng ý của chủ thể
|
|
-
|
Quy định về việc chấp thuận của chủ thể dữ liệu đối với việc xử lý dữ liệu cá nhân bao gồm phạm vi của sự đồng ý, định dạng đưa ra sự đồng ý, việc cung cấp thông tin của bên xử lý dữ liệu cá nhân cho chủ thể dữ liệu, quyền của chủ thể dữ liệu được giải thích trong trường hợp xử lý dữ liệu cá nhân nhạy cảm, quyền của chủ thể dữ liệu trong việc cấm xử lý dữ liệu liên quan đến họ nhằm mục đích nghiên cứu thói quen tiêu dùng hoặc tiếp thị trực tiếp, thời hạn hiệu lực sự đồng ý của chủ thể dữ liệu, việc rút lại sự đồng ý:
è Estonia quy định sự đồng ý của chủ thể dữ liệu phải xác định rõ dữ liệu được phép xử lý, mục đích xử lý dữ liệu và người được phép truyền tải dữ liệu, các điều kiện để truyền dữ liệu cho người thứ ba và các quyền của chủ thể dữ liệu liên quan đến việc xử lý thêm dữ liệu cá nhân của mình và sự đồng ý sẽ được đưa ra ở một định dạng có thể được sao chép bằng văn bản.
Việt Nam chưa có quy định cụ thể phạm vi sự đồng ý của chủ thể thông tin cá nhân
è Estonia quy định chủ thể dữ liệu phải được giải thích khi xử lý dữ liệu cá nhân nhạy cảm.
è Estonia quy định quyền của chủ thể dữ liệu trong việc cấm xử lý dữ liệu liên quan đến họ nhằm mục đích nghiên cứu thói quen tiêu dùng hoặc tiếp thị trực tiếp và truyền dữ liệu cho người thứ ba có ý định sử dụng dữ liệu đó nghiên cứu thói quen tiêu dùng hoặc tiếp thị trực tiếp.
è Estonia quy định thời gian có hiệu lực đối với sự đồng ý của chủ thể dữ liệu.
|
Việt Nam chưa có quy định cụ thể phạm vi sự đồng ý của chủ thể thông tin cá nhân
Việt Nam chưa có quy định về thông tin cá nhân nhạy cảm
Việt Nam chưa có quy định chủ thể thông tin cá nhân có quyền cấm sử dụng thông tin cá nhân nhằm mục đích nghiên cứu thói quen tiêu dùng hoặc tiếp thị trực tiếp
Việt Nam chưa có quy định thời gian có hiệu lực đối với sự đồng ý của chủ thể thông tin cá nhân.
|
|
-
|
Quy định về việc xử lý dữ liệu cá nhân sau cái chết của chủ thể dữ liệu
|
Việt Nam chưa có quy định về việc xử lý thông tin cá nhân sau khi chủ thể thông tin cá nhân qua đời
|
|
-
|
Quy định về việc xử lý dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu bao gồm các trường hợp xử lý dữ liệu cá nhân được cho phép, các trường hợp truyền dữ liệu cá nhân hoặc cấp quyền truy cập vào dữ liệu cá nhân cho người thứ ba với mục đích xử lý được phép, trường hợp sử dụng thiết bị giám sát truyền tải hoặc ghi dữ liệu cá nhân
|
Việt Nam chưa có quy định cụ thể về các trường hợp xử lý thông tin cá nhân, truyền thông tin cá nhân cho người thứ ba, sử dụng các thiết bị giám sát, truyền tải thông tin cá nhân mà không có sự đồng ý của chủ thể thông tin cá nhân
|
|
-
|
Quy định về việc thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân bao gồm việc thông báo của bên xử lý dữ liệu sau khi thu thập hoặc sửa đổi dữ liệu cá nhân hoặc truyền dữ liệu cho người thứ ba, các trường hợp chủ thể dữ liệu không cần phải được thông báo về việc xử lý dữ liệu cá nhân của mình:
Estonia quy định các trường hợp chủ thể dữ liệu không cần phải được thông báo về việc xử lý dữ liệu cá nhân của mình
|
Việt Nam chưa có quy định các trường hợp chủ thể thông tin cá nhân không cần phải được thông báo về việc xử lý thông tin cá nhân của mình
|
|
-
|
Quy định về việc xử lý dữ liệu cá nhân cho nghiên cứu khoa học hoặc nhu cầu thống kê chính thức
|
Việt Nam chưa có quy định về việc xử lý thông tin cá nhân cho nghiên cứu khoa học hoặc nhu cầu thống kê chính thức
|
|
-
|
Quy định về quyết định tự động bao gồm các trường hợp ra quyết định bởi hệ thống xử lý dữ liệu mà không có sự tham gia của chủ thể dữ liệu, quyền của chủ thể dữ liệu được thông báo trước khi đưa ra quyết định tự động
|
Việt nam chưa có quy định về các trường hợp ra quyết định tự động bởi hệ thống xử lý dữ liệu mà không có sự tham gia của chủ thể thông tin cá nhân
|
|
-
|
Quy định về việc chuyển dữ liệu cá nhân ra nước ngoài khi đủ mức độ bảo vệ dữ liệu, giữa các nước trong Liên minh châu Âu, các trường hợp dữ liệu cá nhân được chuyển sang nước ngoài không đáp ứng các điều kiện quy định có sự cho phép của Thanh tra bảo vệ dữ liệu và không có sự cho phép của Thanh tra bảo vệ dữ liệu
|
Việt Nam chưa có quy định về việc chuyển thông tin cá nhân ra nước ngoài
|
|
-
|
Quy định quyền của các chủ thể dữ liệu có được thông tin và dữ liệu cá nhân liên quan đến họ bao gồm các thông tin mà bên xử lý dữ liệu cá nhân sẽ truyền đạt đến chủ thể dữ liệu, quyền lấy dữ liệu cá nhân liên quan đến mình, thời hạn cung cấp thông tin của bên xử lý dữ liệu cá nhân, quyền của người thừa kế và những người thân của chủ thể dữ liệu sau khi chủ thể dữ liệu chết
|
Việt Nam chưa có quy định quyền của người thừa kế và những người thân của chủ thể thông tin cá nhân sau khi chủ thể thông tin cá nhân chết
|
|
5. Kết luận
Nguyên tắc của bảo vệ dữ liệu cá nhân là mỗi người đều có thể tự quyết định là người nào, khi nào và dữ liệu cá nhân nào của mình được phép cho người khác xem. Theo quy định của Luật An ninh mạng, cá nhân được bảo vệ khi tham gia hoạt động trên không gian mạng trước các thông tin xấu, độc, xâm phạm tới danh dự, uy tín, nhân phẩm, các hoạt động tấn công mạng, gián điệp mạng, khủng bố mạng hoặc các hành vi khác gây ảnh hưởng tới quyền và lợi ích hợp pháp của mình. Tuy nhiên với thời đại công nghệ số và mạng xã hội đang ngày càng phổ biến rộng rãi thì việc bảo mật thông tin cá nhân đang ngày càng được quan tâm.
Qua việc so sánh các quy định về bảo vệ thông tin cá nhân của Estonia với các quy định tại Việt Nam, ta nhận thấy Luật Bảo vệ dữ liệu cá nhân của Estonia quy định cụ thể và chi tiết hơn những nội dung tại bảng so sánh trên để Việt Nam có thể tham khảo các nội dung quy định về:
- Thông tin cá nhân nhạy cảm, hoạt động xử lý dữ liệu cá nhân;
- Nguyên tắc sử dụng hạn chế dữ liệu cá nhân, tiết lộ thông tin cá nhân mà không có sử đồng ý của chủ thể, chuyển thông tin cá nhân ra nước ngoài... trong việc thúc đẩy chia sẻ dữ liệu; bảo vệ thông tin cá nhân; xác thực điện tử cá nhân, tổ chức, đầu tư ứng dụng công nghệ thông tin... xây dựng chính phủ điện tử, hướng tới Chính phủ số và kinh tế số.
Lê Thị Thùy Trang
Tài liệu tham khảo:
1. Personal Data Protection Act 2003 - Estonia;
2. Personal Data Protection Act 2007 - Estonia;
3. Luật Công nghệ thông tin năm 2006;
4. Luật An toàn thông tin mạng năm 2015;
5. Nghị định số 64/2007/NĐ-CP của Chính phủ ngày 10/4/2007 về ứng dụng công nghệ thông tin trong các cơ quan nhà nước;
6. Thông tư số 25/2010/TT-BTTTT ngày 15/11/2010 của Bộ trưởng Bộ TTTT quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước;
7. https://vi.wikipedia.org/wiki/ Bảo_vệ_dữ_liệu_cá_nhân.