I. Giới thiệu
Bảo vệ thông tin cá nhân khi tham gia giao dịch trên môi trường điện tử hiện nay không còn là một chủ đề mới. Kể từ những năm 1980, Tổ chức Hợp tác và Phát triển kinh tế OECD (Organization for Economic Co-operation and Development) đã thông qua Hướng dẫn Bảo vệ quyền riêng tư và luồng dữ liệu cá nhân xuyên biên giới (sau đây gọi tắt là Hướng dẫn 1980). Hướng dẫn này ra đời nhằm giải quyết các mối quan tâm về bảo vệ thông tin cá nhân được phát sinh từ việc sử dụng dữ liệu cá nhân và các rủi ro đối với nền kinh tế toàn cầu từ những hạn chế từ luồng dữ liệu cá nhân xuyên biên giới.
Khái niệm về thông tin cá nhân bao gồm những thông tin cho phép xác định chính xác danh tính của một người dân cụ thể cũng như tình trạng pháp luật của họ. Việc bảo đảm an toàn, an ninh thông tin đặc biệt là thông tin cá nhân khi tham gia giao dịch trên môi trường điện tử là một trong những yếu tố quan trọng trong xây dựng chính phủ điện tử. Tổ chức Hợp tác và Phát triển kinh tế OECD đã xây dựng những nguyên tắc cơ bản về bảo vệ thông tin cá nhân sẽ được trình bày cụ thể trong bài viết dưới đây.
II. Bối cảnh tổng quan
Trong ba thập kỷ (từ năm 1980 đến năm 2011), dữ liệu cá nhân đóng vai trò ngày càng quan trọng trong nền kinh tế, xã hội và cuộc sống hàng ngày. Những cải tiến trong ngành công nghệ thông tin và truyền thông đã ảnh hưởng nhiều đến các hoạt động nghiệp vụ, sự lãnh đạo của chính phủ và các hoạt động của công dân. Những cải tiến mới liên quan đến dữ liệu cá nhân mang lại lợi ích lớn cho xã hội.
Luồng dữ liệu cá nhân đang được thu thập, sử dụng và lưu trữ là rất lớn và ngày càng phát triển mạnh. Các mạng thông tin truyền thông hiện đại liên tục hỗ trợ khả năng tiếp cận luồng dữ liệu này. Việc sử dụng dữ liệu cá nhân có tiềm năng sẽ tăng lên rất nhiều từ kết quả của quá trình phân tích, nhằm cung cấp những hiểu biết sâu sắc về các sở thích và hoạt động của cá nhân.
Trong những năm gần đây, một số sáng kiến được tạo ra để giải quyết những vấn đề mới về rủi ro, bảo mật trong luồng dữ liệu cá nhân xuyên biên giới, bao gồm hệ thống ràng buộc của Liên minh Châu Âu (Binding Corporate Rules - BCRs), cuộc thảo luận toàn cầu về các yếu tố được thừa nhận về trách nhiệm cá nhân và hệ thống các quy tắc về sự riêng tư xuyên biên giới của Châu Á Thái Bình Dương (Asia Pacific Economic Cooperation’s Cross-Border Privacy Rules System - APEC CBPR). Tại OECD, sự hợp tác xuyên biên giới giữa các cơ quan thực thi quyền riêng tư đã được ưu tiên, dẫn đến việc thông qua Khuyến nghị về hợp tác xuyên biên giới năm 2007 trong việc thực thi Luật Bảo vệ quyền riêng tư (Khuyến nghị năm 2007 [OECD năm 2007]).
OECD là diễn đàn duy nhất mà các chính phủ cùng làm việc để giải quyết những thách thức về kinh tế, xã hội, môi trường. OECD cũng đi đầu trong các nỗ lực để hiểu và giúp các chính phủ đáp ứng với những phát triển và mối quan tâm mới về nền kinh tế thông tin và những thách thức về số lượng dân số đang già đi. Tổ chức này cung cấp các bối cảnh cho các chính phủ có thể so sánh các kinh nghiệm quản lý về các chính sách, tìm kiếm các giải pháp để giải quyết các vấn đề chung.
Các thành viên của OECD bao gồm các nước như: Úc, Áo, Bỉ, Canada, Chile, Cộng Hòa Séc, Đan Mạch, Estonia, Phần Lan, Pháp, Đức, Hy Lạp, Hungary, Iceland, Israel, Ý, Nhật Bản, Hàn Quốc, Luxembourg, Mexico, the Netherlands, New Zealand, Na Uy, Ba Lan, Bồ Đào Nha, Cộng Hòa Slovak, Slovenia, Tây Ban Nha, Thụy Điển, Thụy Sĩ, Thổ Nhĩ Kỳ, Anh Quốc và Hoa Kỳ. Ủy ban của Cộng đồng Châu Âu cũng tham gia vào các công việc của OECD.
OECD đóng vai trò chính trong việc định hình và xác định cách thức bảo mật trên toàn cầu. Các hướng dẫn của OECD về Bảo vệ quyền riêng tư và luồng dữ liệu cá nhân xuyên biên giới là nghiên cứu đầu tiên của nguyên tắc bảo vệ quyền riêng tư giữa các quốc gia.
Hướng dẫn 1980 đáp ứng 2 xu hướng liên quan: nhận thức được tầm quan trọng của thông tin (bao gồm thông tin cá nhân trong nền kinh tế toàn cầu) và mối quan tâm chính về những tác động có thể xảy ra đối với quyền riêng tư từ việc xử lý thông tin cá nhân tự động được tạo ra bởi thế hệ công nghệ máy tính đầu tiên. Hướng dẫn 1980 là một hướng dẫn quan trọng và là tài liệu tham khảo cho các chính phủ và các nhà hoạch định chính sách. Tuy nhiên, thế giới đã thay đổi nhiều trong 30 năm qua kể từ khi Hướng dẫn được thông qua, nó thúc đẩy OECD ra mắt một đánh giá hiệu quả trong một môi trường mới.
Các công nghệ độc lập trong những năm 1970 đã trở thành một cơ sở hạ tầng toàn cầu được tích hợp khắp mọi nơi. Các luồng dữ liệu cá nhân xuyên biên giới làm nổi bật nhu cầu của các cơ quan thực thi quyền riêng tư trên toàn thế giới để phát triển cách tiếp cận về bảo vệ quyền riêng tư. Kể từ khi OECD xuất bản Hướng dẫn về bảo vệ quyền riêng tư và luồng dữ liệu cá nhân xuyên biên giới cách đây hơn 30 năm thì hướng dẫn này đã ảnh hưởng đến việc tạo ra sự cân bằng giữa việc sử dụng dữ liệu và bảo vệ sự riêng tư cá nhân. Mặc dù nguyên tắc của OECD năm 1980 không phải là sự phát triển nhanh nhất của các nguyên tắc thông tin công bằng, nhưng hướng dẫn này là sự thành công đặc biệt bởi vì phần lớn hướng dẫn được tạo ra từ một nhóm chuyên gia nổi tiếng quốc tế đại diện cho nhiều nền kinh tế lớn trên thế giới. Qua nhiều năm nay, hướng dẫn này đã trở thành nền tảng và là một thành phần cốt lõi để tạo ra các Luật quốc gia về bảo vệ thông tin và dữ liệu cá nhân trên khắp thế giới.
III. Các nguyên tắc cơ bản về bảo vệ thông tin cá nhân
NGUYÊN TẮC THỨ NHẤT: Nguyên tắc về trách nhiệm giải trình đối với việc thu thập, sử dụng hoặc tiết lộ thông tin cá nhân
Nguyên tắc này có trách nhiệm duy trì và bảo vệ thông tin cá nhân khi thông tin đang được kiểm soát. Để bảo đảm bảo mật thông tin cá nhân, OECD đã thiết lập các chính sách và các thủ tục để bảo đảm tuân thủ theo Luật Bảo vệ thông tin cá nhân và tài liệu điện tử (Personal Information Protection and Electronic Documents Act - PIPEDA). OECD sẽ chỉ định một người thuộc Ban Xử lý và kiểm soát hành chính chịu trách nhiệm bảo vệ thông tin cá nhân, người đó sẽ tuân thủ 10 nguyên tắc bảo mật của OECD.
NGUYÊN TẮC THỨ 2: Nguyên tắc về xác định mục đích để thu thập, sử dụng hoặc tiết lộ thông tin cá nhân
Trước hoặc trong khi thu thập thông tin về một cá nhân nào đó, OECD sẽ giải thích cách họ dự định sử dụng thông tin đó. Các thông tin về cá nhân sẽ được thu thập để phục vụ cho các mục đích sau và không được sử dụng cho bất kỳ mục đích nào khác:
- Để cung cấp các dịch vụ truyền thông tin liên lạc và các dịch vụ về khách hàng cho người nắm giữ các chính sách về bảo vệ thông tin cá nhân;
- Để giúp OECD hiểu rõ nhu cầu của khách hàng tốt hơn;
- Để phát triển, tăng cường, tiếp thị hoặc cung cấp sản phẩm và dịch vụ bảo vệ thông tin cá nhân;
- Để OECD bảo vệ các chính sách của cá nhân một cách thận trọng và thiết lập một mức chi phí hợp lý;
- Để cung cấp cho OECD những thông tin mà họ cần phải điều chỉnh một cách công bằng và nhanh chóng;
- Để đáp ứng các yêu cầu pháp lý và quy định của pháp luật về bảo vệ thông tin cá nhân.
NGUYÊN TẮC THỨ 3: Nguyên tắc về sự đồng ý cho việc thu thập, sử dụng hoặc tiết lộ thông tin cá nhân
OECD sẽ nhận được sự chấp thuận từ cá nhân nếu họ cần sử dụng thông tin của cá nhân đó cho bất kỳ mục đích nào khác và trước khi thu thập thông tin từ bên thứ ba. Tuy nhiên, trong một số trường hợp, thông tin cá nhân cần phải được thu thập, sử dụng hoặc tiết lộ mà không cần sự đồng ý của cá nhân đó, ví dụ các trường hợp về lý do pháp lý, y tế hoặc an ninh...
Luật Bảo vệ thông tin cá nhân và tài liệu điện tử thừa nhận rằng nguyên tắc về sự đồng ý cho việc thu thập, sử dụng hoặc tiết lộ thông tin cá nhân quan trọng trong việc thu thập thông tin để phát hiện và ngăn ngừa các gian lận hoặc hoạt động thực thi pháp luật. Nguyên tắc về sự đồng ý này có thể phù hợp hoặc không thể phù hợp đối với các cá nhân là trẻ vị thành niên, người bị bệnh nặng hoặc mất khả năng về trí tuệ.
Để có được sự đồng ý từ cá nhân, OECD sẽ cố gắng bảo đảm rằng cá nhân đó sẽ được thông báo về những mục đích thu thập thông tin để sử dụng hoặc tiết lộ.
NGUYÊN TẮC THỨ 4: Nguyên tắc về giới hạn thu thập thông tin cá nhân
OECD sẽ hạn chế việc thu thập thông tin cá nhân là những thông tin cần thiết để sử dụng cho các mục đích đã được xác định. Thông thường, đây là thông tin được yêu cầu để giúp OECD bảo vệ các chính sách của cá nhân một cách thận trọng và thiết lập một mức chi phí hợp lý. Trong những trường hợp nhất định, OECD cần thu thập thông tin để phục vụ việc điều chỉnh hoặc điều tra khiếu nại. OECD sẽ luôn thu thập thông tin cá nhân bằng các biện pháp công bằng và hợp pháp.
NGUYÊN TẮC THỨ 5: Nguyên tắc về giới hạn việc sử dụng, tiết lộ và duy trì thông tin cá nhân
Thông tin cá nhân sẽ không được sử dụng hoặc tiết lộ cho các mục đích khác ngoài mục đích thu thập, trừ khi có sự đồng ý của cá nhân đó hoặc theo yêu cầu của pháp luật. Thông tin cá nhân sẽ cần thiết giữ lại lâu dài để phục vụ các mục đích khác nhau.
Thông tin cá nhân có thể được tiết lộ cho các tổ chức sau:
- Một công ty bảo hiểm cung cấp các dịch vụ bảo hiểm rủi ro;
- Một cá nhân khác hoặc một tổ chức khác cung cấp các dịch vụ hỗ trợ yêu cầu bồi thường bao gồm người điều tra yêu cầu bồi thường bảo hiểm được cấp phép hoặc chuyên gia pháp y;
- Chuyên gia về y tế hoặc phục hồi chức năng đáp ứng các quyền và nghĩa vụ theo các quy định của pháp luật về bảo vệ thông tin cá nhân;
- Cơ quan công quyền hoặc đại diện cơ quan công quyền nếu thông tin được yêu cầu thu thập phải tuân theo các quy chế hoặc quy định về luật liên bang;
- Một cơ quan thực thi pháp luật, nơi mà chủ sở hữu đồng ý việc tiết lộ hoặc công bố thông tin khi pháp luật yêu cầu hoặc trong tình huống khẩn cấp.
OECD chỉ lưu trữ thông tin cá nhân trong trường hợp cần thiết hoặc phục vụ các mục đích đã được xác định hoặc theo yêu cầu của pháp luật. Các thông tin cá nhân này sẽ được hủy, xóa hoặc ẩn danh khi không còn cần thiết.
NGUYÊN TẮC THỨ 6: Nguyên tắc về việc lưu giữ thông tin cá nhân chính xác
Nguyên tắc này bảo đảm rằng các thông tin cá nhân được lưu giữ một cách chính xác, đầy đủ và được cập nhật cho các mục đích thu thập.
Nếu một cá nhân có bất kỳ câu hỏi nào về tính chính xác và đầy đủ về thông tin cá nhân của mình mà OECD đang thu thập hoặc lưu trữ thì liên hệ với nhân viên bảo mật thông tin.
NGUYÊN TẮC THỨ 7: Nguyên tắc về bảo vệ thông tin cá nhân
Các thông tin về cá nhân được thu thập phải được giữ an toàn trước những hành vi vi phạm tiềm ẩn. Cụ thể, OECD có các biện pháp bảo mật một cách nghiêm ngặt nhằm bảo vệ thông tin cá nhân chống lại các rủi ro như mất mát, trộm cắp, tấn công máy tính, truy cập trái phép, tiết lộ, sao chép, sử dụng, sửa đổi hoặc hủy bỏ. Thông tin cá nhân sẽ được bảo mật theo một định dạng được quy định, chúng tôi cũng bảo vệ thông tin cá nhân mà chúng tôi tiết lộ cho bên thứ ba bằng các thỏa thuận hợp đồng quy định về tính bí mật của thông tin và mục đích sử dụng.
NGUYÊN TẮC THỨ 8: Nguyên tắc về việc mở, tiết lộ thông tin cá nhân
OECD sẽ cung cấp thông tin cụ thể về các chính sách và thông lệ của họ liên quan đến việc quản lý thông tin cá nhân theo yêu cầu. OECD bảo đảm việc mở, tiết lộ thông tin cá nhân bằng cách cung cấp các thông tin sau đây:
- Các thông tin cần thiết và địa chỉ của nhân viên bảo mật thông tin cá nhân;
- Tên của cá nhân mà yêu cầu hoặc khiếu nại có thể được chuyển tiếp;
- Các phương tiện để truy cập thông tin cá nhân do người có quyền nắm giữ;
- Mô tả loại thông tin cá nhân do người có quyền nắm giữ, bao gồm một tài khoản chung để sử dụng thông tin.
Thông tin của cá nhân phải được thông báo cho cá nhân đó về những người nào đang thu thập thông tin của họ.
NGUYÊN TẮC THỨ 9: Nguyên tắc về quyền tiếp cận thông tin cá nhân
Nguyên tắc này còn được gọi là quyền “tự do thông tin” (freedom of information) là một trong những quyền cơ bản của con người. Cá nhân có quyền tự do ngôn luận, bày tỏ ý kiến và tự do bảo lưu quan điểm mà không bị can thiệp; cũng như tự do tìm kiếm, tiếp nhận và truyền bá các thông tin bằng bất kỳ phương tiện truyền thông nào và không có giới hạn về biên giới.
Cá nhân đều có quyền giữ quan điểm của mình mà không bị ai can thiệp, có quyền tự do ngôn luận, quyền này bao gồm cả quyền tự do tìm kiếm, nhận và truyền đạt mọi loại tin tức, ý kiến, không phân biệt ranh giới, hình thức tuyên truyền miệng hoặc bản viết, in hoặc bằng hình thức nghệ thuật hoặc thông qua mọi phương tiện đại chúng khác tùy theo sự lựa chọn của cá nhân đó.
NGUYÊN TẮC THỨ 10: Nguyên tắc về thách thức tuân thủ
Nguyên tắc này có nghĩa rằng nếu cá nhân nào cảm thấy bất kỳ cơ quan thu thập thông tin cá nhân không tuân thủ các nguyên tắc được ban hành trong chính sách bảo mật thông tin thì cá nhân đó có thể liên hệ với nhân viên bảo mật bằng văn bản. Các thông tin cá nhân được thu thập, duy trì, sửa đổi, tiết lộ phải bảo đảm tuân thủ theo những quy định của pháp luật. Nhân viên bảo mật thông tin hoặc người được chỉ định bảo mật thông tin nhận được tất cả các yêu cầu và khiếu nại phải bảo đảm đáp ứng đầy đủ các quy định về bảo mật thông tin.
IV. Kết luận
Trước đây, khái niệm về bảo vệ thông tin cá nhân vẫn còn là một vấn đề mới. Tuy nhiên, cùng với sự phát triển mạnh mẽ của công nghệ thông tin và giao dịch điện tử đã khiến cho vấn đề bảo vệ thông tin cá nhân trở thành một chủ đề lớn, thu hút sự quan tâm rộng rãi của chính phủ các nước. Tổ chức OECD đã tiên phong trong việc nghiên cứu các nguyên tắc cơ bản về bảo vệ thông tin cá nhân. Những nguyên tắc cơ bản của hướng dẫn này đã trở thành nền tảng và là một thành phần cốt lõi cho hơn 40 quốc gia để ban hành các quy định pháp luật về bảo vệ thông tin, dữ liệu cá nhân trên khắp thế giới. Ở Việt Nam hiện nay cũng đã có quy định của pháp luật về bảo vệ thông tin trên môi trường mạng; trong đó nội dung bảo vệ thông tin cá nhân đã được quy định trong Luật An toàn thông tin mạng. Việc xác định phạm vi thông tin cần bảo vệ tạo điều kiện thuận tiện cho triển khai thực hiện các quy định của pháp luật. Nội dung điều chỉnh vấn đề bảo vệ thông tin cá nhân trên môi trường mạng đã được quy định ngày càng rõ hơn từ cấp độ luật đến các văn bản dưới luật, chẳng hạn như:
- Luật Giao dịch điện tử số 51/2005/QH11 ngày 29/11/2005 (Khoản 2, Điều 46);
- Luật An toàn thông tin mạng năm 2015 (Điều 16, 17, 18, 19, 20);
- Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước (Khoản 5, Điều 3, Điều 5);
- Thông tư số 25/2010/TT-BTTTT ngày 15/11/2010 của Bộ trưởng Bộ Thông tin và Truyền thông quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước (Điều 8, 9, 12, 13).
Điều đó cho thấy khung pháp lý của Việt Nam về vấn đề bảo vệ thông tin cá nhân trên môi trường mạng cũng đã được chú trọng và quan tâm mạnh mẽ từ cấp Chính phủ tới các Bộ, ngành, địa phương. Các nguyên tắc cơ bản về bảo vệ thông tin cá nhân trong Hướng dẫn về quyền riêng tư của Tổ chức Hợp tác và Phát triển kinh tế OECD trên đây là một kinh nghiệm cho Việt Nam trong việc triển khai bảo vệ thông tin cá nhân trên môi trường mạng.
V. Tài liệu tham khảo
1. The OECD privacy guidelines:
http://www.oecd.org/sti/ieconomy/49710223.pdf.
2. The OECD privacy framework: https://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf.
3. OECD Guidelines Governing the protection of privacy ang transborder flows of personal data:
https://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf.
4. OECD Privacy Principles:
http://oecdprivacy.org/
5. Data Protection Principles for the 21st Century:
https://www.oii.ox.ac.uk/archive/downloads/publications/Data_Protection_Principles_for_the_21st_Century.pdf.
Lê Thị Thùy Trang