Trong phần này chúng ta sẽ tiếp tục tìm hiểu xem những nội dung về thông tin cá nhân được Chính phủ Úc hướng dẫn như: Thông tin có thể có nhiều vấn đề không; Thông tin cá nhân có thể về nhiều người; Thông tin cá nhân có cần phải có định dạng cụ thể không; Thông tin nào không phải là thông tin cá nhân.

1. Thông tin có thể có nhiều vấn đề không?

Có thể, ví dụ như sau thông tin về một vấn đề gì đó không phải về một cá nhân nào - ví dụ như một chiếc xe hơi hoặc một mảnh đất, vẫn có thể được coi là thông tin về một cá nhân nào đó. Vấn đề quan trọng cần xem xét là liệu cá nhân có phải là chủ thể của thông tin hay không và/ hoặc thông tin đó tiết lộ hoặc truyền đạt điều gì đó về người đó.

Ví dụ 1: Thông tin về phí hợp tác đối với tài sản của Xavier chưa được thanh toán trong một năm là thông tin về tài sản, nhưng thông tin này cũng tiết lộ một thực tế về Xavier – rằng anh ta đã không trả khoản phí còn nợ của mình cho người quản lý. Thông tin này vì vậy sẽ vẫn là thông tin cá nhân về Xavier, mặc dù thông tin có thể xuất hiện chủ yếu về tài sản. Hơn nữa, có một kết nối rõ ràng giữa Xavier và tài sản này, giả sử anh ta là chủ sở hữu của tài sản đó.

Ví dụ 2: Thông tin về một chiếc xe ô tô đậu qua đêm tại một địa chỉ nhất định do một công ty bảo hiểm thu thập được về cơ bản là thông tin về chiếc xe ô tô.
Tuy nhiên, đặc biệt khi kết hợp với thông tin khác, thực tế thông tin về chiếc xe này cũng có thể tiết lộ rằng Zoe, chủ sở hữu của chiếc xe quen biết ai đó ở địa chỉ trên và hay đến đó thường xuyên. Điều này có nghĩa là thông tin về chiếc xe cũng có thể là thông tin cá nhân về Zoe.

2. Thông tin cá nhân có thể về nhiều người?

Thông tin cá nhân của một người cũng có thể là thông tin cá nhân của nhiều người. Thông tin đó được gọi là “thông tin cá nhân chung”

Ví dụ 1: Thông tin được cung cấp về đơn đề nghị một khoản vay chung chứa đựng thông tin cá nhân về các bên liên quan đến khoản vay.

Ví dụ 2: Một ghi chú trong hồ sơ bệnh án của một bác sĩ nói về ý kiến cá nhân của bác sỹ đó về tiên lượng bệnh nhân có chứa thông tin cá nhân về bệnh nhân, nhưng ý kiến đó cũng có thể là thông tin cá nhân của bác sĩ đã đưa ra ý kiến đó.

3. Thông tin cá nhân có cần phải có định dạng cụ thể không?

Thông tin cá nhân có thể ở bất kỳ định dạng nào - không giới hạn chỉ là thông tin được lưu giữ trong hồ sơ. Định nghĩa đã nêu rõ thông tin là thông tin cá nhân 'cho dù thông tin hoặc ý kiến đó được ghi lại dưới dạng tài liệu hay không’.

Thông tin cá nhân có thể bao gồm các thông tin sau:

- Chia sẻ qua lời nói

- Lưu giữ bằng phương tiện kỹ thuật số

- Ghi chép lại

- Ghi trên các biển báo

Ví dụ 1: một số thông tin cá nhân không chứa bất kỳ từ ngữ nào, chẳng hạn như hình ảnh (đặc biệt là ảnh) và âm thanh (ghi âm giọng nói hoặc băng ghi âm)  hoặc có thể ẩn trong một dạng vật liệu (ví dụ ADN trong mô người).

Ví dụ 2: Một công ty viễn thông ghi lại các cuộc gọi điện thoại. Bản ghi âm cuộc gọi có chứa giọng nói của một người nào đó có thể là thông tin cá nhân người có giọng nói được ghi lại có thể nhận dạng hợp lý. Ví dụ: khi bản ghi được chứa trong hoặc được liên kết với hồ sơ khách hàng. (Lưu ý: thông tin này cũng có thể là thông tin cá nhân của nhân viên đã thực hiện cuộc gọi, nếu họ được nhận dạng hợp lý.)

4. Thông tin nào không phải là thông tin cá nhân?

Thông tin không thể xác định được cá nhân một người nào đó

Thông tin không phải về cá nhân được xác định hoặc cá nhân có thể xác định hợp lý, sẽ không phải là thông tin cá nhân.

Ví dụ: Ảnh chụp một cá nhân từ trên cao, phía trước Nhà hát Opera Sydney sẽ không thể tạo thành thông tin cá nhân vì ảnh sẽ không hiển thị đủ chi tiết để thậm chí có thể xác định giới tính hoặc các đặc điểm nhận dạng của người đó. Tuy nhiên, một bức ảnh tương tự được chụp ở khoảng cách gần hơn sẽ có nhiều khả năng cấu thành thông tin cá nhân hơn, ví dụ khi nhìn rõ hơn được các đặc điểm, quần áo của người đó.

Thông tin không phải về một cá nhân nào đó

Thông tin không phải về một cá nhân nào đó- bởi vì mối liên hệ với người đó quá mong manh hoặc xa xôi - không phải là ‘thông tin cá nhân’.

Ví dụ 1: Một báo cáo của Chính phủ nói rằng một số mảnh đất chưa được xác định cụ thể ở một địa phương nói chung trong tương lai có thể bị thu hồi bắt buộc không phải là thông tin cá nhân - vì khả năng thu hồi bắt buộc không thiết lập đủ kết nối với những chủ sở hữu cụ thể của những mảnh đất đó ở địa phương.

Ví dụ 2: Ngược lại, chính phủ liên bang thông báo rằng tất cả các ngôi nhà dọc theo một bên đường X cụ thể giữa phố A và phố B sẽ bị thu hồi bắt buộc, để xây dựng một sân bay mới. Thông tin này có thể được coi là thông tin cá nhân về chủ sở hữu của những mảnh đất cụ thể, bởi vì thông tin này cho thấy những cá nhân cụ thể đó sẽ bị mất đất.

Thông tin kinh doanh

Nói chung, thông tin chỉ nói về doanh nghiệp không được coi là 'thông tin cá nhân'. Điều này là do Đạo luật bảo mật định nghĩa ‘cá nhân’ là ‘con người tự nhiên’ và ý nghĩa thông thường của ‘con người tự nhiên’ không bao gồm thực thể chính trị hoặc doanh nghiệp (bao gồm cả công ty).

Tuy nhiên, thông tin cá nhân của một người có thể được kết nối với thông tin về doanh nghiệp hoặc công ty của người đó mà thông tin về doanh nghiệp hoặc công ty đó có thể cấu thành thông tin cá nhân về người đó. Ví dụ: khi doanh nghiệp được sở hữu và quản lý bởi một nhà giao dịch duy nhất, sự khác biệt giữa thông tin doanh nghiệp và thông tin cá nhân đôi khi có thể trùng lặp.

Trên thực tế, khi thông tin được cung cấp là về một doanh nghiệp hoặc năng lực chuyên môn cũng là thông tin cá nhân, lúc đó các APP sẽ được áp dụng.

Ví dụ: Thông tin về các hóa đơn tiện ích được thanh toán bởi một công ty niêm yết công khai trong năm qua sẽ không phải là thông tin cá nhân, vì thông tin này sẽ không xác định một cá nhân nào đó.

Thông tin về người đã qua đời

Trong hầu hết các trường hợp, thông tin về người đã chết không được coi là 'thông tin cá nhân'. Thông tin cá nhân là thông tin về một cá nhân, có nghĩa là một người tự nhiên và không bao gồm một người đã qua đời. Tuy nhiên, nếu thông tin về người đã qua đời bao gồm thông tin hoặc ý kiến về một người sống, đó sẽ là 'thông tin cá nhân' về 'người sống' đó.

Ví dụ: Giấy chứng tử của Jonathan chứa thông tin về người thân của anh, kể cả vợ anh, Margaret, và con gái, Eliza. Mặc dù thông tin về Jonathan trong giấy chứng tử đó không phải là thông tin cá nhân, nhưng nếu Margaret và Eliza được nhận dạng hợp lý, thì thông tin về họ trên giấy chứng tử sẽ là thông tin cá nhân.

Thông tin không xác định

Thông tin không xác định không phải là 'thông tin cá nhân', vì nó không còn là thông tin về một cá nhân có thể xác định hoặc về một cá nhân có thể xác định hợp lý (xem định nghĩa 'không xác định' trong phần 6 (1) của Đạo luật bảo mật của Úc).

Không xác định nhận dạng là một quá trình liên quan đến việc loại bỏ hoặc thay đổi thông tin xác định một người nào đó hoặc có khả năng xác định hợp lý những người đó, cũng như áp dụng bất kỳ biện pháp bảo vệ bổ sung cần thiết để ngăn chặn việc nhận dạng. Việc này thường yêu cầu một số bước, bao gồm:

- Loại bỏ hoặc thay đổi mã định danh cá nhân (ví dụ như tên, địa chỉ, ngày tháng hoặc ngày sinh, và thông tin nhận dạng khác).

- Áp dụng bất kỳ kỹ thuật bổ sung cần thiết nào để giấu, tổng hợp, thay đổi và/ hoặc bảo vệ dữ liệu theo cách nào đó để thông tin không cho phép bất kỳ cá nhân nào được xác định hợp lý.

Văn phòng Ủy viên Thông tin Úc (OAIC) (khuyến khích các thực thể tìm kiếm lời khuyên của chuyên gia khi loại bỏ thông tin, để đảm bảo rằng các kỹ thuật thích hợp nhất được sử dụng. Ngoài các kỹ thuật được áp dụng cho chính dữ liệu, những hạn chế về môi trường dữ liệu (ví dụ, áp đặt các hạn chế về cách thức và những dữ liệu nào có thể được truy cập và yêu cầu người sử dụng dữ liệu ký thỏa thuận không tiết lộ) cũng có thể cần thiết để giúp đảm bảo rằng không có cá nhân nào có thể nhận dạng được hoặc có thể được nhận dạng hợp lý.

Có thể khó xác định xem thông tin đã được chuyển thành thông tin không xác định thành công hay chưa. Để được coi là 'không xác định' cho các mục đích của Đạo luật bảo mật, thông tin phải có ít nguy cơ có thể nhận dạng lại, trong mọi trường hợp (và đặc biệt, trong bối cảnh mà thông tin sẽ được xử lý, bao gồm những người sẽ có quyền truy cập vào dữ liệu và những thông tin khác mà họ có thể có quyền truy cập). Bất kỳ thông tin nào được xác định lại từ một tập dữ liệu đã được chuyển thành không xác định rồi sẽ là thông tin cá nhân và do đó phải được xử lý theo Đạo luật bảo mật.

Liệu thông tin được chuyển thành thông tin không xác định có phụ thuộc nhiều vào ngữ cảnh hay không. Thông tin có thể được coi là thông tin cá nhân trong bối cảnh này, nhưng không phải là thông tin cá nhân trong bối cảnh khác. Ví dụ, nếu thông tin không xác định được tiết lộ cho một thực thể nào đó có nghĩa vụ phải thực hiện các bước để đảm bảo rằng thông tin đó không xác định lại được (và thực hiện các bước như vậy), thì trong tay của thực thể đó, thông tin có thể không phải là thông tin cá nhân. Ngược lại, nếu cùng một thông tin được phát hành công khai, khả năng thông tin có thể xác định lại cao hơn nhiều vì mọi người trên thế giới đều có thể truy cập thông tin đó.

Ví dụ: Khi một tổ chức nghiên cứu có nghĩa vụ thực hiện hợp đồng nghiêm ngặt để đảm bảo thông tin trong một tập dữ liệu cụ thể không thể xác định lại được - ví dụ: bằng cách đảm bảo dữ liệu chỉ được các nhà nghiên cứu truy cập trong môi trường phòng máy an toàn, nơi không thể truy cập vào các tài liệu bên ngoài (ví dụ, thông qua internet)- thì thông tin có thể là thông tin không xác định trong bối cảnh đó. Tuy nhiên, nếu cùng một dữ liệu được cung cấp miễn phí trên trang web, thì thông tin đó có thể thông tin cá nhân vì các đối tượng của dữ liệu có thể được nhận dạng hợp lý.

5. Danh sách kiểm tra để xác định xem thông tin có phải là thông tin cá nhân hay không?

Thông tin sẽ là thông tin cá nhân khi thông tin đó là về cá nhân được xác định hoặc nhận dạng hợp lý. Bản thân thông tin có thể không phải là thông tin cá nhân. Tuy nhiên, nếu kết hợp với các thông tin khác thì có thể là thông tin cá nhân.

Để hỗ trợ xác định xem thông tin có phải là thông tin cá nhân hay không, hãy xem xét các câu hỏi sau:

- Thông tin có 'về' một cá nhân nào đó- có nghĩa là, có mối liên hệ nào giữa thông tin và người đó không? Đây là một câu hỏi thực tế, và phụ thuộc vào bối cảnh và hoàn cảnh.

+ Một số thông tin rõ ràng về một cá nhân nào đó - ví dụ, tên, ngày sinh, chi tiết nghề nghiệp, hồ sơ y tế.

+ Nếu không - thông tin có tiết lộ một sự kiện hoặc ý kiến về người đó theo cách không quá mong manh hoặc xa xôi?

- Cá nhân có liên quan được xác định hoặc có thể nhận dạng hợp lý không? Các thực thể nên xem xét tất cả các yếu tố ngữ cảnh có liên quan, bao gồm:

+ Bản chất và số lượng thông tin

+ Ai sẽ có quyền truy cập vào thông tin

+ Các thông tin khác có sẵn.

- Hãy nhớ, khi nghi ngờ, hãy thận trọng và xử lý thông tin như là thông tin cá nhân.

Kết luận

 Trong ba bài về tìm hiểu hướng dẫn của Chính phủ Úc về thông tin cá nhân trong việc lưu giữ, chia sẻ trong các hệ thống thông tin, người đọc có thể hiểu một cách khái quát về các thông tin nhạy cảm và cách xác định được đấy có phải là thông tin cá nhân hay không; Bản chất và số lượng của thông tin; Ai sẽ nắm giữ và có quyền truy cập vào thông tin; Các thông tin khác có sẵn (hoặc đã biết) đối với người nhận; Thông tin có thể có nhiều vấn đề không; Thông tin cá nhân có thể về nhiều người; Thông tin cá nhân có cần phải có định dạng cụ thể không; Thông tin nào không phải là thông tin cá nhân. Từ đó có thể  tận dụng, khai thác được những dữ liệu lớn một cách hiệu quả, các cơ quan, tổ chức quản lý, cập nhật dữ liệu phải có những người am hiểu nhất định các loại hình thông tin mà mình quản lý. Đối với các loại dữ liệu thông tin chứa dữ liệu thông tin cá nhân thì cần phải có nghiên cứu, phân tích để đưa ra các đánh giá, quy định các loại dữ liệu thông tin được chia sẻ hay không được chia sẻ trong theo quy định của pháp luật và phạm vi sử dụng thông tin đó. Đối với mỗi cơ sở dữ liệu ngành, lĩnh vực cần có hướng dẫn cụ thể về các nội dung thông tin nào được chia sẻ và trong phạm vi, hoàn cảnh nào khi thực hiện chia sẻ thông tin, nhất là các thông tin nhạy cảm.

Bùi Hồng Hiếu

Tài liệu tham khảo

[1] Tài liệu hướng dẫn về của Chính phủ Úc về thông tin cá nhân trong việc lưu giữ, chia sẻ trong các hệ thống thông tin tại địa chỉ http://oaic.gov.au, truy cập ngày 10/9/2018;

[2] Đạo luật bảo mật 1988 của Úc tại địa chỉ  https://www.legislation.gov.au,
truy cập ngày 10/9/2018;

[3] Tìm hiểu thông tin tại địa chỉ https://en.wikipedia.org, truy cập ngày 20/9/2018.