Nghiên cứu một số quy định về bảo vệ thông tin cá nhân trên thế giới và tại Việt Nam

Bảo vệ thông tin đặc biệt là thông tin cá nhân và quyền riêng tư khi tham gia giao dịch trên môi trường điện tử đang được cả cơ quan chính phủ và các tổ chức, doanh nghiệp tư nhân quan tâm...

Thứ Sáu, 22/12/2017 | Đã xem 5130

I. Giới thiệu

Bảo vệ thông tin đặc biệt là thông tin cá nhân và quyền riêng tư khi tham gia giao dịch trên môi trường điện tử đang được cả cơ quan chính phủ và các tổ chức, doanh nghiệp tư nhân quan tâm. Trên thế giới có khoảng 40 quốc gia đã ban hành các Đạo luật, các quy định pháp luật, văn bản liên quan đến việc bảo vệ thông tin cá nhân trong đó bao gồm Việt Nam. Với sự phát triển mạnh mẽ của Internet, các dịch vụ công và chính phủ điện tử việc bảo vệ thông tin cá nhân khi giao dịch trên môi trường mạng sẽ là nhu cầu thiết yếu nhằm đáp ứng sự tin tưởng của người dân khi tham gia vào chính phủ điện tử và thông tin của công dân sẽ được thông báo, lưu giữ và sử dụng đúng theo quy định. Các mối quan tâm về bảo vệ thông tin cá nhân thường có sự liên hệ rất chặt chẽ với quyết tâm cải cách thủ tục hành chính và thúc đẩy vị thế của chính phủ điện tử cũng như quản lý, điều hành điện tử của Chính phủ.

Nội dung bài viết dưới đây là tài liệu để người đọc có thể tham khảo một số quy định pháp lý của các nước Đức, Canada, Anh, Châu Âu, Hàn Quốc, Mỹ và Việt Nam để hiểu rõ hơn về việc bảo vệ thông tin cá nhân trong bối cảnh hiện đại hóa hiện nay.

II. Quy định về bảo vệ thông tin cá nhân của một số nước trên thế giới và của Việt Nam

1/ Anh:

Quốc hội Anh đã ban hành Luật bảo vệ dữ liệu năm 1998 để bảo vệ dữ liệu cá nhân được lưu trữ trong các hệ thống thông tin hay trong máy tính. Luật bảo vệ dữ liệu cá nhân của Anh nhằm thực thi Chỉ thị bảo vệ dữ liệu cá nhân của Liên minh Châu Âu số 95/46/EC và Chỉ thị về Bảo mật và Truyền thông điện tử số 02/58/EC. Luật bảo vệ dữ liệu cá nhân của Anh năm 1998 quy định:

- Quy định các quy tắc và thông lệ khi xử lý thông tin về cá nhân, trong đó thông tin về cá nhân là bất kỳ thông tin về một cá nhân còn sống có thể được xác định. Cá nhân có thể được trao các quyền đối với thông tin của họ;

- Quy định nơi kiểm soát, cơ quan giám sát độc lập để thực thi các quy tắc, các quyền xử lý thông tin cá nhân. Nơi kiểm soát này cũng cho phép tìm kiếm các loại thông tin về cá nhân mà không cần phân tích thêm.

2/ Canada:

Luật Bảo vệ thông tin cá nhân và dữ liệu điện tử của Canada (Personal Information Protection and Electronic Documents Act - PIPEDA) được ban hành ngày 13/4/2000. Mục tiêu chủ yếu của Luật này là nhằm tìm kiếm sự hỗ trợ và thúc đẩy hoạt động thương mại điện tử thông qua việc: cho phép thu thập, sử dụng và phát tán thông tin cá nhân trong một số trường hợp đặc biệt; cung cấp các thiết bị điện tử để liên lạc hoặc ghi lại thông tin giao dịch. Luật PIPEDA của Canada đặt ra các quy tắc cơ bản cho việc thu thập, sử dụng và tiết lộ thông tin cá nhân trong quá trình hoạt động thương mại và cân bằng quyền riêng tư của cá nhân đối với nhu cầu kinh doanh của các tổ chức. Thông tin cá nhân bao gồm:

- Tên, tuổi, số ID (mã số cá nhân), nguồn thu nhập, nguồn gốc dân tộc hoặc thông tin về nhóm máu;

- Ý kiến, đánh giá, nhận xét, địa vị xã hội hoặc các biện pháp kỷ luật;

- Hồ sơ tín dụng, hồ sơ nợ, hồ sơ y tế, sự tồn tại tranh chấp giữa người tiêu dùng và người bán hàng, ý định về việc mua hàng hóa, mua dịch vụ hoặc thay đổi công việc.

3/ Châu Âu:

Hội đồng Châu Âu ban hành Hiệp ước Bảo vệ dữ liệu cá nhân Châu Âu năm 1998, hiệp ước này đưa ra các khuyến nghị. Năm 1995, Nghị viện Châu Âu và Hội đồng Châu Âu đã ban hành Chỉ thị số 95/46/EC về việc bảo vệ dữ liệu cá nhân liên quan đến việc xử lý dữ liệu cá nhân và cách thức lưu chuyển dữ liệu tự do trong khối Liên minh Châu Âu (EU). Đây là một nền tảng khuôn khổ pháp lý làm cơ sở trong việc bảo vệ thông tin cá nhân.

Một số quy định Chỉ thị số 95/46/EC của EU quy định dữ liệu cá nhân có nghĩa là bất kỳ thông tin nào liên quan đến một cá nhân đều được xác định hoặc nhận dạng. Người nhận dạng là người có thể được xác định trực tiếp hoặc gián tiếp bằng cách tham chiếu đến số nhận dạng hoặc một hoặc nhiều yếu tố cụ thể cho bản sắc thể chất, sinh lý, tinh thần, kinh tế, văn hóa hoặc xã hội.

Mục tiêu của Chỉ thị này là cung cấp một phương hướng hợp pháp nhằm bảo đảm an toàn và tự do lưu chuyển dữ liệu cá nhân liên quốc gia đối với các nước thuộc EU, cũng như thiết lập một mức độ an toàn cơ bản đối với việc lưu trữ dữ liệu, chuyển phát hoặc xử lý thông tin cá nhân. Chỉ thị về bảo vệ dữ liệu EU được ban hành để đáp ứng nhu cầu về thống nhất các quy định liên quan đến bảo vệ sự riêng tư.

Tháng 01/2012, Ủy ban Châu Âu đã đề xuất chương trình cải cách toàn diện các quy tắc bảo vệ dữ liệu ở EU. Đến tháng 05/2016 văn bản chính thức được đăng tải trên Tạp chí chính thức của EU, biên dịch hiệp định sang tất cả các ngôn ngữ chính thức của EU. (Quy chế có hiệu lực từ 24/5/2016, áp dụng từ 25/5/2016 và Chỉ thị có hiệu lực từ ngày 05/5/2016 và sau năm 2018 các nước thành viên EU phải chuyển đổi thành Luật quốc gia).

4/ Đức:

Đã ban hành Luật Bảo vệ dữ liệu liên bang (Bundesdatenschutzgesetz - BDSG) của Tòa án Hiến pháp Liên bang có quy định: Bảo vệ dữ liệu cá nhân là bảo vệ quyền cơ bản của cá nhân hay chính là quyền tự quyết định về thông tin của cá nhân đó. Những người có liên quan tới việc bảo vệ dữ liệu cá nhân có quyền tự quyết định thông tin sẽ được cung cấp cho những ai và sử dụng cho những mục đích nào. Ngoài ra, Tòa án Hiến pháp cũng ban hành Luật bảo vệ dữ liệu tiểu bang để quy định việc bảo vệ dữ liệu trong các cơ quan tiểu bang và địa phương đó.

5/ Hàn Quốc:

Ngày 24/7/2012, Hàn Quốc ban hành Luật bảo vệ thông tin cá nhân, trong đó đã quy định: “Thông tin cá nhân” là thông tin gắn liền với một cá nhân, trong đó ghi rõ họ tên, số chứng minh nhân dân, số nhận dạng, thường trú....và quy định 8 nguyên tắc bảo vệ thông tin cá nhân của cơ quan quản lý:

- Có trách nhiệm lập danh sách mục đích quản lý thông tin cá nhân rõ ràng, chỉ thu thập thông tin cá nhân tối thiểu hợp pháp và chính đáng, phục vụ cho các mục đích cần thiết;

- Có trách nhiệm quản lý thông tin cá nhân trong phạm vi thích hợp cần thiết để đạt được các mục đích quản lý thông tin cá nhân và không sử dụng nó cho các mục đích khác so với những dự định ban đầu;

- Nỗ lực để bảo đảm tính chính xác, đầy đủ thông tin cá nhân ở mức độ cần thiết cho mục đích quản lý thông tin cá nhân;

- Có trách nhiệm quản lý thông tin cá nhân một cách an toàn, xem xét rủi ro mà các quyền của chủ sở hữu thông tin có thể được vi phạm và mức độ rủi ro đi kèm tùy thuộc vào phương pháp quản lý;

- Công bố cho công chúng các vấn đề liên quan đến công tác quản lý thông tin cá nhân, nhưng không giới hạn chính sách quản lý thông tin cá nhân và bảo đảm các quyền của chủ sở hữu thông tin;

- Có trách nhiệm quản lý thông tin cá nhân bằng các phương tiện giảm thiểu bất kỳ hành vi xâm phạm sự riêng tư của chủ sở hữu thông tin;

- Có trách nhiệm bảo đảm rằng thông tin cá nhân được quản lý một cách ẩn danh bất cứ khi nào có thể;

- Nỗ lực để đạt được sự tin tưởng của chủ sở hữu thông tin của mình hoàn thành trách nhiệm và nghĩa vụ theo pháp luật.

6/ Mỹ:

Không ban hành một Luật riêng biệt nào về bảo vệ thông tin cá nhân mà nằm rải rác ở các văn bản quy định khác nhau. Một số các Luật chuyên ngành của Mỹ như:

- Đạo luật về Ủy ban Thương mại Liên bang (FTC Act) là Luật bảo vệ người tiêu dùng liên bang, nghiêm cấm các hành vi không công bằng hoặc lừa đảo và đã được áp dụng cho các chính sách riêng tư và an toàn dữ liệu trực tuyến;

- Đạo luật Hiện đại hoá các dịch vụ tài chính (hay còn gọi Đạo luật Gramm - Leach - Bliley - Financial Services Modernization Act) quy định việc thu thập, sử dụng và tiết lộ thông tin tài chính;

- Đạo luật về tính linh hoạt và tính trách nhiệm về bảo hiểm y tế HIPAA cũng đã sửa lại Quy tắc Thông báo vi phạm về an ninh;

- Đạo luật Báo cáo Tín dụng Công bằng - Fair Credit Reporting Act (15 USC 1681 et seq);

- Đạo luật Bảo mật truyền thông điện tử;

- Đạo luật Lạm dụng và Gian lận Máy tính (CFAA) đã quy định việc ngăn chặn liên lạc điện tử và giả mạo máy tính.

7/ Việt Nam

Sự phát triển của công nghệ thông tin và Internet đòi hỏi pháp luật phải có sự điều chỉnh để đáp ứng những yêu cầu của xã hội hiện đại trong đó vấn đề về bảo vệ thông tin cá nhân. Các kinh nghiệm về bảo vệ thông tin cá nhân của Chính phủ các nước như Anh, Canada, Châu Âu, Đức, Hàn Quốc, Mỹ.... đã được Chính phủ Việt Nam nghiên cứu, tiếp thu và căn cứ vào tình hình thực tiễn của Việt Nam để đưa ra các quy định về bảo vệ thông tin cá nhân trong các văn bản từ cấp độ Luật đến các văn bản dưới Luật. Nội dung điều chỉnh vấn đề bảo vệ thông tin cá nhân trên môi trường Internet đã được quy định ngày càng rõ hơn. Pháp luật cũng đã quy định các chế tài cụ thể (dân sự, hành chính, hình sự) áp dụng đối với các trường hợp vi phạm thông tin cá nhân trên môi trường mạng tùy theo mức độ và hậu quả của hành vi vi phạm. Các văn bản quy phạm pháp luật được kể đến như sau:

- Bộ luật Dân sự số 33/2005/QH11 ngày 14/6/2005 (Điều 31, 38);

- Luật Giao dịch điện tử số 51/2005/QH11 ngày 29/11/2005 (Khoản 2, Điều 46);

- Luật Công nghệ thông tin số 67/2006/QH11 ngày 29/6/2006 (Điều 17, 21, 22);

- Luật sửa đổi, bổ sung một số điều của Bộ luật Hình sự số 100/2015/QH13 ngày 20/6/2017 (Điều 226);

- Luật Bảo vệ người tiêu dùng số 59/2010/QH12 ngày 17/11/2010 (Điều 6);

- Luật An toàn thông tin mạng năm 2015 (Điều 16, 17, 18, 19, 20);

- Nghị định số 63/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về xử phạt vi phạm hành chính trong lĩnh vực công nghệ thông tin;

- Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước (Khoản 5, Điều 3, Điều 5);

- Nghị định số 90/2008/NĐ-CP ngày 13/8/2008 của Chính phủ về chống thư rác;

- Thông tư số 09/2008/TT-BCT ngày 21/7/2008 của Bộ Công Thương hướng dẫn Nghị định Thương mại điện tử về cung cấp thông tin và giao kết hợp đồng trên website thương mại điện tử;

- Thông tư số 25/2010/TT-BTTTT ngày 15/11/2010 của Bộ trưởng Bộ Thông tin và Truyền thông quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước (Điều 8, 9, 12, 13).

III. Kết luận

Bảo vệ thông tin cá nhân là một chủ đề thu hút sự quan tâm rộng rãi của Chính phủ các nước. Chính phủ các nước cũng như Chính phủ Việt Nam đều có nhiều cách tiếp cận khác nhau về việc bảo vệ thông tin cá nhân nhưng đều có quan điểm chung bảo vệ thông tin cá nhân chính là bảo vệ các quyền cơ bản của mỗi công dân. Tại Việt Nam, Luật An toàn thông tin mạng kết hợp với Bộ luật Dân sự, Luật Bảo vệ người tiêu dùng, Luật Hình sự, Luật Giao dịch điện tử và một số các văn bản khác và Luật Tiếp cận thông tin sắp có hiệu lực thi hành sẽ từng bước tạo thành hệ thống pháp luật đồng bộ, đầy đủ đối với việc bảo vệ thông tin cá nhân trong sự phát triển của công nghệ thông tin hiện nay.

IV. Tài liệu tham khảo

1. United - Kingdom

An overview of UK data protection law:

https://united-kingdom.taylorwessing.com/uploads/tx_siruplawyermanagement/NB_000168_Overview_UK_data_protection_law_WEB.pdf

2. Canada

The Personal Information Protection and Electronic Documents Act:

http://laws-lois.justice.gc.ca/PDF/P-8.6.pdf

http://novascotia.ca/dhw/phia/documents/chapters/2.%20PHIA%20and%20PIPEDA.pdf

https://www.ccpa-accp.ca/wp-content/uploads/2015/05/NOE.Personal-Information-Protection-and-Electronics-Documents-Act-PIPEDA.pdf

3. European Union

3.1 Protection of personal data in the European Union:

http://ec.europa.eu/justice/data-protection/files/eujls08b-1002_-_protection_of_personnal_data_a4_en.pdf