Mở đầu

Trong thời đại kỹ thuật số, dữ liệu cá nhân trở thành một trong những tài sản quan trọng nhất. Tuy nhiên, sự phát triển nhanh chóng của công nghệ cũng đặt ra thách thức lớn về bảo mật và quyền riêng tư của con người, đặc biệt là quyền đối với dữ liệu cá nhân. Tài liệu tập trung phân tích khung pháp lý quốc tế và luật của một số quốc gia về dữ liệu cá nhân (Liên hiệp quốc, Liên minh Châu Âu, Hoa Kỳ, Nhật Bản, Trung Quốc, Singapore).

I. Pháp luật quốc tế về dữ liệu cá nhân

1. Các quy định của Liên hợp quốc (LHQ):

Quyền riêng tư (the right to privacy) hay “quyền về sự riêng tư”, “quyền về đời tư” được các cơ quan của Liên hợp quốc, các cơ quan nhân quyền và các học giả trên thế giới xác định là quyền cơ bản, thiết yếu đối với sự tự chủ, tự tôn của cá nhân, bảo vệ nhân phẩm của con người, là nhân quyền cơ bản.

Quyền riêng tư được công nhận là nhân quyền cơ bản trong các văn kiện như Hiến chương Liên hợp quốc (1945), Tuyên ngôn Quốc tế Nhân quyền (1948), Công ước quốc tế về các quyền dân sự và chính trị (ICCPR, 1966). Ở cấp độ toàn cầu, Hiến chương Liên hợp quốc năm 1945, Tuyên ngôn Quốc tế Nhân quyền năm 1948 và Bộ luật Nhân quyền quốc tế đánh dấu sự phát triển và thắng lợi của cuộc đấu tranh bảo vệ quyền riêng tư trong hệ thống quyền con người cơ bản. Các văn kiện cơ bản trên khẳng định mạnh mẽ quyền riêng tư là thuộc về quyền và tự do cá nhân và phải được pháp luật bảo vệ.

Điều 12 Tuyên ngôn Quốc tế Nhân quyền năm 1948 (UDHR) ghi nhận: “Không ai phải chịu sự can thiệp một cách tùy tiện vào cuộc sống riêng tư, gia đình, nhà ở hoặc thư tín cũng như bị xúc phạm về nhân phẩm hoặc uy tín của cá nhân. Mọi người đều được pháp luật bảo vệ chống lại sự xúc phạm và can thiệp như vậy”. Quyền riêng tư sau đó được tái khẳng định trong Điều 17 Công ước quốc tế về các quyền dân sự và chính trị (ICCPR), rằng: “(1) Không ai bị can thiệp một cách độc đoán và bất hợp pháp đến đời sống riêng tư, gia đình, nhà ở, thư tín; hoặc bị xúc phạm một cách bất hợp pháp đến danh dự và uy tín; (2) Mọi người đều có quyền được pháp luật bảo vệ chống lại mọi sự can thiệp và xúc phạm như vậy”.

Điều 14 Công ước quốc tế về bảo vệ quyền của tất cả những người lao động di trú và các thành viên gia đình họ năm 1990: “Không ai được phép can thiệp một cách bất hợp pháp hoặc tùy tiện vào cuộc sống gia đình, đời tư, nhà cửa, thư tín hoặc các phương thức giao tiếp khác, hoặc công kích bất hợp pháp danh dự và uy tín của người lao động di trú và các thành viên gia đình họ. Mỗi người lao động di trú và thành viên gia đình họ đều có quyền được pháp luật bảo vệ không bị ảnh hưởng bởi những hành vi can thiệp hoặc công kích như vậy”.

Tháng 4/1988, Ủy ban Nhân quyền Liên hợp quốc đã thông qua một văn kiện có tên gọi: “Quyền được tôn trọng về đời tư, gia đình, nơi ở, thư tín và được bảo vệ danh dự và uy tín”. Đây được coi là cột mốc mới trong phát triển của pháp luật quốc tế về quyền riêng tư. Việc bảo vệ khỏi sự can thiệp bất hợp pháp và tùy tiện có nghĩa là trước hết các quốc gia cần có những quy định pháp luật phù hợp để bảo vệ quyền riêng tư. Ủy ban Thông tin và Truyền thông của UNESCO cũng đã thông qua nghị quyết về “Các vấn đề liên quan đến internet, bao gồm: tiếp cận thông tin và tri thức, tự do biểu đạt, quyền riêng tư và các chiều hướng đạo đức trong xã hội thông tin”. Tháng 11/2013, Ủy ban thứ ba của Đại hội đồng Liên hợp quốc đã thông qua nghị quyết kêu gọi các quốc gia thành viên rà soát các thủ tục, thực hành luật pháp về việc theo dõi, giám sát thông tin truyền thông, việc ngăn chặn và thu thập dữ liệu cá nhân, bao gồm việc theo dõi đồng loạt số đông (mass surveillance), bảo đảm quyền về đời tư thông qua việc thực thi đầy đủ các nghĩa vụ liên quan theo luật nhân quyền quốc tế.

Để đáp ứng sự phát triển của công nghệ trong cuộc Cách mạng công nghiệp 4.0, có hai công cụ pháp lý quốc tế đã được phát triển, trong đó đặt ra một số quy tắc cụ thể chi phối việc thu thập và xử lý dữ liệu cá nhân, bao gồm: Công ước năm 1981 của Hội đồng châu Âu về bảo vệ cá nhân liên quan đến việc xử lý dữ liệu cá nhân tự động và Hướng dẫn của Tổ chức Hợp tác và Phát triển Kinh tế (OECD) điều chỉnh việc bảo vệ quyền về sự riêng tư và việc chuyển đổi dữ liệu cá nhân xuyên biên giới. Các văn kiện này mô tả thông tin cá nhân là dữ liệu được bảo vệ ở mọi bước, từ thu thập đến lưu trữ và phổ biến. Quyền của mọi người được truy cập và sửa đổi dữ liệu của mình cũng là một khía cạnh chính của các quy tắc này. Hai văn kiện nêu trên đã có tác động sâu sắc đến việc xây dựng và áp dụng luật pháp về bảo vệ dữ liệu cá nhân trên toàn thế giới, không chỉ giới hạn ở các nước châu Âu và các quốc gia thành viên của OECD.

2. Quy định của Liên minh châu Âu (EU):

Nghị viện châu Âu đã ban hành Quy định chung về bảo vệ dữ liệu cá nhân, trong đó mục tiêu hướng tới là bảo vệ dữ liệu cá nhân và quyền riêng tư của cá nhân tại Liên minh châu Âu (General Data Protection Regulation - GDPR). Quy định này được áp dụng trực tiếp trên lãnh thổ các quốc gia thành viên. Trước khi ban hành GDPR, Liên minh châu Âu đã ban hành Chỉ thị số 95/46/EC về bảo vệ dữ liệu cá nhân đối với việc xử lý dữ liệu cá nhân và việc tự do lưu chuyển dữ liệu này. Chỉ thị này đã cụ thể hóa Công ước về bảo vệ cá nhân đối với việc xử lý tự động dữ liệu cá nhân (Công ước số 108 năm 1981 của Hội đồng châu Âu) để triển khai việc thực hiện các quy định của Công ước này trên lãnh thổ của các thành viên Liên minh châu Âu.

Các quy định của GDPR được áp dụng cho công dân của 28 quốc gia EU, bao gồm cả Vương quốc Anh. Quan trọng hơn, GDPR áp dụng cho các công ty, tổ chức trong EU, cũng như các công ty đặt bên ngoài EU. Về cơ bản, bất kỳ tổ chức nào cung cấp hàng hóa hoặc các dịch vụ cho hoặc giám sát các hành vi của đối tượng dữ liệu EU, đều bị ảnh hưởng bởi GDPR.

GDPR gồm 11 Chương, 99 Điều, tập trung vào các nội dung liên quan đến: phạm vi điều chỉnh; nguyên tắc liên quan đến xử lý dữ liệu cá nhân; quyền của chủ thể dữ liệu cá nhân; quyền và nghĩa vụ của chủ thể kiểm soát và chủ thể xử lý dữ liệu cá nhân; dịch chuyển dữ liệu cá nhân đến một nước thứ ba hoặc các tổ chức quốc tế; các chủ thể có thẩm quyền giám sát; các biện pháp khắc phục; trách nhiệm pháp lý và các hình thức xử lý vi phạm; cơ chế thực thi.

Theo GDPR, dữ liệu cá nhân (personal data hoặc données à caractère personnel) được hiểu là tất cả các thông tin liên quan đến một thể nhân được nhận diện3 hoặc có thể được nhận diện, dù trực tiếp hay gián tiếp. Cụ thể, những thông tin liên quan đến tên, số chứng minh thư, dữ liệu về nơi cư trú, số điện thoại, hoặc bất kỳ một hoặc những yếu tố đặc biệt nào liên quan đến việc nhận diện về thể chất, tâm lý, sinh lý, di truyền, kinh tế, văn hóa hoặc xã hội của cá nhân. Nói một cách khác, các phần thông tin rời rạc khác nhau nếu được thu thập và tập hợp lại mà có thể dẫn đến việc nhận diện một cá nhân cụ thể thì cũng được coi là dữ liệu cá nhân hay thông tin cá nhân. Các thông tin này có thể là thông tin khách quan (objective information) như họ tên, ngày sinh, chiều cao, cân nặng,… và thông tin chủ quan (subjective information) như đánh giá của người sử dụng lao động. Bên cạnh đó, việc nhận diện một cá nhân một cách trực tiếp hay gián tiếp cũng được giải thích một cách rõ ràng.

GDPR đề cập đến cá nhân có thể được nhận diện (identifiable individuals hoặc identifiable natural person). Theo đó, bất kỳ cá nhân nào có thể được phân biệt với người khác thì được coi là có thể nhận diện được. Đây là người có thể được nhận diện một cách trực tiếp hoặc gián tiếp, đặc biệt qua công cụ nhận diện (identifier).

GDPR phân biệt dữ liệu cá nhân với dữ liệu cá nhân nhạy cảm. Đối với dữ liệu cá nhân, GDPR cho phép việc xử lý dữ liệu của các tổ chức, cá nhân. Ngược lại, đối với dữ liệu cá nhân nhạy cảm, mức độ bảo vệ được đặt ra cao hơn; theo đó, việc xử lý dữ liệu bị cấm hoàn toàn. Dữ liệu cá nhân nhạy cảm bao gồm: “Bất kỳ dữ liệu nào tiết lộ chủng tộc hoặc sắc tộc, tư tưởng chính trị, đức tin tôn giáo, quan niệm triết lý, thành viên công đoàn, việc xử lý dữ liệu di truyền và sinh trắc nhằm mục đích định danh hoặc dữ liệu liên quan đến sức khỏe, tình trạng sinh dục và xu hướng tình dục”6 . Ngoại lệ của quy định cấm này là trường hợp có sự đồng thuận từ chủ thể dữ liệu, để bảo vệ quyền lợi cá nhân, để phục vụ công tác y tế dự phòng, y tế nghiệp vụ hoặc vì lợi ích công cộng.

Theo Hiến chương của Liên minh châu Âu về các quyền cơ bản, công dân của Liên minh có quyền bảo vệ dữ liệu cá nhân của mình. Các quyền này được quy định trong Điều 8 Hiến chương và được quy định trong các Hiến pháp của các quốc gia thành viên. Công dân của Liên minh được quyền yêu cầu cơ quan có thẩm quyền của nước mình bảo vệ quyền cơ bản này. Quyền này cũng được áp dụng đối với những thể nhân dù không có quốc tịch của các quốc gia thành viên của Liên minh châu Âu, nhưng cư trú thường xuyên trên lãnh thổ của Liên minh châu Âu.

Khi có những xâm phạm đối với quyền bảo vệ dữ liệu cá nhân, công dân của Liên minh châu Âu có thể khiếu nại đến cơ quan có thẩm quyền của Liên minh, Chính phủ, Tòa án các quốc gia thành viên của Liên minh hoặc những tổ chức nhân quyền để yêu cầu được bảo vệ. Chủ thể thông tin có quyền yêu cầu bồi thường thiệt hại đối với những vi phạm về dữ liệu thông tin của mình.

II. Pháp luật một số quốc gia về dữ liệu cá nhân

1. Hoa Kỳ:

Tu Chính Án Hoa Kỳ sửa đổi lần thứ tư quy định: “Quyền cơ bản của con người được đảm bảo về thân thể, nhà cửa, thông tin giấy tờ và những ảnh hưởng tác động khác”. Như vậy, Hiến pháp Hoa Kỳ cũng đã đề cập đến quyền được bảo vệ về thông tin giấy tờ cá nhân. Với thời kỳ bùng nổ công nghệ như hiện nay, định nghĩa về “giấy tờ” còn được hiểu là những văn bản số được viết trên internet. Tuy nhiên, hiện nay pháp luật Hoa Kỳ chưa thực sự có một nguyên tắc thống nhất trong lĩnh vực lập pháp về bảo vệ quyền nhân thân nói chung cũng như bảo vệ quyền về dữ liệu cá nhân của công dân nói riêng. Hoa Kỳ là quốc gia đã ban hành rất nhiều đạo luật liên quan đến bảo vệ quyền dữ liệu thông tin cá nhân của công dân ở cả cấp độ liên bang lẫn tiểu bang. Vấn đề bảo vệ quyền giữ bí mật thông tin và thu thập thông tin của công dân nước này được điều chỉnh trên cơ sở áp dụng các đạo luật của từng lĩnh vực, từng ngành mang tính định hướng, chứ không quy định rõ ràng và chi tiết.

Tại cấp độ liên bang, Đạo luật của Ủy ban Thương mại Liên bang Hoa Kỳ (the Federal Trade Commission Act) điều chỉnh định hướng về vấn đề này với cơ quan thực thi là Ủy ban Thương mại Liên bang Hoa Kỳ (gọi tắt là FTC). Đây sẽ là cơ quan thực thi hành động nhằm bảo vệ người tiêu dùng khỏi những cơ quan, tổ chức, doanh nghiệp, cá nhân thực hiện hành vi sử dụng thông tin cá nhân của họ một cách trái phép, không đúng mục đích ban đầu đã cam kết. Cơ quan này cũng thực thi các quy định của Hoa Kỳ về bảo vệ dữ liệu và quyền nhân thân của công dân. Tuy nhiên, Đạo luật của Ủy ban Thương mại Liên bang Hoa Kỳ thực sự quy định quá chung, chỉ nội hàm trong lĩnh vực thương mại và chưa có một khung pháp lý thực sự vững chắc về việc bảo vệ quyền nhân thân, đặc biệt là quyền bảo vệ đời tư.

Các tiểu bang tại Hoa Kỳ cũng ban hành các đạo luật riêng quy định các hạn chế và nghĩa vụ đối với các doanh nghiệp liên quan đến việc thu thập, sử dụng, công bố thông tin cá nhân của người dùng internet, quy định về việc bảo mật hoặc lưu giữ các thông tin cá nhân, như: Thông tin sinh trắc (vân tay), hồ sơ y tế, bệnh án, thông tin về bảo hiểm xã hội, thông tin giấy phép lái xe, địa chỉ email, các lịch sử xem - truy cập, hồ sơ tài chính, hồ sơ thuế, thông tin bảo hiểm, lý lịch tư pháp, lịch sử cuộc gọi điện thoại, học bạ... Bên cạnh đó, các tiểu bang này cũng ban hành các đạo luật chuyên ngành về theo dõi trái phép bao gồm thông qua định vị, hình ảnh vệ tinh, truyền hình kỹ thuật số...

Một số tiểu bang có những quy định “cứng rắn” hơn nữa về vấn đề quyền bảo vệ đời tư cá nhân trong hệ thống pháp luật của họ, điển hình như bang Massachusetts có hẳn một quy tắc riêng về bảo vệ dữ liệu (trong Quy tắc liên bang 17.00 - 201 CMR 17.00), yêu cầu tất cả các tổ chức nắm giữ, truyền tin hoặc thu thập dữ liệu thông tin cá nhân của công dân Massachusetts, thì sẽ phải chịu sự điều chỉnh của kế hoạch an toàn dữ liệu thông tin với 12 hành động cụ thể trong bộ quy tắc này của bang. New York cũng là một tiểu bang hết sức quan tâm và đề ra những chính sách cụ thể về an toàn công nghệ thông tin với Quy tắc riêng về vấn đề này - NYCCR 500 điều chỉnh chủ yếu cho các tổ chức tài chính hoạt động tại tiểu bang này, đưa ra yêu cầu chung về việc đảm bảo quyền riêng tư của cá nhân và quyền bảo vệ bí mật thông tin của công dân New York không thể bị xâm phạm nếu như không được sự cho phép của họ và hàng năm cơ quan hành pháp sẽ thực hiện những bài kiểm tra đánh giá đối với các tổ chức, doanh nghiệp này có đáp ứng được những yêu cầu đề ra này hay không, để được cấp giấy chứng nhận tuân thủ quy định hàng năm.

2. Nhật Bản:

Để thích ứng với sự phát triển của một xã hội thông tin, năm 2003, Nhật Bản đã ban hành một đạo luật riêng áp dụng cho các vấn đề riêng tư trực tuyến: Luật Bảo vệ thông tin cá nhân (The Act on the Protection of Personal Information - APPI), có hiệu lực từ ngày 01/4/2005. Động lực đằng sau Đạo luật này, trong đó có các điều khoản phạt, không đến từ Nhật Bản. Thay vào đó, nó đến từ áp lực bên ngoài của cộng đồng quốc tế với các nguồn chính là Hướng dẫn của OECD về bảo vệ riêng tư và dữ liệu cá nhân xuyên biên giới năm 1980, Hướng dẫn của OECD về bảo vệ người tiêu dùng trong bối cảnh thương mại điện tử năm 1999 và Chỉ thị số 95/46/EC về xử lý dữ liệu cá nhân năm 1995. Đạo luật bảo vệ thông tin cá nhân của Nhật Bản là một trong những luật riêng tư sớm nhất được ban hành tại châu Á. Đạo luật này được thiết kế để bảo vệ quyền và lợi ích của cá nhân trong khi đảm bảo xem xét đúng đắn việc sử dụng thông tin cá nhân bởi các nguyên tắc cơ bản để xử lý đúng thông tin cá nhân.

Mười bốn năm sau, Nhật Bản đã có sửa đổi đáng chú ý và rộng rãi cho Đạo luật vào tháng 5 năm 2017, chỉ một năm trước ngày GDPR có hiệu lực. Việc sửa đổi là sự phản ánh xu hướng toàn cầu về quy định bảo mật dữ liệu, cụ thể là GDPR của EU. Chính phủ Nhật Bản và Ủy ban châu Âu đã đạt được thỏa thuận chung rằng họ sẽ làm việc cùng nhau để cung cấp cho công dân của họ mức độ riêng tư dữ liệu cao hơn. Vào tháng 7 năm 2017, hai bên cũng đã đồng ý rằng họ sẽ làm việc để đưa ra danh sách trắng vào đầu năm 20188 , làm nổi bật vai trò ngày càng tăng của quyền riêng tư đối với dữ liệu trong quan hệ kinh doanh quốc tế.

APPI được áp dụng đối với “những nhà quản lý doanh nghiệp xử lý các thông tin cá nhân”9 (Business operator handling personal information). Cụ thể hơn, nhà quản lý doanh nghiệp này có thể là thể nhân hay pháp nhân sử dụng dữ liệu thông tin cá nhân nhằm mục đích kinh doanh, ngoại trừ: i) Các cơ quan nhà nước; ii) Chính quyền địa phương; iii) Những cơ quan hành chính được sáp nhập; và iv) Những tổ chức hành chính độc lập ở địa phương. Phạm vi của APPI cũng mở rộng tới cả những pháp nhân nước ngoài thu thập và xử lý thông tin cá nhân tại Nhật Bản. Thêm vào đó, thậm chí nếu một pháp nhân nước ngoài không được thành lập tại Nhật Bản, một vài điều khoản trong APPI cũng sẽ được áp dụng đối với pháp nhân đó khi cung cấp sản phẩm hay dịch vụ cho cá nhân tại Nhật Bản và thu thập, xử lý dữ liệu cá nhân đó.

Thông tin cá nhân được định nghĩa là thông tin về một cá nhân sống thuộc bất kỳ mục nào sau đây: (a) thông tin có chứa tên, ngày sinh hoặc các mô tả khác, theo đó một cá nhân cụ thể có thể được xác định (bao gồm thông tin cho phép dễ dàng tham khảo cho phép nhận dạng cá nhân); hoặc (b) thông tin chứa mã nhận dạng cá nhân, là mã, bao gồm các ký tự, ký tự số và dấu, có thể được sử dụng để xác định cá nhân cụ thể và được quy định trong Nghị định của Chính phủ quy định về việc thực hiện Luật sửa đổi, bổ sung ban hành tháng 12 năm 2016 10 (ví dụ: định danh sinh trắc học chẳng hạn như dữ liệu vân tay, dữ liệu nhận dạng, hộ chiếu hoặc số giấy phép lái xe). Các định nghĩa về thông tin cá nhân tùy thuộc vào ngữ cảnh và không giới hạn đến các loại dữ liệu cụ thể.

3. Trung Quốc:

Khung pháp lý của Trung Quốc trong lĩnh vực bảo vệ dữ liệu ngày nay rất phức tạp, đa dạng và nhiều tầng. Pháp luật liên quan được định nghĩa là luật, quy định, quy tắc và các văn bản ràng buộc khác. Pháp luật ở cấp quốc gia được ưu tiên, pháp luật về quyền riêng tư cấp địa phương ở các khu vực hành chính cấp tỉnh của Trung Quốc phải luôn tuân thủ luật pháp quốc gia, mặc dù luật pháp quốc gia có thể ban hành các quy định chi tiết hơn chỉ áp dụng trong các khu vực tương ứng. Đầu tiên, Bộ luật Dân sự được ban hành và có hiệu lực năm 2021 có một chương riêng với tiêu đề “Quyền riêng tư và bảo vệ dữ liệu cá nhân” và luật thứ hai đóng vai trò trung tâm đối với quyền riêng tư dữ liệu là Luật Bảo vệ quyền và lợi ích của người tiêu dùng (CPL), bao gồm các điều khoản bảo vệ thông tin người tiêu dùng. Luật thứ ba có vai trò trọng tâm đối với quyền riêng tư dữ liệu là Luật Thương mại điện tử (ECL) để bảo vệ quyền và lợi ích của mọi người tham gia thương mại điện tử, quản lý “các doanh nghiệp thương mại điện tử” dựa trên internet, bao gồm cả “các doanh nghiệp nền tảng thương mại điện tử”. Theo đó, các nền tảng được yêu cầu tuân thủ các điều khoản bảo vệ thông tin cá nhân của bất kỳ luật hoặc quy định nào khi thu thập dữ liệu cá nhân từ người dung.

Ngoài ra, còn có ba luật bảo vệ dữ liệu toàn diện và chuyên biệt, đó là:

Luật An ninh mạng (CSL) năm 2016 là luật đầu tiên quy định toàn diện về an ninh dữ liệu không gian mạng ở Trung Quốc với mục đích bảo đảm an ninh mạng, bảo vệ chủ quyền không gian mạng, an ninh quốc gia và lợi ích công cộng, bảo vệ quyền và lợi ích hợp pháp của công dân, pháp nhân và các tổ chức khác, đồng thời thúc đẩy sự phát triển lành mạnh của thông tin hóa kinh tế và xã hội

Luật Bảo mật dữ liệu (DSL) năm 2021 quy định việc xử lý dữ liệu, bảo đảm an ninh dữ liệu, thúc đẩy phát triển và khai thác dữ liệu, bảo vệ quyền và lợi ích hợp pháp của các cá nhân và tổ chức, đồng thời bảo vệ chủ quyền quốc gia, an ninh và lợi ích phát triển.

Luật Bảo vệ thông tin cá nhân (PIPL) được ban hành và có hiệu lực năm 2021. PIPL là luật bảo vệ dữ liệu thống nhất, toàn diện và có hệ thống đầu tiên ở Trung Quốc và đánh dấu việc thiết lập các nguyên tắc cơ bản, khung pháp lý trong lĩnh vực bảo vệ thông tin cá nhân.

4. Singapore:

Ngày 15/10/2012, Nghị viện Singapore thông qua Luật Bảo vệ dữ liệu cá nhân (Personal Data Protection Act 2012). Luật công nhận quyền của các cá nhân trong việc bảo vệ các dữ liệu cá nhân (DLCN) của chính họ, đồng thời thừa nhận sự cần thiết của việc các tổ chức tiến hành thu thập, sử dụng và tiết lộ thông tin cá nhân vì những mục đích phù hợp với những hoàn cảnh nhất định. Bên cạnh Luật Bảo vệ DLCN, một số văn bản pháp luật chuyên ngành của Singapore cũng quy định về vấn đề này như: Luật An ninh mạng và máy tính; Luật Bí mật công vụ; Luật Thống kê; Luật Giao dịch điện tử; Luật Ngân hàng, Luật Viễn thông.

Theo quy định của Điều 2.1 Luật Bảo vệ DLCN, DLCN là các dữ liệu, dù đúng hay sai, về một cá nhân mà có thể xác định được danh tính của họ từ các dữ liệu đó; hoặc từ các dữ liệu đó và các thông tin khác mà các tổ chức có hoặc có thể có quyền truy cập. Một số loại thông tin được loại trừ khỏi định nghĩa DLCN: thông tin liên hệ kinh doanh; thông tin về một cá nhân được lưu lại trong các bản ghi đã tồn tại ít nhất 100 năm; thông tin cá nhân về một người đã mất hơn 10 năm; thông tin cá nhân đã được công khai.

Luật Bảo vệ DLCN áp dụng đối với tất cả các cá nhân, tổ chức được thành lập hoặc được công nhận theo pháp luật Singapore; hoặc có nơi cư trú hoặc văn phòng đại diện hoặc khu vực kinh doanh tại Singapore. Đặc biệt, Luật chỉ áp dụng nếu các DLCN được thu thập, sử dụng hoặc tiết lộ tại Singapore. Tuy nhiên, Luật cũng xác lập nguyên tắc bảo vệ các DLCN được chuyển giao qua biên giới. Theo đó, các tổ chức, cá nhân có trách nhiệm đảm bảo rằng các DLCN được chuyển ra khỏi Singapore cũng sẽ có được sự bảo vệ tương đương như sự bảo vệ theo quy định của Luật này.

Để bảo vệ DLCN, Uỷ ban Bảo vệ DLCN được thành lập với các chức năng sau: nâng cao nhận thức về bảo vệ DLCN; cung cấp dịch vụ tư vấn, hỗ trợ kỹ thuật, quản lý hoặc các dịch vụ đặc biệt khác liên quan đến bảo vệ DLCN; tham mưu cho Chính phủ về tất cả các vấn đề liên quan đến bảo vệ DLCN; đại diện cho Chính phủ trong các quan hệ quốc tế liên quan đến bảo vệ DLCN; triển khai các nghiên cứu và thúc đẩy các hoạt động giáo dục liên quan đến bảo vệ DLCN bao gồm tổ chức và thực hiện các cuộc hội thảo, tọa đàm, gặp gỡ; quản lý các hoạt động hợp tác và trao đổi kỹ thuật liên quan tới bảo vệ DLCN với các tổ chức khác bao gồm cả các tổ chức quốc tế liên chính phủ; điều hành và triển khai thực hiện Luật Bảo vệ DLCN; thực hiện các chức năng theo quy định của các văn bản pháp luật khác.

III. Kết luận

Sự phát triển của kỹ thuật số đã mở ra một kỷ nguyên mới cho khoa học công nghệ, là yếu tố đóng vai trò cốt lõi thúc đẩy Cách mạng công nghiệp 4.0, với những tác động vô cùng sâu rộng tới xã hội, làm thay đổi lối sống của con người. Tuy nhiên, sự phát triển của kỹ thuật số cũng đồng thời gây ra những tác động cực kỳ phức tạp đối với việc bảo vệ quyền về sự riêng tư của con người, đặc biệt là quyền đối với dữ liệu cá nhân. Các khung pháp lý quốc tế và quốc gia về dữ liệu cá nhân cung cấp nền tảng quan trọng cho việc bảo vệ quyền riêng tư trong kỷ nguyên số mà các quốc gia cần quan tâm, nghiên cứu trong quá trình xây dựng, hoàn thiện hành lang pháp lý về bảo vệ dữ liệu cá nhân.

Hoàng Thị Hải – Phòng Chính sách số

Nguồn:

1. Công ước số về bảo vệ cá nhân đối với việc xử lý tự động dữ liệu cá nhân được mở cho các thành viên ký kết, tham gia vào 28/1/1981.
2. https://gdpr.eu/eu-gdprpersonal-data.
3. https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en.
4. https://gdpr-info.eu/art-9-gdpr.
5. https://ec.europa.eu/home-affairs/what-we-do/policies/legalmigration/long-term-residents_en.
6. https://www.skadden.com/insights/publications/2018/09/quarterly-insights/data-protection-injapan-to-align-with-gdpr.
7. : https://www.ppc.go.jp/files/pdf/Cabinet_Order.pdf.
8. Noriko Higashizawa and Yuri Aihara, “Data Privacy Protection of Personal Information versus Usage of Big Data: Introduction of the Recent Amendment to the Act on the Protection of Personal Information (Japan)” (2017) 84 Def Counsel J 1.
9. https://www.ppc.go.jp/en/
10. https://www.ppc.go.jp/files/pdf/Act_on_the_Protection_of_Personal_Information.pdf.
11. http://statutes.agc.gov.sg/aol/search/display/view.w3p; Data protection in Singapore: Overview
12.  http://us.practicallaw.com