Những thông tin được khai thác thông qua việc tương tác hoặc chia sẻ dữ liệu của cá nhân với các tổ chức từ các giao dịch như: tên, địa chỉ, ngày sinh hoặc nhiều thông tin cá nhân khác. Ngoài ra khi truy cập vào một trang thông tin điện tử để tìm kiếm, mua bán trực tuyến hay sử dụng các phương tiện truyền thông hoặc gửi mail, đấy cũng là cách chia sẻ dữ liệu trực tuyến của các cá nhân. Chia sẻ dữ liệu giúp cho việc kết nối giữa các cá nhân với cộng đồng hoặc tổ chức được dễ dàng và thuận hơn trong thực hiện các giao dịch. Tuy nhiên các dữ liệu này là dữ liệu cá nhân và thuộc về cá nhân nên việc lưu giữ, sử dụng nó như thế nào là rất quan trọng, việc sử dụng phải đảm bảo theo mong muốn của cá nhân và phải làm cho dữ liệu đó được an toàn. Chính vì điều đó cần có hướng dẫn, quy định về việc thu thập, lưu trữ và sử dụng thông tin cá nhân để mọi cá nhân, tổ chức biết và thực thi đúng cách, đúng pháp luật.
Theo Điều 38 của Bộ luật Dân sự Việt Nam đã được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XIII, kỳ họp thứ 10 thông qua ngày 24/11/2015 có quy định rất rõ về Quyền bí mật đời tư, trong đó quy định rõ:
1. Quyền bí mật đời tư của cá nhân được tôn trọng và được pháp luật bảo vệ.
2. Việc thu thập, công bố thông tin, tư liệu về đời tư của cá nhân phải được người đó đồng ý; trong trường hợp người đó đã chết, mất năng lực hành vi dân sự, chưa đủ mười lăm tuổi thì phải được cha, mẹ, vợ, chồng, con đã thành niên hoặc người đại diện của người đó đồng ý, trừ trường hợp thu thập, công bố thông tin, tư liệu theo quyết định của cơ quan, tổ chức có thẩm quyền.
3. Thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân được bảo đảm an toàn và bí mật.
Việc kiểm soát thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân được thực hiện trong trường hợp pháp luật có quy định và phải có quyết định của cơ quan nhà nước có thẩm quyền.
Vậy đối với các dữ liệu cá nhân do các tổ chức, đơn vị quản lý, lưu trữ, sử dụng trong các hệ thống thông tin thì cá nhân đó có quyền gì trong việc các đơn vị, tổ chứcquản lý, lưu trữ, sử dụng dữ liệu của mình. Theo tổ chức ICO (tên tiếng anh Information Commissloner’s office: Cơ quan độc lập của Vương quốc Anh hoạt động vì lợi ích cộng đồng và bảo vệ quyền riêng tư dữ liệu cá nhân), cá nhân sẽ có một số quyền cá nhân dưới đây để theo dõi, giám sát dữ liệu thông tin cá nhân của mình:
Quyền được biết nếu dữ liệu cá nhân của mình được sử dụng (Your right to be informed if your ersonal data is being used): Khi một tổ chức, đơn vị (tổ chức) sử dụng dữ liệu cá nhân thì phải thông báo cho người đó những thông tin chi tiết sau:
- Tại sao lại sử dụng dữ liệu của bạn.
- Loại gì và kiểu dữ liệu nào đang sử dụng
- Thời gian lưu giữ dữ liệu của bạn
- Thông tin về việc sẽ chuyển dữ liệu của bạn cho bên thứ ba, bao gồm tên của đơn vị được chuyển giao và lý do chuyển giao.
- Nếu dữ liệu sẽ được chuyển ra nước ngoài, thông tin bạn được biết sẽ bao gồm cả quốc gia liên quan và dữ liệu liệu được chuyển qua nước ngoài để làm gì.
- Bạn sở hữu thông tin của chính mình.
- Dữ liệu của bạn được lấy từ đâu.
- Nếu tổ chức, đơn vị đang sử dụng dữ liệu trong hồ sơ (ví dụ như dùng dữ liệu cá nhân để phân tích, tính toán hiệu suất làm việc, sức khỏe, sở thích cá nhân…).
Quyền được truy cập dữ liệu cá nhân (Your right of access):Cá nhân có quyền tìm hiểu xem tổ chức, đơn vị có đang sử dụng hoặc lưu trữ dữ liệu cá nhân mình hay không.
Quyền được điều chỉnh dữ liệu cá nhân chính xác (Your right to get your data conected): Đối với dữ liệu cá nhân của mình, bạn có thể yêu cầu tổ chức chỉnh sửa hoặc xóa bỏ các thông tin cá nhân. Nếu dữ liệu chưa đầy đủ, bạn có thể yêu cầu tổ chức bổ sung thêm các thông tin còn thiếu.Ví dụ: Một bác sĩ khám cho bệnh nhân và kết luận bệnh nhân đó mắc phải một bệnh cụ thể và ghi lại trong hồ sơ y tế của họ. Sau một thời gian phát hiện chẩn đoán là sai, tuy nhiên hồ sơ vẫn chuẩn đoán ban đầu vẫn lưu trữ. Chính vì vậy bệnh nhân có quyền yêu cầu chỉnh sửa lại các thông tin về bệnh án trong hồ sơ y tế của họ.
Quyền được xóa dữ liệu cá nhân(Your right to get your data deleted): Cá nhân có quyền yêu cầu tổ chức đang lưu giữ dữ liệu cá nhân mình phải xóa dữ liệu đang lưu giữ trong một số trường hợp sau:
- Tổ chức không còn sử dụng dữ liệu của cá nhân mình nữa. Ví dụ: trong trường hợp khi đăng ký phòng tập thể dục, sau một thời gian không tham gia nữa nên yêu cầu xóa dữ liệu cá nhân tại phòng tập này.
- Lúc đầu cá nhân đồng ý sử dụng dữ liệu nhưng sau không đồng ý nên rút lại việc sử dụng dữ liệu của mình. Ví dụ: Cá nhân đồng ý tham gia nghiên cứu thị trường, sau một thời gian không tham gia nữa nên yêu cầu xóa dữ liệu của mình.
- Cá nhân có quyền phản đối việc sử dụng dữ liệu của mình của tổ chức và quyền lợi của cá nhân lớn hơn việc sử dụng dữ liệu của tố chức.
- Tổ chức đã thu thập hoặc sử dụng dữ liệu của cá nhân bất hợp pháp
Quyền hạn chế các đơn vị sử dụng dữ liệu cá nhân(Your right to limit how organisations use your data):Mỗi cá nhân đều có thể giới hạn các tổ chức quản lý, sử dụng dữ liệu cá nhân của mình do có lo ngại về việc sự chính sác của dữ liệu và cách sử dụng dữ liệu của tổ chức. Về cơ bản quyền này liên quan mật thiết tới sự chính xác của dữ liệu và phản đối việc sử dụng dữ liệu của tổ chức.
Quyền di chuyển dữ liệu cá nhân(Your right to data portability):Mọi cá nhân đều có thể truy cập vào các dữ liệu cá nhân của mình trong các tổ chức quản lý, lưu trữ dữ liệu qua các hình thức thiết bị điện tử. Cá nhân có quyền yêu cầu di chuyển dữ liệu của mình từ tổ chức này sang tổ chức khác nếu hai tổ chức tiến hành chuyển nhượng. Tuy nhiên quyền này chỉ áp dụng cho các dữ liệu sau:
- Được tổ chức bằng điện tử
- Cá nhân đã cung cấp cho tổ chức
Dữ liệu cá nhân được di chuyển là những dữ liệu được cá nhân hóa cung cấp ban đầu như: tên, địa chỉ mail… và các dữ liệu được tổ chức thu thập được từ sự giám sát hoạt động của cá nhân thông qua việc sử dụng các thiết bị điện tử hoặc sử dụng dịch vụ. Các hoạt động này có thể là:
- Truy cập trang web hoặc lịch sử sử dụng việc tìm kiếm
- Lưu lượng truy cập và dữ liệu vị trí
- Dữ liệu thu thập được từ các thiết bị điện tử như đồng hồ thông minh hay các ứng dụng cho cá nhân sử dụng.
Quyền phản đối việc dữ liệu cá nhân bị sử dụng(Your right to object to the use of your data): Cá nhân có quyền phản đối việc tổ chức sử dụng (xử lý) dữ liệu cá nhân của mình trong một số trường hợp. Nếu tổ chức đồng ý với sự phản đối đó, tổ chức phải ngừng việc sử dụng dữ liệu cá nhân đó. Tổ chức có thể không đồng ý việc ngưng sử dụng dữ liệu cá nhân nếu đưa ra các lý do hợp lý và đúng pháp luật trong việc sử dụng dữ liệu. Riêng với trường hợp sử dụng dữ liệu để tiếp thị sản phẩm, cá nhân có quyền tuyệt đối khi yêu cầu tổ chức dừng việc sử dụng dữ liệu cá nhân của mình để tiếp thị. Tuy nhiên việc sử dụng quyền này cũng cần cân nhắc, kiểm tra mục đích của tổ chức sử dụng dữ liệu cá nhân của mình để làm gì.
Quyền lợi liên quan đến các quyết định được đưa ra về cá nhân mà không có sự tham gia của con người (Your rights relating to dicisions being made about you without human involvement): Đối với dữ liệu cá nhân được xử lý tự động thông qua các hệ thống thông tin mà không có sự tham gia của con người, hệ thống có thể tự đưa ra các quyết định thay cho cá nhân và lập hồ sơ cá nhân hoặc tự động xử lý các dữ liệu cá nhân.Điều này đề cập đến các quá trình xử lý của hệ thống tự động ra quyết định như ví dụ sau:
- Khi cá nhân nộp hồ sơ tín dụng trực tuyến, hệ thống sẽ ra quyết định trực tuyến ngay khi hoàn tất thủ tục nộp hồ sơ.
- Quyết định sẽ được đưa ra khi cá nhân tham gia tuyển dụng trực tuyến, các kỹ năng sẽ được kiểm tra nhờ các thuật toán và các tiêu chí được lập trình trong hệ thống.
Đối với trường hợp hệ thống sử dụng dữ liệu cá nhân để phân tích hoặc dự đoán các yếu tố đến cá nhân, nó sẽ được tạo lập trong hồ sơ như:
- Hiệu suất làm việc của cá nhân tại cơ quan
- Tình hình kinh tế, tài chính của cá nhân
- Sức khỏe và các vấn đề khác như sở thích cá nhân
Quyền truy cập vào thông tin từ cơ quan công quyền(Your right to access information from a public body): Mọi cá nhân đều có thể truy cập vào thông tin của cá nhân mình do cơ quan công quyền (như các cơ quan chính phủ, hội đồng nhân dân hay các trường học…) nắm giữ và các thông tin khác theo quy định của pháp luật. Trước khi truy cập tìm hiểu thông tin, cá nhân phải xác định rõ các nội dung thông tin cần tìm hiểu, không phải thông tin lúc nào cũng có sẵn để đáp ứng nhu cầu truy cập thông tin của cá nhân. Để đảm bảo hiệu quả mỗi cá nhân phải tự đánh giá các câu hỏi sau trước khi đưa ra yêu cầu:
- Thông tin cá nhân muốn có sẵn hay không: ví dụ những thông tin được đăng trên trang/cổng thông tin điện tử (Portal)của cơ quan công quyền.Một số loại thông tin sẽ được cung cấp thường xuyên trên Portal, cá nhân có thể tìm hiểu qua các quy định, hướng dẫn của cơ quan công quyền(Ví dụ ở Việt Nam: Nghị định 43/2011/NĐ-CP ngày 13 tháng 6 năm 2011 của Chính phủ về Quy định về việc cung cấp thông tin và dịch vụ công trực tuyến trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước).
- Thông tin có phải là dữ liệu cá nhân của riêng bản thân hay không: ví dụ như các thông tin về hồ sơ y tế của cá nhân
- Cơ quan công quyền có khả năng cung cấp thông tin đó hay không: Đối với mỗi cơ quan công quyền đều có lĩnh vực chuyên môn khác nhau, mức độ quản lý cũng khác nhau vì vậy cá nhân cần hiểu rõ thông tin mình cần có thuộc phạm vi quản lý của cơ quan công quyền nào cho phù hợp.
- Cá nhân muốn được cung cấp thông tin có phù hợp với quy định hay không: Những nội dung thông tin được cơ quan công quyền cung cấp sẽ phải phù hợp với tất cả các đối tượng và thích hợp với công chúng.
Đề cập về mối quan tâm với một tổ chức (Raising a concern with an organisation): Thông thường cá nhân có thể tin tưởng được rằng các cơ quan, tổ chức đang nắm giữ thông tin của cá nhân đều có trách nhiệm và phù hợp yêu cầu, quy định của pháp luật. Tuy nhiên cá nhân cũng có thể tìm hiểu các thông tin của mình đang lưu trữ hoặc khai thác sử dụng bởi cơ quan, tổ chức như:
- Thông tin cá nhân có được bảo mật hay không
- Thông tin của cá nhân có chính xác hay không
- Thông tin có bị tiết lộ cho bên thứ ba hay không
- Thông tin được lưu giữ lâu hơn mức cần thiết
- Thông tin được thu thập theo một lý do này nhưng lại sử dụng với một lý do khác
Kết luận:
Mỗi cá nhân cần có kiến thức hiểu biết nhất định về các tổ chức đang lưu trữ, sử dụng dữ liệu thông tin của mình. Còn đối với mỗi cơ quan, tổ chức nên xây dựng các quy định, nguyên tắc bảo mật an toàn thông tin cá nhân và có thông báo cụ thể cho cá nhân biết khi khai thác sử dụng dữ liệu của cá nhân đó. Ngoài ra cũng cần xây dựng các khung pháp lý trong việc bảo vệ thông tin cá nhân khi các cơ quan có nhu cầu thu thập, sử dụng chia sẻ dữ liệu và đảm bảo quyền lợi của cá nhân khi có tổ chức sử dụng sai mục đích, chuyển dữ liệu thông tin cho bên thứ ba mà không có sự đồng ý của cá nhân đó. Từ đó tạo ra một môi trường quản lý, chia sẻ dữ liệu điện tử một cách hiệu quả trong quá trình xây dựng chính phủ điện tử.
Bùi Hồng Hiếu
Tài liệu tham khảo:
- [1]. Bộ luật dân sự Việt Nam số 91/2015/QH13 ngày 24 tháng 11 năm 2015 của Quốc hội Việt Nam khóa XIII, kỳ họp thứ 10 thông qua
- [2] Luật tiếp cận thông tin Việt Nam số 104/2016/QH13 ngày 6 tháng 4 năm 2016 của Quốc hội Việt Nam khóa XIII, kỳ họp thứ 11 thông qua
- [3] Tìm hiểu thông tin tại địa chỉ https://ico.org.uk
- [4] Tìm hiểu thông tin tại địa chỉ https://en.wikipedia.org,
- [5] Nghị định 43/2011/NĐ-CP ngày 13 tháng 6 năm 2011 của Chính phủ về Quy định về việc cung cấp thông tin và dịch vụ công trực tuyến trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước.