Quyền đối với dữ liệu cá nhân là gì? Pháp luật quốc tế về bảo vệ quyền đối với dữ liệu cá nhân?

1. Thông tin cá nhân là gì?

Thông tin cá nhân (TTCN) là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác.

2. Quyền đối với dữ liệu cá nhân là gì?

Quyền đối với dữ liệu cá nhân (the right to personal data, hay quyền bảo vệ dữ liệu cá nhân/quyền về sự riêng tư với dữ liệu cá nhân) là một phần cốt yếu của quyền về sự riêng tư (the right to privacy) của con người. Quyền về sự riêng tư là một quyền con người cơ bản, có tầm quan trọng thiết yếu để bảo đảm sự tự chủ và bảo vệ phẩm giá của con người. Quyền này giúp mỗi cá nhân tạo lập và kiểm soát ranh giới chính đáng với những người khác, từ đó bảo vệ bản thân trước những sự can thiệp tùy tiện trong cuộc sống, đồng thời cho phép mỗi cá nhân xác định mình là ai và cách thức mà bản thân muốn tương tác với thế giới xung quanh. Đối với xã hội, bảo vệ quyền về sự riêng tư của mỗi thành viên cũng chính là tạo lập và bảo vệ nền tảng của đời sống cộng đồng. Một cộng đồng không thể tồn tại nếu các thành viên của nó không được bảo vệ khỏi những hình thức lạm dụng. Theo nghĩa đó, bảo vệ quyền về sự riêng tư của mỗi cá nhân góp phần bảo đảm tính dân chủ, văn minh và sự phát triển ổn định, hài hòa của xã hội. Vì thế, quyền về sự riêng tư ngày nayđã trở thành một trong những vấn đề nhân quyền quan trọng.

Dữ liệu là yếu tố đóng vai trò then chốt cho sự tiến bộ của thời đại ngày nay. Điều đó dựa trên sự phát triển của các công nghệ lưu trữ và các loại cảm biến mà nó cho phép thu thập một khối lượng dữ liệu lớn từ đời sống xã hội. Tuy nhiên, điều đó cũng đặt ra yêu cầu phải bảo đảm để mọi người có thể kiểm soát thông tin hay dữ liệu cá nhân của mình. Do đó, thuật ngữ dữ liệu cá nhân được ghi nhận và trở nên phổ biến trong khoa học pháp lý.

3. Pháp luật quốc tế về bảo vệ quyền đối với dữ liệu cá nhân

Ở cấp độ toàn cầu, các quy định về bảo vệ quyền về sự riêng tư có thể được tìm thấy trong Tuyên ngôn Nhân quyền phổ quát năm 1948 (UDHR), trong đó có Điều 12 về bảo vệ quyền về sự riêng tư. Từ nội dung Điều 12 UDHR, có thể thấy nội hàm của các giá trị riêng tư cần được bảo vệ không chỉ là cuộc sống riêng tư của mỗi cá nhân, mà còn bao gồm cả những khía cạnh đời sống có sự gắn kết mật thiết với cá nhân, cụ thể như gia đình, nơi ở, thư tín và cả những giá trị định tính như danh dự, uy tín cá nhân...

Tiếp theo UDHR, nhiều công ước quốc tế về quyền con người cũng công nhận quyền về sự riêng tư như một quyền cơ bản, cụ thể như: Công ước quốc tế về các quyền dân sự và chính trị (ICCPR) (Điều 17); Công ước về quyền của người lao động nhập cư (Điều 14); Công ước về quyền trẻ em (Điều 16); Công ước về quyền của người khuyết tật (Điều 22) ...

Dù vậy, sự phát triển của công nghệ trong cuộc Cách mạng công nghiệp 4.0 mà đi kèm với nó là tiềm năng giám sát ngày càng tinh vi của các hệ thống máy tính đã đặt ra những yêu cầu mới với bảo vệ dữ liệu của cá nhân. Để đáp ứng yêu cầu này, có hai công cụ pháp lý quốc tế đã được phát triển, trong đó đặt ra một số quy tắc cụ thể chi phối việc thu thập và xử lý dữ liệu cá nhân, bao gồm: Công ước năm 1981 của Hội đồng châu Âu về bảo vệ cá nhân liên quan đến việc xử lý dữ liệu cá nhân tự động và Hướng dẫn của Tổ chức Hợp tác và Phát triển Kinh tế (OSCD) điều chỉnh việc bảo vệ quyền về sự riêng tư và việc chuyển đổi dữ liệu cá nhân xuyên biên giới. Các văn kiện này mô tả thông tin cá nhân là dữ liệu được bảo vệ ở mọi bước, từ thu thập đến lưu trữ và phổ biến. Quyền của mọi người được truy cập và sửa đổi dữ liệu của mình cũng là một khía cạnh chính của các quy tắc này. Biểu hiện của sự bảo vệ dữ liệu trong hai văn kiện đã nêu cơ bản là tương đồng, chỉ khác nhau ở mức độ, theo đó tất cả đều yêu cầu đối với thông tin cá nhân thì: i) Chỉ có thể được thu thập một cách công bằng và hợp pháp; ii) Chỉ được sử dụng cho mục đích ban đầu được biết rõ; iii) Bảo đảm tính đầy đủ, phù hợp và không vượt quá mục đích; iv) Bảo đảm tính chính xác và cập nhật; và v) Phải được loại bỏ sau khi mục đích sử dụng đã hoàn thành. Hai văn kiện nêu trên đã có tác động sâu sắc đến việc xây dựng và áp dụng luật pháp về bảo vệ dữ liệu cá nhân trên toàn thế giới, không giới hạn ở các nước châu Âu và các quốc gia thành viên của OECD.

Tuy nhiên, có thể nói rằng, luật pháp quốc tế hiện nay vẫn còn tương đối tụt hậu so với sự phát triển như vũ bão của công nghệ. Điều này đã khiến cho việc bảo vệ quyền đối với dữ liệu cá nhân của con người trong thực tế còn rất khó khăn. Tính đến thời điểm hiện nay, vẫn chưa có điều ước quốc tế toàn cầu nào về bảo vệ quyền đối với dữ liệu cá nhân. Hai văn kiện về bảo vệ dữ liệu cá nhân đã nêu trên (Công ước của Hội đồng châu Âu năm 1981 và Hướng dẫn của OECD) về nguyên tắc chỉ có tác động trong khu vực châu Âu và với các nước thành viên của OECD. Không chỉ vậy, Bản hướng dẫn của OECD chỉ có tính chất khuyến nghị, không có hiệu lực pháp lý ràng buộc.

4. Pháp luật Việt Nam về bảo vệ thông tin cá nhân

Điều 38 của Bộ luật Dân sự quy định “Quyền bí mật đời tư của cá nhân được tôn trọng và được pháp luật bảo vệ” hay “Thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân được bảo đảm an toàn và bí mật”.

Phạm vi điều chỉnh của Luật An toàn thông tin mạng chỉ quy định các vấn đề liên quan đến kỹ thuật nhằm đảm bảo thông tin truyền đưa trên mạng được nguyên vẹn, không bị gián đoạn, sửa đổi hoặc phá hoại, được bảo đảm bí mật, nên không điều chỉnh vấn đề liên quan đến nội dung thông tin và thông tin riêng.

Tuy nhiên, tại điều 18 “cập nhật, sửa đổi và hủy bỏ thông tin cá nhân” đã quy định rõ, chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ, hoặc ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba.

Ngay khi nhận được yêu cầu, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm thực hiện yêu cầu và thông báo lại cho chủ thể thông tin cá nhân hoặc cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận để tự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình do tổ chức, cá nhân xử lý thông tin cá nhân đang lưu trữ.

Tổ chức, cá nhân xử lý thông tin còn phải áp dụng các biện pháp phù hợp để bảo vệ thông tin cá nhân; thông báo lại cho chủ thể thông tin cá nhân đó trong trường hợp chưa thực hiện được yêu cầu do yếu tố kỹ thuật hoặc yếu tố khác.

Luật cũng quy định tổ chức, cá nhân xử lý thông tin cá nhân phải hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ và thông báo cho chủ thể thông tin cá nhân biết, trừ trường hợp pháp luật có quy định khác.

Luật cũng quy định thiết lập kênh thông tin trực tuyến, xử lý các phản ánh của người dân về các vấn đề bảo vệ thông tin cá nhân.

Từ góc độ pháp lý, để giải quyết vấn đề trên, cần có quy định cho 2 nhóm đối tượng khác nhau, bao gồm cá nhân, tổ chức có hành vi phát tán thông tin cá nhân bất hợp pháp và doanh nghiệp kinh doanh dịch vụ có lưu giữ thông tin cá nhân của người sử dụng.

Đối với cá nhân, tổ chức có hành vi phát tán thông tin cá nhân bất hợp pháp, hành lang pháp lý để xử lý hành vi này cơ bản được quy định trong Bộ Luật Dân sự, Luật Bảo vệ người tiêu dùng và các luật chuyên ngành như các Luật: Viễn thông, Công nghệ thông tin, Giao dịch điện tử. Tuy nhiên, các quy định này còn rời rạc, chưa đầy đủ, chưa đủ rõ ràng để có thể áp dụng vào một số trường hợp trong thực tiễn.

Ngoài ra, một điểm mới của Luật là chỉ rõ trách nhiệm của chính người dùng trong việc bảo vệ thông tin cá nhân của mình, trên nguyên tắc chung là mỗi người phải có trách nhiệm “tự bảo vệ thông tin cá nhân và tự chịu trách nhiệm khi cung cấp những thông tin đó trên mạng”.

Trước hết, người sử dụng phải tự ý thức bảo vệ thông tin cá nhân của mình, cũng như thận trọng khi cung cấp thông tin cá nhân của mình lên mạng Internet.

Về chế tài xử phạt đối với các hành vi phát tán, chia sẻ thông tin cá nhân, tùy theo mức độ, hành vi thì tổ chức, cá nhân vi phạm sẽ bị xử lý vi phạm hành chính hoặc xử lý trách nhiệm hình sự theo các quy định pháp luật hiện hành.

Luật ATTTM khi có hiệu lực, kết hợp cùng Bộ luật Dân sự, Luật Bảo vệ người tiêu dùng và các văn bản pháp luật chuyên ngành khác như Luật Viễn thông, Luật Giao dịch điện tử… sẽ tạo thành hệ thống pháp luật đồng bộ, đầy đủ cho công tác bảo vệ thông tin cá nhân của người sử dụng trong kỷ nguyên Internet hiện nay, góp phần thúc đẩy hơn nữa hoạt động giao dịch điện tử phục vụ phát triển kinh tế - xã hội của đất nước.

- Nguyên tắc bảo vệ thông tin cá nhân trên mạng quy định tại Điều 16 Luật ATTTM như sau:

+ Cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng.

+ Cơ quan, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý.

+ Tổ chức, cá nhân xử lý thông tin cá nhân phải xây dựng và công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của tổ chức, cá nhân mình.

+ Việc bảo vệ thông tin cá nhân thực hiện theo quy định của Luật này và quy định khác của pháp luật có liên quan.

+ Việc xử lý thông tin cá nhân phục vụ mục đích bảo đảm quốc phòng, an ninh, trật tự, an toàn xã hội hoặc không nhằm mục đích thương mại được thực hiện theo quy định khác của pháp luật có liên quan.

5. Pháp luật Việt Nam về bảo vệ quyền riêng tư, thông tin cá nhân của trẻ em

Về bảo vệ quyền riêng tư của trẻ em, Luật Trẻ em năm 2016 xác định: “Cơ quan, tổ chức, cá nhân quản lý, cung cấp sản phẩm, dịch vụ thông tin, truyền thông và tổ chức các hoạt động trên môi trường mạng phải thực hiện các biện pháp bảo đảm an toàn và bí mật đời sống riêng tư cho trẻ em theo quy định của pháp luật” (Khoản 2, Điều 54). Đồng thời, hành vi công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em mà không được sự đồng ý của trẻ em từ đủ 7 tuổi trở lên và của cha, mẹ, người giám hộ của trẻ em là hành vi bị nghiêm cấm (Điều 6).

Luật An ninh mạng năm 2018 cũng quy định về bảo vệ quyền riêng tư của trẻ em trên không gian mạng (Điều 30): “Trẻ em có quyền được bảo vệ, quyền được tiếp cận thông tin và tham gia hoạt động xã hội, quyền vui chơi, giải trí, quyền bí mật đời sống riêng tư và các quyền trẻ em khác khi tham gia trên môi trường mạng” và “chủ quản hệ thống thông tin, cơ quan, tổ chức cung cấp dịch vụ trên mạng viễn thông, mạng internet có trách nhiệm kiểm soát nội dung thông tin trên hệ thống thông tin hoặc trên dịch vụ do cơ quan, tổ chức cung cấp, không để gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em; tiến hành ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin có nội dung gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em” (khoản 2). Các chủ thể có trách nhiệm bảo vệ trẻ em trên không gian mạng không chỉ là các chủ thể có thẩm quyền, mà còn là "cơ quan, tổ chức, cha mẹ, giáo viên, người chăm sóc trẻ em và cá nhân khác liên quan có trách nhiệm bảo đảm quyền của trẻ em" đều có trách nhiệm bảo vệ trẻ em khi tham gia không gian mạng theo quy định của pháp luật về trẻ em.

Việc xử lý vi phạm quyền riêng tư của trẻ em trên môi trường mạng internet được quy định trong Nghị định số 174/2013/NĐ-CP của Chính phủ quy định về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện, sửa đổi, bổ sung theo Nghị định số 49/2017/NĐ-CP. Theo đó, phạt tiền đối với các hành vi phạm về trang thông tin điện tử; tổ chức, doanh nghiệp cung cấp dịch vụ mạng xã hội liên quan đến tiết lộ bí mật đời tư hoặc bí mật khác khi chưa được sự đồng ý của cá nhân, tổ chức có liên quan trừ trường hợp pháp luật quy định.

Bài viết tham khảo:

- Hoàn thiện quy định của pháp luật về bảo vệ quyền riêng tư của trẻ em - TS. PHẠM THỊ DUYÊN THẢO, TS. PHAN THỊ LAN PHƯƠNG - Khoa Luật, Đại học Quốc gia Hà Nội;

- Quy định bảo vệ quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình trong pháp luật quốc tế và kinh nghiệm đối với Việt Nam - TS.LS. Nguyễn Thùy Trang - Đoàn Luật sư Thành phố Hà Nội.