Mobile Area

Bảo vệ dữ liệu cá nhân: Nhìn qua các nước, ngó lại Việt Nam

Thứ Bảy,  1/8/2020, 00:14 
Trương Trọng Hiểu (*)

Bảo vệ dữ liệu cá nhân: Nhìn qua các nước, ngó lại Việt Nam

Trương Trọng Hiểu (*)

(TBKTSG) - Vài người bạn tôi có cảm giác mình đang bị... điện thoại theo dõi, ngay cả khi điện thoại... đã tắt. Tôi tin điều đó, vì đôi lần có... trải nghiệm tương tự. Thức dậy sau một đêm, mở điện thoại, tôi đã thấy ngay một số link gợi ý về các vấn đề mới vừa được nói ra trước đó. Bảo mật riêng tư đã bắt đầu được quan tâm nhiều hơn. Tôi cho rằng, đó là xu hướng phản ứng tích cực của xã hội, đặc biệt là trong thời đại mà kinh tế ứng dụng (app) đang ngày càng chiếm “sóng.”

Chỉ có điều, khi kinh tế số đã trở thành chủ đề được bàn thảo nhiều, thậm chí còn trở thành nội dung chủ đạo trong chiến lược và chính sách phát triển kinh tế của Chính phủ thì pháp luật về bảo vệ quyền riêng tư ở Việt Nam vẫn chưa... kịp lớn.

Cho đến nay, câu chuyện bảo vệ quyền riêng tư vẫn tiếp tục dựa trên nền tảng pháp lý truyền thống là chế định bảo vệ quyền nhân thân trong pháp luật dân sự. Xâm phạm thông tin cá nhân trên không gian số gần như chưa được đề cập nhiều. Một vài văn bản pháp lý chuyên ngành, đặc biệt là các cơ chế thử nghiệm (sandbox) về kinh doanh số gần đây có đề cập đề chính sách bảo mật thông tin người dùng, nhưng tất cả các đề cập đó chỉ dừng lại ở mức... nhắc nhở.

Ngay cả luật gây chú ý nhất gần đây, Luật An ninh mạng năm 2018, cũng chỉ điểm qua nguyên tắc bảo vệ “đời sống riêng tư” của cá nhân trên không gian mạng hơn là các công cụ hữu hiệu trong thực thi chính sách ngăn chặn hành vi thu thập và sử dụng thông tin cá nhân bất hợp pháp và bất hợp lý.

Điều khá lạ là cách đây không lâu, dự thảo nghị định về chống tin rác và tin nhắn, cuộc gọi quảng cáo còn đề xuất cho phép các nhãn hàng được gọi quảng cáo sản phẩm một ngày một lần cho một số điện thoại trong khoảng thời gian từ 7 giờ sáng đến... 10 giờ đêm, trừ khi chủ nhân thực hiện thao tác từ chối.

Cho đến nay, dự thảo nghị định vẫn chưa được thông qua. Tuy nhiên, trong lúc tình trạng thông cá nhân người dùng di động bị khai thác “không có đường thoát”, đây không phải là kiến nghị không gây sốc.

Singapore là một trong số những đại diện tiêu biểu trong khu vực về phát triển chính sách bảo mật cá nhân. Đặc biệt, quốc gia này đã chuẩn bị và thông qua Luật Bảo vệ dữ liệu cá nhân gần mười năm trước. Đạo luật đã chính thức đặt ra trách nhiệm của các tổ chức trong việc thu thập, sử dụng, công bố, tiếp cận, lưu giữ, điều chỉnh, bảo vệ và chuyển giao dữ liệu cá nhân. Trách nhiệm trong việc gửi tin nhắn tiếp thị cũng được đề cập.

Điều đáng nói là đạo luật này không tồn tại độc lập. Ngược lại, chính sách bảo vệ thông tin cá nhân này tiếp tục được phát triển bằng các quy tắc, bản hướng dẫn và cả các đạo luật chuyên ngành có liên quan khác, như Luật An ninh mạng, Luật Ngân hàng, Luật Hoạt động y tế tư... Ủy ban Bảo vệ thông tin cá nhân Singapore (PDPC) cũng đã ra đời và đến nay có không ít các vụ cáo buộc vi phạm của doanh nghiệp mỗi năm được PDPC công bố trên trang web của mình.

Thông thường, theo pháp luật Singapore, mọi hành động tiếp cận và thu thập thông tin không được phép của chủ thể có quyền đều được xem là vi phạm chính sách bảo mật riêng tư, bất kể thông tin đó có thuộc dạng “nhạy cảm” hay không. Tuy nhiên, trên thực tế, các cáo buộc chỉ đưa ra cho các vi phạm đối với thông tin thuộc dạng nhạy cảm, như các dữ liệu về sức khỏe, tài chính và bảo hiểm. Trong nhiều trường hợp, việc sử dụng các thông tin này mà không có biện pháp bảo toàn tương thích, bên vi phạm có thể đối diện với các mức phạt cao hơn.

Khá ấn tượng là luật về chống thư rác của Singapore còn đặt ra giới hạn và trách nhiệm trong việc gửi thông tin tiếp thị khi chưa có sự đồng ý của bên tiếp nhận qua tin nhắn, e-mail và đương nhiên là kể cả bằng cuộc gọi. Singapore quy định rằng, việc thu thập thông tin cá nhân cho các chiến dịch tiếp thị như vậy phải được sự chấp thuận (consent) của cá nhân. Thậm chí, phương thức không biểu thị không đồng ý có nghĩa là chấp thuận cũng được gạt bỏ ở quốc đảo công nghệ hàng đầu Đông Nam Á này.

Trên thực tế, các ý kiến cổ vũ phương thức tiếp thị trực tuyến, trực tiếp có thể chỉ ra những tác động ngược của giới hạn pháp luật đối với các hoạt động kinh doanh. Ngược lại, dễ để hiểu rằng, ngay cả việc tạo động lực phát triển kinh tế là cần thiết thì điều đó cũng không có nghĩa mọi hành vi xâm phạm đến đời sống cá nhân và quyền riêng tư được mặc nhiên tồn tại, và được... dung túng.

Không riêng gì Singapore, nhiều quốc gia, vùng lãnh thổ khác trong khu vực cũng có hướng tiếp cận tương tự, như Hàn Quốc, Đài Loan... Bài viết có thể minh họa thêm trường hợp cụ thể của Nhật Bản, quốc gia ban hành Luật Bảo vệ thông tin cá nhân từ gần... hai mươi năm trước.

Tương tự như Singapore, sau nhiều lần bổ sung và sửa đổi luật, Nhật Bản đã thành lập cơ quan thực thi trực tiếp là Ủy ban Bảo vệ thông tin cá nhân (PPC) thuộc Nội các vào năm 2016. Khá ấn tượng là tòa án Nhật Bản luôn bảo vệ, và quyền hóa quyền riêng tư và đời sống riêng tư của cá nhân.

Tuy nhiên, so với Singapore, khung pháp lý của Nhật Bản về bảo vệ quyền riêng tư phản ánh nhiều thiên hướng kinh tế. Từ các vấn đề pháp lý về thông tin (information) cá nhân, luật pháp Nhật Bản mở rộng đến khả năng khai thác dữ liệu (data) cá nhân và cơ sở dữ liệu (database) cá nhân và đặt ra khung pháp lý về khai thác cơ sở dữ liệu cho các hoạt động kinh doanh. Đương nhiên, đó là dữ liệu đã được chuyển đổi bằng máy tính, mã hóa, và không thể nhận dạng ra người có thông tin được thu thập và thậm chí là không thể khôi phục lại thông tin ban đầu của cá nhân “gốc” đó.

Nhật Bản vì vậy thường nhấn mạnh đến các vi phạm về bảo vệ dữ liệu, như làm sai lệch, mất hoặc rò rỉ dữ liệu cá nhân. Ngoài các tình huống hạn định, việc chuyển giao dữ liệu cá nhân cho bên thứ ba khi chưa có sự chấp thuận trước của chủ thể có quyền đối với thông tin cũng bị ngăn cấm.

Luật pháp hai nước cũng không kiềm tỏa việc chuyển giao dữ liệu người cho các đơn vị kinh doanh ngoài lãnh thổ, miễn là các điều kiện cho giao dịch được tuân thủ, như bên chuyển giao có được sự chấp thuận từ những người dùng đó và bên tiếp nhận có chính sách bảo mật hữu hiệu. Kiểm soát của Nhật Bản đối với hoạt động tiếp thị qua tin nhắn, e-mail và cuộc gọi cũng không khác biệt so với Singapore.

Nhìn chung, các quốc gia đều đặt ra các chuẩn mực về tính hợp lý trong khai thác dữ liệu, như việc khai thác thông tin chỉ nhằm mục đích phục vụ cho các hoạt động có liên quan. Các quốc gia vì vậy không đưa ra các giới hạn tối thiểu hóa thông tin được khai thác, vì hành động tiếp cận quá mức đã bị phong tỏa. Tuy nhiên, chính sách khai thác, sử dụng và cả bảo mật thông tin người dùng phải được công khai, minh thị. Thậm chí, logo hệ thống đánh dấu quyền riêng tư (privacy mark system), dù không bắt buộc, cũng đã được nhiều đơn vị vận hành kinh doanh Nhật Bản sử dụng như một trong số những tiêu chuẩn công nghiệp ở quốc gia này.

Dù tiếp cận thiên về tính kinh tế trong khai thác dữ liệu, Nhật Bản vẫn đặt ra một số rào cản nhằm bảo toàn quyền riêng tư nhiều hơn. Nếu như Singapore không đặt ra giới hạn thời gian lưu giữ thông tin người dùng (dù thực tế chúng thường được gỡ bỏ sau đó), Nhật Bản, tùy từng trường hợp, áp đặt các khung thời gian cụ thể để gỡ bỏ thông tin khi việc sử dụng nó đã không còn cần thiết. Đáng chú ý, quyền được lãng quên (right to forgotten) cũng được Nhật Bản thừa nhận.

Vài năm trước, tôi vô tình đọc được lời ca thán “cây súng hơi mạng xã hội đã triệt tiêu quyền riêng tư”(1). Có vẻ, cảm thán này không mấy... hợp thời với tiếp cận và phát triển pháp lý hiện tại, và có thể là trong tương lai, ở nhiều nước. Chẳng thể phủ nhận quyền riêng tư đang có tín hiệu... sẽ chết, nhưng vì nó có thể chết nên luật pháp sẽ chẳng thể nào... đứng nhìn nó “chết”, thậm chí còn thương mại hóa. Việt Nam chắc rồi cũng chẳng khác đi được. n

(*) Trường ĐH Kinh tế - Luật, ĐHQG TPHCM.

(1) Privacy is dead, and social media hold the smocking gun.

In bài
Gửi bài cho bạn bè
CÙNG CHUYÊN MỤC
Hồ Tonle Sap khô cạn, ĐBSCL tiếp tục bị hạn mặn gay gắt
Ấn Độ tài trợ 350.000 đô la Mỹ giúp ĐBSCL quản lý nguồn nước
Bắt căn bệnh lâu ngày về chậm giải ngân vốn đầu tư công
Tạo sức ép chuyển đổi số lên địa phương để thúc đẩy chính phủ điện tử
Hồ trữ nước ngọt ở Bến Tre, bị nhiễm mặn vẫn được đánh giá hiệu quả
Bảo vệ dữ liệu cá nhân: Nhìn qua các nước, ngó lại Việt Nam
Trương Trọng Hiểu (*)
Thứ Bảy,  1/8/2020, 00:14 

Bảo vệ dữ liệu cá nhân: Nhìn qua các nước, ngó lại Việt Nam

Trương Trọng Hiểu (*)

(TBKTSG) - Vài người bạn tôi có cảm giác mình đang bị... điện thoại theo dõi, ngay cả khi điện thoại... đã tắt. Tôi tin điều đó, vì đôi lần có... trải nghiệm tương tự. Thức dậy sau một đêm, mở điện thoại, tôi đã thấy ngay một số link gợi ý về các vấn đề mới vừa được nói ra trước đó. Bảo mật riêng tư đã bắt đầu được quan tâm nhiều hơn. Tôi cho rằng, đó là xu hướng phản ứng tích cực của xã hội, đặc biệt là trong thời đại mà kinh tế ứng dụng (app) đang ngày càng chiếm “sóng.”

Chỉ có điều, khi kinh tế số đã trở thành chủ đề được bàn thảo nhiều, thậm chí còn trở thành nội dung chủ đạo trong chiến lược và chính sách phát triển kinh tế của Chính phủ thì pháp luật về bảo vệ quyền riêng tư ở Việt Nam vẫn chưa... kịp lớn.

Cho đến nay, câu chuyện bảo vệ quyền riêng tư vẫn tiếp tục dựa trên nền tảng pháp lý truyền thống là chế định bảo vệ quyền nhân thân trong pháp luật dân sự. Xâm phạm thông tin cá nhân trên không gian số gần như chưa được đề cập nhiều. Một vài văn bản pháp lý chuyên ngành, đặc biệt là các cơ chế thử nghiệm (sandbox) về kinh doanh số gần đây có đề cập đề chính sách bảo mật thông tin người dùng, nhưng tất cả các đề cập đó chỉ dừng lại ở mức... nhắc nhở.

Ngay cả luật gây chú ý nhất gần đây, Luật An ninh mạng năm 2018, cũng chỉ điểm qua nguyên tắc bảo vệ “đời sống riêng tư” của cá nhân trên không gian mạng hơn là các công cụ hữu hiệu trong thực thi chính sách ngăn chặn hành vi thu thập và sử dụng thông tin cá nhân bất hợp pháp và bất hợp lý.

Điều khá lạ là cách đây không lâu, dự thảo nghị định về chống tin rác và tin nhắn, cuộc gọi quảng cáo còn đề xuất cho phép các nhãn hàng được gọi quảng cáo sản phẩm một ngày một lần cho một số điện thoại trong khoảng thời gian từ 7 giờ sáng đến... 10 giờ đêm, trừ khi chủ nhân thực hiện thao tác từ chối.

Cho đến nay, dự thảo nghị định vẫn chưa được thông qua. Tuy nhiên, trong lúc tình trạng thông cá nhân người dùng di động bị khai thác “không có đường thoát”, đây không phải là kiến nghị không gây sốc.

Singapore là một trong số những đại diện tiêu biểu trong khu vực về phát triển chính sách bảo mật cá nhân. Đặc biệt, quốc gia này đã chuẩn bị và thông qua Luật Bảo vệ dữ liệu cá nhân gần mười năm trước. Đạo luật đã chính thức đặt ra trách nhiệm của các tổ chức trong việc thu thập, sử dụng, công bố, tiếp cận, lưu giữ, điều chỉnh, bảo vệ và chuyển giao dữ liệu cá nhân. Trách nhiệm trong việc gửi tin nhắn tiếp thị cũng được đề cập.

Điều đáng nói là đạo luật này không tồn tại độc lập. Ngược lại, chính sách bảo vệ thông tin cá nhân này tiếp tục được phát triển bằng các quy tắc, bản hướng dẫn và cả các đạo luật chuyên ngành có liên quan khác, như Luật An ninh mạng, Luật Ngân hàng, Luật Hoạt động y tế tư... Ủy ban Bảo vệ thông tin cá nhân Singapore (PDPC) cũng đã ra đời và đến nay có không ít các vụ cáo buộc vi phạm của doanh nghiệp mỗi năm được PDPC công bố trên trang web của mình.

Thông thường, theo pháp luật Singapore, mọi hành động tiếp cận và thu thập thông tin không được phép của chủ thể có quyền đều được xem là vi phạm chính sách bảo mật riêng tư, bất kể thông tin đó có thuộc dạng “nhạy cảm” hay không. Tuy nhiên, trên thực tế, các cáo buộc chỉ đưa ra cho các vi phạm đối với thông tin thuộc dạng nhạy cảm, như các dữ liệu về sức khỏe, tài chính và bảo hiểm. Trong nhiều trường hợp, việc sử dụng các thông tin này mà không có biện pháp bảo toàn tương thích, bên vi phạm có thể đối diện với các mức phạt cao hơn.

Khá ấn tượng là luật về chống thư rác của Singapore còn đặt ra giới hạn và trách nhiệm trong việc gửi thông tin tiếp thị khi chưa có sự đồng ý của bên tiếp nhận qua tin nhắn, e-mail và đương nhiên là kể cả bằng cuộc gọi. Singapore quy định rằng, việc thu thập thông tin cá nhân cho các chiến dịch tiếp thị như vậy phải được sự chấp thuận (consent) của cá nhân. Thậm chí, phương thức không biểu thị không đồng ý có nghĩa là chấp thuận cũng được gạt bỏ ở quốc đảo công nghệ hàng đầu Đông Nam Á này.

Trên thực tế, các ý kiến cổ vũ phương thức tiếp thị trực tuyến, trực tiếp có thể chỉ ra những tác động ngược của giới hạn pháp luật đối với các hoạt động kinh doanh. Ngược lại, dễ để hiểu rằng, ngay cả việc tạo động lực phát triển kinh tế là cần thiết thì điều đó cũng không có nghĩa mọi hành vi xâm phạm đến đời sống cá nhân và quyền riêng tư được mặc nhiên tồn tại, và được... dung túng.

Không riêng gì Singapore, nhiều quốc gia, vùng lãnh thổ khác trong khu vực cũng có hướng tiếp cận tương tự, như Hàn Quốc, Đài Loan... Bài viết có thể minh họa thêm trường hợp cụ thể của Nhật Bản, quốc gia ban hành Luật Bảo vệ thông tin cá nhân từ gần... hai mươi năm trước.

Tương tự như Singapore, sau nhiều lần bổ sung và sửa đổi luật, Nhật Bản đã thành lập cơ quan thực thi trực tiếp là Ủy ban Bảo vệ thông tin cá nhân (PPC) thuộc Nội các vào năm 2016. Khá ấn tượng là tòa án Nhật Bản luôn bảo vệ, và quyền hóa quyền riêng tư và đời sống riêng tư của cá nhân.

Tuy nhiên, so với Singapore, khung pháp lý của Nhật Bản về bảo vệ quyền riêng tư phản ánh nhiều thiên hướng kinh tế. Từ các vấn đề pháp lý về thông tin (information) cá nhân, luật pháp Nhật Bản mở rộng đến khả năng khai thác dữ liệu (data) cá nhân và cơ sở dữ liệu (database) cá nhân và đặt ra khung pháp lý về khai thác cơ sở dữ liệu cho các hoạt động kinh doanh. Đương nhiên, đó là dữ liệu đã được chuyển đổi bằng máy tính, mã hóa, và không thể nhận dạng ra người có thông tin được thu thập và thậm chí là không thể khôi phục lại thông tin ban đầu của cá nhân “gốc” đó.

Nhật Bản vì vậy thường nhấn mạnh đến các vi phạm về bảo vệ dữ liệu, như làm sai lệch, mất hoặc rò rỉ dữ liệu cá nhân. Ngoài các tình huống hạn định, việc chuyển giao dữ liệu cá nhân cho bên thứ ba khi chưa có sự chấp thuận trước của chủ thể có quyền đối với thông tin cũng bị ngăn cấm.

Luật pháp hai nước cũng không kiềm tỏa việc chuyển giao dữ liệu người cho các đơn vị kinh doanh ngoài lãnh thổ, miễn là các điều kiện cho giao dịch được tuân thủ, như bên chuyển giao có được sự chấp thuận từ những người dùng đó và bên tiếp nhận có chính sách bảo mật hữu hiệu. Kiểm soát của Nhật Bản đối với hoạt động tiếp thị qua tin nhắn, e-mail và cuộc gọi cũng không khác biệt so với Singapore.

Nhìn chung, các quốc gia đều đặt ra các chuẩn mực về tính hợp lý trong khai thác dữ liệu, như việc khai thác thông tin chỉ nhằm mục đích phục vụ cho các hoạt động có liên quan. Các quốc gia vì vậy không đưa ra các giới hạn tối thiểu hóa thông tin được khai thác, vì hành động tiếp cận quá mức đã bị phong tỏa. Tuy nhiên, chính sách khai thác, sử dụng và cả bảo mật thông tin người dùng phải được công khai, minh thị. Thậm chí, logo hệ thống đánh dấu quyền riêng tư (privacy mark system), dù không bắt buộc, cũng đã được nhiều đơn vị vận hành kinh doanh Nhật Bản sử dụng như một trong số những tiêu chuẩn công nghiệp ở quốc gia này.

Dù tiếp cận thiên về tính kinh tế trong khai thác dữ liệu, Nhật Bản vẫn đặt ra một số rào cản nhằm bảo toàn quyền riêng tư nhiều hơn. Nếu như Singapore không đặt ra giới hạn thời gian lưu giữ thông tin người dùng (dù thực tế chúng thường được gỡ bỏ sau đó), Nhật Bản, tùy từng trường hợp, áp đặt các khung thời gian cụ thể để gỡ bỏ thông tin khi việc sử dụng nó đã không còn cần thiết. Đáng chú ý, quyền được lãng quên (right to forgotten) cũng được Nhật Bản thừa nhận.

Vài năm trước, tôi vô tình đọc được lời ca thán “cây súng hơi mạng xã hội đã triệt tiêu quyền riêng tư”(1). Có vẻ, cảm thán này không mấy... hợp thời với tiếp cận và phát triển pháp lý hiện tại, và có thể là trong tương lai, ở nhiều nước. Chẳng thể phủ nhận quyền riêng tư đang có tín hiệu... sẽ chết, nhưng vì nó có thể chết nên luật pháp sẽ chẳng thể nào... đứng nhìn nó “chết”, thậm chí còn thương mại hóa. Việt Nam chắc rồi cũng chẳng khác đi được. n

(*) Trường ĐH Kinh tế - Luật, ĐHQG TPHCM.

(1) Privacy is dead, and social media hold the smocking gun.

In bài
Gửi bài cho bạn bè
TIN BÀI KHÁC  
Top
 
Giấy phép Báo điện tử số: 2302/GP-BTTTT, cấp ngày 29/11/2012
Tổng biên tập: Trần Minh Hùng.
Phó tổng biên tập phụ trách online: Phan Chiến Thắng.
Phó thư ký tòa soạn: Yến Dung, Minh Châu.
Tòa soạn: 35 Nam Kỳ Khởi Nghĩa, Quận 1, TP.HCM. ĐT:(8428)3829 5936; Fax:(8428)3829 4294; Email: online@kinhtesaigon.vn
Thời báo Kinh tế Sài Gòn giữ bản quyền nội dung của trang web thesaigontimes.vn. Không sử dụng lại nội dung trên trang này dưới mọi hình thức, trừ khi được Thời báo Kinh tế Sài Gòn đồng ý bằng văn bản.
Trang ngoài sẽ được mở ra ở cửa sổ mới. Thời báo Kinh tế Sài Gòn Online không chịu trách nhiệm nội dung trang ngoài.
Bản quyền thuộc về SaigonTimesGroup.