Chú trọng bảo vệ dữ liệu cá nhân

Bắt đầu từ ngày 1/7/2023, Nghị định Bảo vệ dữ liệu cá nhân do Chính phủ ban hành (Nghị định số 13/2023/NÐ-CP) quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của các cơ quan, tổ chức, cá nhân có liên quan chính thức có hiệu lực. Ðây là một trong những nỗ lực góp phần thúc đẩy, bảo vệ quyền riêng tư của công dân, trong đó có việc ngăn chặn tình trạng mất cắp dữ liệu cá nhân đang diễn biến ngày càng phức tạp, đe dọa gây ra những hậu quả nghiêm trọng.
0:00 / 0:00
0:00
Ảnh minh họa. (Nguồn: mic.gov.vn)
Ảnh minh họa. (Nguồn: mic.gov.vn)

Quyền riêng tư là một trong những nội dung quan trọng của quyền con người. Ngay trong bản Hiến pháp đầu tiên của nước Việt Nam Dân chủ Cộng hòa năm 1946 tại Ðiều 11 đã quy định rõ: "Nhà ở và thư tín của công dân Việt Nam không ai được xâm phạm một cách trái pháp luật". Quan điểm này tiếp tục được khẳng định tại Hiến pháp các năm 1959, 1980, 1992. Ðến Hiến pháp năm 2013, cùng với việc ghi nhận quyền về sự riêng tư của cá nhân thì nội dung các quy định đã bám sát nền tảng cơ bản về nhân quyền được quốc tế công nhận.

Cụ thể, Ðiều 21 Hiến pháp năm 2013 quy định mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình, thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác, do đó không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác.

Trên cơ sở những quy định của Hiến pháp, Bộ luật Dân sự, Bộ luật Hình sự đã cụ thể hóa quyền về sự riêng tư của cá nhân và quy định các chế tài xử lý nghiêm minh. Ðồng thời việc bảo vệ quyền về sự riêng tư nói chung, quyền đối với dữ liệu cá nhân nói riêng tiếp tục được cụ thể hóa trong các văn bản luật và nghị định khác nhau, tiêu biểu có thể kể đến như: Luật An ninh mạng, Luật Công nghệ thông tin, Luật Bảo vệ quyền lợi người tiêu dùng, Luật An toàn thông tin mạng, Nghị định số 52/2013/NÐ-CP về thương mại điện tử...

Trong giai đoạn hiện nay, số hóa đang diễn ra trên mọi lĩnh vực của đời sống và là xu hướng sẽ tiếp tục được đẩy mạnh trong tương lai.

Việt Nam hiện có 72,1 triệu người sử dụng internet, tương đương hơn 73,2% dân số và là một trong những quốc gia có tốc độ phát triển và ứng dụng internet cao nhất thế giới.

Trong khi đó, dữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ khác nhau. Bởi vậy, yêu cầu bảo vệ quyền riêng tư nói chung, quyền dữ liệu cá nhân nói riêng ngày càng trở nên cấp bách, nhất là trong bối cảnh tội phạm mạng đang có những diễn biến phức tạp. Ðiều này được thể hiện rất rõ ở tình trạng ngày càng gia tăng về số lượng và mức độ nghiêm trọng của các vụ đánh cắp, mua bán dữ liệu cá nhân.

Ðáng lo ngại, tình trạng mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân mà còn có sự tham gia của một số công ty, tổ chức, doanh nghiệp... Dù chưa có đánh giá chính thức cũng như số liệu thống kê cụ thể về các thiệt hại của các sự cố mất mát, rò rỉ dữ liệu tại Việt Nam nhưng theo đánh giá của IBM Security, thiệt hại kinh tế hằng năm do vấn đề vi phạm dữ liệu của khu vực công khiến tổng chi phí tăng trung bình 10%/năm.

Ðặc biệt, trong kinh tế số, dữ liệu cá nhân được xem như một loại hàng hóa kinh doanh đặc biệt. Hạ tầng không gian mạng ngày càng hoàn thiện, tạo điều kiện thuận lợi cho các ngành, nghề, dịch vụ kinh doanh có liên quan dữ liệu cá nhân phát triển. Vì thế, nhiều đối tượng xấu tìm mọi cách để khai thác nguồn dữ liệu cá nhân, từ đó thực hiện các hành vi xâm phạm quyền con người, quyền công dân, và có các hành vi vi phạm pháp luật, vi phạm an ninh quốc gia. Yêu cầu bảo vệ dữ liệu cá nhân cần được soi chiếu từ góc độ cá nhân, quyền con người tới vấn đề chủ quyền, an ninh quốc gia.

Trên thế giới, quyền đối với dữ liệu cá nhân được nhiều quốc gia chú trọng và bảo vệ. Cụ thể, đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân.

Năm 2016, Liên minh châu Âu (EU) đã thông qua Luật Bảo vệ dữ liệu chung châu Âu (General Data Protection Regulation - GDPR), có hiệu lực từ ngày 25/5/2018. GDPR được đánh giá là một bước tiến pháp lý lớn, tạo ra cơ chế bảo vệ thông tin cá nhân khắt khe nhất thế giới hiện nay.

Theo các điều khoản của GDPR, không chỉ các tổ chức phải bảo đảm dữ liệu cá nhân được thu thập hợp pháp mà tất cả những bên thu thập và quản lý dữ liệu có nghĩa vụ bảo vệ dữ liệu khỏi việc bị lạm dụng và khai thác, cũng như tôn trọng quyền của chủ sở hữu dữ liệu. Tiền phạt đối với hành vi trái với quy định của GDPR rất cao, lên tới 20 triệu euro hoặc 4% doanh thu toàn cầu hằng năm.

Tại khu vực châu Á, tháng 5/2017, Nhật Bản đã ban hành Luật Bảo vệ thông tin cá nhân áp dụng đối với tất cả các công ty kinh doanh có trụ sở tại Nhật Bản hay ở nước ngoài khi kinh doanh tại Nhật Bản, đồng thời quốc gia này cũng thành lập Ủy ban bảo vệ thông tin cá nhân, tăng cường quản lý các doanh nghiệp công nghệ nước ngoài (Google, Facebook, Amazon...).

Còn tại Singapore, Chính phủ thể hiện quyết tâm rất lớn trong thực hiện và bảo vệ quyền đối với dữ liệu cá nhân khi thông qua Luật Bảo vệ dữ liệu cá nhân từ khá sớm (tháng 10/2012). Theo đó, luật công nhận quyền của các cá nhân trong việc bảo vệ các dữ liệu cá nhân của chính họ, đồng thời thừa nhận sự cần thiết của việc các tổ chức thu thập, sử dụng và tiết lộ thông tin cá nhân vì những mục đích phù hợp những hoàn cảnh nhất định. Cá nhân vi phạm sẽ bị phạt tiền (từ 2 nghìn tới 100 nghìn USD) hoặc tù giam (có thể lên tới ba năm) hoặc cả hai tùy mức độ vi phạm.

Từ kinh nghiệm pháp lý cùng các kinh nghiệm của nhiều quốc gia đi trước trong vấn đề bảo vệ quyền về dữ liệu cá nhân, nhiều năm qua Việt Nam đã tiếp thu và lựa chọn để xây dựng hành lang pháp lý về vấn đề này, trên cơ sở phù hợp thực tiễn hệ thống pháp luật, kinh tế-xã hội của đất nước cũng như bảo đảm chuẩn mực pháp luật quốc tế. Nghị định số 13/2023/NÐ-CP được Chính phủ ban hành ngày 17/4/2023, chính thức có hiệu lực ngày 1/7/2023 là minh chứng cụ thể.

Ðối tượng áp dụng của Nghị định là tất cả cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài; cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Ðây là hành lang pháp lý quan trọng để rà soát, đánh giá, thanh tra, kiểm tra về việc tuân thủ các quy định bảo vệ dữ liệu cá nhân với các cơ quan, tổ chức.

Ðáng chú ý, tại Nghị định số 13/2023/NÐ-CP, dữ liệu cá nhân được định nghĩa một cách toàn diện, cả trên không gian mạng và không gian truyền thống. Ðó là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể (khoản 1 Ðiều 2).

Dữ liệu cá nhân được phân biệt thành dữ liệu cá nhân cơ bản (gồm họ tên, ngày tháng năm sinh, giới tính, quốc tịch...) và dữ liệu cá nhân nhạy cảm (gồm: quan điểm chính trị, quan điểm tôn giáo; tình trạng sức khỏe, đời tư được ghi trong hồ sơ bệnh án; thông tin liên quan nguồn gốc chủng tộc, nguồn gốc dân tộc; thông tin về đời sống tình dục, xu hướng tình dục của cá nhân; dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị; thông tin khách hàng của tổ chức tín dụng... (khoản 3, 4 Ðiều 2). Các quy định nêu trên thể hiện sự tương thích của pháp luật Việt Nam với các đạo luật về bảo vệ dữ liệu cá nhân của những nước phát triển trên thế giới trong việc xác định các nguyên tắc bảo vệ dữ liệu cá nhân.

Theo đó, các nguyên tắc hàng đầu đó là: Tính hợp pháp, công bằng và minh bạch với chủ thể dữ liệu; mục đích xử lý dữ liệu phải hợp pháp và chủ thể dữ liệu phải được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của họ; chỉ thu thập và xử lý dữ liệu giới hạn trong phạm vi, mục đích cần xử lý; tính bảo mật; tính chịu trách nhiệm của các bên liên quan tới việc xử lý dữ liệu cá nhân...

Ðồng thời, quyền của chủ thể dữ liệu được quy định bao gồm: Quyền được biết, quyền đồng ý, quyền truy cập, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu, quyền cung cấp dữ liệu, quyền phản đối xử lý dữ liệu, quyền khiếu nại, tố cáo, khởi kiện, quyền yêu cầu bồi thường thiệt hại, quyền tự bảo vệ. Tuy nhiên, những quyền nêu trên sẽ bị hạn chế trong trường hợp khẩn cấp để bảo vệ tính mạng, sức khỏe của cá nhân hoặc người khác; tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; phòng, chống bạo loạn, khủng bố... (Ðiều 17).

Có thể thấy, quyền bảo vệ dữ liệu cá nhân luôn đi cùng với sự vận hành dân chủ, văn minh và sự phát triển ổn định của xã hội. Do đó Nghị định bảo vệ dữ liệu cá nhân chính là một bước tiến của Việt Nam trong bảo vệ quyền về sự riêng tư nói chung, quyền về dữ liệu cá nhân nói riêng. Ðể Nghị định phát huy hiệu quả, nhiều ý kiến cho rằng chế tài xử phạt vi phạm quyền về sự riêng tư nói chung và dữ liệu riêng tư nói riêng tại Việt Nam thời gian tới cần nâng cao tính răn đe và biện pháp ngăn chặn, phòng ngừa hiệu quả hơn, đồng thời cần tăng cường các giải pháp tuyên truyền, giáo dục về ý thức và các biện pháp tự bảo vệ dữ liệu cá nhân nhằm hạn chế để lộ những dữ liệu nhạy cảm.