Thứ hai, các văn bản pháp luật chuyên
ngành liên quan đến bảo vệ dữ liệu cá nhân
cần được rà soát và hệ thống hóa với mục
đích củng cố cơ chế bảo vệ quyền riêng tư
nói chung và quyền bảo vệ dữ liệu cá nhân
nói riêng theo ngành, lĩnh vực cụ thể, đồng
thời đáp ứng được những yêu cầu của tiêu
chuẩn quốc tế hiện hành.
Thứ ba, việc nhận dạng cá nhân cần
được quy định cụ thể hơn và có những
hướng dẫn chi tiết, cụ thể hóa “quy định về
thông tin khác” tại Nghị định số
72/2013/NĐ-CP (sửa đổi, bổ sung bởi Nghị
định số 27/2018 ngày 01/03/2018 của Chính
Phủ về quản lý, cung cấp, sử dụng dịch vụ
Internet và thông tin trên mạng). Những
“thông tin khác” này có thể học hỏi theo như
APPI, bao gồm: dữ liệu nhận dạng khuôn
mặt, dữ liệu giọng nói, dữ liệu mẫu dáng đi,
dữ liệu lòng bàn tay/ngón tay/dấu vân tay,
mô hình tĩnh mạch.
Thứ tư, một cơ quan đầu mối chuyên
trách về bảo vệ quyền riêng tư cũng như bảo
vệ dữ liệu cá nhân như Ủy ban bảo vệ dữ liệu
thông tin tại Nhật Bản sẽ đóng vai trò vô
cùng quan trọng. Cơ quan này sẽ có thẩm
quyền xem xét các khiếu nại, giám sát,
nghiên cứu hoàn thiện chính sách, pháp luật
về bảo vệ dữ liệu cá nhân.
8 trang |
Chia sẻ: hachi492 | Ngày: 18/01/2022 | Lượt xem: 401 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Bảo vệ dữ liệu cá nhân tại Nhật Bản thông qua đạo luật về bảo vệ thông tin cá nhân và một số khuyến nghị đối với Việt Nam, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
57Số 13 (413) - T7/2020
NGHIÊN CỨU
LẬP PHÁP
KINH NGHIỆM QUỐC TẾ
1. Đặt vấn đề
Bảo vệ dữ liệu cá nhân là một khía cạnh
lớn của sự riêng tư và quyền bảo vệ dữ liệu
cá nhân được ghi nhận và phát triển từ quyền
riêng tư. Sự ra đời của điện thoại, máy ghi
âm và đặc biệt là máy tính cùng internet đã
tạo ra mối quan tâm lớn về bảo vệ dữ liệu từ
các quốc gia, đặc biệt là trong thập niên 70
của thế kỷ XX. Nhận biết được về sự phát
triển của thương mại điện tử cũng như là
internet, việc xây dựng luật về bảo vệ dữ liệu
sẽ giúp người dùng yên tâm hơn khi tham
gia hay trao đổi trên không gian mạng. Pháp
luật về bảo vệ dữ liệu cá nhân ở các quốc gia
trên thế giới được hình thành trong thời gian
này hầu hết dựa vào “Hướng dẫn của
OECD2 về bảo vệ riêng tư và dữ liệu cá nhân
xuyên biên giới năm 1980”3 và “ Hướng dẫn
của OECD về bảo vệ người tiêu dùng trong
bối cảnh thương mại điện tử năm 1999”4 .
BẢO VỆ Dữ LIỆU CÁ NHÂN TẠI NHẬT BẢN THôNG QUA ĐẠO LUẬT VỀ
BẢO VỆ THôNG TIN CÁ NHÂN VÀ MỘT SỐ KHUYẾN NGHỊ ĐỐI VớI VIỆT NAM
Lê Xuân Tùng*
*ThS. Viện khoa học pháp lý, Bộ Tư pháp.
Thông tin bài viết:
Từ khóa: Bảo vệ dữ liệu cá nhân,
quyền riêng tư, thông tin, APPI.
Lịch sử bài viết:
Nhận bài : 30/06/2020
Biên tập : 04/07/2020
Duyệt bài : 05/07/2020
Article Infomation:
Key words: Personal data
protection, privacy right,
information, APPI.
Article History:
Received : 30 Jun. 2020
Edited : 04 Jul. 2020
Approved : 05 Jul. 2020
Tóm tắt:
Bài viết này cung cấp thông tin về bảo vệ dữ liệu cá nhân tại Nhật
Bản thông qua Đạo luật bảo vệ thông tin cá nhân1. Trên cơ sở kinh
nghiệm quốc tế, tác giả đề xuất một số khuyến nghị cho Việt Nam
khi xây dựng khung pháp luật về bảo vệ dữ liệu cá nhân.
Abstract:
This article provides information on the regulation of personal data
protection in Japan through the Act on the Protection of Personal
Information. Based on international experience, the article presents
a number of proposed recommendations for Vietnam when
developing a legal framework for personal data protection.
Keywords:
1 Xem tại:
2 Tổ chức hợp tác và phát triển kinh tế.
3 Xem https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflow-
sofpersonaldata.html.
4 Xem https://www.oecd.org/sti/consumer/oecdguidelinesforconsumerprotectioninthecontextofelectroniccom-
merce1999.html.
Số 13 (413) - T7/202058
NGHIÊN CỨU
LẬP PHÁP
KINH NGHIỆM QUỐC TẾ
Theo Hướng dẫn năm 1980 của OECD, có
thể hiểu dữ liệu cá nhân là bất kỳ thông tin
nào liên quan đến hoặc cho phép xác định
một cá nhân nhất định (đối tượng dữ liệu)5.
Sau sự ra đời của EU vào năm 1993,
Chỉ thị số 95/46/EC về bảo vệ dữ liệu được
ban hành6 vào ngày 24 tháng 10 năm 1995,
tiếp tục tạo ra một khung pháp lý mới đối với
thị trường kỹ thuật số với sự công nhận về
quyền riêng tư và việc bảo vệ dữ liệu cá nhân
bởi Tòa án Nhân quyền châu Âu (European
Court of Human Rights hay ECHR). Cụ thể,
các mục tiêu bao trùm được đặt ra bởi EU và
các quốc gia thành viên có thể có những sự
thay đổi khi áp dụng nhưng vẫn phải đảm
bảo những tiêu chuẩn tối thiểu của Chỉ thị.
Quy định chung về bảo vệ dữ liệu của Liên
minh châu Âu có hiệu lực chính thức vào
ngày 25 tháng 5 năm 2018 (General Data
Protection Regulation – gọi tắt là GDPR)
thay thế Chỉ thị số 95/46/EC, là một quy
định có tính ràng buộc trực tiếp đối với các
quốc gia thành viên mà trong đó nó không
chỉ tập trung vào quyền riêng tư, mà còn đơn
giản hóa chế độ bảo vệ dữ liệu cho các
doanh nghiệp châu Âu trong thời đại kỹ
thuật số.
Đối với các nước châu Á, quốc gia đầu
tiên quy định về bảo vệ dữ liệu là Hong
Kong thông qua Sắc lệnh về quyền riêng tư
có hiệu lực vào ngày 20 tháng 12 năm 196,
một nơi rất đề cao quyền công dân cũng như
sự phát triển và bảo vệ tự do cá nhân (bao
gồm quyền riêng tư). Sự chậm trễ trong quá
trình lập pháp liên quan đến bảo vệ dữ liệu
diễn ra ở những năm tiếp theo cho đến khi
các quốc gia nhận thấy được sự bùng nổ khó
kiểm soát của thông tin và dữ liệu. Có thể
thấy, dù nhận thức được về tầm quan trọng
của quyền riêng tư cũng như bảo vệ dữ liệu
trong kỷ nguyên số, đây không phải là vấn
đề có thể được quy định ngay trong luật quốc
gia. Nhiều nước vẫn còn đang khá dè dặt và
chỉ đề cập đến thông qua các luật khác, hay
thậm chí là các chính sách. Sự ra đời của
GDPR như đã đề cập ở trên có tác động toàn
cầu và có thể trở thành một tiêu chuẩn vàng
cho các quốc gia hay lãnh thổ áp dụng cho
quá trình lập pháp về bảo vệ dữ liệu.
Vào năm 2003, Nhật Bản ban hành Đạo
luật bảo vệ thông tin cá nhân có hiệu lực vào
tháng 4 năm 2005. Nhật Bản luôn được biết
đến là quốc gia có ngành công nghệ thông
tin phát triển hàng đầu và luôn quan tâm đến
việc bảo vệ các quyền cơ bản của con người.
Nhật Bản cũng là một trong các nước châu
Á đi đầu trong việc ban hành pháp luật về
bảo vệ dữ liệu. Đạo luật bảo vệ thông tin của
Nhật Bản khi ra đời vào năm 2003 được
đánh giá là có nhiều nét tương đồng với Chỉ
thị số 95/46/EC của EU và những sửa đổi
mới nhất của Đạo luật này vào năm 2017
cũng có sự tương thích với GDPR.
2. Nhật Bản - quốc gia châu Á tiên phong cho
vấn đề bảo vệ dữ liệu cá nhân thời đại số
Văn hóa Nhật Bản đối với quyền riêng tư
Khi nói đến Nhật Bản, người ta thường
nghĩ ngay tới một quốc gia có nền văn hóa
Á Đông lâu đời song song với sự hiện đại đi
đầu đối với những đổi mới của nhân loại7.
Đối với quá trình lập pháp cũng như xuyên
suốt lịch sử pháp luật, hệ thống pháp luật
5 Xem OECD: Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 1980.
6 Xem https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A31995L0046.
7 Xem The Office of the Privacy Commissioner for Personal Data, Hong Kong website at:
Warren B. Chik, The Lion, the Dragon and the Wardrobe Guarding
the Doorway to Information and Communications Privacy on the Internet: A Comparative Case Study of
Hong Kong and Singapore e Two Differing Asian Approaches, International Journal of Law and Information
Technology, 2005 Vol. 14 No. 1, p. 47.
59Số 13 (413) - T7/2020
NGHIÊN CỨU
LẬP PHÁP
KINH NGHIỆM QUỐC TẾ
Nhật Bản cũng có sự kết hợp hài hòa giữa
truyền thống, đạo đức và những ảnh hưởng
tiến bộ của pháp luật phương Tây với mục
tiêu “khoa học phương Tây, đạo đức phương
Đông”8, tạo ra bước tiền đề vững chắc cho
quá trình hội nhập và phát triển. Trong một
xã hội phát triển, mỗi cá nhân đều tự ý thức
được các quyền cơ bản của họ và quyền
riêng tư hiện nay đã trở thành mối quan tâm
hàng đầu. Tuy nhiên, sự hiểu biết về khái
niệm và tầm quan trọng của quyền riêng tư
không thật sự phổ quát và có sự đồng nhất.
Điều này có thể được lý giải do sự khác biệt
về văn hóa, kinh tế và xã hội theo từng vùng
lãnh thổ. De George9 trong nghiên cứu của
mình đã tuyên bố rằng, văn hóa ảnh hưởng
đến khái niệm riêng tư; các xã hội khác nhau
có quan điểm khác nhau về những gì cấu
thành sự riêng tư, tầm quan trọng của nó và
mức độ, nhu cầu của việc xứng đáng được
bảo vệ. Đối vời người Nhật Bản, trước đây,
họ thường nhìn nhận khái niệm quyền riêng
tư một cách chủ quan và ít coi trọng quyền
này hơn các quốc gia phương Tây.
Xét về mặt bản chất, xã hội Nhật Bản từ
xưa không dành quá nhiều sự quan tâm đến
quyền riêng tư. Không có từ tiếng Nhật
tương ứng với từ “privacy” (riêng tư trong
tiếng Anh). Nhiều người Nhật sử dụng từ
puraibashi, một từ được chấp nhận cho
quyền riêng tư, mà ý nghĩa của nó là không
rõ ràng10 . Đối với người Nhật bình thường,
quyền riêng tư là một ý tưởng đến từ các
nước phương Tây, một số người cảm thấy
rằng ý thức về quyền riêng tư có thể mang
tính chủ quan vì nó có nghĩa là bất cứ ai cũng
có thể tự ý từ chối sự can thiệp của người
khác. Mặt khác, để thích ứng với sự phát
triển của một xã hội thông tin, Đạo luật về
bảo vệ dữ liệu cá nhân được ban hành vào
tháng 4 năm 2005. Đạo luật này đã giúp
nhiều người ở Nhật Bản hiểu giá trị của việc
bảo vệ dữ liệu cá nhân và tầm quan trọng của
nó. Đồng thời, các tổ chức kinh doanh cũng
như Chính phủ cũng quản lý đúng cách dữ
liệu cá nhân mà họ có thể thu thập và lưu trữ
trong cơ sở dữ liệu.
2.2. Đạo luật bảo vệ thông tin cá nhân
của Nhật Bản (APPI)11
Dựa vào ý tưởng rằng công nghệ thông
tin có thể trở thành một công nghệ chiến
lược toàn cầu trong thế kỷ 21, Chính phủ
Nhật Bản đã áp dụng chính sách xây dựng
một xã hội thông tin có mạng lưới cao, và
đang phát triển cơ sở hạ tầng. Đạo luật bảo
vệ dữ liệu cá nhân là một phần của việc thực
hiện chính sách này; đã được phê duyệt vào
tháng 5 năm 2003, bắt đầu có hiệu lực vào
ngày 01/4/2005.
Động lực đằng sau Đạo luật, trong đó có
các điều khoản phạt, không đến từ Nhật Bản.
Thay vào đó, nó đến từ áp lực bên ngoài của
cộng đồng quốc tế với các nguồn chính là
Hướng dẫn của OECD và Chỉ thị số
95/46/EC về xử lý dữ liệu cá nhân. Đạo luật
bảo vệ thông tin cá nhân của Nhật Bản là
một trong những luật riêng tư sớm nhất được
ban hành tại châu Á. Đạo luật này được thiết
kế để bảo vệ quyền và lợi ích của cá nhân
trong khi đảm bảo xem xét đúng đắn việc sử
dụng thông tin cá nhân bởi các nguyên tắc
cơ bản để xử lý đúng thông tin cá nhân.
8 Nguyễn Văn Quang, Văn hóa pháp luật Nhật Bản - Sự kết hợp truyền thống và hiện đại, Tạp chí Luật học,
số 8/2014.
9 Hoàng Văn Đoàn và Mai Văn Thắng, Ảnh hưởng của pháp luật phương Tây đến pháp luật Nhật Bản trong
lịch sử và những giá trị tham khảo đối với Việt Nam trong bối cảnh hiện nay, Tạp chí Khoa học ĐHQGHN:
Luật học, Tập 34, Số 3 (2018) 60-70.
10 De George, R.T. (2003), The ethics of information technology and business, Blackwell.
11 Murata, K. (2004), Is global information ethics possible? Opinions on the technologically-dependent so-
ciety, Journal of Information, Communication and Ethics in Society, 2(5): 518-519.
Số 13 (413) - T7/202060
NGHIÊN CỨU
LẬP PHÁP
KINH NGHIỆM QUỐC TẾ
Mười bốn năm sau, Nhật Bản đã có sửa đổi
đáng chú ý và rộng rãi cho Đạo luật vào
tháng 5 năm 2017, chỉ một năm trước ngày
GDPR có hiệu lực. Việc sửa đổi là sự phản
ánh xu hướng toàn cầu về quy định bảo mật
dữ liệu, cụ thể là GDPR của EU. Chính phủ
Nhật Bản và Ủy ban châu Âu đã đạt được
thỏa thuận chung rằng họ sẽ làm việc cùng
nhau để cung cấp cho công dân của họ mức
độ riêng tư dữ liệu cao hơn. Vào tháng 7 năm
2017, hai bên cũng đã đồng ý rằng họ sẽ làm
việc để đưa ra danh sách trắng vào đầu năm
201812, làm nổi bật vai trò ngày càng tăng
của quyền riêng tư đối với dữ liệu trong quan
hệ kinh doanh quốc tế.
2.2.1. Phạm vi áp dụng
APPI được áp dụng đối với “những nhà
quản lý doanh nghiệp xử lý các thông tin cá
nhân”13 (Business operator handling
personal information). Cụ thể hơn, nhà quản
lý doanh nghiệp này có thể là thể nhân hay
pháp nhân sử dụng dữ liệu thông tin cá nhân
nhằm mục đích kinh doanh, ngoại trừ: i) Các
cơ quan nhà nước; ii) Chính quyền địa
phương; (iii) Những cơ quan hành chính
được sáp nhập; và iv) Những tổ chức hành
chính độc lập ở địa phương. Phạm vi của
APPI cũng mở rộng tới cả những pháp nhân
nước ngoài thu thập và xử lý thông tin cá
nhân tại Nhật Bản. Thêm vào đó, thậm chí
nếu một pháp nhân nước ngoài không được
thành lập tại Nhật Bản, một vài điều khoản
trong APPI cũng sẽ được áp dụng đối với
pháp nhân đó khi cung cấp sản phẩm hay
dịch vụ cho cá nhân tại Nhật Bản và thu
thập, xử lý dữ liệu cá nhân đó.
Một điểm đáng chú ý của APPI là việc
sử dụng thuật ngữ “handling” (nắm giữ hoặc
xử lý thông tin) thay vì “processing” (xử lý
thông tin) như các văn bản khác liên quan
đến bảo vệ dữ liệu. “Handling” có thể được
hiểu với tính khái quát cao hơn, bao gồm bất
kỳ hoạt động nào liên quan đến các thông tin
cá nhân.
2.2.2. Thông tin cá nhân và dữ liệu
thông tin cá nhân
Thông tin cá nhân được định nghĩa là
thông tin về một cá nhân sống thuộc bất kỳ
mục nào sau đây: (a) thông tin có chứa tên,
ngày sinh hoặc các mô tả khác, theo đó một
cá nhân cụ thể có thể được xác định (bao
gồm thông tin cho phép dễ dàng tham khảo
cho phép nhận dạng cá nhân); hoặc (b) thông
tin chứa mã nhận dạng cá nhân, là mã, bao
gồm các ký tự, ký tự số và dấu, có thể được
sử dụng để xác định cá nhân cụ thể và được
quy định trong Nghị định của Chính phủ quy
định về việc thực hiện Luật sửa đổi, bổ sung
ban hành tháng 12 năm 201614 (ví dụ: định
danh sinh trắc học chẳng hạn như dữ liệu
vân tay, dữ liệu nhận dạng, hộ chiếu hoặc số
giấy phép lái xe). Các định nghĩa về thông
tin cá nhân tùy thuộc vào ngữ cảnh và không
giới hạn đến các loại dữ liệu cụ thể. Luật sửa
đổi, bổ sung năm 2017 đã làm rõ hơn định
nghĩa về mã được quy định trong APPI15; cụ
thể, dựa theo Điều 1 Nghị định của Chính
phủ, mã cá nhân nhận dạng bao gồm hai loại
mã sau đây:
(1) Mã là một tính năng cơ thể của một
cá nhân cụ thể đã được chuyển đổi thành dữ
liệu được cung cấp để sử dụng bởi máy tính,
12 Xem Act for Protection of Personal Information (APPI) trên
detail/?id=2781&vm=2&re=02.
13 Xem trên https://www.skadden.com/insights/publications/2018/09/quarterly-insights/data-protection-in-
japan-to-align-with-gdpr.
14 Khoản 4 Điều 2 Đạo luật về bảo vệ thông tin cá nhân Nhật Bản.
15 Cabinet order. Xem thêm tại: https://www.ppc.go.jp/files/pdf/Cabinet_Order.pdf.
bao gồm dữ liệu DNA, dữ liệu nhận dạng
khuôn mặt, dữ liệu giọng nói, dữ liệu mẫu
dáng đi, dữ liệu lòng bàn tay/ ngón tay/ dấu
vân tay, mô hình tĩnh mạch;
(2) Mã được gán liên quan đến việc sử
dụng dịch vụ hoặc mua bán hàng hóa cung
cấp cho một cá nhân, hoặc được nêu trong
giấy tờ cấp cho một cá nhân để có thể xác
định một người cụ thể, chẳng hạn như số hộ
chiếu, sổ lương hưu, giấy phép lái xe và số
bảo hiểm y tế16.
Dữ liệu cá nhân được định nghĩa là
thông tin cá nhân nằm trong một cơ sở dữ
liệu thông tin cá nhân. Một cơ sở dữ liệu
thông tin cá nhân là tập hợp thông tin, bao
gồm (a) tập hợp thông tin được sắp xếp một
cách có hệ thống theo cách cho phép thông
tin cá nhân cụ thể được lấy ra bằng máy tính;
và (b) bất kỳ việc thu thập thông tin nào khác
được quy định trong Nghị định của Chính
phủ được sắp xếp một cách có hệ thống theo
một cách cho phép cụ thể để thông tin cá
nhân dễ dàng được tìm kiếm.
2.2.3. Mục đích sử dụng thông tin
Nhà quản lý doanh nghiệp xử lý thông
tin cá nhân phải làm rõ mục đích sử dụng
thông tin cá nhân, đồng thời phải tuân thủ
những quy định sau: (i) nhà quản lý không
được sử dụng thông tin cá nhân nằm ngoài
phạm vi cần thiết để đạt được các mục đích
mà không có sự cho phép từ trước của cá
nhân; và (ii) không được thay đổi mục đích
sử dụng ngoài phạm vi có mối quan hệ thay
thế một cách chính đáng với mục đích sử
dụng ban đầu.
2.2.4. Thu thập thông tin
Thông tin được thu thập phải hợp pháp
và nhà quản lý doanh nghiệp không được
thu thập các thông tin cá nhân bằng cách lừa
dối hay các phương pháp sai trái khác. Một
khi nhà quản lý doanh nghiệp thu thập thông
tin, cá nhân bị thu thập thông tin phải được
thông báo hay tuyên bố công khai về mục
đích sử dụng trừ một số ngoại lệ sau: i) việc
thông báo hay tuyên bố công khai có khả
năng gây hại đến đời sống, thân thể, tài sản,
quyền hay lợi ích của cá nhân hay bên thứ
ba; ii) những thông báo này có khả năng gây
hại đối với quyền cũng như lợi ích chính
đáng của nhà quản lý; (iii) sự phối hợp với
một cơ quan nhà nước, chính quyền địa
phương hay bên thứ ba là cần thiết để tiến
hành các vấn đề được quy định bởi luật pháp
mà sự thông báo hay tuyên bố công khai có
khả năng cản trở việc thực hiện.
Thông tin nhạy cảm (sensitive
information) cũng được quy định trong APPI
và đây là loại thông tin mà nhà quản lý
doanh nghiệp không được thu thập từ các cá
nhân mà không có sự cho phép từ trước.
Thuật ngữ này được sử dụng trong APPI là
“thông tin cá nhân được yêu cầu đặc biệt”
(Special care-required personal
information) bao gồm trạng thái xã hội, hồ
sơ bệnh án, hồ sơ phạm tội hay lịch sử về
việc đã từng là nạn nhân của tội phạm. Ngoài
việc phải có sự đồng ý từ trước của cá nhân
khi thu thập, nhà quản lý doanh nghiệp sẽ
không được phép chuyển các thông tin nhạy
cảm này cho bất kỳ bên thứ ba nào khác.
2.2.5. Quyền yêu cầu xóa đối với dữ liệu
cá nhân
Nếu một cá nhân yêu cầu nhà quản lý
doanh nghiệp xử lý thông tin chỉnh sửa, mở
rộng hay xóa dữ liệu cá nhân của chính mình
bởi vì sự không chính xác, các nhà quản lý
phải ngay lập tức điều tra. Dựa vào kết quả
điều tra, nhà quản lý sẽ phải có những hành
động cụ thể đối với dữ liệu cá nhân và phản
hồi tới yêu cầu của cá nhân. Hơn nữa, nếu
một cá nhân yêu cầu nhà quản lý doanh
nghiệp ngưng sử dụng hay tiết lộ các dữ liệu
cá nhân đã được lưu trữ bởi vì vi phạm APPI,
nhà quản lý phải dừng việc sử dụng hay tiết
lộ nếu lý do được đưa ra là xác đáng.
2.2.6. Bên thứ ba
Cũng như các quy định khác về bảo vệ
dữ liệu trong văn bản quốc tế cũng như pháp
61Số 13 (413) - T7/2020
NGHIÊN CỨU
LẬP PHÁP
KINH NGHIỆM QUỐC TẾ
Số 13 (413) - T7/202062
NGHIÊN CỨU
LẬP PHÁP
KINH NGHIỆM QUỐC TẾ
luật quốc gia, nhà quản lý doanh nghiệp
không được cung cấp thông tin cá nhân cho
bên thứ ba mà không có sự đồng ý từ cá
nhân. Tại đây, “bên thứ ba” có thể bao gồm
các thể nhân, pháp nhân khác hay bao gồm
cả các công ty con của nhà quản lý doanh
nghiệp. Chính vì vậy, việc nhà quản lý doanh
nghiệp cung cấp thông tin cho các công ty
con của mình cũng phải tuân theo những quy
định về bên thứ ba trong APPI. Đối với bên
thứ ba ngoài phạm vi lãnh thổ của Nhật Bản,
nhà quản lý doanh nghiệp cũng cần sự đồng
ý từ chủ dữ liệu trước khi cung cấp.
2.2.7. Thi hành và hình phạt vi phạm
PPC ( Personal Information Protection
Commission- Ủy ban bảo vệ dữ liệu thông
tin) là cơ quan bảo vệ dữ liệu cấp trung ương
được thành lập theo bản sửa đổi gần đây của
APPI và chịu trách nhiệm cho việc thi hành,
điều tra. Ngoài ra, PPC17 còn chịu trách
nhiệm cho việc ban hành hướng dẫn tuân thủ
APPI. Trước khi PPC được thành lập, có
nhiều cơ quan của Chính phủ có quyền lực
thi hành đối với các nhà quản lý doanh
nghiệp theo thẩm quyền tương ứng, và tại
mỗi một cơ quan lại có hướng dẫn riêng
(theo thống kê là hơn 40 hướng dẫn cho 27
ngành công nghiệp). Sự ra đời của bộ hướng
dẫn từ PPC đã tạo ra sự thống nhất cao, tránh
tình trạng hướng dẫn nằm phân tán, rải rác
trong quy định tại các cơ quan khác nhau.
PPC có thể yêu cầu các báo cáo về việc
xử lý thông tin cá nhân và ban hành các
khuyến nghị hay lệnh sửa đổi trong trường
hợp nhà quản lý doanh nghiệp vi phạm
quyền riêng tư của cá nhân và vi phạm
những quy định của APPI. Trước khi ban
hành lệnh sửa đổi thì các khuyến nghị,
hướng dẫn sẽ được gửi tới nhà quản lý doanh
nghiệp. Việc vi phạm lệnh sửa đổi là tội
phạm hình sự và cá nhân chịu trách nhiệm
có thể bị phạt tù tối đa lên tới 6 tháng, khoản
tiền phạt cũng lên đến 300.000 Yên Nhật
(xấp xỉ 2.400 Euro)18. Đây cũng là mức phạt
tiền tối đa với nhà quản lý doanh nghiệp.
3. Bảo vệ dữ liệu cá nhân trong pháp luật
Việt Nam hiện hành và một số khuyến nghị
Kế thừa và phát triển từ các bản Hiến
pháp trước, Hiến pháp năm 2013 đã có
những quy định về quyền riêng tư và cụ thể
hơn về bí mật dữ liệu cá nhân tại Điều 21:
“1. Mọi người có quyền bất khả xâm
phạm về đời sống riêng tư, bí mật cá nhân
và bí mật gia đình; có quyền bảo vệ danh dự,
uy tín của mình. Thông tin về đời sống riêng
tư, bí mật cá nhân, bí mật gia đình được
pháp luật bảo đảm an toàn.
2. Mọi người có quyền bí mật thư tín,
điện thoại, điện tín và các hình thức trao đổi
thông tin riêng tư khác. Không ai được bóc
mở, kiểm soát, thu giữ trái luật thư tín, điện
thoại, điện tín và các hình thức trao đổi
thông tin riêng tư của người khác”.
Bảo vệ quyền riêng tư và bảo vệ dữ liệu
cá nhân cũng đã được quy định và điều
chỉnh tại một số luật chuyên ngành với nhiều
lĩnh vực khác nhau. Điều 38 Bộ luật Dân sự
năm 2015 đã cụ thể hóa quy định tại khoản
1 Điều 21 Hiến pháp năm 2013 như sau:
“1. Đời sống riêng tư, bí mật cá nhân,
bí mật gia đình là bất khả xâm phạm và
được pháp luật bảo vệ.;
2. Việc thu thập, lưu giữ, sử dụng, công
khai thông tin liên quan đến đời sống riêng
tư, bí mật cá nhân phải được người đó đồng
ý, việc thu thập, lưu giữ, sử dụng, công khai
16 Noriko Higashizawa and Yuri Aihara, “Data Privacy Protection of Personal Information versus Usage of
Big Data: Introduction of the Recent Amendment to the Act on the Protection of Personal Information
(Japan)” (2017) 84 Def Counsel J 1.
17 Nghị định của Chính phủ quy định về việc thực hiện Luật sửa đổi, bổ sung ban hành tháng 12 năm 2016.
18 Xem tại: https://www.ppc.go.jp/en/.
63Số 13 (413) - T7/2020
NGHIÊN CỨU
LẬP PHÁP
KINH NGHIỆM QUỐC TẾ
thông tin liên quan đến bí mật gia đình phải
được các thành viên gia đình đồng ý, trừ
trường hợp luật có quy định khác;
3. Thư tín, điện thoại, điện tín, cơ sở dữ
liệu điện tử và các hình thức trao đổi thông
tin riêng tư khác của cá nhân được bảo đảm
an toàn và bí mật. Việc bóc mở, kiểm soát,
thu giữ thư tín, điện thoại, điện tín, cơ sở dữ
liệu điện tử và các hình thức trao đổi thông
tin riêng tư khác của người khác chỉ được
thực hiện trong trường hợp luật quy định.
4. Các bên trong hợp đồng không được tiết
lộ thông tin về đời sống riêng tư, bí mật cá
nhân, bí mật gia đình của nhau mà mình đã
biết được trong quá trình xác lập, thực hiện
hợp đồng, trừ trường hợp có thỏa thuận khác”.
Đối với các vấn đề về tín dụng, Điều 14
Luật Các tổ chức tín dụng năm 2010, sửa
đổi, bổ sung năm 2017 nghiêm cấm việc tiết
lộ bí mật kinh doanh của tổ chức tín dụng,
chi nhánh ngân hàng nước ngoài và bảo đảm
nghĩa vụ bảo mật thông tin liên quan đến tài
khoản tiền gửi, tài sản gửi và các giao dịch
của khách hàng tại tổ chức tín dụng, chi
nhánh ngân hàng nước ngoài. Đối với các
giao dịch điện tử, Điều 46 Luật Giao dịch
điện tử năm 2005 quy định về bảo mật thông
tin trong giao dịch điện tử: “Cơ quan, tổ
chức, cá nhân có quyền lựa chọn các biện
pháp bảo mật phù hợp với quy định của
pháp luật khi tiến hành giao dịch điện tử. Cơ
quan, tổ chức, cá nhân không được sử dụng,
cung cấp hoặc tiết lộ thông tin về bí mật đời
tư hoặc thông tin tổ chức, cá nhân khác mà
mình tiếp cận hoặc kiểm soát được trong
giao dịch điện tử nếu không được sự đồng ý
của họ, trừ trường hợp pháp luật quy định
khác”. Quan trọng hơn, đối với các chủ thể
tham gia Internet, Luật An toàn thông tin
mạng năm 2015 đã dành mục 2 để quy định
về bảo vệ thông tin cá nhân19. Một điểm rất
tiến bộ của Luật này so với APPI là đã có
những quy định về quyền của chủ thể thông
tin. Cụ thể, theo Điều 18 Luật An toàn thông
tin mạng năm 2015, chủ thể thông tin có
quyền yêu cầu tổ chức, cá nhân xử lý thông
tin cá nhân cập nhật, sửa đổi, hủy bỏ thông
tin cá nhân của mình mà tổ chức, cá nhân đó
đã thu thập, lưu trữ hoặc ngừng cung cấp
thông tin cá nhân cho bên thứ ba. Tuy nhiên,
Luật cũng như các văn bản dưới luật hiện
hành lại chưa có những hướng dẫn cụ thể về
bên thứ ba như quy định trong APPI.
Thuật ngữ “thông tin cá nhân” cũng đã
được quy định và hướng dẫn tại Nghị định
số 72/2013/NĐ-CP (sửa đổi, bổ sung bởi
Nghị định số 27/2018 ngày 01 tháng 03 năm
2018 của Chính Phủ về quản lý, cung cấp,
sử dụng dịch vụ Internet và thông tin trên
mạng) : “Thông tin cá nhân là thông tin gắn
liền với việc xác định danh tính, nhân thân
của cá nhân bao gồm tên, tuổi, địa chỉ, số
chứng minh nhân dân, số điện thoại, địa chỉ
thư điện tử và thông tin khác theo quy định
của pháp Luật” (khoản 16 Điều 3). So sánh
với quy định về thông tin cá nhân trong
APPI được đề cập ở trên thì phạm vi của Việt
Nam hẹp hơn và chưa làm rõ được nội hàm
cũng như các quy định về thông tin khác.
Từ bài học kinh nghiệm của Nhật Bản,
tác giả đưa ra một số khuyến nghị cụ thể như
sau:
Thứ nhất, các luật chuyên ngành đã
phần nào giải quyết được bài toán về bảo vệ
dữ liệu cá nhân, nhưng tính khái quát chưa
cao, còn thiếu các quy định cụ thể về chế tài.
Chính vì vậy, việc xây dựng một khung pháp
lý, cụ thể là Luật Bảo vệ dữ liệu (hay Luật
Bảo vệ thông tin cá nhân), là hết sức cần
thiết trong thời điểm hiện tại. Trong Luật
19 Xem Điều 83: https://www.ppc.go.jp/files/pdf/Act_on_the_Protection_of_Personal_Information.pdf.
20 Vũ Công Giao, Pháp luật bảo vệ quyền bí mật dữ liệu cá nhân trên thế giới và Việt Nam, Tạp chí Nhà
nước và Pháp luật, 2017, Số 2 (346) , tr.67-73.
Số 13 (413) - T7/202064
NGHIÊN CỨU
LẬP PHÁP
KINH NGHIỆM QUỐC TẾ
này, những khái niệm về “thông tin cá
nhân”, bí mật dữ liệu cá nhân, “thông tin
được yêu cầu cung cấp” cần được làm rõ
đồng thời với các quy định về quyền của chủ
thể, các bên thứ ba cũng như việc khai thác,
sử dụng dữ liệu cá nhân.
Thứ hai, các văn bản pháp luật chuyên
ngành liên quan đến bảo vệ dữ liệu cá nhân
cần được rà soát và hệ thống hóa với mục
đích củng cố cơ chế bảo vệ quyền riêng tư
nói chung và quyền bảo vệ dữ liệu cá nhân
nói riêng theo ngành, lĩnh vực cụ thể, đồng
thời đáp ứng được những yêu cầu của tiêu
chuẩn quốc tế hiện hành.
Thứ ba, việc nhận dạng cá nhân cần
được quy định cụ thể hơn và có những
hướng dẫn chi tiết, cụ thể hóa “quy định về
thông tin khác” tại Nghị định số
72/2013/NĐ-CP (sửa đổi, bổ sung bởi Nghị
định số 27/2018 ngày 01/03/2018 của Chính
Phủ về quản lý, cung cấp, sử dụng dịch vụ
Internet và thông tin trên mạng). Những
“thông tin khác” này có thể học hỏi theo như
APPI, bao gồm: dữ liệu nhận dạng khuôn
mặt, dữ liệu giọng nói, dữ liệu mẫu dáng đi,
dữ liệu lòng bàn tay/ngón tay/dấu vân tay,
mô hình tĩnh mạch.
Thứ tư, một cơ quan đầu mối chuyên
trách về bảo vệ quyền riêng tư cũng như bảo
vệ dữ liệu cá nhân như Ủy ban bảo vệ dữ liệu
thông tin tại Nhật Bản sẽ đóng vai trò vô
cùng quan trọng. Cơ quan này sẽ có thẩm
quyền xem xét các khiếu nại, giám sát,
nghiên cứu hoàn thiện chính sách, pháp luật
về bảo vệ dữ liệu cá nhân.
Có thể thấy, với sự bùng nổ của cách
mạng 4.0 cùng yêu cầu thu thập, lưu trữ,
truyền tải thông tin ngày một tăng cao giữa
các công ty, cơ quan và người dùng, công tác
hoàn thiện pháp luật về bảo vệ dữ liệu cần sự
quan tâm đặc biệt từ các cơ quan chức năng.
Các quốc gia trong và ngoài khu vực đã có
đạo luật riêng về bảo vệ dữ liệu cá nhân và
đã chứng minh tính hiệu quả, ứng dụng cao.
Điều này cũng sẽ thôi thúc pháp luật Việt
Nam có những bước tiến mới, phù hợp với
những yêu cầu của quốc tế cũng như thúc đẩy
sự phát triển, hội nhập của quốc gia n
4. Kết luận
Có thể nói “thương nhân”, “doanh
nghiệp” hay “chủ thể kinh doanh” hoặc “cá
nhân, hợp tác xã, hộ gia đình, hay tổ chức
kinh tế khác” được xác định là “thương
nhân” cho dù có tư cách pháp nhân hay
không có tư cách pháp nhân, chịu trách
nhiệm hữu hạn hay vô hạn thì mục đích cơ
bản cuối cùng là thực hiện các hoạt động
nhằm mục đích sinh lợi. Tuy vậy, để bảm
đảm sự an toàn và cân bằng trong quan hệ
thương mại thì không phải chủ thể nào cũng
có thể trở thành thương nhân, chỉ những chủ
thể đáp ứng điều kiện nhất định về năng lực
hành vi thương mại (trên nền tảng năng lực
hành vi dân sự), không thuộc trường hợp
cấm thành lập, hoạt động theo quy định của
pháp luật thì mới có thể trở thành thương
nhân. Cách phân loại thương nhân theo các
tiêu chí khác nhau nhưng tựu chung là nhằm
xác định địa vị pháp lý của thương nhân
trong các quan hệ kinh doanh, thương mại
mà thương nhân đó tham gia. Trong xã hội,
thương nhân là một nghề có đóng góp to lớn,
tích cực cho kinh tế đất nước nhưng nghề
này lại luôn tồn tại những thăng trầm bởi
những cơ hội và rủi ro trong nghề nghiệp của
mình, vì thế pháp luật trong những thập niên
gần đây luôn ghi nhận quyền tự do hoạt
động của họ dưới các hình thức, ngành nghề
ở các địa bàn khác nhau theo tinh thần
“thương nhân được làm tất cả những gì mà
luật không cấm” n
thương nhân theo pháp luật... (Tiếp theo trang 56)
Các file đính kèm theo tài liệu này:
- bao_ve_du_lieu_ca_nhan_tai_nhat_ban_thong_qua_dao_luat_ve_ba.pdf