Cơ chế bảo vệ quyền bí mật DLCN
* Uỷ ban quốc gia về bảo vệ DLCN
Kinh nghiệm của các quốc gia cho
thấy, khi thành lập Uỷ ban quốc gia về bảo
vệ DLCN cần cân nhắc một số vấn đề sau:
- Sự cần thiết của việc thành lập Uỷ
ban quốc gia về bảo vệ DLCN;
- Chức năng, nhiệm vụ, quyền hạn của
Uỷ ban: Thực tiễn các quốc gia thường trao
cho Uỷ ban một số chức năng chính sau: (i)
tư vấn cho chính phủ, tổ chức, cá nhân; (ii)
nâng cao nhận thức thông qua các hoạt động
giáo dục, nghiên cứu; (iii) giám sát thực hiện
pháp luật về bảo vệ DLCN. Ngoài các chức
năng trên, pháp luật của một số quốc gia
như Singapore, Malaysia còn trao quyền
cho Uỷ ban Bảo vệ DLCN chức năng đại
diện cho quốc gia trong các quan hệ quốc
tế hay tiếp nhận và giải quyết các khiếu nại
liên quan đến bí mật DLCN. Quyết định giải
quyết khiếu nại của Uỷ ban có giá trị pháp
lý bắt buộc và được bảo đảm thực hiện bằng
lệnh của Toà án nếu như các bên không tự
nguyện tuân thủ.
* Cơ chế giải quyết khiếu nại, tranh
chấp:
Pháp luật các quốc gia duy trì các cơ
chế khiếu nại, giải quyết tranh chấp khác
nhau để đảm bảo quyền bí mật dữ liệu của
các cá nhân. Các cơ chế này bao gồm: cơ
chế hoà giải; cơ chế khiếu nại hành chính; cơ
chế giải quyết tranh chấp thông qua trình tự,
tố tụng dân sự; truy cứu trách nhiệm hình sự
đối với các hành vi vi phạm nghiêm trọng
12 trang |
Chia sẻ: hachi492 | Ngày: 19/01/2022 | Lượt xem: 241 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Pháp luật của một số quốc gia Đông Nam Á về bảo vệ dữ liệu cá nhân và các gợi ý cho Việt Nam, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
PHÁP LUẬT CỦA MỘT SỐ QUỐC GIA ĐÔNG NAM Á
VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN VÀ CÁC GỢI Ý CHO VIỆT NAM
Tóm tắt:
Quyền được bảo vệ dữ liệu cá nhân là một trong những quyền cơ
bản của con người được pháp luật quốc tế và pháp luật các quốc gia
ghi nhận. Các quốc gia Đông Nam Á đã và đang sử dụng nhiều biện
pháp để bảo vệ quyền này, không chỉ bằng hoàn thiện các quy định
của pháp luật mà còn hình thành và củng cố các cơ chế đảm bảo
quyền. Kinh nghiệm của các quốc gia này trong việc đảm bảo quyền
được bảo vệ dữ liệu cá nhân thực sự có ý nghĩa trong bối cảnh Việt
Nam đang nghiên cứu xây dựng Luật Bảo vệ dữ liệu cá nhân.
Nguyễn Thị Kim Ngân*
* TS. Khoa Pháp luật quốc tế, Trường Đại học Luật Hà Nội
Abstract
The right to personal data is one of the fundamental human
rights recognized by international and national law. South East
Asian countries have been conducting many measures to protect
the right to personal data, not only improving national law but
also establishing and strengthening protection mechanisms. The
experience of these countries in protecting the right to personal
data is very useful for Vietnam in the context of preparing to
formulgate Law on Personal Data Protection
Thông tin bài viết:
Từ khóa: dữ liệu cá nhân, dữ liệu đời
tư, bảo vệ dữ liệu cá nhân
Lịch sử bài viết:
Nhận bài : 10/04/2019
Biên tập : 18/04/2019
Duyệt bài : 22/04/2019
Article Infomation:
Keywords: personal data, privacy data,
personal data protection
Article History:
Received : 10 Apr. 2019
Edited : 18 Apr. 2019
Approved : 22 Apr. 2019
1. Pháp luật về bảo vệ dữ liệu cá nhân của
Singapore
1.1 Các văn bản pháp luật của
Singapore về bảo vệ dữ liệu cá nhân
Ngày 15/10/2012, Nghị viện
Singapore thông qua Luật Bảo vệ dữ liệu cá
nhân (DLCN)1. Luật công nhận quyền của
1 Personal Data Protection Act 2012.
Nguồn
81d01478e50b%20Depth%3A0%20Status%3Ainforce;rec=0
các cá nhân trong việc bảo vệ các DLCN của
chính họ, đồng thời thừa nhận sự cần thiết
của việc các tổ chức tiến hành thu thập, sử
dụng và tiết lộ thông tin cá nhân vì những
mục đích phù hợp với những hoàn cảnh
nhất định. Bên cạnh Luật Bảo vệ DLCN,
một số văn bản pháp luật chuyên ngành của
KINH NGHIÏåM QUÖËC TÏË
53Số 7(383) T4/2019
Singapore cũng quy định về vấn đề này như:
Luật An ninh mạng và máy tính; Luật Bí
mật công vụ, Luật Thống kê; Luật Giao dịch
điện tử, Luật Ngân hàng, Luật Viễn thông2.
Trong phạm vi nghiên cứu này, chúng tôi tập
trung phân tích quy định của Luật Bảo vệ
DLCN năm 2012.
1.2 Nội dung cơ bản của Luật bảo vệ DLCN
năm 2012
a. Định nghĩa DLCN
Theo quy định của Điều 2.1 Luật Bảo
vệ DLCN, DLCN là các dữ liệu, dù đúng hay
sai, về một cá nhân mà có thể xác định được
danh tính của họ từ các dữ liệu đó; hoặc từ
các dữ liệu đó và các thông tin khác mà các
tổ chức có hoặc có thể có quyền truy cập. Một
số loại thông tin được loại trừ khỏi định nghĩa
DLCN: thông tin liên hệ kinh doanh; thông
tin về một cá nhân được lưu lại trong các bản
ghi đã tồn tại ít nhất 100 năm; thông tin cá
nhân về một người đã mất hơn 10 năm; thông
tin cá nhân đã được công khai.
b. Phạm vi áp dụng của Luật Bảo vệ
DLCN
Luật Bảo vệ DLCN áp dụng đối với tất
cả các cá nhân, tổ chức được thành lập hoặc
được công nhận theo pháp luật Singapore;
hoặc có nơi cư trú hoặc văn phòng đại diện
hoặc khu vực kinh doanh tại Singapore. Đặc
biệt, Luật chỉ áp dụng nếu các DLCN được
thu thập, sử dụng hoặc tiết lộ tại Singapore.
Tuy nhiên, Luật cũng xác lập nguyên tắc
bảo vệ các DLCN được chuyển giao qua
biên giới. Theo đó, các tổ chức, cá nhân có
trách nhiệm đảm bảo rằng các DLCN được
chuyển ra khỏi Singapore cũng sẽ có được
sự bảo vệ tương đương như sự bảo vệ theo
quy định của Luật này.
2 Data protection in Singapore: Overview,
c. Quyền và nghĩa vụ của các chủ thể
liên quan
* Đối với chủ thể thu thập, lưu giữ, sử
dụng DLCN
- Chỉ được thu thập, lưu giữ, sử dụng
và tiết lộ DLCN nếu được sự đồng ý của chủ
DLCN. Sự đồng ý này có thể được thể hiện
một cách rõ ràng hoặc thông qua ngầm định.
Sự đồng ý ngầm định thường trong trường
hợp cá nhân tự nguyện (hoặc có căn cứ hợp
lý để cho rằng cá nhân tự nguyện) cung cấp
DLCN vì mục đích nhất định. Tuy nhiên,
Điều 14.2 Luật Bảo vệ DLCN quy định về
những trường hợp, mặc dù được thể hiện
một cách rõ ràng, nhưng sự đồng ý của chủ
DLCN lại không có giá trị nếu như: (i) sự
đồng ý như là một điều kiện để được cung
cấp một sản phẩm hoặc dịch vụ mà sự đồng
ý này vượt xa những gì là hợp lý để được
cung cấp sản phẩm hoặc dịch vụ đó; hoặc
(ii) sự đồng ý có được thông qua việc đưa ra
thông tin sai lệch hoặc gây hiểu nhầm hoặc
sử dụng các hành vi lừa đảo.
Chủ DLCN có thể rút sự đồng ý của
mình vào bất kỳ thời gian nào. Chủ thể thu
thập, lưu giữ và sử dụng DLCN không được
ngăn cản chủ DLCN rút lại sự đồng ý của
mình. Tuy nhiên, chủ thể thu thập, lưu giữ
và sử dụng DLCN phải thông báo cho chủ
DLCN về các hậu quả của hành vi rút sự
đồng ý. Nếu chủ DLCN rút sự đồng ý, các
hoạt động thu thập, lưu giữ, sử dụng hoặc
tiết lộ DLCN phải được chấm dứt, trừ khi
việc lưu giữ, sử dụng hoặc tiết lộ dữ liệu
được thực hiện theo yêu cầu của các cơ quan
có thẩm quyền theo quy định của pháp luật.
Trong một số trường hợp, các hành
vi thu thập, lưu giữ, sử dụng hoặc tiết lộ
DLCN không cần đáp ứng các yêu cầu của
Luật Bảo vệ DLCN (sự đồng ý của chủ dữ
liệu): (i) trường hợp rõ ràng là vì lợi ích của
KINH NGHIÏåM QUÖËC TÏË
54 Số 7(383) T4/2019
chủ DLCN và sự đồng ý không thể có được
một cách kịp thời; (ii) trường hợp khẩn cấp,
hoặc thực sự cần thiết vì lợi ích quốc gia;
(iii) trường hợp thu hồi nợ; (iv) trường hợp
cung cấp các dịch vụ pháp lý; (v) trường hợp
vì mục đích nghiên cứu, bao gồm các nghiên
cứu mang tính lịch sử hoặc thống kê; (vi)
trong trường hợp vì mục đích đánh giá.
- Chỉ được thu thập, sử dụng và tiết
lộ DLCN vì những mục đích nhất định như
đã thông báo cho chủ dữ liệu khi thu thập
thông tin;
- Đảm bảo tính chính xác, toàn diện và
cập nhật của dữ liệu được thu thập, lưu giữ,
sử dụng;
- Áp dụng các biện pháp an ninh
phù hợp để bảo vệ DLCN trước các hành
động truy cập, thu thập, sử dụng, tiết lộ, sao
chép trái phép hoặc các rủi ro tương tự.
Tính phù hợp của các biện pháp an ninh phụ
thuộc vào tính chất của dữ liệu, hình thức
thu thập dữ liệu, các ảnh hưởng tới cá nhân
có liên quan nếu như dữ liệu về họ được
thu thập, sửa đổi hoặc loại bỏ một cách trái
phép
- Phải ngừng ngay việc lưu giữ DLCN
nếu như: mục đích ban đầu của việc thu thập
DLCN không còn; hoặc việc lưu giữ DLCN
không còn cần thiết cho các mục đích kinh
doanh hoặc pháp lý;
- Được chuyển giao DLCN cho bên
thứ ba trên cơ sở Hợp đồng chuyển giao.
Hợp đồng chuyển giao này phải tuân thủ
các quy định về nội dung và hình thức theo
pháp luật Singapore. Tuy nhiên, không
được chuyển giao bất kỳ DLCN nào ra khỏi
Singapore trừ khi người nhận chuyển giao
đảm bảo các tiêu chuẩn bảo vệ tương tự đối
với DLCN như Luật này;
- Khi có yêu cầu, phải cung cấp cho
công chúng những thông tin về thực tiễn bảo
vệ DLCN, thủ tục và quy trình giải quyết
khiếu nại.
* Đối với chủ DLCN:
- Quyền được truy cập vào DLCN của
mình. Tuy nhiên, quyền này của chủ DLCN
có một số ngoại lệ được quy định tại Điều
21 Luật Bảo vệ DLCN như: việc truy cập
đe doạ sự an toàn hoặc sức khoẻ thể chất,
tinh thần của chính chủ DLCN hoặc cá nhân
khác; tiết lộ dữ liệu về một cá nhân khác; đi
ngược lại lợi ích quốc gia;
- Quyền yêu cầu sửa chữa những sai
sót liên quan đến DLCN của mình. Ngoại lệ
của quyền này được quy định tại Điều 22.6
và 22.7 Luật Bảo vệ DLCN: không sửa chữa
các ý kiến của các chuyên gia hoặc ý kiến
mang tính chuyên môn
- Quyền được biết về mục đích thu
thập, lưu giữ và sử dụng dữ liệu trước khi
các hoạt động này diễn ra;
- Quyền được yêu cầu cung cấp các
thông tin về chính sách, thực tiễn và quy
trình giải quyết khiếu nại của chủ thể thu
thập, lưu giữ và sử dụng DLCN.
d. Cơ chế bảo vệ quyền bí mật DLCN
Để vệ DLCN, Uỷ ban Bảo vệ DLCN
được thành lập với các chức năng sau: nâng
cao nhận thức về bảo vệ DLCN; cung cấp
dịch vụ tư vấn, hỗ trợ kỹ thuật, quản lý hoặc
các dịch vụ đặc biệt khác liên quan đến bảo
vệ DLCN; tham mưu cho Chính phủ về tất
cả các vấn đề liên quan đến bảo vệ DLCN;
đại diện cho Chính phủ trong các quan hệ
quốc tế liên quan đến bảo vệ DLCN; triển
khai các nghiên cứu và thúc đẩy các hoạt
động giáo dục liên quan đến bảo vệ DLCN;
bao gồm tổ chức và thực hiện các cuộc hội
thảo, toạ đàm, gặp gỡ; quản lý các hoạt động
hợp tác và trao đổi kỹ thuật liên quan tới bảo
vệ DLCN với các tổ chức khác, bao gồm cả
các tổ chức quốc tế liên chính phủ; điều hành
và triển khai thực hiện Luật Bảo vệ DLCN;
thực hiện các chức năng theo quy định của
các văn bản pháp luật khác.
Uỷ ban Bảo vệ DLCN có quyền: (i)
KINH NGHIÏåM QUÖËC TÏË
55Số 7(383) T4/2019
xem xét khiếu nại liên quan đến Điều 21
(truy cập DLCN) và Điều 22 (sửa chữa
DLCN) của Luật Bảo vệ DLCN; (ii) tiến
hành một cuộc điều tra theo quy định của
Điều 50 Luật Bảo vệ DLCN để xác định
hành vi vi phạm Luật Bảo vệ DLCN. Khi
thực hiện hoạt động nay, Uỷ ban có quyền
yêu cầu chủ thể liên quan cung cấp tài liệu
hoặc thông tin.
e. Biện pháp chế tài đối với hành vi vi
phạm quyền bí mật DLCN
- Cá nhân bị thiệt hại bởi hành vi vi
phạm bí mật DLCN có thể khởi kiện theo
trình tự tố tụng dân sự để được yêu cầu bồi
thường;
- Cá nhân vi phạm sẽ bị áp dụng hình
thức phạt tiền hoặc tù giam hoặc cả hai đối
với các hành vi vi phạm. Mức hình phạt
tuỳ thuộc vào hành vi vi phạm: phạt tiền
từ S$2.000 tới S$100.000 hoặc/và phạt tù
không quá 12 tháng, trong một số trường
hợp vi phạm nghiêm trọng hình thức phạt tù
có thể lên tới 3 năm.
- Hành vi không thực hiện các quyết
định của Uỷ ban Bảo vệ DLCN có thể bị
phạt tiền lên tới S$1.000.000.
- Trong Luật Bảo vệ DLCN còn quy
định về việc các cá nhân được đăng ký các
số điện thoại cấm gọi (Do not Call) và hành
vi cố tình gọi hoặc nhắn tin vào các số điện
thoại này để quảng cáo, tiếp thị của các
nhà cung cấp dịch vụ, hàng hoá có thể bị
phạt tiền lên tới S$10.000.
2. Pháp luật về bảo vệ dữ liệu cá nhân của
Thái Lan
2.1 Các văn bản pháp luật của Thái Lan về
bảo vệ DLCN
Hiện nay, Thái Lan chưa ban hành
3 Constitution of the Kingdom of Thailand 2007
4 Data protection in Thailand: Overview,
5 Official Information Act 1997,
6 Data protection in Thailand: Overview,
một đạo luật chuyên biệt về bảo vệ DLCN.
Tuy nhiên, khuôn khổ pháp lý bảo vệ DLCN
được xác lập bởi các văn bản sau đây:
- Hiến pháp Thái Lan năm 2007: Điều
35 Hiến pháp Thái lan năm 2007 ghi nhận
quyền bảo vệ bí mật đời tư là một trong các
quyền và tự do cơ bản của công dân Thái
Lan: “Quyền gia đình, nhân phẩm, uy tín và
quyền bí mật đời tư của một cá nhân sẽ được
bảo vệ. Không được khẳng định hoặc lưu
hành một tuyên bố hoặc hình ảnh vi phạm
hoặc làm ảnh hưởng tới quyền gia đình,
nhân phẩm, uy tín và quyền bí mật đời tư
của một cá nhân, bằng bất cứ phương thức
nào, trừ trường hợp có lợi cho cộng đồng.
DLCN của một người sẽ được bảo vệ khỏi
sự truy cập bất hợp pháp theo các quy định
của pháp luật”3.
- Các đạo luật chuyên ngành của Thái
Lan như Bộ luật Dân sự và Thương mại, Luật
Viễn thông, Luật Ngân hàng, Luật Kinh doanh
tài chính, Luật Giao dịch điện tử cũng xác
lập cơ chế bảo vệ đối với DLCN trước các
hành động thu thập, sử dụng, tiết lộ, chuyển
giao thông tin một cách bất hợp pháp4.
- Trong các hoạt động công vụ, các
hành vi thu thập và lưu giữ thông tin cá nhân
của các cơ quan chính phủ được điều chỉnh
bởi Luật Thông tin công vụ năm 1997. Luật
này có một số nội dung chính: xác lập các
yêu cầu đối với hệ thống DLCN được vận
hành bởi các cơ quan chính phủ; xác lập giới
hạn tiết lộ DLCN; trao quyền cho các cá nhân
được yêu cầu sửa đổi, bổ sung DLCN của
mình được các cơ quan chính phủ lưu giữ5.
Hiện nay, Thái Lan đang xây dựng Dự
thảo Luật Bảo vệ DLCN6. Một trong những
nội dung quan trọng của Dự thảo Luật này
là quy định về:
KINH NGHIÏåM QUÖËC TÏË
56 Số 7(383) T4/2019
+ DLCN được bảo vệ để hạn chế việc
thu thập, sử dụng, tiết lộ và chuyển giao bất
kỳ thông tin cá nhân nào mà không có sự
đồng ý của người đó;
+ Xác lập chế tài hình sự và trách
nhiệm dân sự đối với bất kỳ hành vi xâm
phạm DLCN một cách bất hợp pháp;
+ Thành lập Uỷ ban Bảo vệ DLCN để
giám sát việc tuân thủ Luật Bảo vệ DLCN.
2.2 Nội dung cơ bản về bảo vệ DLCN trong
pháp luật Thái Lan
a. Định nghĩa DLCN
Trong các văn bản pháp luật hiện hành
của Thái Lan chưa có định nghĩa về DLCN.
Tuy nhiên, theo Dự thảo Luật Bảo vệ DLCN,
DLCN được hiểu là:
- Bất kỳ thông tin hoặc dữ liệu nào liên
quan tới một cá nhân, cho phép xác định danh
tính của người đó, một cách trực tiếp hoặc
gián tiếp, nhưng không bao gồm đơn thuần
tên, chức vụ, nơi làm việc hoặc địa chỉ kinh
doanh và dữ liệu thuộc về người đã khuất.
- Các thông tin và dữ liệu này có thể
dưới hình thức tài liệu, tập tin, báo cáo, sổ
sách, biểu đồ, ảnh chân dung, hình ảnh, phim,
bản ghi hình ảnh hoặc âm thanh có thể lưu
giữ trong máy tính hoặc bất kỳ phương tiện
nào khác có thể đươc sử dụng để làm bản ghi
thông tin và dữ liệu có thể được nhìn thấy.
b. Phạm vi áp dụng của các quy định
về bảo vệ DLCN
Theo quy định của các văn bản pháp
luật Thái Lan, các quy định về bảo vệ DLCN
được áp dụng đối với: (i) bất kỳ thực thể nào
được thành lập tại Thái Lan; (ii) bất kỳ thực
thể nào có văn phòng đại diện tại Thái Lan;
(iii) Công dân Thái Lan; (iv) Người nước
ngoài cư trú tại Thái Lan
7 Data protection in Thailand: Overview,
c. Quyền và nghĩa vụ của các chủ thể
liên quan
* Đối với chủ thể thu thập, lưu giữ và
sử dụng DLCN:
- Chỉ thu thập DLCN phục vụ cho các
hoạt động được phép tiến hành thuộc thẩm
quyền của cơ quan, tổ chức và cá nhân đó;
không thu thập các dữ liệu thông tin nhạy
cảm (ví dụ như thông tin về các khuyết tật
thể chất và tinh thần);
Dự thảo Luật Bảo vệ DLCN quy định
khi tiến hành thu thập dữ liệu của một cá
nhân, chủ thể thu thập có nghĩa vụ phải
thông tin cho người đó: mục đích thu thập;
loại dữ liệu được thu thập; cá nhân, tổ chức
sẽ được sử dụng dữ liệu; các thông tin về
chủ thể thu thập như địa chỉ liên hệ, phương
thức liên hệ; quyền và nghĩa vụ của các bên.
- Việc sử dụng, tiết lộ, phát tán thông
tin cá nhân phải có sự đồng ý của cá nhân đó,
trừ trường hợp vì mục đích bảo vệ an ninh
quốc gia hoặc nhằm thực hiện yêu cầu của
toà án, cơ quan chính phủ; việc chuyển giao
DLCN cho bên thứ ba cũng cần có sự đồng
ý của chủ DLCN. Sự đồng ý của chủ DLCN
phải được thể hiện một cách rõ ràng. Theo
Dự thảo Luật Bảo vệ DLCN, sự đồng ý phải
được thể hiện bằng văn bản hoặc thông qua
các phương tiện điện tử. Tuy nhiên, sự đồng
ý mang tính ngầm định cũng được thừa nhận
trong một số trường hợp nhất định. Ví dụ,
Luật Giao dịch điện tử của Thái Lan năm
2001 quy định: bằng cách nhập vào hoặc
thực hiện thanh toán chi phí cho việc sử
dụng một số dịch vụ, người dùng được coi
là đồng ý với các điều khoản và điều kiện
cung cấp dịch vụ, trong đó có thể bao gồm
cả việc tiết lộ các thông tin cá nhân7.
- Áp dụng các biện pháp an ninh phù
hợp để bảo vệ bí mật DLCN. Các biện pháp
này được đề cập trong các đạo luật chuyên
KINH NGHIÏåM QUÖËC TÏË
57Số 7(383) T4/2019
ngành của Thái Lan như Luật Giao dịch điện
tử, Luật Ngân hàng
Theo Dự thảo Luật Bảo vệ DLCN, chủ
thể thu thập, lưu giữ và sử dụng DLCN phải:
(i) áp dụng các biện pháp an ninh phù hợp
để ngăn ngừa việc mất mát, truy cập, thay
thế, sửa chữa, tiết lộ hoặc sử dụng DLCN
một cách bất hợp pháp; (ii) áp dụng các biện
pháp ngăn ngừa bên thứ ba sử dụng hoặc tiết
lộ DLCN mà không có sự cho phép, trong
trường hợp DLCN được yêu cầu chuyển
cho bên thứ ba; (iii) huỷ bỏ DLCN khi hết
thời hạn lưu trữ, khi DLCN không liên quan,
DLCN không cần thiết vượt quá mục đích
nhất định hoặc các DLCN được chủ dữ liệu
đồng ý thu hồi, trừ trường hợp cần được lưu
giữ vì mục đích điều tra, thu thập chứng cứ;
(iv) thông báo ngay lập tức cho chủ DLCN
khi có bất kỳ hành vi vi phạm DLCN nào.
Trong trường hợp số người bị ảnh hưởng bởi
hành vi vi phạm lớn, chủ thể thu thập, lưu
giữ và sử dụng DLCN phải báo cáo về căn
cứ vi phạm cùng với kế hoạch áp dụng các
biện pháp khắc phục hậu quả;
- Các DLCN được chủ thể thu thập,
lưu giữ, sử dụng hoặc tiết lộ (khi được sự cho
phép) phải chính xác, hoàn chỉnh và cập nhật.
* Đối với chủ DLCN: Theo Dự thảo
Luật Bảo vệ DLCN, chủ DLCN, trong
những trường hợp nhất định có quyền:
- Yêu cầu truy cập vào các DLCN liên
quan đến bản thân mình;
- Yêu cầu chủ thể thu thập, lưu giữ và
sử dụng DLCN xoá bỏ hoặc tạm thời ngừng
việc sử dụng DLCN hoặc chuyển sang hình
thức ẩn danh;
- Yêu cầu chủ thể thu thập, lưu giữ và
sử dụng DLCN đảm bảo tính chính xác, cập
nhật, hoàn chỉnh và không gây hiểu lầm của
các dữ liệu liên quan đến bản thân.
d. Cơ chế bảo vệ quyền bí mật DLCN
Hiện tại, Thái Lan chưa thành lập cơ
quan, tổ chức chuyên biệt chịu trách nhiệm
giám sát thi hành pháp luật về quyền riêng
tư hoặc bảo vệ DLCN. Tuy nhiên, nếu Dự
thảo Luật Bảo vệ DLCN được thông qua,
Uỷ ban Bảo vệ DLCN sẽ là cơ quan đảm
nhận chức năng đó. Theo Dự thảo, Uỷ ban
Bảo vệ DLCN có các nhiệm vụ, quyền hạn
sau đây:
- Lập kế hoạch chiến lược về các hoạt
động nhằm bảo vệ DLCN phù hợp với các
chính sách và kế hoạch quốc gia có liên
quan, trong đó có đề xuất biện pháp giải
quyết các vấn đề vướng mắc phát sinh từ
việc thực hiện các chính sách và kế hoạch
chiến lược đó;
- Trợ giúp các cơ quan chính phủ, khu
vực tư nhân và xã hội dân sự trong việc thực
hiện các hoạt động phù hợp với các chính
sách và kế hoạch chiến lược, bao gồm tiến
hành đánh giá việc thực hiện các chính sách
và kế hoạch chiến lược đó;
- Xác định các biện pháp, phương
pháp tiếp cận của các hoạt động liên quan
đến bảo vệ DLCN; đưa ra các hướng dẫn
hoặc quy định cho việc thực hiện Luật Bảo
vệ DLCN;
- Đề nghị Nội các Chính phủ hoặc Bộ
trưởng về việc ban hành hoặc sửa đổi pháp
luật hoặc các quy định liên quan đến việc
bảo vệ DLCN;
- Tư vấn cho các cơ quan chính phủ
hay khu vực tư nhân về bất kỳ hoạt động
nào để bảo vệ DLCN; hỗ trợ tập huấn các kỹ
năng và sự hiểu biết về bảo vệ DLCN trong
cộng đồng; hỗ trợ nghiên cứu để phát triển
các công nghệ liên quan đến bảo vệ DLCN;
- Thực hiện các hoạt động theo quy
định của các văn bản pháp luật khác.
KINH NGHIÏåM QUÖËC TÏË
58 Số 7(383) T4/2019
e. Biện pháp chế tài đối với các hành
vi vi phạm
Theo quy định của Điều 420 Bộ luật
Dân sự và Thương mại Thái Lan, người nào,
một cách cố ý hay vô ý, xâm hại bất hợp
pháp tới tính mạng, thân thể, sức khỏe, sự
tự do, tài sản hoặc bất kỳ quyền của người
khác đều bị coi là vi phạm pháp luật và phải
bồi thường cho nạn nhân8. Ở khía cạnh này,
các hành vi thu thập, lưu giữ, sử dụng, tiết
lộ hoặc chuyển giao DLCN có thể được coi
là một hành động sai trái nếu nó gây ra thiệt
hại cho cá nhân chủ dữ liệu.
Hành vi gửi thông tin thương mại điện
tử không mong muốn (còn gọi là thư rác)
chưa được đề cập trong các các văn bản
luật hiện hành cũng như trong Dự thảo Luật
Bảo vệ DLCN. Tuy nhiên, hành vi đó có thể
bị coi là vi phạm Luật Tội phạm máy tính
năm 20079 hoặc vi phạm Bộ luật Dân sự và
Thương mại nếu như hành vi đó gây thiệt
hại đối với người nhận thông tin.
Nếu Luật Bảo vệ DLCN được ban
hành, người có hành vi vi phạm Luật này
sẽ bị áp dụng các hình phạt: (i) phạt tiền tối
đa tới 500.000 THB và/hoặc phạt tù không
quá 6 tháng đối với chủ thể thu thập, lưu giữ
và sử dụng DLCN; (ii) phạt tiền tối đa tới
1.000.000 THB và/hoặc phạt tù không quá
2 năm đối với chủ thể thu thập, lưu giữ và
sử dụng DLCN nếu như họ vi phạm các cam
kết để mang lại lợi nhuận bất hợp pháp cho
chính họ hoặc người khác hoặc gây thiệt hại
cho người khác.
8 The Thailand Civil and Commercial Code, https://www.samuiforsale.com/law-texts/thailand-civil-code-part-1.html#V
9 Computer Crime Act 2007, https://www.samuiforsale.com/law-texts/computer-crime-act.html
10 The 1945 Constitution of the Republic of Indonesia,
11 Law of the Republic of Indonesia No 11 of 2008 concerning electronic information and transactions,
com/id/lgso/translations/JICA%20Mirror/english/4846_UU_11_2008_e.html
12 Regulation of the Government of the Republic of Indonesia number 82 of 2012 concerning electronic system and trans-
action operation
3. Pháp luật về bảo vệ dữ liệu cá nhân của
Indonesia
3.1 Các văn bản pháp luật của Indonesia
về bảo vệ DLCN
Cũng giống như một số quốc gia khác
trong khu vực, Indonesia chưa có Luật Bảo
vệ DLCN. Cơ sở pháp lý đầu tiên để bảo
vệ DLCN tại Indonesia là Hiến pháp năm
1945. Mặc dù không trực tiếp quy định về
quyền bí mật đời tư, bí mật DLCN như một
quyền công dân, tuy nhiên Điều 28G Hiến
pháp năm 1945 quy định: Mỗi người đều
có quyền tự bảo vệ bản thân, gia đình, sự
tôn trọng, nhân phẩm và tài sản của mình.
Mỗi người đều có quyền được bảo đảm an
ninh và sự bảo vệ khỏi các mối đe dọa sợ hãi
để làm, hay không làm, một điều gì đó cấu
thành một quyền con người10.
Trên cơ sở quy định của Hiến pháp,
việc thu thập và sử dụng DLCN được điều
chỉnh bởi Luật số 11 năm 2008 về thông
tin và giao dịch điện tử (Luật số 11)11; và
Nghị định số 82 năm 2012 của Chính phủ
liên quan đến các hệ thống và giao dịch điện
tử (Nghị định số 82)12. Ngoài ra, các luật
chuyên ngành và văn bản hướng dẫn trong
các lĩnh vực ngân hàng, thị trường vốn,
viễn thông, chăm sóc sức khoẻ, thông tin
cũng quy định về bảo vệ DLCN trong các
lĩnh vực đó. Hiện nay, Nghị định về Thông
tin và Truyền thông đang được Chính phủ
Indonesia xây dựng dự thảo. Nghị định sẽ
quy định chi tiết về bảo vệ DLCN bao gồm
KINH NGHIÏåM QUÖËC TÏË
59Số 7(383) T4/2019
yêu cầu về sự đồng ý của chủ dữ liệu; việc
thu thập, lưu giữ, đánh giá, chuyển giao, huỷ
bỏ DLCN.13
3.2 Nội dung cơ bản về bảo vệ DLCN trong
pháp luật Indonesia
a. Định nghĩa DLCN
Điều 1.27 Nghị định số 82 định nghĩa
DLCN là thông tin cá nhân được lưu trữ, xử
lý và tính bảo mật được bảo vệ. Nghị định
số 82 không đưa ra được sự giải thích cụ thể
hơn liên quan đến phạm vi của DLCN.
b. Phạm vi áp dụng của các quy định
về bảo vệ DLCN
Nghị định số 82 xác định phạm vi
áp dụng của Nghị định chỉ liên quan đến
DLCN và việc chuyển giao DLCN của công
dân Indonesia được thực hiện trong phạm vi
thẩm quyền tài phán của Indonesia hoặc liên
quan đến công dân Indonesia.
c. Quyền và nghĩa vụ của các chủ thể
liên quan
Theo Nghị định số 82 năm 2012, nhà
cung cấp dịch vụ điện tử phải:
- Đảm bảo tính liên tục của hệ thống
điện tử; bảo đảm an ninh thông tin và truyền
thông nội bộ; đảm bảo tính bí mật, tính toàn
vẹn và sẵn sàng của DLCN trong hệ thống.
Nhà cung cấp dịch vụ phải áp dụng các biện
pháp kỹ thuật và tổ chức phù hợp để ngăn
ngừa các hoạt động truy cập, xử lý DLCN
bất hợp pháp. Nhà cung cấp dịch vụ cũng
phải tiến hành các biện pháp ngăn ngừa việc
mất mát, tiêu huỷ hoặc thay đổi DLCN trái
phép. Mức độ của các biện pháp bảo đảm
an ninh phải tương xứng với tính chất của
nguồn dữ liệu. Trong trường hợp không đảm
13 Data protection in Indonesia: overview,
14 Act of the Republic of Indonesia number 7 of 1992 concerning banking as amended by Act number 10 of 1998, http://
www.bu.edu/bucflp/files/2012/01/Act-No.-7-of-1992-Concerning-Banking.pdf
bảo được tính bí mật của DLCN, nhà cung
cấp dịch vụ điện tử phải gửi văn bản thông
báo cho chủ DLCN về việc này;
- Đảm bảo việc thu thập, sử dụng, tiết
lộ và chuyển giao DLCN dựa trên sự chấp
thuận trước của chủ dữ liệu và phù hợp với
các mục đích như trước đó đã thông báo
cho chủ dữ liệu trong quá trình thu thập dữ
liệu, trừ trường hợp có quy định khác. Việc
chuyển giao DLCN cho bên thứ ba phải trên
cơ sở hợp đồng chuyển giao. Tuy nhiên, việc
chuyển giao DLCN cho bên thứ ba ngoài
thẩm quyền tài phán của Indonesia không
được pháp luật Indonesia khuyến khích.
Theo quy định của Điều 29 Luật số
11, vì mục đích phục vụ điều tra hình sự,
nhà cung cấp dịch vụ điện tử phải cung cấp
thông tin lưu giữ trong hệ thống của mình
nếu như điều tra viên có yêu cầu phù hợp
với các quy định của pháp luật. Một số luật
chuyên ngành cũng quy định các trường hợp
nhà cung cấp dịch vụ được tiết lộ DLCN mà
không cần sự đồng ý của chủ dữ liệu. Các
trường hợp đó đều liên quan đến an ninh
quốc gia hoặc lợi ích công cộng. Chẳng hạn,
Điều 41 Luật Ngân hàng năm 1992, sửa đổi
bổ sung năm 1998, quy định dữ liệu khách
hàng sẽ được cung cấp cho cơ quan thuế
khi nhận được yêu cầu của cơ quan này và
trên cơ sở quyết định của Thống đốc Ngân
hàng14; Điều 42 Luật Viễn thông năm 1999
quy định việc sử dụng và tiết lộ thông tin
cá nhân trong trường hợp phục vụ công tác
điều tra hình sự theo yêu cầu của cơ quan
cảnh sát hoặc toà án
- Đăng ký hệ thống điện tử của mình
tại Bộ Thông tin và Truyền thông; và thiết
KINH NGHIÏåM QUÖËC TÏË
60 Số 7(383) T4/2019
lập Trung tâm khôi phục thảm hoạ (các nghĩa
vụ này chỉ đặc biệt áp dụng đối với nhà cung
cấp dich vụ công cộng). Sau thủ tục đăng
ký hệ thống điện tử, nhà cung cấp dịch vụ
sẽ được Bộ Thông tin và Truyền thông cấp
Chứng nhận điện tử, Chứng nhận về độ tin
cậy và Giấy phép kinh doanh dịch vụ.
Luật số 11 cũng quy định, nội dung
của thông tin điện tử hoặc một tài liệu (chẳng
hạn như một trang web trên internet) thuộc
phạm vi của quyền sở hữu trí tuệ, sẽ được
bảo vệ như một tác phẩm sở hữu trí tuệ theo
luật sở hữu trí tuệ.
Đối với chủ DLCN, họ được quyền
biết các thông tin sau đây trước khi DLCN
của họ được thu thập, lưu giữ, sử dụng và
tiết lộ: (i) mục đích của quá trình thu thập
dữ liệu; (ii) các dữ liệu sẽ được thu thập, lưu
giữ, sử dụng, tiết lộ hoặc chuyển giao;
Các bên được chỉ định hoặc bên thứ
ba liên quan đến việc chuyển giao dữ liệu.
Theo Luật số 11, công nghệ thông tin phải
tôn trọng quyền bí mật đời tư của cá nhân,
cụ thể là: quyền hưởng thụ một cuộc sống
không bị làm phiền, quyền giao tiếp với
người khác một cách riêng tư; quyền hạn
chế người khác truy cập tới các thông tin và
dữ liệu của cá nhân mình. Tuy nhiên, Luật
số 11 còn để ngỏ quyền được yêu cầu xoá bỏ
các thông tin cá nhân.
d. Cơ chế bảo vệ quyền bí mật DLCN
Indonesia chưa xây dựng cơ chế
chuyên biệt về bảo vệ bí mật DLCN. Một số
cơ chế cũng đã được hình thành trên cơ sở
các văn bản pháp luật chuyên ngành nhằm
thực hiện sự quản lý Nhà nước đối với các
hoạt động liên quan trong lĩnh vực đó, bao
gồm cả vấn đề bảo vệ DLCN. Chẳng hạn
như Quy định số 7/15/PBI/2007 của Ngân
hàng Trung ương về quản lý rủi ro trong việc
sử dụng công nghệ thông tin của Ngân hàng;
Quy định số 1/POJK.07/2013 của Bộ Tài
chính về viêc bảo vệ thông tin khách hàng
trong các giao dịch tài chính; Nghị định số
269/Menkes/Per/III/2008 của Bộ Y tế về
quản lý hồ sơ bệnh án; Nghị định số 21 năm
2013 của Bộ Thông tin và Truyền thông về
quản lý mạng điện thoại di động, mang truy
cập Internet không dây Nhìn chung trong
các văn bản này đều xác định rõ cơ quan
quản lý nhà nước trong lĩnh vực đó; chức
năng, nhiệm vụ quyền hạn của các cơ quan;
cơ chế giám sát thực hiện các quy định có
liên quan Tuy vậy, các cơ chế hình thành
trong các văn bản này còn mang tính riêng
lẻ, độc lập, chưa có sự gắn kết để tạo ra một
cơ chế đồng bộ, thống nhất và hiệu quả trong
việc bảo vệ DLCN ở Indonesia.
e. Biện pháp chế tài đối với các hành
vi vi phạm
Theo quy định của Nghị định số 82,
bất kỳ chủ thể nào vi phạm Nghị định sẽ bị
xử phạt vi phạm hành chính. Trách nhiệm
dân sự hoặc chế tài hình sự không áp dụng
đối với các hành vi vi phạm Nghị định. Các
hình thức xử phạt vi phạm hành chính, tuỳ
mức độ vi phạm, bao gồm: cảnh cáo bằng
văn bản, phạt hành chính, tạm đình chỉ hoạt
động, đưa ra khỏi danh sách đăng ký (hình
thức xử phạt này liên quan đến nghĩa vụ
của người cung cấp dịch vụ phải đăng ký hệ
thống điện tử của mình tại Bộ Thông tin và
Truyền thông)
Theo quy định của Điều 46 Luật số
11, các hành vi vi phạm quyền bí mật đời tư
một cách cố ý, ngoài việc bị áp dụng hình
phạt tiền, người vi phạm còn có thể bị phạt
tù, phạt tiền tối đa đến 600 triệu IDR và/hoặc
phạt tù không quá 6 năm đối với người nào
truy cập trái phép máy tính và/hoặc hệ thống
máy tính, bằng bất kỳ phương thức nào, với
KINH NGHIÏåM QUÖËC TÏË
61Số 7(383) T4/2019
mục đích có được thông tin hoặc hồ sơ điện
tử. Ngoài ra, nhà cung cấp dịch vụ cũng sẽ
bị đưa ra khỏi danh sách đăng ký
Theo quy định của Điều 322, 323 Bộ
luật Hình sự15, công chức, trong quá trình
thực hiện nhiệm vụ, cố ý xâm phạm thông
tin bí mật đều bị coi là phạm tội và phải chịu
hình phạt tới 9 tháng tù và phạt tiền tới 600
IDR. Mức phạt tương tự cũng được áp dụng
đối với hành vi tiết lộ bí mật thương mại.
Bộ luật Hình sự còn quy định truy cứu trách
nhiệm hình sự đối với các hành vi vi phạm
quyền con người, trong đó có các quyền bí
mật DLCN được thể hiện qua quy định tại
Điều 28G Hiến pháp Indonesia.
4. Một số gợi ý cho Việt Nam trong xây
dựng và hoàn thiện pháp luật về bảo vệ
dữ liệu cá nhân
4.1 Xây dựng và hoàn thiện các nguồn luật
ghi nhận quyền bí mật DLCN
Xây dựng luật chuyên biệt về bảo vệ
DLCN: Kinh nghiệm của các quốc gia trong
khu vực gợi ý cho Việt Nam cần nghiên cứu,
xây dựng và ban hành Luật Bảo vệ DLCN
nhằm cùng với các văn bản pháp luật khác
tạo cơ chế hữu hiệu thực hiện quyền bất khả
xâm phạm đời sống riêng tư, bí mật cá nhân
đã được quy định tại Điều 21 và 22 Hiến
pháp Việt Nam năm 2013.
Các văn bản pháp luật chuyên ngành
trong các lĩnh vực khác: Bên cạnh đẩy mạnh
việc nghiên cứu, xây dựng và ban hành Luật
Bảo vệ DLCN, thực tiễn cho thấy, dù đã
hoặc chưa ban hành đạo luật chuyên biệt về
bảo vệ DLCN, đa số các quốc gia đều ban
hành văn bản luật chuyên ngành trong một
số lĩnh vực để điều chỉnh các vấn đề liên
quan đến bí mật DLCN trong các lĩnh vực
15 Indonesian Penal Code, https://www.unodc.org/res/cld/document/idn/indonesian_penal_code_html/I.1_Criminal_Code.pdf
đó. Các văn bản này thường được chia thành
hai nhóm:
- Các văn bản liên quan đến bảo vệ
DLCN trong hoạt động của các cơ quan nhà
nước như Luật Bí mật công vụ, Luật Thống
kê của Sigapore; Luật Thông tin công vụ của
Thái Lan
- Các văn bản liên quan đến bảo vệ
DLCN trong hoạt động kinh doanh dịch vụ
của khu vực tư nhân như Luật Viễn thông,
Luật Ngân hàng, Luật Kinh doanh tài chính,
Luật Giao dịch điện tử của Thái Lan,
Singapore, Indonesia.
Ngoài các văn bản pháp luật chuyên
ngành, các biện pháp chế tài áp dụng đối
với các hành vi vi phạm DLCN còn được
quy định trong Bộ luật Hình sự, Bộ luật Dân
sự và Thương mại, Luật An ninh mạng và
máy tính của các quốc gia như Thái Lan,
Singapore, Indonesia
4.2 Gợi ý một số nội dung cơ bản của Luật
Bảo vệ DLCN của Việt Nam
a. Định nghĩa DLCN:
Pháp luật của các quốc gia thường có
hai cách tiếp cận khi xây dựng định nghĩa
DLCN, qua đó xác lập phạm vi các DLCN
được pháp luật bảo vệ:
- Tiếp cận chỉ dựa trên nội dung: Đây
là cách tiếp cận của Luật Bảo vệ DLCN của
Singapore, Luật Dữ liệu bí mật đời tư của
Philipine, theo đó, DLCN là các dữ liệu về
một cá nhân mà có thể xác định được danh
tính của họ từ các dữ liệu đó, không phụ
thuộc vào hình thức ghi nhận hay xử lý các
dữ liệu.
- Tiếp cận dựa trên nội dung và hình
thức ghi nhận: Đây là cách tiếp cận của Luật
KINH NGHIÏåM QUÖËC TÏË
62 Số 7(383) T4/2019
Bảo vệ DLCN của Malaysia và Dự thảo
Luật Bảo vệ DLCN của Thái Lan. Ngoài
việc quy định DLCN là các dữ liệu về một
cá nhân mà có thể xác định được danh tính
của họ từ các dữ liệu đó, pháp luật các quốc
gia này còn quy định hình thức ghi nhận dữ
liệu như tài liệu, tập tin, báo cáo, sổ sách,
biểu đồ, ảnh chân dung, hình ảnh, phim, bản
ghi hình ảnh (Dự thảo Luật Bảo vệ DLCN
của Thái Lan) hoặc dữ liệu được xử lý toàn
bộ hoặc một phần bởi các thiết bị hoạt động
một cách tự động theo các chỉ dẫn được đưa
ra vì mục đích đó (Luật Bảo vệ DLCN của
Malaysia).
Hai cách tiếp cận trên về bản chất
không mâu thuẫn với nhau vì đều đề cập đến
nội dung cơ bản của DLCN là các dữ liệu về
một cá nhân mà qua đó có thể xác định được
danh tính của người đó. Cách tiếp cận thứ hai
chi tiết hơn khi đề cập đến cả hình thức ghi
nhận DLCN. Tuy nhiên, chúng tôi cho rằng,
cách tiếp cận này tương đối rườm rà và hơn
nữa có thể bị thay đổi khi mà với sự phát
triển của khoa học công nghệ, các hình thức,
phương tiện ghi nhận DLCN có thể bị thay
đổi dẫn đến sự không phù hợp giữa các quy
định pháp luật với thực tiễn đời sống xã hội.
Ngoài định nghĩa về DLCN, pháp luật
của một số quốc gia còn trực tiếp (Malaysia)
hoặc gián tiếp (Thái Lan) đưa ra định nghĩa
DLCN nhạy cảm. Các dữ liệu này thường
liên quan đến đến sức khoẻ hoặc tình trạng
về thể chất hoặc tinh thần, quan điểm chính
trị, tín ngưỡng tôn giáo của người chủ dữ
liệu. Đối với các dữ liệu này, việc bảo vệ
được quy định chặt chẽ hơn.
Pháp luật của một số quốc gia như
Singapore, Thái Lan, Philipine cũng xác
định một số loại DLCN được loại trừ không
áp dụng các quy định bảo vệ dữ liệu như
thông tin về người đã mất, thông tin đã được
công khai trên các phương tiện thông tin đại
chúng, thông tin cá nhân được lưu lại trong
các bản ghi quá cũ
b. Phạm vi áp dụng của Luật Bảo vệ
DLCN
Đối với các quốc gia đã hoặc đang
chuẩn bị ban hành đạo luật chuyên biệt về
bảo vệ DLCN, việc xác định phạm vi áp
dụng của đạo luật này được cân nhắc khá
kỹ để tránh sự chồng chéo, mâu thuẫn với
các văn bản pháp luật chuyên ngành khác.
Thông thường, đạo luật chuyên biệt về bảo
vệ DLCN chỉ điều chỉnh hoạt động thu thập,
lưu giữ, sử dụng và tiết lộ DLCN của khu
vực tư nhân (chủ yếu của các doanh nghiệp
cung cấp hàng hoá, dịch vụ) mà không điều
chỉnh hoạt động của khối các cơ quan Nhà
nước. Hoạt động thu thập, lưu giữ, sử dụng
và tiết lộ DLCN của khối các cơ quan nhà
nước chịu sự điều chỉnh của các văn bản
pháp luật chuyên ngành khác như Luật
Thống kê, Luật Bí mật công vụ
Ngoài ra, Luật Bảo vệ DLCN của các
quốc gia cũng thường chỉ được áp dụng đối
với các cá nhân, tổ chức mang quốc tịch
quốc gia hoặc có nơi cư trú hoặc trụ sở trên
lãnh thổ quốc gia và các hoạt động liên quan
đến DLCN xảy ra trong lãnh thổ quốc gia.
Hành vi chuyển giao DLCN ra ngoài lãnh
thổ quốc gia không được quy định chi tiết
trong Luật mà chỉ được đề cập dưới dạng
các nguyên tắc chung
c. Quyền và nghĩa vụ của các chủ thể
liên quan
Các chủ thể liên quan theo các quy định
của pháp luật các nước bao gồm hai chủ thể
chính: Chủ DLCN (cá nhân mà dữ liệu về
họ được thu thập, lưu giữ, sử dụng hay tiết
lộ) và chủ thể thu thập, lưu giữ, sử dụng và
tiết lộ DLCN. Chủ thể thu thập, lưu giữ, sử
KINH NGHIÏåM QUÖËC TÏË
63Số 7(383) T4/2019
dụng và tiết lộ DLCN bao gồm các cơ quan
nhà nước, doanh nghiệp kinh doanh dịch vụ
(như viễn thông, ngân hàng, tài chính, giao
dịch điện tử) và các tổ chức, cá nhân khác
theo quy định của pháp luật các nước (như
cha mẹ, người giám hộ khi chủ DLCN là trẻ
em; bên thứ ba được chủ thể thu thập, lưu
giữ dữ liệu chuyển giao DLCN).
Nội dung quyền và nghĩa vụ của các
chủ thể bao gồm các vấn đề sau: (i) yêu cầu
để các hoạt động thu thập, lưu giữ, sử dụng,
tiết lộ DLCN được diễn ra; (ii) các trường
hợp ngoại lệ không cần đáp ứng các yêu cầu
nêu trên như vì lợi ích công cộng, vì an ninh
quốc gia, trong trường hợp khẩn cấp, theo
yêu cầu hợp pháp của các cơ quan Nhà nước
có thẩm quyền; (iii) đảm bảo tính chính
xác, toàn diện và cập nhật của dữ liệu được
thu thập, lưu giữ, sử dụng; (iv) áp dụng các
biện pháp an ninh phù hợp để bảo đảm tính
bí mật của DLCN; (v) vấn đề chuyển giao
DLCN cho bên thứ ba thông qua các hợp
đồng chuyển giao
d. Biện pháp chế tài đối với các hành
vi vi phạm
Pháp luật của các quốc gia đều quy
định về các biện pháp chế tài đối với các
hành vi vi phạm quyền bí mật DLCN. Các
biện pháp này bao gồm: xử phạt hành chính;
trách nhiệm bồi thường dân sự; truy cứu
trách nhiệm hình sự.
Ngoài Luật Bảo vệ DLCN, các văn bản
pháp luật khác, đặc biệt là Bộ luật Dân sự,
Thương mại, Hình sự của các quốc gia cũng
quy định về các biện pháp chế tài này. Tuỳ
mức độ nghiêm trọng của hành vi vi phạm
mà một hoặc một số biện pháp chế tài nêu
trên sẽ được áp dụng đối với các tổ chức, cá
nhân có hành vi vi phạm pháp luật về bảo vệ
DLCN xâm phạm quyền bí mật DLCN của
người khác. Cũng chính vì vậy, việc hoàn
thiện pháp luật không chỉ đặt ra đối với Luật
Bảo vệ DLCN mà còn đối với các văn bản
pháp luật quốc gia khác có liên quan.
e. Cơ chế bảo vệ quyền bí mật DLCN
* Uỷ ban quốc gia về bảo vệ DLCN
Kinh nghiệm của các quốc gia cho
thấy, khi thành lập Uỷ ban quốc gia về bảo
vệ DLCN cần cân nhắc một số vấn đề sau:
- Sự cần thiết của việc thành lập Uỷ
ban quốc gia về bảo vệ DLCN;
- Chức năng, nhiệm vụ, quyền hạn của
Uỷ ban: Thực tiễn các quốc gia thường trao
cho Uỷ ban một số chức năng chính sau: (i)
tư vấn cho chính phủ, tổ chức, cá nhân; (ii)
nâng cao nhận thức thông qua các hoạt động
giáo dục, nghiên cứu; (iii) giám sát thực hiện
pháp luật về bảo vệ DLCN. Ngoài các chức
năng trên, pháp luật của một số quốc gia
như Singapore, Malaysia còn trao quyền
cho Uỷ ban Bảo vệ DLCN chức năng đại
diện cho quốc gia trong các quan hệ quốc
tế hay tiếp nhận và giải quyết các khiếu nại
liên quan đến bí mật DLCN. Quyết định giải
quyết khiếu nại của Uỷ ban có giá trị pháp
lý bắt buộc và được bảo đảm thực hiện bằng
lệnh của Toà án nếu như các bên không tự
nguyện tuân thủ.
* Cơ chế giải quyết khiếu nại, tranh
chấp:
Pháp luật các quốc gia duy trì các cơ
chế khiếu nại, giải quyết tranh chấp khác
nhau để đảm bảo quyền bí mật dữ liệu của
các cá nhân. Các cơ chế này bao gồm: cơ
chế hoà giải; cơ chế khiếu nại hành chính; cơ
chế giải quyết tranh chấp thông qua trình tự,
tố tụng dân sự; truy cứu trách nhiệm hình sự
đối với các hành vi vi phạm nghiêm trọng
KINH NGHIÏåM QUÖËC TÏË
64 Số 7(383) T4/2019
Các file đính kèm theo tài liệu này:
- phap_luat_cua_mot_so_quoc_gia_dong_nam_a_ve_bao_ve_du_lieu_c.pdf