Thứ tư, nghiên cứu xây dựng Luật Bảo
vệ TTCN, trên cơ sở kế thừa một số quy định
về bảo vệ TTCN đã có trong Luật Công nghệ
thông tin năm 2006, Luật An toàn thông tin
mạng năm 2015, Nghị định số 52/2013/NĐ-
CP về thương mại điện tử nhưng điều chỉnh
toàn diện hơn việc bảo vệ TTCN (không chỉ
giới hạn việc bảo vệ TTCN trong “không
gian mạng”), nhất là việc quy định đầy đủ
hơn các nguyên tắc bảo vệ TTCN11 (nguyên
tắc bảo đảm có chủ thể chịu trách nhiệm rõ
ràng về các vi phạm trong quá trình xử lý
TTCN; bảo đảm tính minh bạch và công
bằng trong xử lý TTCN ), quy định về việc
thu thập và xử lý TTCN liên quan tới trẻ em,
quy định rõ hơn trách nhiệm của các chủ thể
tham gia vào quá trình thu thập, lưu trữ, xử
lý, khai thác, chuyển giao TTCN, việc
chuyển TTCN xuyên biên giới, cùng các
biện pháp chế tài nghiêm khắc, trách nhiệm
quản lý nhà nước về bảo vệ TTCN để xử lý
nhiều bất cập trong thực tiễn bảo vệ TTCN,
góp phần duy trì niềm tin của người dân về
an ninh, an toàn TTCN khi tham gia vào nền
kinh tế số. Luật Bảo vệ TTCN cũng cần quy
định cơ chế hợp tác quốc tế trong việc bảo
vệ TTCN trong bối cảnh cuộc Cách mạng
công nghiệp lần thứ tư cùng tiến trình hội
nhập đang tác động rất mạnh mẽ tới Việt
Nam và các nền kinh tế đối tác chủ yếu của
Việt Nam.
Trong ASEAN, Malaysia đã ban hành
Luật Bảo vệ dữ liệu cá nhân năm 201012,
Singapore đã ban hành Luật Bảo vệ dữ liệu
cá nhân năm 2012 (Personal Data Protection
Act of 2012) cùng Quy chế bảo vệ dữ liệu
cá nhân năm 2014 (Personal Data Protection
Regulations 2014)13. Thái Lan ban hành đạo
luật đầu tiên về bảo vệ dữ liệu cá nhân
(“Luật Bảo vệ dữ liệu cá nhân” - Personal
Data Protection Act, năm 2019, có hiệu lực
chính thức từ ngày 27/5/2020)14.
8 trang |
Chia sẻ: hachi492 | Ngày: 18/01/2022 | Lượt xem: 428 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và hướng hoàn thiện, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Số 15 (415) - T8/202036
NGHIÊN CỨU
LẬP PHÁP
THỰC TIỄN PHÁP LUẬT
1. Quy định của pháp luật hiện hành về
bảo vệ thông tin cá nhân
Thông tin cá nhân (TTCN) là loại thông
tin mà người nắm được thông tin này có thể
xác định được danh tính của một cá nhân
con người cụ thể. Những TTCN thường
được nhắc đến bao gồm: họ tên, ngày sinh,
địa chỉ nơi ở, địa chỉ nơi làm việc, số điện
thoại cá nhân, thư điện tử, số tài khoản ngân
hàng, số thẻ tín dụng, số chứng minh nhân
dân, thông tin trong hồ sơ y tế v.v.. Các
thông tin này, khi được tiếp cận bởi doanh
nghiệp, có thể trở thành nguồn dữ liệu có giá
trị thương mại nhất là thông qua các hoạt
động truyền thông, quảng bá, tiếp thị và các
hoạt động cạnh tranh trên thương trường. Vì
vậy, doanh nghiệp muốn nắm bắt, thu thập,
sử dụng, phân tích, khai thác TTCN của
khách hàng hiện tại và các khách hàng tiềm
năng. Tuy nhiên, ở một chiều cạnh khác, để
bảo đảm cuộc sống riêng tư, sự tự do cần
thiết trong đời sống thường nhật, nhìn
chung, các cá nhân không muốn TTCN của
mình bị lộ, lọt vào tay những người mà
người có TTCN không biết họ sẽ sử dụng
thông tin đó cho mục đích gì. Nói cách khác,
mỗi cá nhân rất không muốn các TTCN của
mình bị rơi vào tay người lạ. Chính vì thế,
THỰC TRẠNG PHÁP LUẬT VỀ BẢO VỆ THÔNG TIN CÁ NHÂN
Ở VIỆT NAM HIỆN NAY VÀ HƯỚNG HOÀN THIỆN
Nguyễn Văn Cương
TS. Viện trưởng Viện Khoa học pháp lý, Bộ Tư pháp
Thông tin bài viết:
Từ khóa: Thông tin cá nhân, bảo vệ
thông tin cá nhân, pháp luật về bảo
vệ thông tin cá nhân, quyền về đời
sống riêng tư.
Lịch sử bài viết:
Nhận bài : 20/6/2020
Biên tập : 04/7/2020
Duyệt bài : 07/7/2020
Article Infomation:
Key words: Personal information,
protection of personal information,
laws on protection of personal
information, right to privacy.
Article History:
Received : 20 Jun 2020
Edited : 04 Jul. 2020
Approved : 07 Jul. 2020
Tóm tắt:
Gần đây, nhiều vụ lộ, lọt thông tin cá nhân do các chủ thể kinh doanh
nắm giữ và tình trạng mua bán, chuyển nhượng trái phép thông tin cá
nhân đã được đề cập trên các phương tiện thông tin đại chúng. Tuy
nhiên, hiệu lực, hiệu quả điều chỉnh pháp luật về bảo vệ thông tin cá
nhân ở nước ta hiện nay còn nhiều bất cập. Trong phạm vi bài viết
này, tác giả phân tích những thành tựu, chỉ rõ những hạn chế cơ bản
của pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và đề
xuất phương hướng, giải pháp khắc phục.
Abstract:
Recently, various forms of violations in the field of protection of
personal information were reported by public media. However,
effectiveness and efficiency of relevant legal regulation seem to be
quite limited. This article provides analysis of achievements and
clearly points out basic shortcomings of the current legal regulations
on protection of personal information in Vietnam and proposes
solutions to overcome these shortcomings.
37Số 15 (415) - T8/2020
NGHIÊN CỨU
LẬP PHÁP
THỰC TIỄN PHÁP LUẬT
mỗi cá nhân thường có nhu cầu kiểm soát
(hoặc tìm cách kiểm soát) sự lan truyền
TTCN liên quan tới bản thân mình.
Đáp ứng được mối lo ngại đó, trong
những thập niên gần đây, pháp luật ở nhiều
quốc gia trên thế giới đã thiết lập các chuẩn
mực về việc tiếp cận, sử dụng TTCN trong
các giao dịch giữa cá nhân với doanh nghiệp
hoặc giữa cá nhân với các cơ quan công
quyền. Việt Nam cũng không phải là ngoại lệ.
Ở Việt Nam, thuật ngữ “TTCN” đã được
nhắc tới trong Luật Dược năm 2005 và yêu
cầu bảo mật “TTCN” trong lĩnh vực hàng
không đã được đề cập trong Luật Hàng
không dân dụng năm 20061. Tuy nhiên, các
quy định cụ thể về bảo vệ TTCN chỉ thực sự
xuất hiện trong Luật Công nghệ thông tin
năm 2006 (Luật CNTT). Mặc dù vậy, Luật
CNTT chỉ quy định việc bảo vệ TTCN trên
môi trường mạng chứ không quy định chung
cho việc bảo vệ TTCN. Theo quy định của
khoản 1 Điều 21 Luật CNTT, tổ chức, cá
nhân “thu thập, xử lý và sử dụng TTCN của
người khác trên môi trường mạng phải được
người đó đồng ý trừ trường hợp pháp luật có
quy định khác”. Khi thu thập, xử lý và sử
dụng TTCN của người khác, chủ thể thực
hiện hành vi này có trách nhiệm: “a) Thông
báo cho người đó biết về hình thức, phạm vi,
địa điểm và mục đích của việc thu thập, xử
lý và sử dụng TTCN của người đó; b) Sử
dụng đúng mục đích TTCN thu thập được và
chỉ lưu trữ những thông tin đó trong một
khoảng thời gian nhất định theo quy định
của pháp luật hoặc theo thoả thuận giữa hai
bên; c) Tiến hành các biện pháp quản lý, kỹ
thuật cần thiết để bảo đảm TTCN không bị
mất, đánh cắp, tiết lộ, thay đổi hoặc phá
huỷ; d) Tiến hành ngay các biện pháp cần
thiết khi nhận được yêu cầu kiểm tra lại,
đính chính hoặc hủy bỏ theo quy định tại
khoản 1 Điều 22 của Luật này; không được
cung cấp hoặc sử dụng TTCN liên quan cho
đến khi thông tin đó được đính chính lại”.
Ngoại lệ cho việc thu thập, xử lý và sử dụng
TTCN của người khác mà không cần sự
đồng ý của người đó được đặt ra “trong
trường hợp TTCN đó được sử dụng cho mục
đích sau đây: a) Ký kết, sửa đổi hoặc thực
hiện hợp đồng sử dụng thông tin, sản phẩm,
dịch vụ trên môi trường mạng; b) Tính giá,
cước sử dụng thông tin, sản phẩm, dịch vụ
trên môi trường mạng; c) Thực hiện nghĩa
vụ khác theo quy định của pháp luật”2.
Khoản 1 Điều 22 Luật CNTT quy định
quyền của chủ thể thông tin trong việc kiểm
tra, yêu cầu đính chính hoặc hủy bỏ TTCN
do chủ thể khác lưu trữ. Theo đó, “cá nhân
có quyền yêu cầu tổ chức, cá nhân lưu trữ
TTCN của mình trên môi trường mạng thực
hiện việc kiểm tra, đính chính hoặc hủy bỏ
thông tin đó”3. Khoản 2 Điều 22 Luật CNTT
quy định “tổ chức, cá nhân không được cung
cấp TTCN của người khác cho bên thứ ba,
trừ trường hợp pháp luật có quy định khác
hoặc có sự đồng ý của người đó”. Thêm vào
đó, “cá nhân có quyền yêu cầu bồi thường
thiệt hại do hành vi vi phạm trong việc cung
cấp TTCN”4.
Có thể nói rằng, các quy định kể trên
hàm ý rằng, việc “thu thập, xử lý, sử dụng,
chuyển nhượng TTCN” của bất cứ tổ chức,
cá nhân nào trên môi trường mạng đều phải
bảo đảm yêu cầu về “tính hợp pháp”. Chủ
thể TTCN có một số quyền nhất định đối với
tổ chức, cá nhân thu thập, xử lý, sử dụng và
chuyển nhượng TTCN.
1 Tuy nhiên, thuật ngữ “thông tin cá nhân” đã được sử dụng tại khoản 3 Điều 57 Luật Dược năm 2005 dù
không có sự giải thích. Khoản 2đ Điều 126 Luật Hàng không dân dụng năm 2006 có quy định “Doanh
nghiệp kinh doanh hệ thống đặt giữ chỗ bằng máy tính phải tuân thủ các nguyên tắc sau đây: Bảo mật
thông tin cá nhân của khách hàng, trừ trường hợp theo yêu cầu của cơ quan nhà nước có thẩm quyền”.
2 Khoản 3 Điều 21 Luật Công nghệ thông tin năm 2006.
3 Khoản 1 Điều 22 Luật Công nghệ thông tin năm 2006.
4 Khoản 3 Điều 22 Luật Công nghệ thông tin năm 2006.
Số 15 (415) - T8/202038
NGHIÊN CỨU
LẬP PHÁP
THỰC TIỄN PHÁP LUẬT
Điểm đáng nói là, Luật CNTT chỉ mới
khẳng định các nghĩa vụ và ràng buộc pháp
lý kể trên đối với việc thu thập, xử lý, lưu
trữ, chuyển nhượng TTCN trên môi trường
mạng. Do đó, đạo luật này để lại một khoảng
trống pháp lý đối với việc bảo vệ TTCN
không ở trên môi trường mạng (tức là ở môi
trường vật lý - môi trường offline). Thêm
vào đó, thuật ngữ “chủ thể TTCN” hoặc chủ
thể dữ liệu (data subject) chưa được sử dụng
trong đạo luật này.
Trên cơ sở quy định của Luật CNTT,
Chính phủ đã ban hành Nghị định số
64/2007/NĐ-CP ngày 10/4/2007 về ứng
dụng công nghệ thông tin trong hoạt động
của cơ quan nhà nước. Nghị định này lần
đầu tiên có quy định tại khoản 5 Điều 3 giải
thích “TTCN” là “thông tin đủ để xác định
chính xác danh tính một cá nhân, bao gồm
ít nhất nội dung trong những thông tin sau
đây: họ tên, ngày sinh, nghề nghiệp, chức
danh, địa chỉ liên hệ, địa chỉ thư điện tử, số
điện thoại, số chứng minh nhân dân, số hộ
chiếu. Những thông tin thuộc bí mật cá nhân
gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo
hiểm xã hội, số thẻ tín dụng và những bí mật
cá nhân khác”5.
Tiếp nối quy định này, các quy định về
bảo vệ TTCN còn được quy định trong Luật
Bảo vệ người tiêu dùng năm 2010 về “bảo
vệ thông tin của người tiêu dùng” (Điều 6).
Theo quy định này, người tiêu dùng được
bảo đảm an toàn, bí mật thông tin của mình
khi tham gia giao dịch, sử dụng hàng hóa,
dịch vụ, trừ trường hợp cơ quan nhà nước có
thẩm quyền yêu cầu. Trường hợp thu thập,
sử dụng, chuyển giao thông tin của người
tiêu dùng thì tổ chức, cá nhân kinh doanh
hàng hóa, dịch vụ có trách nhiệm: a) Thông
báo rõ ràng, công khai trước khi thực hiện
với người tiêu dùng về mục đích hoạt động
thu thập, sử dụng thông tin của người tiêu
dùng; b) Sử dụng thông tin phù hợp với mục
đích đã thông báo với người tiêu dùng và
phải được người tiêu dùng đồng ý; c) Bảo
đảm an toàn, chính xác, đầy đủ khi thu thập,
sử dụng, chuyển giao thông tin của người
tiêu dùng; d) Tự mình hoặc có biện pháp để
người tiêu dùng cập nhật, điều chỉnh thông
tin khi phát hiện thấy thông tin đó không
chính xác; đ) Chỉ được chuyển giao thông
tin của người tiêu dùng cho bên thứ ba khi
có sự đồng ý của người tiêu dùng, trừ trường
hợp pháp luật có quy định khác.
Riêng với lĩnh vực thương mại điện tử,
Nghị định số 52/2013/NĐ-CP về thương mại
điện tử có khá nhiều quy định quan trọng về
bảo vệ TTCN của người tiêu dùng. Điều đặc
biệt, Nghị định này (khoản 13 Điều 3) đã
chính thức đưa ra định nghĩa “TTCN” là
“các thông tin góp phần định danh một cá
nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà
riêng, số điện thoại, thông tin y tế, số tài
khoản, thông tin về các giao dịch thanh toán
cá nhân và những thông tin khác mà cá nhân
mong muốn giữ bí mật”6. Nghị định này
cũng chính thức sử dụng cụm từ “chủ thể
thông tin” tương đồng với thuật ngữ
5 Nghị định này cũng quy định rõ việc “bảo vệ thông tin cá nhân do cơ quan nhà nước nắm giữ trên môi
trường mạng” tại Điều 5 như sau:
“1. Cơ quan nhà nước thu nhập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng phải thực hiện
theo quy định tại Điều 21 của Luật Công nghệ thông tin.
2. Các biện pháp bảo vệ thông tin cá nhân bao gồm: thông báo mục đích sử dụng thông tin cá nhân; giám
sát quá trình xử lý thông tin cá nhân; ban hành thủ tục kiểm tra, đính chính hoặc hủy bỏ thông tin cá nhân;
các biện pháp kỹ thuật khác.
3. Cơ quan nhà nước nắm giữ thông tin thuộc bí mật cá nhân phải có trách nhiệm bảo vệ những thông tin
đó và chỉ được phép cung cấp, chia sẻ cho bên thứ ba có thẩm quyền trong những trường hợp nhất định theo
quy định của pháp luật”.
6 Trước đó, thuật ngữ “thông tin cá nhân” có được giải thích tại khoản 5 Điều 3 Nghị định số 64/2007/NĐ-
CP ngày 10/4/2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước và khoản 3
Điều 3 Thông tư số 25/2010/TT-BTTTT ngày 15/11/2010 của Bộ Thông tin và Truyền thông quy định việc
39Số 15 (415) - T8/2020
NGHIÊN CỨU
LẬP PHÁP
THỰC TIỄN PHÁP LUẬT
“information subject” (hoặc data subject) mà
pháp luật về bảo vệ TTCN ở nhiều quốc gia
xác định.
Bộ luật Dân sự năm 2015 (BLDS) đã bổ
sung quy định về “quyền về đời sống riêng
tư” (Điều 38) bên cạnh các nội dung về “bí
mật cá nhân” và “bí mật gia đình” vốn đã
được quy định trong BLDS năm 1995 và
2005 trước đó. Cụ thể, theo quy định của
Điều 38 BLDS (Quyền về đời sống riêng tư,
bí mật cá nhân, bí mật gia đình): (1) Đời sống
riêng tư, bí mật cá nhân, bí mật gia đình là
bất khả xâm phạm và được pháp luật bảo vệ;
(2) Việc thu thập, lưu giữ, sử dụng, công khai
thông tin liên quan đến đời sống riêng tư, bí
mật cá nhân phải được người đó đồng ý, việc
thu thập, lưu giữ, sử dụng, công khai thông
tin liên quan đến bí mật gia đình phải được
các thành viên gia đình đồng ý, trừ trường
hợp luật có quy định khác; (4) Các bên
trong hợp đồng không được tiết lộ thông tin
về đời sống riêng tư, bí mật cá nhân, bí mật
gia đình của nhau mà mình đã biết được
trong quá trình xác lập, thực hiện hợp đồng,
trừ trường hợp có thỏa thuận khác.
Trong năm 2015, Luật An toàn thông tin
mạng (Luật ATTT mạng) được ban hành với
nhiều quy định về bảo vệ TTCN trên môi
trường mạng (trên không gian mạng). Trong
Luật ATTT mạng, lần đầu tiên thuật ngữ
“TTCN” được một đạo luật giải thích là
“thông tin gắn với việc xác định danh tính
của một người cụ thể” (khoản 15 Điều 3).
Luật này cũng giải thích thuật ngữ “chủ thể
TTCN” (khoản 16 Điều 3) với ý nghĩa đó là
“người được xác định từ TTCN đó”. Luật
này cũng quy định khá rõ về “nguyên tắc bảo
vệ TTCN trên mạng” (Điều 16), việc “thu
thập và sử dụng TTCN” (Điều 17), việc “cập
nhật, sửa đổi và hủy bỏ TTCN” (Điều 18),
yêu cầu “bảo đảm an toàn TTCN trên mạng”
(Điều 19) và “trách nhiệm của cơ quan quản
lý nhà nước trong bảo vệ TTCN trên mạng”
(Điều 20).
Ngoài ra, Nghị định về xử lý vi phạm
hành chính liên quan tới hoạt động thương
mại điện tử cũng bước đầu có các quy định
về các biện pháp chế tài đối với hành vi vi
phạm. Chẳng hạn, khoản 4 Điều 84 Nghị
định số 185/2013/NĐ-CP ngày 15/11/2013
của Chính phủ (Nghị định số 185) quy định
xử phạt vi phạm hành chính trong hoạt động
thương mại, sản xuất, buôn bán hàng giả,
hàng cấm và bảo vệ quyền lợi người tiêu
dùng (được sửa đổi, bổ sung bởi Nghị định
số 124/2015/NĐ-CP) quy định: “Phạt tiền từ
20.000.000 đồng đến 30.000.000 đồng đối
với một trong các hành vi vi phạm sau đây:
a) Thu thập TTCN của người tiêu dùng mà
không được sự đồng ý trước của chủ thể
thông tin; b) Thiết lập cơ chế mặc định buộc
người tiêu dùng phải đồng ý với việc TTCN
của mình bị chia sẻ, tiết lộ hoặc sử dụng cho
mục đích quảng cáo và các mục đích thương
mại khác; c) Sử dụng TTCN của người tiêu
dùng không đúng với mục đích và phạm vi
đã thông báo.” Ngoài ra, chủ thể vi phạm
còn bị đình chỉ hoạt động thương mại điện
tử từ 06 tháng đến 12 tháng trong trường hợp
vi phạm nhiều lần hoặc tái phạm và bị buộc
nộp lại số lợi bất hợp pháp có được do thực
hiện hành vi vi phạm. Hành vi vi phạm quy
định về thu thập, sử dụng TTCN còn có thể
bị phạt theo quy định tại Điều 84 Nghị định
số 15/2020/NĐ-CP ngày 3/2/2020 quy định
xử phạt vi phạm hành chính trong lĩnh vực
bưu chính, viễn thông, tần số vô tuyến điện,
công nghệ thông tin và giao dịch điện tử.
2. Những hạn chế trong quy định của
pháp luật hiện hành về bảo vệ thông tin
cá nhân
Pháp luật về bảo vệ TTCN ở Việt Nam
cho tới nay còn một số điểm hạn chế cơ bản
như sau:
thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc
cổng thông tin điện tử của cơ quan nhà nước.
Số 15 (415) - T8/202040
NGHIÊN CỨU
LẬP PHÁP
THỰC TIỄN PHÁP LUẬT
Thứ nhất, định nghĩa về TTCN còn chưa
thống nhất giữa các văn bản quy phạm pháp
luật có liên quan (thể hiện cả trong nội dung
quy định và trong kỹ thuật lập pháp). Ví dụ,
định nghĩa về “TTCN” trong Luật ATTT
mạng ngắn gọn, trong khi Nghị định số
52/2013/NĐ-CP của Chính phủ về thương
mại điện tử lại quy định cụ thể, chi tiết và có
những điểm khó đánh giá là có hoàn toàn
tương hợp với quy định của Luật ATTT
mạng không7; Luật Bảo vệ quyền lợi người
tiêu dùng năm 2010 sử dụng cụm từ “thông
tin của người tiêu dùng” (Điều 6) để hàm
chứa “TTCN” của người tiêu dùng, trong khi
đó, Luật ATTT mạng và Nghị định số
52/2013/NĐ-CP lại dùng cụm từ “TTCN”.
Thứ hai, các quy định hiện hành mới tập
trung điều chỉnh việc bảo vệ TTCN trên môi
trường mạng (hoặc môi trường không gian
mạng), chưa có quy định cụ thể về bảo vệ
TTCN trong môi trường truyền thống. Điều
này tạo ra sự chia cắt trong điều chỉnh pháp
luật giữa không gian thực và không gian ảo,
không phù hợp với thực tiễn có sự hòa trộn,
kết nối một cách khó phân tách giữa không
gian thực (không gian vật lý) và không gian
ảo của thời kỳ Cách mạng công nghiệp lần
thứ tư.
Thứ ba, pháp luật bảo vệ TTCN chưa
bắt kịp được với thực tiễn sử dụng các dữ
liệu cá nhân như dữ liệu về hình ảnh cá nhân
(công nghệ nhận diện khuôn mặt), các dữ
liệu sinh trắc (chẳng hạn: vân tay, mống mắt
v.v..) Chính vì vậy, khi doanh nghiệp sử
dụng các dữ liệu này, có một vấn đề được đặt
ra là các quy định bảo vệ TTCN hiện hành
có được áp dụng với các doanh nghiệp này
không và liệu có cần quy định các biện pháp
mang tính chặt chẽ hơn đối với doanh nghiệp
thu thập và sử dụng dữ liệu sinh trắc của
người tiêu dùng không? Lý do là, nếu như
“địa chỉ”, “số điện thoại” của một người
cũng được xếp vào TTCN thì rõ ràng, các dữ
liệu về sinh trắc học, tuy cũng có thể coi là
“dữ liệu” hoặc “TTCN” nhưng độ “nhạy
cảm” của các dữ liệu này lớn hơn nhiều so
với thông tin về “số điện thoại” hoặc “tên”,
“tuổi” của chủ thể TTCN.
Thứ tư, các văn bản pháp luật về bảo vệ
TTCN chưa dự liệu tới những tình huống
thực tế trong thu thập, xử lý TTCN như: việc
thu thập và xử lý TTCN là trẻ em cần lấy ý
kiến đồng ý của những ai, việc chuyển TTCN
xuyên biên giới cần được kiểm soát như thế
nào, việc vô danh hóa TTCN để sử dụng phải
chịu những ràng buộc pháp lý nào v.v..
Thứ năm, chưa có quy định về quyền
được quên (right to be forgotten) trong những
trường hợp cần thiết (một loại quyền năng có
giá trị nhân bản mà pháp luật về bảo vệ
TTCN của nhiều quốc gia đã có quy định).
Thứ sáu, chưa có quy định cụ thể về
trách nhiệm bồi thường thiệt hại đối với chủ
thể có hành vi sai trái trong việc thu thập và
sử dụng TTCN. Đây cũng là khoảng trống
pháp lý cần được xử lý.
Thứ bảy, giữa Nghị định số 185 và Nghị
định số 15/2020/NĐ-CP về xử phạt vi phạm
hành chính trong lĩnh vực công nghệ thông
tin (Nghị định số 15) tuy không có quá nhiều
khác biệt về mức phạt tiền đối với việc thực
hiện cùng một hành vi vi phạm (chẳng hạn:
thu thập TTCN trái phép) nhưng biện pháp
khắc phục hậu quả thì lại không hoàn toàn
giống nhau. Cụ thể, khoản Điều 84 Nghị
định số 15 quy định như sau: “Phạt tiền từ
20.000.000 đồng đến 30.000.000 đồng đối
với một trong các hành vi sau: a) Sử dụng
không đúng mục đích TTCN đã thỏa thuận
7 Khoản 16 Điều 3 Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 của Chính phủ về quản lý, cung cấp, sử
dụng dịch vụ Internet và thông tin trên mạng đã có giải thích “Thông tin cá nhân là thông tin gắn liền với
việc xác định danh tính, nhân thân của cá nhân bao gồm tên, tuổi, địa chỉ, số chứng minh nhân dân, số điện
thoại, địa chỉ thư điện tử và thông tin khác theo quy định của pháp luật”. Khi được sửa đổi, bổ sung bởi
Nghị định số 27/2018/NĐ-CP, nội dung vừa nêu được giữ nguyên.
41Số 15 (415) - T8/2020
NGHIÊN CỨU
LẬP PHÁP
THỰC TIỄN PHÁP LUẬT
khi thu thập hoặc khi chưa có sự đồng ý của
chủ thể TTCN; b) Cung cấp hoặc chia sẻ
hoặc phát tán TTCN đã thu thập, tiếp cận,
kiểm soát cho bên thứ ba khi chưa có sự
đồng ý của chủ TTCN; c) Thu thập, sử dụng,
phát tán, kinh doanh trái pháp luật TTCN
của người khác”, tuy nhiên, biện pháp khắc
phục hậu quả chỉ là buộc hủy bỏ TTCN do
thực hiện hành vi vi phạm.
Thứ tám, mức xử phạt đối với các hành
vi vi phạm pháp luật về bảo vệ TTCN trong
Nghị định số 185 và Nghị định số 15 còn
nhẹ8 so với thông lệ của nhiều quốc gia trên
thế giới9 và cũng chưa đáp ứng được yêu cầu
đấu tranh phòng, chống vi phạm pháp luật
trong lĩnh vực này (thường là các vi phạm
rất khó phát hiện, xử lý).
Thứ chín, Bộ luật Hình sự năm 2015 đã
được sửa đổi, bổ sung năm 2017 mới chỉ có
một số quy định bước đầu tại Điều 159 về
tội xâm phạm bí mật hoặc an toàn thư tín,
điện thoại, điện tín hoặc hình thức trao đổi
thông tin riêng tư khác của người khác và
Điều 288 về tội đưa hoặc sử dụng trái phép
thông tin mạng máy tính, mạng viễn thông10.
Tuy nhiên, 02 tội danh này chưa quy định cụ
thể, trực tiếp về các hành vi vi phạm pháp
luật liên quan tới TTCN đang diễn ra hiện
nay. Đây cũng là khoảng trống pháp lý cần
được xử lý.
3. Kiến nghị
Trước mắt, để bảo đảm hiệu lực, hiệu
quả điều chỉnh của pháp luật về bảo vệ
TTCN ở Việt Nam, rất cần khắc phục những
điểm hạn chế nêu trên. Cụ thể:
Thứ nhất, khắc phục những điểm chưa
thống nhất, đồng bộ trong nội dung và kỹ
thuật lập pháp giữa các văn bản có liên quan
như đã chỉ ra ở trên, đồng thời xem xét nâng
mức xử phạt vi phạm hành chính đối với chủ
thể có hành vi vi phạm (đối với doanh
nghiệp có hành vi vi phạm, có thể xác định
mức phạt tính theo doanh thu hoặc theo quy
mô của doanh nghiệp vi phạm) nhằm bảo
đảm tính răn đe, phòng ngừa chung. Tiêu
biểu trong xu hướng này phải kể tới các quốc
gia trong Liên minh châu Âu. Năm 2016,
Liên minh châu Âu ban hành Quy chế chung
về bảo vệ dữ liệu cá nhân (General Data
Protection Regulation - GDPR), có hiệu lực
từ ngày 25/5/2018. GDPR đã quy định chi
tiết trách nhiệm của chủ thể thu thập, xử lý
TTCN trong đó có trách nhiệm của người
trực tiếp tiến hành công việc thu thập, xử lý
TTCN trong doanh nghiệp. Mức phạt cho
hành vi vi phạm có thể lên tới mức 4%
doanh thu của năm tài chính trước thời điểm
xảy ra hành vi vi phạm. Nhiều quốc gia châu
Âu đã ban hành Luật về Bảo vệ TTCN trên
cơ sở nội luật hóa các quy định của GDPR.
Thứ hai, có hướng dẫn rõ hơn về việc
bồi thường thiệt hại (chế tài dân sự) đối với
chủ thể có hành vi vi phạm theo hướng tạo
điều kiện thuận lợi cho chủ thể thông tin bị
8 Khoản 4 Điều 84 Nghị định số 185/2013/NĐ-CP đã được sửa đổi, bổ sung năm 2015 quy định hành vi
“thu thập thông tin cá nhân của người tiêu dùng mà không được sự đồng ý trước của chủ thể thông tin; sử
dụng thông tin cá nhân của người tiêu dùng không đúng với mục đích và phạm vi đã thông báo” chỉ bị
phạt tiền từ 20 đến 30 triệu đồng. Điều 84 Nghị định số 15/2020/NĐ-CP quy định hành vi “thu thập thông
tin cá nhân khi chưa có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập
và sử dụng thông tin đó” chỉ bị phạt từ 10 đến 20 triệu đồng, còn hành vi “sử dụng không đúng mục đích
thông tin cá nhân đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể thông tin cá nhân;
cung cấp hoặc chia sẻ hoặc phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi
chưa có sự đồng ý của chủ thông tin cá nhân; thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông
tin cá nhân của người khác” thì bị phạt từ 20 đến 30 triệu đồng.
9 Theo quy định của Liên minh châu Âu, các hành vi xâm phạm pháp luật bảo vệ thông tin cá nhân có thể
bị xử phạt tới 4% tổng doanh thu của năm tài chính trước thời điểm xảy ra hành vi vi phạm.
10 Điều 159 Bộ luật Hình sự quy định, việc “Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc
hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt tới 03 năm. Điều 288 quy định về “Tội
đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” với mức hình phạt cao nhất
là 07 năm tù giam.
xâm hại quyền lợi có thể khởi kiện đòi bồi
thường thiệt hại.
Thứ ba, nghiên cứu tội phạm hóa đối với
hành vi thu thập, sử dụng, khai thác, chuyển
nhượng trái phép TTCN gây hậu quả nghiêm
trọng hoặc được thực hiện ở quy mô lớn, từ
đó bổ sung các quy định về tội phạm hình sự
có liên quan trong Bộ luật Hình sự hiện hành
(với biện pháp chế tài áp dụng cho cả cá
nhân có hành vi vi phạm và pháp nhân
thương mại có hành vi vi phạm).
Thứ tư, nghiên cứu xây dựng Luật Bảo
vệ TTCN, trên cơ sở kế thừa một số quy định
về bảo vệ TTCN đã có trong Luật Công nghệ
thông tin năm 2006, Luật An toàn thông tin
mạng năm 2015, Nghị định số 52/2013/NĐ-
CP về thương mại điện tử nhưng điều chỉnh
toàn diện hơn việc bảo vệ TTCN (không chỉ
giới hạn việc bảo vệ TTCN trong “không
gian mạng”), nhất là việc quy định đầy đủ
hơn các nguyên tắc bảo vệ TTCN11 (nguyên
tắc bảo đảm có chủ thể chịu trách nhiệm rõ
ràng về các vi phạm trong quá trình xử lý
TTCN; bảo đảm tính minh bạch và công
bằng trong xử lý TTCN), quy định về việc
thu thập và xử lý TTCN liên quan tới trẻ em,
quy định rõ hơn trách nhiệm của các chủ thể
tham gia vào quá trình thu thập, lưu trữ, xử
lý, khai thác, chuyển giao TTCN, việc
chuyển TTCN xuyên biên giới, cùng các
biện pháp chế tài nghiêm khắc, trách nhiệm
quản lý nhà nước về bảo vệ TTCN để xử lý
nhiều bất cập trong thực tiễn bảo vệ TTCN,
góp phần duy trì niềm tin của người dân về
an ninh, an toàn TTCN khi tham gia vào nền
kinh tế số. Luật Bảo vệ TTCN cũng cần quy
định cơ chế hợp tác quốc tế trong việc bảo
vệ TTCN trong bối cảnh cuộc Cách mạng
công nghiệp lần thứ tư cùng tiến trình hội
nhập đang tác động rất mạnh mẽ tới Việt
Nam và các nền kinh tế đối tác chủ yếu của
Việt Nam.
Trong ASEAN, Malaysia đã ban hành
Luật Bảo vệ dữ liệu cá nhân năm 201012,
Singapore đã ban hành Luật Bảo vệ dữ liệu
cá nhân năm 2012 (Personal Data Protection
Act of 2012) cùng Quy chế bảo vệ dữ liệu
cá nhân năm 2014 (Personal Data Protection
Regulations 2014)13. Thái Lan ban hành đạo
luật đầu tiên về bảo vệ dữ liệu cá nhân
(“Luật Bảo vệ dữ liệu cá nhân” - Personal
Data Protection Act, năm 2019, có hiệu lực
chính thức từ ngày 27/5/2020)14.
Ở khu vực Đông Bắc Á, Nhật Bản ban
hành Luật Bảo vệ TTCN lần đầu tiên vào
năm 2003 nhưng đã tiến hành sửa đổi, bổ
sung cơ bản vào năm 2016 với sự mô phỏng
nhiều quy định của GDPR năm 2016 của
châu Âu15. Hàn Quốc lần đầu tiên ban hành
Luật Bảo vệ TTCN vào năm 2011 và từ đó
tới nay, đạo luật này liên tục được sửa đổi,
bổ sung vào các năm 2013, 2014, 2015,
2017 và lần gần đây nhất vào tháng 2/2020
để phục vụ việc phát triển nền kinh tế số của
Hàn Quốc16. Tại Trung Quốc, ngày
28/5/2020, Quốc hội Trung Quốc đã ban
hành BLDS đầu tiên trong lịch sử chế độ
mới (có hiệu lực từ ngày 1/1/2021) với 1260
điều được chia thành 84 chương, trong đó có
1 chương riêng quy định về “quyền về đời
Số 15 (415) - T8/202042
NGHIÊN CỨU
LẬP PHÁP
THỰC TIỄN PHÁP LUẬT
11 Bên cạnh các nguyên tắc đã được pháp luật hiện hành quy định mà trong đó có nguyên tắc bảo đảm có sự
đồng ý của chủ thể thông tin về phạm vi, mục đích của việc thu thập, xử lý thông tin cá nhân; bảo đảm tính
hợp pháp và chính xác (và quyền kiểm chứng tính chính xác) của thông tin cá nhân được thu thập, xử lý;
bảo đảm an ninh, an toàn đối với thông tin cá nhân được thu thập, xử lý.
12 Robert Walters, et. al (eds.), Data Protection Law: A Comparative Analysis of Asia-Pacific and European
Approaches (Singapore: Springer, 2019) at 197.
13 Robert Walters, et. al (eds.), Data Protection Law: A Comparative Analysis of Asia-Pacific and European
Approaches (Singapore: Springer, 2019) at 83.
14 https://www.dataprotectionreport.com/2020/02/thailand-personal-data-protection-law/.
15 https://www.dataguidance.com/notes/japan-data-protection-overview.
16
43Số 15 (415) - T8/2020
NGHIÊN CỨU
LẬP PHÁP
THỰC TIỄN PHÁP LUẬT
sống riêng tư và bảo vệ TTCN” (từ Điều
1032 đến Điều 1039 của BLDS)17 cùng
nhiều quy định có liên quan18. Hiện tại, dự
thảo Luật Bảo vệ TTCN của Trung Quốc
cũng đang được gấp rút soạn thảo để dự kiến
trình cơ quan lập pháp của nước này xem xét
thông qua vào cuối năm 2020.
Thứ năm, tăng cường quản lý nhà nước
về bảo vệ TTCN, quy định rõ đầu mối cơ
quan quản lý nhà nước về TTCN đồng thời
trao cho cơ quan này đủ quyền hạn và công
cụ quản lý cần thiết nhằm kịp thời phát hiện
và xử lý nghiêm minh các hành vi vi phạm
trong lĩnh vực bảo vệ TTCN n
17 Bao gồm các nội dung như: Định nghĩa về đời sống riêng tư (Điều 1032) và các hành vi được coi là xâm
phạm quyền về đời sống riêng tư (Điều 1033); định nghĩa thông tin cá nhân và nguyên tắc bảo vệ thông
tin cá nhân (Điều 1034), điều kiện để việc thu thập và xử lý thông tin cá nhân được coi là hợp pháp (Điều
1035), miễn trừ trách nhiệm đối với chủ thể thu thập và xử lý thông tin cá nhân (Điều 1036), quyền của
chủ thể thông tin cá nhân và nghĩa vụ của chủ thể thu thập và xử lý thông tin cá nhân (Điều 1037, 1038
và 1039).
18 Quy định tại Điều 110 (công nhận cá nhân có quyền về đời sống riêng tư), Điều 111 (công nhận cá nhân
có quyền đối với thông tin cá nhân), các quy định từ Điều 994 tới Điều 1000 về việc kiện đòi bồi thường
thiệt hại khi có hành vi xâm phạm quyền riêng tư và thông tin cá nhân, quy định tại Điều 1030 về trách
nhiệm của tổ chức tín dụng khi xử lý thông tin (trong đó có việc xử lý thông tin cá nhân), quy định tại
Điều 1226 về trách nhiệm của cơ sở y tế và nhân viên y tế đối với việc tôn trọng đời sống riêng tư và thông
tin cá nhân của bệnh nhân < https://www.dlapiper.com/en/uk/insights/publications/2020/06/new-chinese-
civil-code-introduces-greater-protection-of-privacy-rights-and-personal-information/>.
(iii) Phân biệt rõ khía cạnh kỹ thuật và
khía cạnh chính trị của dự thảo chính sách
để dành sự quan tâm khác nhau đối với hai
phương diện này. Thông thường, Quốc hội,
đại biểu Quốc hội cần quan tâm đúng mức
đến khía cạnh chính trị của chính sách, mà
không cần quan tâm nhiều đến khía cạnh kỹ
thuật của chính sách. Nếu quan tâm nhiều
đến khía cạnh kỹ thuật thì rất dễ dẫn đến tình
trạng chỉ quan tâm đến vấn đề “vụn vặt”
trong dự thảo chính sách, từ đó mất thời gian
không cần thiết.
(iv) Phát huy trách nhiệm của đại biểu
Quốc hội trước đất nước và cử tri trong quá
trình thảo luận, cho ý kiến vào các dự thảo
chính sách. Theo đó, đại biểu Quốc hội cần
nhìn từ góc độ khác nhau để cho ý kiến
“đúng” và “trúng” đối với dự thảo chính
sách đang được thảo luận tại kỳ họp của
Quốc hội. Cụ thể là, đại biểu Quốc hội từ các
góc độ như dự thảo chính sách nào đó có
đảm bảo giải quyết hài hòa mối quan hệ giữa
lợi ích chỉnh thể và lợi ích bộ phận, giữa điều
kiện bên trong và điều kiện bên ngoài, giữa
lợi ích trước mắt và lợi ích lâu dài, giữa mục
tiêu chủ yếu và mục tiêu thứ yếu hay không;
có xung đột với chính sách hiện hành hay
không; có đáp ứng được yêu cầu trong tương
lai hay không; có khả thi và phù hợp với điều
kiện và nguồn lực hay không; có phù hợp
với pháp luật quốc gia và pháp luật quốc tế
hay không; có lợi cho lợi ích công và phản
ánh nhu cầu, nguyện vọng của cử tri hay
không... để có ý kiến đối với từng dự thảo
phương án chính sách đang được thảo luận.
Tóm lại, đại biểu Quốc hội là một trong
những chủ thể quan trọng của chu trình
chính sách công nói chung và hoạch định
chính sách công nói riêng. Để góp phần nâng
cao chất lượng chính sách công, đòi hỏi cần
nâng cao chất lượng đại biểu Quốc hội theo
hướng tăng cường tính chuyên nghiệp của
đại biểu Quốc hội n
quy TRÌnh hOẠch ĐỊnh... (Tiếp theo trang 35)
Các file đính kèm theo tài liệu này:
- thuc_trang_phap_luat_ve_bao_ve_thong_tin_ca_nhan_o_viet_nam.pdf