Pháp luật về bảo vệ dữ liệu cá nhân trong nền kinh tế số ở Việt Nam hiện nay

THS. PHẠM THỊ HIỀN (Viện Nhà nước và Pháp luật)

TÓM TẮT:

Bài viết nêu khái quát những quy định của pháp luật Việt Nam hiện hành về bảo vệ dữ liệu cá nhân (DLCN). Qua đó, tác giả làm rõ một số vấn đề pháp lý còn tồn tại trong thực tiễn bảo vệ DLCN gắn với phát triển kinh tế số và đưa ra những giải pháp khuyến nghị.

Từ khóa: bảo vệ dữ liệu cá nhân, kinh tế số.

1. Nội dung pháp luật về bảo vệ DLCN trong nền kinh tế số ở Việt Nam hiện nay

DLCN được hiểu là “bất kỳ thông tin nào liên quan hoặc cho phép xác định một cá nhân (CN) nhất định (đối tượng dữ liệu)”[1]. DLCN có thể hiểu bao gồm các thông tin về họ tên, ngày, tháng, năm sinh, địa chỉ nơi ở/nơi làm việc, giới tính, hình ảnh, thông tin liên lạc CN như số điện thoại, hòm thư điện tử, tài khoản ngân hàng, chứng minh/căn cước công dân, số thẻ tín dụng, hộ chiếu, thông tin trong hồ sơ y tế, sinh trắc như vân tay, nhận diện qua khuôn mặt, mống mắt. Ngoài ra có thể thấy những thói quen trong sinh hoạt, mua sắm hàng ngày của mỗi CN ngày nay cũng được các phần mềm, thuật toán khai thác để phục vụ cho việc quảng cáo chào hàng, định hướng tiêu dùng mua sắm,… Và trong tương lai,  có thể còn có những thông tin khác nữa sẽ tiếp tục được bổ sung vào các nội dung về DLCN của mỗi người cần được bảo vệ.

Pháp luật Việt Nam hiện nay chưa có sự thống nhất cách hiểu về DLCN, nội dung này được quy định ở nhiều văn bản khác nhau. Cụ thể: Hiến pháp 2013; Luật An toàn thông tin mạng năm 2015; Luật Tiếp cận thông tin năm 2016; Bộ luật Dân sự 2015; Luật Bảo vệ quyền lợi người tiêu dùng 2010; Luật Công nghệ thông tin 2006; Nghị định số 64/2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà; Nghị định số 52/2013 về thương mại điện tử; Nghị định số 98/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng,

Pháp luật không có khái niệm trực tiếp về DLCN mà chủ yếu được hiểu thông qua các khái niệm như bí mật CN, thông tin CN. Theo đó, có thể thấy các DLCN được pháp luật đề cập và bảo vệ gồm những thông tin để xác định chính xác danh tính một CN: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số CMND/CCCD, số hộ chiếu. Những thông tin thuộc bí mật CN gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật CN khác[2]. Hay khái niệm thông tin CN được đưa ra tại Nghị định số 52/2013 về thương mại điện tử: “Thông tin CN” là các thông tin góp phần định danh một CN cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán CN và những thông tin khác mà CN mong muốn giữ bí mật.

Cũng theo những quy định pháp luật hiện nay có thể thấy rằng các thông tin hay dữ liệu (DL) trên phải gắn với các CN cụ thể có thể xác định được. Tuy nhiên, thực trạng pháp luật cũng cho thấy chưa có sự thống nhất trong cách hiểu, giải thích giữa các văn bản pháp luật về “thông tin CN” hay “thông tin người tiêu dùng”, “bí mật CN”,…

Một số nghiên cứu cũng chỉ ra rằng, việc sử dụng các khái niệm chưa thống nhất, hay thậm chí là cách giải thích chưa thống nhất của các văn bản pháp luật hiện nay cho thấy pháp luật Việt Nam chưa bao phủ hết, hay nói cách khác chưa theo kịp sự phát triển của công nghệ thông tin trong việc khai thác, nhận dạng và sử dụng các DLCN khác như: công nghệ nhận diện khuôn mặt, các DL sinh trắc như vân tay, mống mắt,… Do đó, nếu những DL/thông tin này chưa được luật hóa mà các doanh nghiệp sử dụng các thông tin này của các CN hay khách hàng vì các mục đích thương mại mà không được sự đồng ý của CN, hay thuộc các trường hợp được phép khai thác theo quy định pháp luật có được coi là vi phạm pháp luật về bảo vệ DLCN hay không? Các CN có bị xử lý các chế tài pháp lý hay không?[3].

Mặc dù những DL nói trên chưa được quy định trong pháp luật Việt Nam hiện nay, nhưng rõ ràng đã đáp ứng đủ các tiêu chí là DLCN, gắn với CN con người và nó tính nhận dạng, xác định danh tính rất cao. Nếu được thu thập và lưu trữ trái phép, trở thành các thông tin phục vụ mục đích thương mại bất hợp pháp thì rõ ràng quyền lợi của các CN đang bị đe dọa mà chưa được bảo vệ bởi pháp luật.

Như vậy, có thể thấy rằng, hiện nay phạm vi DLCN được bảo vệ còn hạn chế và chưa bao phủ hết so với thực tiễn sự phát triển công nghệ và khoa học. Rõ ràng ngày nay trong nền kinh tế số, sự phát triển của các nền tảng số việc tham gia các sàn giao dịch cũng như định danh các khách hàng, CN tham gia thông qua việc sử dụng các công nghệ nhận dạng DL trên là rất phổ biến. Nhu cầu đặt ra hiện nay là pháp luật cần có độ bao phủ rộng hơn, theo kịp hơn sự thay đổi và phát triển của kinh tế số, của khoa học công nghệ để có thể trở thành công cụ hữu hiệu trong bảo vệ quyền và lợi ích hợp pháp của các CN tham gia kinh tế số.

Phạm vi bảo vệ DLCN theo pháp luật hiện hành ở Việt Nam hiện cũng mới chỉ dừng lại ở việc bảo vệ các DL, thông tin CN bị xâm hại trong phạm vi lãnh thổ Việt Nam là chính. Mà thực tế cho thấy trong nền kinh tế số, việc sử dụng các DL nói chung và DLCN không còn bó hẹp trong phạm vi quốc gia mà nó mang tính phi biên giới. Việc thực hiện các giao dịch thương mại như đặt mua hàng hóa, tham gia thị trường tài chính quốc tế,… việc lộ lọt thông tin, DLCN là việc khó tránh khỏi. Tuy vậy, hiện nay các quy định pháp luật cũng chưa đưa ra được các nội dung cũng như biện pháp bảo vệ nếu chủ thể vi phạm không nằm trong lãnh thổ Việt Nam. Bên cạnh đó, pháp luật quốc tế cũng được coi còn lạc hậu so với sự phát triển mạnh mẽ của nền kinh tế số toàn cầu và chưa có văn bản pháp luật mang tính toàn cầu nào điều chỉnh, cũng như bảo vệ DLCN [4].

2. Một số vấn đề pháp lý đặt ra trong bảo vệ DLCN gắn với phát triển kinh tế số và những giải pháp khuyến nghị

2.1. Một số vấn đề pháp lý đặt ra

Nhận thức về DLCN có phải là một dạng tài sản:

Có nhiều ý kiến cho rằng, DLCN cần được coi như là một dạng tài sản phi truyền thống, vì nó đã và đang thực sự tạo ra các giá trị thương mại rất lớn trong nền kinh tế số, hơn nữa việc ghi nhận nó là tài sản cũng nhằm có các biện pháp bảo vệ được đầy đủ hơn.[5] Hay DLCN ngày nay cũng được các nhà khoa học cho rằng nó đã thực sự trở thành một loại hàng hóa, được các tổ chức, cá nhân tìm kiếm, sử dụng để khai thác cho mục đích thương mại[6].

Có thể thấy rằng, nếu DLCN được coi là tài sản thì liệu chủ sở hữu DLCN có luôn luôn là người được xác định từ thông tin CN đó, hay đó còn là chủ thể mà DLCN đó thuộc về khi các chủ thể này thu thập một cách hợp pháp - trở thành các thông tin và có giá trị như là tài sản phi truyền thống một cách hợp pháp, có thể thông qua việc ủy quyền, tự nguyện chuyển giao thông tin hoặc mua bán thông tin? thì quyền sở hữu lúc này đối với loại tài sản mới này có thể thuộc về một chủ thể khác - chủ thể không mang những đặc điểm DLCN đó. Hoặc lúc này một vấn đề nữa cũng đặt ra là việc sử dụng thông tin CN vào các mục đích thương mại sau khi được thu thập hợp pháp sẽ được quản lý như thế nào?

Hay, với loại tài sản phi truyền thống này, DLCN chỉ có thể được cung cấp cho chủ thể khác quản lý và sử dụng vào các mục đích đã được thỏa thuận trước đó, nhưng không chuyển giao quyền sở hữu bởi các DL gắn với một CN cụ thể? Như vậy, quan niệm về tài sản đối với các giá trị mới được khai thác này có lẽ cũng sẽ cần phải khác so với quan niệm về tài sản truyền thống?

Pháp luật về bảo vệ DLCN trong nền kinh tế số ở Việt Nam hiện nay chưa mang lại hiệu quả:

Theo Bộ Công an, hiện nay, hành vi mua bán DLCN đang diễn ra dễ dàng, phổ biến theo 2 hình thức chính[7]Một là, các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập DLCN của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin DLCN nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Hai là, các doanh nghiệp chủ động thu thập thông tin CN của khách hàng, hình thành kho DLCN, phân tích, xử lý các loại DL đó để tiến hành kinh doanh, buôn bán. Hiện nay, việc buôn bán DLCN trên thị trường diễn ra dưới cả 2 dạng nêu trên, tiến hành kinh doanh DLCN thô và DLCN đã qua xử lý. 

Hơn 60[8] tổ chức, CN liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, DLCN trên không gian mạng, bao gồm: các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện,... Do quy định của pháp luật chưa chặt chẽ, chế tài chưa bao trùm được các hành vi vi phạm, chưa đủ sức răn đe nên việc xử lý các đối tượng có hành vi kinh doanh DLCN trái pháp luật chưa đáp ứng yêu cầu.

Điều 159 Bộ Luật Hình sự quy định, việc “Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt từ tới 3 năm. Còn Điều 288 quy định “Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” với mức hình phạt cao nhất là 7 năm tù giam. Tuy nhiên, 2 tội danh này chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới DLCN đang diễn ra hiện nay[9]

Bộ Công An đang có Dự thảo lần 2 đối với Nghị định quy định về bảo vệ DLCN. Dự thảo này được cho là đáp ứng mong đợi của đa số người dân, vì đây là văn bản pháp luật chính thức sử dụng thuật ngữ DLCN và có các quy định bảo vệ DLCN một cách chi tiết, đầy đủ nhất so với những văn bản trước đó chưa có sự thống nhất và còn chung chung. Tuy nhiên, cũng nhiều ý kiến cho rằng, mức phạt quy định trong dự thảo Nghị định này còn thấp so với tính chất vi phạm cũng như so với mức phạt chung của thế giới, nên chưa đảm bảo tính răn đe[10] và sẽ không mang lại hiệu quả cao. Mức phạt thấp nhất là 50 triệu đồng và cao nhất được đưa ra trong dự thảo Nghị định là 100 triệu đồng (điều 22); hoặc phạt tiền tối đa 5% tổng doanh thu của Bên xử lý vi phạm DLCN.

Có thể thấy rằng, DLCN được bảo vệ trong nền kinh tế số thực tế chưa đạt hiệu quả cao, hay nói cách khác là phạm vi bảo vệ DLCN trong nền kinh tế số còn rất hạn chế. Có quá nhiều vi phạm xuất phát từ việc nền kinh tế số phát triển quá nhanh và mạnh, trong khi cơ sở hạ tầng pháp luật chưa đáp ứng được nhu cầu đòi hỏi để có thể bảo vệ DLCN cho những người tham gia. Việc ban hành Nghị định quy định về bảo vệ DLCN được kỳ vọng là sẽ tạo bước đột phá trong thực tiễn. Nghị định này cũng được kỳ vọng là sẽ tiếp tục được chỉnh sửa và nâng cấp trước khi chính thức được thông qua và có hiệu lực áp dụng.

Hành vi thu thập và mua bán DLCN trái pháp luật diễn ra phổ biến:

Một thực tế cho thấy, nhiều CN khi thực hiện các giao dịch mua bán trực tuyến rất dễ dàng, đôi khi họ mua bán tại những trang web bán hàng thiếu uy tín và những website, MXH được lập ra để lừa khách hàng và người mua hàng thường bị lợi dụng sự thiếu hiểu biết về các ứng dụng số như dịch vụ thanh toán chẳng hạn, để lừa đảo, lấy thông tin của khách hàng và từ đó chiếm đoạt tài sản của họ.

Các chuyên gia chỉ ra rằng, việc bị lộ, hay mất các thông tin và DLCN lại phần lớn là do các CN khi sử dụng internet, tham gia các giao dịch mua sắm, tham gia mạng xã hội, cài đặt các app,... đã vô tình đăng tải công khai các thông tin của bản thân hoặc là không kiểm chứng các trang web dẫn đến cung cấp thông tin của mình cho các đối tượng lừa đảo[11]. Vì lẽ đó, các đối tượng lừa đảo đã sử dụng được các thông tin CN để thực hiện các hành vi lừa đảo nhằm chuyến đoạt tài sản cũng như các hành vi xâm hại đến hình ảnh, uy tín CN.

Tuy vậy, CN khi tham gia vào các ứng dụng mạng xã hội, mua sắm trên mạng cũng cần phải cập nhật những kiến thức cơ bản để bảo vệ DLCN của bản thân mình, tránh bị lộ thông tin để tạo điều kiện cho kẻ xấu thực hiện hành vi trái pháp luật.

Tình trạng bán thông tin, DLCN của khách hàng diễn ra rất phổ biến. Có thể thấy rất rõ, khi các CN tham gia mua sắm trực tuyến phải để lại những thông tin CN nhất định, đó là thông tin về họ tên, số điện thoại, địa chỉ,... Những thông tin này được thu thập để thực hiện hoạt động thương mại diễn ra trong các hợp đồng cung ứng hàng hóa, dịch vụ giữa người mua và người bán cũng như bên thứ 3 là các nền tảng ứng dụng số/các sàn giao dịch. Tuy nhiên, không ít tình trạng các CN than phiền về việc bị gọi điện chào mời, quấy rối, làm phiền từ các nhà cung cấp hàng hóa, dịch vụ mà mình không hề cung cấp thông tin cho họ. Vậy những thông tin này họ có được từ đâu? Rõ ràng phải có một chủ thể đã cung cấp trái pháp luật những thông tin, DLCN trái phép cho bên thứ 3, tạo ra tình trạng khách hàng CN bị làm phiền cũng như có nhiều trường hợp bị lừa để chiếm đoạt tài sản như làm giả hồ sơ vay tiền[12],...

2.2. Một số khuyến nghị

Trước hết, cần có tư duy nhận thức mới về việc xác định DLCN có phải là một dạng tài sản phi truyền thống, hay vẫn coi đây là những đối tượng của quyền nhân thân. Nếu coi đây là một dạng tài sản mới trong bối cảnh nền kinh tế số thì sẽ có những công cụ pháp lý cụ thể hơn cần được ban hành để điều chỉnh các nội dung liên quan đến nhóm tài sản này. Khi xác định được tính tài sản của DLCN, sẽ có các phương thức cụ thể hơn để bảo vệ DLCN.

Do đây là một nội dung mới và là vấn đề còn hạn chế không chỉ ở Việt Nam mà còn trên thế giới nói chung, nên việc tiếp thu các biện pháp của các nước đi trước về công nghệ số và kinh tế số cũng như đẩy mạnh hợp tác quốc tế trong việc bảo vệ DLCN trước bối cảnh kinh tế số toàn cầu là vô cùng cần thiết.

Tiếp đó, rõ ràng các CN khi tham gia nền tảng số thông qua các hoạt động mua bán hàng hóa, dịch vụ, họ trước tiên phải có nghĩa vụ bảo vệ thông tin CN của mình. Tuy nhiên, không phải ai cũng có những kiến thức về công nghệ và số hóa để có thể tự bảo vệ thông tin. Do đó, yêu cầu đặt ra là các ứng dụng này cần có hệ thống cảnh báo, hướng dẫn người dùng để họ có thể thực hiện tốt nhất việc bảo vệ DLCN.

Ngoài ra, thực tiễn pháp luật cho thấy việc xử lý các vi phạm còn ở mức nhẹ, chế tài phạt chưa đáp ứng yêu cầu thực tế khiến các vi phạm vẫn diễn ra thường xuyên. Vì vậy, để đáp ứng được mục tiêu bảo vệ DLCN của người dùng trong bối cảnh nền kinh tế số, cần thiết phải có các quy định nâng mức phạt thật nặng đối với các CN, tổ chức có hành vi vi phạm pháp luật xâm hại DLCN trái phép. Có như vậy, mới tạo ra được sự răn đe đối với các trường hợp khác.

3. Kết luận

Bảo vệ DLCN là một vấn đề không mới, nhưng gắn với phát triển kinh tế số và nội dung này ngày càng trở nên cấp thiết. Pháp luật Việt Nam cần tiếp tục hoàn thiện để đáp ứng nhu cầu điều chỉnh cũng như bảo vệ DLCN của các chủ thể khi họ tham gia vào các các hoạt động kinh tế thông qua các ứng dụng nền tảng số.

TÀI LIỆU TRÍCH DẪN:

[1] Link: https://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm

[2] Khoản 5 Điều 3 Nghị định số 64/2007, Ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước.

[3] Nguyễn Văn Cương, (2020),  “Thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và hướng hoàn thiện”. Tạp chí Thực tiễn pháp luật, số 15 (415), T8/2020.

[4] Vũ Công Giao, Lê Trần Như Tuyên, (2020), “Bảo vệ quyền đối với DLCN trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt Nam”, nguồn: http://lapphap.vn/Pages/tintuc/tinchitiet.aspx?tintucid=210546

[5] Xem thêm: “Cần coi DLCN là một loại tài sản phi truyền thống”, nguồn: http://baochinhphu.vn/Phap-luat/Can-coi-du-lieu-ca-nhan-la-mot-loai-tai-san-phi-truyen-thong/434039.vgp; hoặc https://diendandoanhnghiep.vn/hong-phap-ly-trong-bao-ve-du-lieu-ca-nhan-loai-hinh-tai-san-moi-199096.html

[6] Vũ Công Giao, Lê Trần Như Tuyên, (2020),  “Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt Nam”, nguồn: http://lapphap.vn/Pages/tintuc/tinchitiet.aspx?tintucid=210546

[7] https://cand.com.vn/Xa-hoi/Du-lieu-ca-nhan-dang-bi-mua-ban-thu-thap-i553619/

[8] https://cand.com.vn/Xa-hoi/Du-lieu-ca-nhan-dang-bi-mua-ban-thu-thap-i553619/

[9] Nguyễn Văn Cương, “Thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và hướng hoàn thiện”, nguồn: Viện Nghiên cứu lập pháp, http://lapphap.vn/Pages/tintuc/tinchitiet.aspx?tintucid=210631

[10] https://cand.com.vn/Thong-tin-phap-luat/Nghi-dinh-quy-dinh-bao-ve-du-lieu-ca-nhan-se-la-cong-cu-de-xu-ly-nghiem-hanh-vi-vi-pham-i597747/

[11] https://cand.com.vn/Cong-nghe/Nguy-hiem-tu-viec-lot-lo-thong-tin-ca-nhan-tren-mang-Internet-i530219/

[12] https://baodantoc.vn/canh-giac-voi-chieu-tro-danh-cap-thong-tin-ca-nhan-de-vay-tien-1629793998543.htm

TÀI LIỆU THAM KHẢO:

  1. Nguyễn Văn Cương, (2020), Thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và hướng hoàn thiện. Tạp chí Thực tiễn pháp luật, số 15 (415), tháng 8/2020.
  2. Vũ Công Giao, Lê Trần Như Tuyên, (2020), Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt Nam, nguồn: http://lapphap.vn/Pages/tintuc/tinchitiet.aspx?tintucid=210546
  1. Chu Thị Hoa, (2021), Cần coi dữ liệu cá nhân là một loại tài sản phi truyền thống, nguồn: http://baochinhphu.vn/Phap-luat/Can-coi-du-lieu-ca-nhan-la-mot-loai-tai-san-phi-truyen-thong/434039.vgp;
  2. Theo hướng dẫn của OECD. Link: https://www.oecd.org/sti/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm
  3. https://cand.com.vn/Xa-hoi/Du-lieu-ca-nhan-dang-bi-mua-ban-thu-thap-i553619/

Vietnamese laws on protection of personal data in the context of current digital economy

Master. Pham Thi Hien

Institute of State and Law

ABSTRACT:

This paper outlines the current provisions of Vietnamese laws on protection of personal data. This paper clarifies a number of current legal issues about personal data protection in association with the development of the digital economy, thereby proposing some solutions.

Keywords: personal data protection, digital economy.

[Tạp chí Công Thương - Các kết quả nghiên cứu khoa học và ứng dụng công nghệ, Số 25, tháng 11 năm 2021]