Giải pháp nào xử lý tình trạng mua bán dữ liệu thông tin cá nhân?

TS. Chu Thị Hoa, Phó Viện trưởng Viện Khoa học Pháp lý (Bộ Tư pháp). Ảnh: VGP/Lê Sơn.

Bài 1: Còn khoảng trống pháp luật về bảo vệ dữ liệu cá nhân

Dữ liệu cá nhân trong lĩnh vực này trở thành nguyên liệu đầu vào để khai thác trong lĩnh vực khác nên đã diễn ra tình trạng mua bán, trao đổi, đã đến lúc các cơ quan quản lý nhà nước, các tổ chức, doanh nghiệp và đặc biệt là người dân cần ý thức được tầm quan trọng của vấn đề bảo vệ dữ liệu cá nhân khi tham gia sử dụng các dịch vụ trên không gian mạng.

Chế tài bảo vệ quyền riêng tư hay dữ liệu cá nhân còn nhẹ

Thưa TS. Chu Thị Hoa, Phó Viện trưởng Viện Khoa học pháp lý (Bộ Tư pháp), bà nhìn nhận thế nào về nhận thức và thực tiễn công tác bảo vệ dữ liệu cá nhân trên không gian mạng tại Việt Nam, trong đó có việc để lộ lọt quá dễ dàng, tạo cơ hội cho các đối tượng xấu lợi dụng thông tin để lừa đảo người dân?

TS. Chu Thị Hoa: Từ nhận thức cho đến thực tiễn công tác bảo vệ dữ liệu cá nhân trên không gian mạng tại Việt Nam còn nhiều hạn chế, bất cập. Từ phía người dùng, cũng chưa có ý thức tự bảo vệ dữ liệu cá nhân của mình. Tình trạng người sử dụng mạng xã hội đăng tải công khai nhiều thông tin cá nhân nhạy cảm của chính mình như thông tin sinh trắc học, lý lịch cá nhân, mối quan hệ tình cảm, tình trạng sức khỏe, tài chính,… tạo điều kiện cho các ứng dụng mạng tự động bí mật thu thập thông tin.

Bên cạnh đó, nhiều dịch vụ trên không gian mạng có hoạt động thu thập, khai thác, phân tích thông tin, dữ liệu cá nhân như mạng xã hội, thanh toán trực tuyến, thương mại điện tử, trò chơi trực tuyến,... nhưng không có cơ chế quản lý dữ liệu người dùng an toàn. Các cơ quan, tổ chức, doanh nghiệp chưa có các biện pháp bảo mật thông tin đồng bộ, hiệu quả; hệ thống lưu trữ và xử lý thông tin cá nhân còn tồn tại những lỗ hổng bảo mật dễ bị hacker khai thác, tấn công, gây thiệt hại lớn. Rồi hiện tượng lộ, lọt, đánh cắp, buôn bán thông tin cá nhân một cách công khai trên không gian mạng cũng thường xuyên diễn ra (như vụ việc vừa xảy ra gần đây là thông tin chứng minh nhân dân của gần 10.000 người Việt bị đem rao bán), thách thức các cơ quan thi hành pháp luật.

Dữ liệu cá nhân trong lĩnh vực này trở thành nguyên liệu đầu vào để khai thác trong lĩnh vực khác nên tình trạng mua bán, trao đổi kho dữ liệu giữa các lĩnh vực diễn ra phức tạp. Ngày càng nhiều chủ thể tham gia vào quá trình thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra hành vi vi phạm về bảo vệ dữ liệu cá nhân. Hậu quả xảy ra có thể ảnh hưởng nghiêm trọng đến sức khỏe, tài chính, tâm lý, đời sống riêng tư của các cá nhân. Vì vậy, đã đến lúc các cơ quan quản lý nhà nước, các tổ chức, doanh nghiệp và đặc biệt là người dân cần ý thức được tầm quan trọng của vấn đề bảo vệ dữ liệu cá nhân khi tham gia sử dụng các dịch vụ trên không gian mạng.

Chưa có cách hiểu thống nhất về dữ liệu cá nhân

Dữ liệu cá nhân được coi là “thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình” sử dụng tại các văn bản: Hiến pháp 2013, Bộ luật Dân sự 2015, Luật Tiếp cận thông tin 2016, Luật Trẻ em năm 2016 và nhiều văn bản quy phạm pháp luật khác như nghị định, thông tư… Tuy nhiên, trách nhiệm bảo vệ thuộc về các cơ quan, tổ chức thu thập và lưu trữ, sử dụng dữ liệu có phần bị buông lỏng, chế tài không nghiêm. Nhìn nhận của bà về vấn đề này như thế nào?

TS. Chu Thị Hoa: Trước hết, tôi xin lưu ý là hệ thống pháp luật chưa có cách hiểu thống nhất về khái niệm và nội hàm dữ liệu cá nhân. Hệ thống pháp luật Việt Nam hiện hành chưa sử dụng cụm từ “dữ liệu cá nhân”, do đó hiện chưa có định nghĩa thế nào là dữ liệu cá nhân. Liên quan đến dữ liệu cá nhân, hiện nay, văn bản pháp luật sử dụng một số thuật ngữ, khái niệm khác nhau (có khoảng gần 10 thuật ngữ) với những cách diễn giải khác nhau. Ví dụ, “thông tin cá nhân”; “thông tin riêng”, “thông tin riêng tư”; “thông tin cá nhân trên môi trường mạng”; “thông tin bí mật đời tư”; “thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình”; “thông tin của người tiêu dùng” …

Trở lại câu hỏi, quả thật có thể thấy các quy định về chế tài nhằm bảo vệ quyền riêng tư hay bảo vệ dữ liệu cá nhân còn “khá nhẹ”. Trong khi đó, thực trạng các hoạt động trên không gian mạng, nhất là việc sử dụng ứng dụng IoT, có thể gây ảnh hưởng ở chiều hướng tiêu cực đến bảo vệ quyền riêng tư hay bảo vệ dữ liệu cá nhân. Thế giới của IoT là một thế giới kết nối không có giới hạn, mà ở đó, bất kỳ nơi đâu, bất kể thời gian nào, con người cũng có thể bị theo dõi, thu thập thông tin từ chiếc smartphone luôn được mang theo bên người … hay thậm chí là qua những chiếc Tivi thông minh trong phòng ngủ.

Từ những thông tin rời rạc được thu thập qua các nền tảng ứng dụng khác nhau, một cá nhân hoàn toàn có thể được định danh. Và sau đó, thông tin của cá nhân này có thể được lưu trữ mãi mãi trên môi trường mạng mà ngay cả người đó cũng có thể không biết tới điều này và hoàn toàn không nhận thức được sự can thiệp tới quyền của mình và cũng có thể bị xâm phạm quyền bảo vệ dữ liệu cá nhân lúc nào mà không hề hay biết.

Trong khi đó, các quy định về hình thức xử phạt đối với những hành vi vi phạm còn chưa tương xứng, chưa đảm bảo tính răn đe. Hiện nay, mức phạt hành chính nặng nhất đối với vi phạm quyền riêng tư là 70 triệu đồng (Nghị định 15/2020/NĐ-CP) và mức phạt hình sự nặng nhất là 200 triệu đồng; thậm chí trong trường hợp xâm phạm bí mật cá nhân dẫn đến người bị xâm phạm tự sát thì cũng chỉ bị phạt tối đa 1.000.000.000 đồng hoặc phạt tù từ 02 năm đến 07 năm (Điều 288, Bộ luật Hình sự 2015). So sánh với quy định chung về bảo vệ dữ liệu do Ủy ban châu Âu xây dựng (GDPR) áp dụng mức phạt lên tới 20 triệu Euro, tương đương 500 tỷ VNĐ thì có thể thấy, mức phạt trong luật pháp Việt Nam còn khá nhẹ, trong khi hậu quả từ hành vi xâm phạm quyền riêng tư có thể rất nghiêm trọng, gây tổn hại tới danh dự, nhân phẩm, an toàn và cả tính mạng của không chỉ một mà có thể là nhiều nạn nhân.

Ngoài ra, quy định hành vi vi phạm trong một số nghị định về xử phạt vi phạm hành chính còn có nhiều điểm chưa hợp lý. Chẳng hạn, Điều 51 Nghị định 167/2013/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực an ninh, trật tự, an toàn xã hội; phòng, chống tệ nạn xã hội; phòng cháy và chữa cháy; phòng, chống bạo lực gia đình, hành vi tiết lộ hoặc phát tán tư liệu, tài liệu thuộc bí mật đời tư của thành viên gia đình chỉ bị xử phạt khi hành vi này phải gắn với mục đích “nhằm xúc phạm danh dự, nhân phẩm”. Việc pháp luật yêu cầu phải chứng minh mục đích của cá nhân, tổ chức tiết lộ, phát tán bí mật đời tư của người khác là điều không hợp lý. cần bãi bỏ; chỉ cần cá nhân, tổ chức có hành vi xâm phạm đời tư của người khác là đã bị xử lí vi phạm.

Tuy nhiên, cũng cần tính thêm về hiệu quả của cơ chế bảo vệ dữ liệu cá nhân thông qua khởi kiện dân sự. Bởi lẽ, bảo vệ quyền riêng tư, bảo vệ dữ liệu cá nhân không chỉ thông qua cơ chế xử phạt vi phạm hành chính hay truy cứu trách nhiệm hình sự là những cơ chế thuộc về luật công. Bên cạnh những đòi hỏi phải gia tăng mức phạt trong xử lý bằng con đường hành chính hay hình sự, cần đảm bảo hiệu quả giải quyết vụ việc theo cơ chế luật - đó là khởi kiện dân sự.

Song song với khởi kiện là các yêu cầu bồi thường thiệt hại theo quy định tại các Điều 13, 14 và 15 Bộ luật Dân sự năm 2015. Một điều đáng lưu ý là khi có yêu cầu gửi đến Tòa án bảo vệ quyền thì Tòa án không được từ chối giải quyết vụ việc vì lý do chưa có điều luật để áp dụng. Trong trường hợp này, Tòa án phải áp dụng các công cụ pháp lý là tập quán (quy định tại Điều 5 Bộ luật Dân sự năm 2015) hoặc tương tự pháp luật, nguyên tắc cơ bản của pháp luật dân sự, án lệ và lẽ công bằng (quy định tại Điều 6 Bộ luật Dân sự năm 2015) để giải quyết.

Còn khoảng trống pháp luật về bảo vệ dữ liệu cá nhân

Qua rà soát của các chuyên gia pháp luật, có không ít văn bản quy phạm pháp luật liên quan đến vấn đề này còn mâu thuẫn, chồng chéo, bất cập, không phù hợp thực tiễn… dẫn đến không bảo đảm tính răn đe với các đối tượng xấu. Quan điểm của bà thế nào?

TS. Chu Thị Hoa: Trước hết, cũng cần khẳng định là chúng ta hiện đã có khung pháp lý ở mức độ cơ bản về bảo vệ dữ liệu cá nhân. Hiến pháp năm 2013 cùng với hệ thống pháp luật của Việt Nam nói chung đã tạo ra nền tảng cần thiết để bảo vệ các quyền đối với dữ liệu của cá nhân.

Trong hệ thống pháp luật Việt Nam, vấn đề bảo vệ dữ liệu cá nhân được quy định trong nhiều lĩnh vực pháp luật với các cách tiếp cận khác nhau. Hiến pháp-văn bản có giá trị pháp lý cao nhất, tiếp cận dưới góc độ quyền con người, quyền công dân thông qua việc ghi nhận quyền riêng tư (cụ thể là quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình). Tiếp theo đó, cùng cách tiếp cận dưới góc độ quyền con người, quyền công dân, lĩnh vực pháp luật dân sự ghi nhận quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình như một loại quyền nhân thân.

Pháp luật hành chính và pháp luật hình sự tiếp cận dưới góc độ bảo vệ quyền con người, quyền công dân thông qua việc quy định các chế tài hành chính, chế tài hình sự đối với các hành vi xâm phạm quyền này. Ngoài ra, trong một số lĩnh vực cụ thể mà có khả năng tiềm ẩn nguy cơ xâm phạm dữ liệu cá nhân, các văn bản pháp luật cũng thường có những quy định cụ thể để phòng ngừa và bảo vệ dữ liệu cá nhân như một trong những phương thức bảo vệ quyền riêng tư.

Chẳng hạn, Luật Công nghệ thông tin năm 2006 ghi nhận bảo đảm bí mật thông tin cá nhân, Luật An toàn thông tin mạng năm 2015 quy định nguyên tắc bảo vệ thông tin cá nhân trên mạng, Luật An ninh mạng năm 2018 quy định hành vi xâm phạm bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng, Luật Báo chí năm 2016 quy định nghiêm cấm hành vi “tiết lộ thông tin thuộc danh Mục bí mật Nhà nước, bí mật đời tư của cá nhân và bí mật khác theo quy định của pháp luật, …

Về cơ bản, các quy định của pháp luật Việt Nam về quyền được bảo vệ dữ liệu cá nhân được tiếp cận và phát triển từ quyền riêng tư-với tư cách là quyền cơ bản của con người. Đây cũng là cách tiếp cận đã được pháp luật nhiều nước trên thế giới công nhận và có cơ chế bảo vệ trước sự xâm phạm từ phía nhà nước cũng như từ các chủ thể khác.

Tuy nhiên, có một thực tế là vẫn còn một số văn bản quy phạm pháp luật liên quan đến bảo vệ dữ liệu cá nhân có quy định mâu thuẫn, chồng chéo, bất cập hoặc không phù hợp với thực tiễn. Ví dụ đầu tiên của tình trạng mâu thuẫn này chính là còn nhiều cách hiểu khác nhau, chưa thống nhất về dữ liệu cá nhân, thông tin cá nhân (Nghị định số 52/2013/NĐ-CP khẳng định thông tin liên hệ công việc và những thông tin mà cá nhân đã tự công bố trên các phương tiện truyền thông không được coi là thông tin cá nhân thì tại Nghị định số 72/2013/NĐ-CP, mọi thông tin cá nhân không phân biệt đã công khai hay giữ bí mật đều được coi là thông tin cá nhân).

Vậy là còn những “khoảng trống” pháp luật về bảo vệ dữ liệu cá nhân cần được lấp đầy với các giải pháp cụ thể, thưa bà?

TS. Chu Thị Hoa: Đúng thế. Tôi cho rằng còn những khoảng trống pháp luật về bảo vệ dữ liệu cá nhân cần được quan tâm "lấp đầy” trong thời gian tới. Chẳng hạn, cần đưa ra khái niệm/giải thích thống nhất cách hiểu về “dữ liệu cá nhân” và “bảo vệ dữ liệu cá nhân”. Thêm vào đó, các quy định pháp luật hiện hành liên quan đến dữ liệu cá nhân chưa bắt kịp được với thực tiễn sử dụng các dữ liệu cá nhân như dữ liệu về hình ảnh cá nhân (công nghệ nhận diện khuôn mặt), các dữ liệu sinh trắc (vân tay,...); cũng như còn thiếu quy định về bảo vệ dữ liệu cá nhân nhạy cảm (dữ liệu cá nhân về nguồn gốc chủng tộc hay dân tộc, quan điểm chính trị, triết lý hay tôn giáo hoặc các tổ chức xã hội mà các cá nhân tham gia, hay những thông tin liên quan đến sức khỏe, xu hướng tính dục,...).

Giải pháp cho tình trạng này có lẽ cần tính đến giải pháp mang tính cơ bản, dài hơi hơn chứ không thể chỉ là giải pháp tình thế mâu thuẫn chồng chéo ở đâu thì sửa ở đó. Có thể thấy hệ thống pháp luật quy định về bảo vệ dữ liệu cá nhân chưa có tính đồng nhất, còn tản mạn ở nhiều lĩnh vực với nhiều tầng nấc văn bản quy phạm pháp luật, các biện pháp chế tài chưa đồng bộ, chưa đủ mạnh để răn đe, ngăn chặn các hành vi xâm phạm quyền; do đó, hiệu quả thi hành pháp luật trên thực tế chưa cao.

Hơn nữa, trong nhiều trường hợp, văn bản quy phạm quy định việc bảo vệ các quyền này mới chỉ dừng lại ở nguyên tắc chung nên những hành vi xâm phạm đến quyền được bảo vệ dữ liệu cá nhân chưa được ngăn chặn, xử lý kịp thời và dứt điểm. Chính vì vậy, việc ban hành Luật bảo vệ dữ liệu cá nhân là cần thiết, bởi vì luật sẽ bao hàm được nhiều vấn đề mang tính nguyên tắc hơn, các quy định của luật có tính bền vững hơn và bao quát được tổng thể các vấn đề liên quan đến bảo vệ dữ liệu cá nhân hơn là các quy định về bảo vệ dữ liệu cá nhân trong các ngành, lĩnh vực cụ thể. Ngoài ra, xu hướng chung trên thế giới hiện nay cũng là ban hành đạo luật riêng về bảo vệ dữ liệu cá nhân.

Bài 2: Cần coi dữ liệu cá nhân là một loại tài sản phi truyền thống