Không thể thờ ơ với quyền bảo vệ dữ liệu cá nhân
Lưu Minh Sang (*)
(KTSG) - Những cuộc gọi tiếp thị, tin nhắn quảng cáo hay e-mail chào mời sản phẩm liên tục được gửi đến đích danh từng người đã không còn là chuyện quá xa lạ. Tình trạng bị đe dọa, xâm hại do bị lộ, lọt thông tin cá nhân đang đe dọa sự bình yên trong đời sống của mỗi người. Chưa bao giờ quyền riêng tư của mỗi người lại dễ dàng bị thách thức đến như vậy.
Dữ liệu cá nhân là gì?
Theo thống kê của Diễn đàn Thương mại và Phát triển Liên hiệp quốc (UNCTAD), đã có đến 128/194 quốc gia ban hành quy định về quyền bảo vệ dữ liệu cá nhân(1). Tại Việt Nam, Chính phủ cũng đã công bố Dự thảo Nghị định về bảo vệ dữ liệu cá nhân (dự thảo) và đang lấy ý kiến các bên.
Theo đó, dữ liệu cá nhân được hiểu là những thông tin về cá nhân hoặc liên quan đến việc xác định một cá nhân cụ thể, tồn tại dưới dạng dữ liệu điện tử. Cá nhân được dữ liệu phản ánh được xem là chủ thể dữ liệu. Dữ liệu cá nhân thường được phân thành hai cấp độ: cơ bản và nhạy cảm.
Dữ liệu nhạy cảm gắn liền với “địa hạt” của sự riêng tư và bí mật của mỗi người như: quan điểm chính trị, tôn giáo, thông tin sức khỏe, các vấn đề về giới tính, di truyền, sinh trắc học, tài chính, lý lịch tư pháp,... Dưới góc nhìn so sánh, nội hàm của dữ liệu nhạy cảm tại dự thảo là tương đối rộng so với nhiều nước.
Theo dự thảo, việc xử lý dữ liệu nhạy cảm phải được đăng ký với Ủy ban Bảo vệ dữ liệu cá nhân. Về phần mình, chủ thể dữ liệu cần phải nhận thức được tầm quan trọng của dữ liệu nhạy cảm đối với đời sống riêng tư và có ý thức tự bảo vệ.
Chủ thể dữ liệu có quyền gì?
Xét cho cùng, biện pháp bảo vệ hữu hiệu nhất là tự bảo vệ, muốn vậy mỗi người cần quan tâm và trang bị những hiểu biết về quyền của mình để có những ứng xử cẩn trọng và cần thiết trên không gian số. |
Quyền bảo vệ dữ liệu cá nhân trang bị cho mỗi chúng ta một tổ hợp các quyền, công cụ, phương tiện để kiểm soát, phòng ngừa, phát hiện, ngăn chặn và chống lại những hành vi xâm phạm trái pháp luật của chủ thể khác đối với dữ liệu cá nhân. Qua đó, góp phần bảo vệ quyền riêng tư của mỗi người trên không gian số.
Quyền này phát sinh khi dữ liệu cá nhân bị xử lý bởi một chủ thể khác trong tất cả các giai đoạn như thu thập, phân tích, lưu trữ, sử dụng, cung cấp và tiết lộ cho bên thứ ba. Quyền của chủ thể dữ liệu sẽ tương ứng với trách nhiệm tuân thủ của bên kiểm soát dữ liệu và bên xử lý dữ liệu.
Luật của EU và đa số các nước có sự phân tách vai trò của hai chủ thể: bên kiểm soát dữ liệu (Controller) và bên xử lý dữ liệu (Processor) - người xử lý dữ liệu thay cho bên kiểm soát dữ liệu. Tuy nhiên, dự thảo hiện tại không có sự phân định này.
Qua khảo cứu quy định của các nước, tác giả nhận thấy quyền bảo vệ dữ liệu cá nhân thường xoay quanh những quyền sau: (i) quyền được cung cấp thông tin; (ii) quyền tự quyết thông tin; (iv) quyền kiểm soát; (iv) quyền tìm kiếm sự bảo vệ.
Quyền được cung cấp thông tin: Mỗi cá nhân có quyền biết cách thức, mục đích và dữ liệu cá nhân nào của họ đang được xử lý cũng như các rủi ro, quyền và biện pháp bảo vệ quyền của họ liên quan đến việc xử lý. Theo đó, bên kiểm soát dữ liệu phải thông báo cho chủ thể dữ liệu ngay khi bắt đầu xử lý dữ liệu về tất cả các thông tin cần thiết để đảm bảo việc xử lý công bằng và minh bạch. Quyền này được xác lập tự động, không cần chủ thể dữ liệu yêu cầu.
Thực tế cho thấy, các thông báo thường được thiết kế rất phức tạp, dù vô tình hay cố ý thì đều gây cản trở việc đọc, hiểu và quyết định đối với đa số người dân. Vì vậy, quy chuẩn của thông báo đã được đặt ra như: phải ngắn gọn, dễ hiểu, dễ tiếp cận, ngôn ngữ rõ ràng và đơn giản. Rất tiếc, dự thảo chưa thật sự quan tâm đến yếu tố này.
Quyền tự quyết thông tin: Mỗi cá nhân có quyền bày tỏ sự đồng ý, phản đối, rút lại sự đồng ý và yêu cầu hạn chế quyền tiếp cận đối với việc xử lý dữ liệu liên quan đến mình, trừ một số trường hợp ngoại lệ do luật định. Về nguyên tắc, sự đồng ý của chủ thể dữ liệu là cơ sở pháp lý cho việc xử lý dữ liệu hợp pháp. Vì vậy, hình thức bày tỏ sự đồng ý được yêu cầu phải rõ ràng, có thể xác định được và sự im lặng, không phản hồi không thể được xem là đồng ý. Chiều ngược lại, việc rút lại sự đồng ý có thể được thực hiện bất kỳ lúc nào.
Dự thảo đã có các quy định khá căn bản về nội dung cũng như hình thức thực hiện quyền này. Tuy nhiên, quyền yêu cầu hạn chế xử lý dữ liệu trong trường hợp tính chính xác của dữ liệu chưa được xác định (như các thông tin về truy tố, khởi tố hay các tranh chấp chưa có bản án) lại không được ghi nhận trong dự thảo.
Đồng thời, trong bối cảnh các doanh nghiệp đẩy mạnh việc dùng dữ liệu cá nhân để thực hiện các biện pháp tiếp thị trực tiếp (gọi điện, nhắn tin, e-mail) gây phiền toái cho nhiều người thì quyền phản đối việc xử lý dữ liệu cá nhân cho mục đích tiếp thị trực tiếp là vô cùng cần thiết. Luật của EU và nhiều nước có quy định riêng đối với quyền này. Trong khi đó, tại Việt Nam tình trạng quảng cáo “rác” đang rất phổ biến nhưng quyền này không được nhắc đến trong dự thảo.
Quyền kiểm soát thông tin: Chủ thể dữ liệu có quyền được biết tình trạng xử lý của dữ liệu cá nhân thông qua việc truy cập và yêu cầu bên kiểm soát dữ liệu cung cấp bản sao dữ liệu. Trong trường hợp thông tin cá nhân của chính mình bị thay đổi hay không còn chính xác, chủ thể dữ liệu có quyền yêu cầu chỉnh sửa, cập nhật để đảm bảo tính chính xác của dữ liệu.
Khi dữ liệu cá nhân bị tiết lộ hoặc bị xử lý vượt quá mục đích mà chủ thể dữ liệu được thông báo hoặc được thực hiện bất hợp pháp, chủ thể dữ liệu có thể áp dụng quyền yêu cầu chấm dứt việc tiết lộ thông tin hoặc xóa dữ liệu. Yêu cầu xóa dữ liệu cũng có thể được thực hiện nếu như mục đích của việc xử lý dữ liệu đó không còn tồn tại. Những nội dung này đều đã được thể hiện trong dự thảo.
Đặc biệt, luật của EU dành không ít không gian cho quyền được lãng quên (right to be forgotten) của chủ thể dữ liệu. Quyền này giúp cho các chủ thể dữ liệu có thể gỡ bỏ những dữ liệu tiêu cực liên quan đến mình trong quá khứ khi những thông tin này ảnh hưởng đến cuộc sống hiện tại và tương lai của họ.
Trong một số trường hợp nhất định, chủ thể dữ liệu có thể yêu cầu bên kiểm soát dữ liệu xóa dữ liệu gốc hoặc yêu cầu bên cung cấp dịch vụ tìm kiếm (như Google) hủy bỏ việc hiển thị các thông tin liên quan đến chủ thể dữ liệu trong kết quả tìm kiếm. Đây là quyền mang tính đặc trưng của Luật EU, không có nhiều nước ghi nhận quyền này và dự thảo cũng không đề cập.
Quyền tìm kiếm sự bảo vệ: Khiếu nại và yêu cầu bồi thường thiệt hại là hai hành động chủ thể dữ liệu có thể sử dụng khi quyền bảo vệ dữ liệu cá nhân của mình bị vi phạm. Theo dự thảo, Ủy ban Bảo vệ dữ liệu cá nhân sẽ là cơ quan chịu trách nhiệm chính trong việc thực thi quyền.
Xét cho cùng, biện pháp bảo vệ hữu hiệu nhất là tự bảo vệ, muốn vậy mỗi người cần quan tâm và trang bị những hiểu biết về quyền của mình để có những ứng xử cẩn trọng và cần thiết trên không gian số.
(*) Trường Đại học Kinh tế - Luật, ĐHQG TPHCM.
(1) https://unctad.org/page/data-protection-and-privacy-legislation-worldwide
Xem thêm: lmth.nahn-ac-ueil-ud-ev-oab-neyuq-iov-o-oht-eht-gnohk/506413/nv.semitnogiaseht.www