Bảo vệ dữ liệu cá nhân tại EU - còn trên cả luật!

Lê Thị thiên Hương

(TBKTSG) - Ngày 6-10 vừa qua, Tòa án Liên minh châu Âu (EU) ra phán quyết luật về bảo vệ dữ liệu cá nhân của EU có giá trị cao hơn luật các nước thành viên...

Bảo vệ dữ liệu cá nhân theo chuẩn... EU

Trong cuốn sách gần đây nhất mang tên “21 bài học cho thế kỷ 21”, nhà sử học nổi tiếng Yuval Noah Harari đã viết “Thời xa xưa, đất đai là tài sản quan trọng nhất trên thế giới... Trong thời kỳ hiện đại, máy móc và nhà máy trở nên quan trọng hơn cả đất đai… Ấy thế nhưng trong thế kỷ 21, dữ liệu sẽ vượt mặt cả đất đai và máy móc, để trở thành tài sản quan trọng nhất”.

Đúng thế, thế kỷ 21 là thời điểm mà dữ liệu được coi là “dầu mỏ” của nền kinh tế. Mỗi cá nhân chúng ta khi sử dụng mạng Internet, điện thoại đều để lại những “dấu vết” nhất định, như tên tuổi, quan điểm chính trị, tình hình sức khỏe, thói quen tiêu dùng, sở thích...

Tập hợp những dữ liệu cá nhân này là một tài sản đáng giá, một vũ khí kinh tế mà doanh nghiệp nào cũng muốn nắm giữ. Dữ liệu được lưu trữ, xử lý và sử dụng cho nhiều mục đích khác nhau và hiển nhiên là điều này có thể gây ảnh hưởng tiêu cực tới quyền riêng tư của cá nhân.

Không ngạc nhiên gì khi bốn “ông lớn” nhóm GAFA ( bao gồm Google, Apple, Facebook và Amazon) đang giữ vị trí áp đảo trong việc thu thập dữ liệu cá nhân trên mức độ toàn cầu để sử dụng trong mục đích thương mại đã từng bị một số tòa án quốc gia tuyên bố vi phạm các quy định pháp luật liên quan tới quyền riêng tư của cá nhân.

Lường trước được những nguy cơ đặt ra đối với thông tin cá nhân, ngày càng có nhiều quốc gia và khu vực siết chặt hơn các quy định pháp lý liên quan tới việc bảo vệ dữ liệu cá nhân.

EU là một ví dụ tiêu biểu.  Vốn “nhìn xa trông rộng” và luôn đi đầu trong vấn đề bảo vệ quyền  cơ bản cá nhân, từ năm 1995, EU đã ra ban hành những quy định rất chặt chẽ liên quan tới vấn đề này.

Thậm chí, năm 2016, EU đã thông qua  Quy định bảo vệ dữ liệu chung 2016/679 - GDPR (General Data Protection Regulation) công nhận quyền của cá nhân được định đoạt thông tin cá nhân bản thân, như quyền được thông báo về việc dữ liệu cá nhân bị thu thập và sử dụng, quyền được tiếp cận cơ sở dữ liệu và yêu cầu hủy bỏ thông tin đã được thu thập. Quy định này có hiệu lực ở mọi nước thành viên kể từ năm 2018, điều đó có nghĩa là mọi nước thuộc EU đều phải đảm bảo được mức độ bảo vệ rất cao này.

Không chỉ thế, EU không ngừng có nhiều động thái thể hiện quyết tâm đi xa hơn trong việc bảo vệ dữ liệu cá nhân. Ngoài việc kiên quyết đảm bảo rằng mọi sử dụng thương mại dữ liệu cá nhân phải tuân thủ các quy định về quyền cá nhân, EU thậm chí cũng chẳng “nương tay” với các cơ quan chính phủ các nước thành viên.

Chính vì dữ liệu cá nhân cũng là một vũ khí lợi hại trong việc đảm bảo an ninh, quốc phòng nên việc sử dụng nguồn thông tin này trong công việc điều tra tội phạm hay tình báo là đặc biệt cần thiết.

Cụ thể là các cơ quan điều tra quốc gia thường yêu cầu các nhà cung cấp dịch vụ dịch vụ Internet, điện thoại hay các nền tảng mạng xã hội như Facebook, Whatsup, Twitter phối hợp hợp tác trong điều tra tội phạm, đặc biệt là trong cuộc chiến chống khủng bố.

Những nhà cung cấp dịch vụ nói trên thường được yêu cầu lưu giữ dữ liệu cá nhân như thông tin kết nối Internet và điện thoại (danh tính, thời gian, địa điểm kết nối, nhưng không bao gồm nội dung hội thoại hay trao đổi) trong một thời gian nhất định và phải cung cấp những dữ liệu này cho cơ quan chính phủ khi được yêu cầu.

Những dữ liệu này cho phép các cơ quan điều tra và tình báo xây dựng danh sách chi tiết các cuộc trao đổi của đối tượng điều tra. Ví dụ như khi một cá nhân bị nghi ngờ là khủng bố, thì cơ quan điều tra có thể dựa vào các dữ liệu này để giám sát hay để bắt giữ đối tượng tình nghi. Nếu như quy trình này rất phổ biến trong cuộc chiến chống khủng bố, nó cũng được sử dụng trong điều tra những vụ việc kém nghiêm trọng hơn như trộm cướp, buôn bán ma túy hay các vụ bắt cóc chẳng hạn. 

Bảo vệ dữ liệu cá nhân trong mối tương quan với... đảm bảo an ninh quốc phòng

Thế nhưng, cho dù việc sử dụng dữ liệu cá nhân nói trên có mục đích đảm bảo an ninh, quốc phòng, thì EU cũng đặt ra giới hạn cụ thể. Ngày 6-10 vừa qua, Tòa án EU đã ra phán quyết chẳng mấy thuận lợi cho các cơ quan điều tra các nước thành viên.

Theo phán quyết này, luật về bảo vệ dữ liệu cá nhân của EU có giá trị cao hơn luật các nước thành viên, và vì thế, các quy định của luật này không cho phép cơ quan điều tra của các nước thành viên EU yêu cầu các nhà cung cấp dịch vụ phải “chuyển giao hoặc lưu trữ dữ liệu cá nhân một cách khái quát hóa hay không dựa trên việc phân loại dữ liệu” cho dù có cho mục đích “chống lại các hoạt động tội phạm nói chung hoặc để đảm bảo an ninh quốc gia” đi chăng nữa.

Tòa án nhấn mạnh rằng, việc luật quốc gia áp đặt nghĩa vụ của các nhà cung cấp dịch vụ Internet hay điện thoại phải lưu trữ và cung cấp dữ liệu cá nhân người sử dụng một cách ồ ạt và không giới hạn, không phân biệt là vi phạm quyền cá nhân căn bản được quy định trong Hiến chương các quyền căn bản của EU.

Cho dù phán quyết này không như nhiều quốc gia thành viên như Anh, Pháp, Bỉ mong chờ, nó cũng không hẳn là quá gây ngạc nhiên hay đi ngược lại truyền thống pháp lý của EU. Tòa án EU đã từng đưa ra các phán quyết thể hiện quan điểm tương tự.

Năm 2012, tòa án đã vô hiệu hóa một quy định của EU liên quan tới việc thu thập và xử lý dữ liệu trong truyền thông điện tử vì văn bản này vi phạm các nguyên tắc của Hiến chương các quyền căn bản của EU và việc vi phạm này không ở mức “đặc biệt cần thiết”, điều kiện để nó có thể được tòa án chấp thuận.

Năm 2016, trong phán quyết “Tele2 Sverige and Watson and Others”, Tòa án EU đã diễn giải điều khoản 15(1) của Quy định 2002/58/EC liên quan tới việc xử lý thông tin cá nhân và bảo vệ quyền riêng tư trong lĩnh vực truyền thông điện tử và khẳng định rằng nếu như các chính phủ các nước thành viên có quyền áp dụng các biện pháp hạn chế quyền cá nhân đối với dữ liệu trên cơ sở “an ninh quốc phòng”, thì các biện pháp chỉ được coi là hợp lý khi nó “đặc biệt cần thiết”.

Cũng theo phán quyết này, các quốc gia thành viên không được phép ấn định nghĩa vụ chung của các nhà cung cấp dịch vụ Internet, điện thoại trong việc cung cấp dữ liệu cá nhân cho các cơ quan điều tra.

Vì thế, điều mới mẻ hơn trong phán quyết của Tòa án EU vào tháng 10 này, chính là nó làm rõ hơn một số khái niệm và phạm vi quyền của các nước thành viên. Thứ nhất là tòa án khẳng định rằng Quy định 2002/58/EC của EU về quyền riêng tư trong truyền thông điện tử có phạm vi áp dụng đối với cả các văn bản pháp luật quốc gia trong lĩnh vực an ninh quốc phòng, và vì thế, các quy định quốc gia này liên quan đến truyền thông điện tử cũng phải tuân thủ nguyên tắc của quy định nói trên.

Tiếp theo, tòa án nhắc lại nguyên tắc “cân đối” trong luật EU: chỉ có những ngoại lệ nào đảm bảo tính “cân đối” giữa sự cần thiết và mức độ vi phạm quyền căn bản của EU thì mới có thể được chấp thuận. Cũng theo logic này, tòa án nhắc lại rằng nếu khi một quốc gia thành viên đang phải đối mặt với các nguy cơ nghiêm trọng về an ninh quốc gia, thì việc thu thập dữ liệu cá nhân một cách khái quát hóa và không phân biệt có thể được cho phép trong một khoảng thời gian nhất định, giới hạn ở mức “đặc biệt cần thiết”.

Sau phán quyết này, không ngạc nhiên gì khi nhiều quốc gia thành viên sẽ phải điều chỉnh lại luật quốc gia liên quan tới dữ liệu cá nhân để đảm bảo phù hợp hơn với luật của EU. Tất nhiên, phán quyết này không có nghĩa rằng quyền cá nhân có thể được ưu tiên hơn cả lợi ích quốc gia. Tòa án EU cho dù có rất “khắt khe” trong vấn đề dữ liệu cá nhân, vẫn cho phép “ngoại lệ” và các quốc gia thành viên vẫn có thể đảm bảo mục tiêu bảo vệ “an ninh quốc phòng”. Phán quyết này chỉ cho thấy một điều rõ ràng rằng, cho dù là ngoại lệ, thì cũng cần được quy định và giới hạn chặt chẽ!