Feel free to go with the truth

Trang chủ / BÀI VIẾT & ẤN PHẨM CỦA FDVN / BÀN VỀ QUYỀN ĐỐI VỚI DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT VIỆT NAM

BÀN VỀ QUYỀN ĐỐI VỚI DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT VIỆT NAM

Trong xã hội hiện đại 4.0, các thông tin cá nhân đều được mã hóa và lưu trữ thành dữ liệu trên hệ thống mạng máy tính. Với sự phát triển kinh tế ở các nước, dữ liệu cá nhân không những giúp nhà nước trong việc quản lý công dân, hạn chế giấy tờ, thủ tục mà còn trở thành “món hàng” đắt giá mang lại cơ hội kinh doanh cho rất nhiều doanh nghiệp. Vấn đề này mang tính toàn cầu bởi hệ thống mạng máy tính thì rộng khắp và có tính liên kết. Dễ dàng nhận thấy, khi tìm hiểu một món hàng trên google, thì ngay sau đó liên tục xuất hiện các phần quảng cáo của các trang thương mại điện tử về sản phẩm liên quan đến món hàng mình vừa tìm kiếm; hoặc sau một giao dịch điện tử nào đó trên mạng internet có sử dụng thông tin cá nhân, người thực hiện giao dịch thường xuyên nhận được các cuộc gọi chào hàng về các sản phẩm liên quan.

Theo báo cáo Digital 2020 toàn cầu của We are social, Việt Nam có 96,9 triệu dân, số lượng người dùng internet là 68,17 triệu người (chiếm tỷ lệ 70% dân số); số lượng người dùng mạng xã hội là 65 triệu người (chiếm tỷ lệ 67% dân số); số người dùng internet tại Việt Nam tăng 6,2 triệu (+ 10,0%) từ năm 2019 đến 2020[1]. Với tốc độ tiếp cận internet thuộc top cao trên thế giới thì Việt Nam trong quá trình xây dựng và hoàn thiện hệ thống pháp luật để quản lý và bảo vệ quyền đối với dữ liệu cá nhân đã hội nhập với thế giới như thế nào?

  1. Hiến pháp Việt Nam từng bước công nhận quyền đối với dữ liệu cá nhân

Tại Việt Nam, Hiến pháp đầu tiên năm 1946 đã có quy định cơ bản bảo vệ quyền đối với thông tin cá nhân, tuy nhiên tại thời điểm này các hình thức lưu trữ dữ liệu cá nhân còn đơn giản, chưa có sự xuất hiện của công nghệ khai thác dữ liệu nên chỉ quy định “Nhà ở và thư tín của công dân Việt Nam không được ai xâm phạm một cách trái pháp luật[2]. Ba Hiến pháp sau đó của các năm 1959, 1980, 1992 tiếp tục kế thừa và bổ sung thêm các hình thức trao đổi thông tin mới như điện thoại, điện tín. Đến Hiến pháp năm 2013 thì vấn đề thông tin cá nhân mới được nhìn nhận trên nhiều phương diện, được quy định như sau:

1. Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình.

            Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn.

  1. Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác.

            Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác.”[3]

Như vậy, không chỉ riêng thư tín, điện thoại, điện tín mà ngay cả các thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được thể hiện dưới các hình thức trao đổi khác trong hệ thống mạng máy tính, mạng internet vẫn sẽ được pháp luật bảo vệ. Tuy nhiên khái niệm “hình thức trao đổi thông tin khác” vẫn còn là một khái niệm mù mờ, chưa được định rõ tại một văn bản dưới Hiến pháp nào để các cơ quan có thẩm quyền có cơ sở áp dụng và thực thi bảo vệ quyền đối với dữ liệu cá nhân hay các hình thức trao đổi khác. Dù biết rằng đây là quy định mở nhằm mục đích điều chỉnh cho các trường hợp có thể xảy ra trong tương lai khi xã hội ngày càng phát triển, nhưng điều này cũng đặt ra cho các cơ quan ban hành pháp luật trách nhiệm phải tiếp cận kịp thời với thực tế để có những quy định chi tiết, hướng dẫn hợp lý cho các quan hệ xã hội.

Khi mạng internet phát triển mạnh, văn bản có giá trị pháp lý cao nhất mặc dù chưa đi vào cụ thể, chi tiết về vấn đề dữ liệu cá nhân nhưng đã có sự điều chỉnh phù hợp để theo kịp thời đại và tốc độ tiếp cận thông tin của thế giới. Tuy nhiên cũng cần phải quy định rõ hơn hoặc có văn bản hướng dẫn để pháp luật không bị bỏ ngõ.

  1. Xác định mô hình pháp luật bảo vệ quyền đối với dữ liệu cá nhân là vấn đề cần đặt ra cho pháp luật Việt Nam

Hiện nay thế giới có ba mô hình pháp luật quy định về việc bảo vệ dữ liệu thông tin cá nhân[4], gồm:

  • Thứ nhất, mô hình Châu Âu – mô hình tiếp cận thắt chặt. Chủ thuyết của mô hình này là đặt cá nhân ở vị trí trung tâm và đề cao, ưu tiên bảo vệ quyền riêng tư đối với thông tin cá nhân. Vì vậy, cơ chế pháp lý được xây dựng theo hướng thắt chặt quản lý các hoạt động tiếp cận, thu thập, xử lý và sử dụng thông tin cá nhân. Các quốc gia theo mô hình này (chủ yếu là các nước thuộc Liên minh Châu Âu) thường ban hành đạo luật riêng về bảo vệ thông tin cá nhân (hay dữ liệu thông tin) để quy định tập trung, toàn diện, cụ thể và chi tiết các vấn đề có liên quan; đồng thời, mở rộng tối đa phạm vi thông tin cá nhân được pháp luật điều chỉnh – là tất cả những thông tin liên quan, thuộc về một cá nhân mà từ đó có thể xác định được danh tính của cá nhân đó.
  • Thứ hai, mô hình Mỹ – mô hình tiếp cận tối giản. Cũng tiếp cận bảo vệ thông tin cá nhân là một khía cạnh của quyền riêng tư nhưng ở mức độ hài hoà hơn giữa bảo vệ quyền, lợi ích của cá nhân là chủ thể thông tin cá nhân và của các chủ thể khác. Vì vậy, cơ chế pháp lý được xây dựng theo hướng quản lý tối giản – chỉ tập trung bảo vệ thông tin cá nhân nhạy cảm và “mở, lỏng” hơn đối với thông tin cá nhân thông thường. Pháp luật về bảo vệ thông tin cá nhân ở các quốc gia theo mô hình này (điển hình là Mỹ) thường không tập trung mà phân tán trong các văn bản pháp luật; đồng thời, thuật ngữ pháp lý được sử dụng phổ biến là Thông tin nhận dạng cá nhân với nội hàm hẹp hơn so với khái niệm dữ liệu cá nhân ở Châu Âu.
  • Thứ ba, mô hình hỗn hợp. Là sự kết hợp 2 mô hình trên được áp dụng ở một số nước Châu Á như Nhật Bản, Hàn Quốc,…. Các quốc gia theo mô hình này thường ban hành một đạo luật riêng về quyền riêng tư hoặc về bảo vệ thông tin cá nhân để quy định tập trung, toàn diện các vấn đề có liên quan; đồng thời, phạm vi thông tin cá nhân được pháp luật điều chỉnh về cơ chế, mức độ quản lý cũng hợp lý, hài hoà hơn trên cơ sở kết hợp 2 mô hình Châu Âu, Mỹ.

Trong hệ thống pháp luật Việt Nam hiện nay vẫn chưa có một văn bản cụ thể nào quy định riêng về quyền đối với dữ liệu thông tin cá nhân. Việc áp dụng sẽ căn cứ vào các quy định bảo vệ thông tin cá nhân và quy định về an ninh mạng.

Đâu đó trong một số văn bản pháp luật cũng đề cập đến việc bảo vệ quyền riêng tư của cá nhân, gia đình như Bộ luật dân sự, Bộ luật tố tụng dân sự, Bộ luật hình sự, Bộ luật tố tụng hình sự, Luật bưu chính, Luật Viễn thông, Luật xuất bản, Luật phòng chống HIV. Và các quy định về an toàn thông tin mạng có các văn bản như Luật giao dịch điện tử, Luật Công nghệ thông tin, Luật An toàn thông tin mạng, Luật An ninh mạng, Nghị định 64/2017/NĐ-CP ứng dụng công nghệ thông tin trong cơ quan nhà nước,… Theo đó, để tìm căn cứ pháp luật về quyền đối với dữ liệu cá nhân cần phải xem xét tổng thể, lồng ghép và kết nối các quy định có liên quan với nhau. Từ đó cho thấy, pháp luật Việt Nam về vấn đề bảo vệ quyền đối với dữ liệu cá nhân không thuộc mô hình hiện đại nào trên thế giới, việc quy định còn rải rác, chưa tập trung và toàn diện đôi khi ảnh hưởng bởi thời gian ban hành nên các quy định có sự trùng lặp, chồng chéo, thậm chí có thể dẫn đến mâu thuẫn, gây ảnh hưởng trong quá trình áp dụng pháp luật.

Điển hình là quy định về khái niệm dữ liệu cá nhân. Theo tinh thần của Luật giao dịch điện tử 2005 Dữ liệu được hiểu là thông tin được thể hiện dưới dạng ký hiệu, chữ số, hình ảnh, âm thanh hoặc dạng tương tự[5]. Như vậy dữ liệu cá nhân được hiểu là các thông tin của người nào đó được thể hiện bởi các hình thức trên.

Nghị định 64/2007/NĐ-CP ngày 10/04/2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan chính phủ có định nghĩa chi tiết về thông tin cá nhân như sau: “Thông tin cá nhân là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác[6]. Tuy nhiên trong văn bản ban hành sau đó có sự tham khảo với pháp luật thế giới, theo khoản 15 Điều 3 Luật An toàn thông tin mạng 2015 thì “Thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể[7]. Hai quy định nhìn chung không mâu thuẫn, quy định sau mở rộng hơn quy định trước bằng cách không sử dụng hình thức liệt kê. Tuy nhiên lĩnh vực thuộc hai quy định trên không khác biệt nhau nhiều nên điều này ít nhiều gây khó khăn trong việc áp dụng nếu có trường hợp xảy ra ngoài nội dung được liệt kê theo Nghị định 64/2007/NĐ-CP.

Gía trị của dữ liệu cá nhân ngày càng được đánh giá cao trong xã hội phát triển nên việc đặt ra tính pháp lý cho nó là điều quan trọng và cấp thiết cho mỗi quốc gia. Đến nay, đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân như Mỹ, Úc, Canada, Pháp, Đức, Israel, Nhật Bản, Hàn Quốc, Singapore…[8] Điều này cho thấy Việt Nam cần có một văn bản quy phạm pháp luật riêng về bảo vệ quyền đối với dữ liệu cá nhân, không những giúp việc tiếp cận của pháp luật có chiều sâu, sự bao quát, toàn diện và khỏa lấp những khoảng trống, lỗ hổng của pháp luật mà còn hạn chế sự trùng lặp, chồng chéo, thiếu sót hoặc mâu thuẫn.

Tháng 02/2021 vừa qua, Bộ Công an bắt đầu triển khai lấy ý kiến dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân. Dự thảo Nghị định đã đưa ra những diễn giải, chế tài xử lý vi phạm, lần đầu tiên những khái niệm liên quan đến “dữ liệu cá nhân” được quy định một cách chi tiết. Đây là dấu hiệu tích cực của hệ thống pháp luật Việt Nam nhằm hướng đến xây dựng một văn bản quy phạm pháp luật quy định chuyên biệt về dữ liệu cá nhân cũng như xử lý các hành vi vi phạm.

  1. Quyền đối với dữ liệu cá nhân được quy định theo pháp luật Việt Nam là một quyền không toàn vẹn

Trong hệ thống pháp luật hiện nay mới chỉ có quy định riêng đối với “Quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình” tại điều 38 Bộ luật dân sự 2015, ngoài ra chưa có quy định cụ thể nào đối với quyền về thông tin cá nhân hay dữ liệu cá nhân.

Theo Luật Công nghệ thông tin 2006, trong từng giai đoạn trao đổi thông tin trên môi trường mạng có một số quy định về quyền của chủ thể có thông tin cá nhân như sau:

  • Đối với việc Lưu trữ, cung cấp thông tin cá nhân trên môi trường mạng thì “Cá nhân có quyền yêu cầu tổ chức, cá nhân lưu trữ thông tin cá nhân của mình trên môi trường mạng thực hiện việc kiểm tra, đính chính hoặc hủy bỏ thông tin đó.” hay “Cá nhân có quyền yêu cầu bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân.”[9];
  • Đối với việc Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng thì chủ thể của dữ liệu cá nhân có quyền đồng ý hoặc không đồng ý nhưng bị hạn chế khi các tổ chức, cá nhân khác thu thập, xử lý, sử dụng thông tin cá nhân của mình trên môi trường mạng. Ngoại lệ cho việc thu thập, xử lý, sử dụng thông tin cá nhân trên mỗi trường mạng của người khác mà không cần sự đồng ý của họ trong trường hợp thông tin cá nhân đó được sử dụng cho các mục đích sau: (i) Ký kết, sửa đổi hoặc thực hiện hợp đồng sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng; (ii) Tính giá, cước sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng; (iii) Thực hiện nghĩa vụ khác theo quy định của pháp luật[10].

Hay theo Luật An toàn thông tin mạng 2015, đối với việc Cập nhật, sửa đổi và hủy bỏ thông tin cá nhân, “Chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ hoặc ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba.”[11]

Như vậy, xem xét trên tổng thể các quy định pháp luật Việt Nam, tác giả cho rằng, quyền đối với dữ liệu cá nhân là một quyền không toàn vẹn, bởi quyền này không được quy định cụ thể mà rải rác trong một số giai đoạn tiếp cận dữ liệu cá nhân, và có những trường hợp mà cá nhân tổ chức có thể tiếp cận dữ liệu cá nhân mà không cần sự cho phép của chủ thể có dữ liệu cá nhân đó.

  1. Thiếu sót trong xác định đối tượng xâm phạm đến quyền đối với dữ liệu cá nhân

Ngày nay, hầu hết các trang mạng, ứng dụng đều yêu cầu người dùng phải tạo tài khoản với các thông tin cá nhân để hoạt động trên môi trường mạng máy tính, interntet. Mỗi tài khoản như vậy là nơi lưu trữ, tiếp cận, trao đổi thông tin, những hoạt động thể hiện nhu cầu, sở thích,… của người dùng. Vậy nên ngoài người dùng thì các tổ chức, cá nhân sở hữu, vận hành, quản lý các trang mạng có thể biết các thông tin cá nhân, nhu cầu và hoạt động của người dùng. Ngoài ra bằng hệ thống các chương trình thuật toán cao cấp, biện pháp thu thập thông tin, giám sát, định vị toàn cầu, những người hiểu rõ về mạng máy tính cũng có thể thâm nhập vào hệ thống dữ liệu của các cá nhân, tổ chức khác, ngay cả khi chúng đã được sử dụng các biện pháp bảo mật (thường gọi là Hacker). Người dùng không hề hay biết về việc những người này sau khi tiếp cận dữ liệu cá nhân đã cung cấp, rao bán hoặc phục vụ mục đích thương mại của họ.

Pháp luật Việt Nam xác định được các đối tượng có thể làm rò rỉ dữ liệu cá nhân, bằng cách quy định Trách nhiệm thu thập và sử dụng thông tin cá nhân trên mạng cho mỗi đối tượng gồm người dùng, cơ quan, tổ chức, cá nhân xử lý thông tin cá nhân. Ví như các quy định sau: “Cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng.”[12], “Cơ quan, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý.”[13].

Pháp luật cũng quy định hành vi Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân là hành vi bị pháp luật nghiêm cấm[14]. Tuy nhiên nếu có đối tượng thực hiện các hành vi này thì việc khắc phục hậu quả là vô cùng khó khăn.Vì vậy, có một đối tượng nữa cũng cần xem xét quy định trách nhiệm trong việc bảo vệ dữ liệu cá nhân, đó là những người hiểu biết rõ về mạng máy tính và có thể thâm nhập vào các hệ thống dữ liệu.

Đầu tháng 8/2019, một sự kiện nóng trong lĩnh vực an ninh mạng xảy ra về việc một máy chủ chứa dữ liệu của hơn 419 triệu người dùng Facebook trên toàn thế giới bị rò rỉ trên mạng. Hồ sơ bị rò rỉ bao gồm ID của người dùng và số điện thoại liên kết với tài khoản của hơn 133 triệu người dùng Mỹ, 18 triệu người dùng Anh và 50 triệu người dùng Việt Nam.[15] Hay vụ rò rỉ thông tin 2 triệu khách hàng của một ngân hàng Việt Nam, những thông tin, dữ liệu bị rò rỉ bao gồm tên khách hàng, số Chứng minh nhân dân, ngày sinh, số điện thoại, email, địa chỉ.[16] Xét những vụ xâm phạm dữ liệu cá nhân nổi bật ở Việt Nam, hầu hết đều không xác định được thủ phạm gây rò rỉ hệ thống dữ liệu.

Công nghệ thông tin hay mạng máy tính là lĩnh vực chuyên biệt, không phải ai cũng có thể sử dụng, quản lý hay ngăn chặn. Những người hiểu rõ về mạng máy tính, hoạt động trên môi trường mạng như những “chuyên gia” của “thế giới mạng”, có thể điều hành hệ thống thông tin trên “thế giới mạng” đó. Câu hỏi đặt ra rằng, để tránh trường hợp không thể tìm ra đối tượng có hành vi xâm phạm dữ liệu cá nhân để xử lý theo quy định pháp luật, phải chăng cần ràng buộc trách nhiệm cho những người am hiểu hệ thống mạng internet.

Vì vậy, khi những người có khả năng truy trập hệ thống dữ liệu, cũng cần trao cho họ trách nhiệm trong việc hoạt động và xây dựng môi trường mạng internet lành mạnh, tôn trọng quyền con người, tôn trọng pháp luật.

  1. Bất cập trong chế tài xử lý hành vi vi phạm, xâm hại quyền đối với dữ liệu cá nhân

Hành vi vi phạm đối với dữ liệu cá nhân được xử lý vi phạm hành chính theo Nghị định 15/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử, có hiệu lực thi hành kể từ ngày 15/4/2020. Theo các Điều 4, Điều 84, Điều 85, Điều 86, Điều 102 của Nghị định, các vi phạm về thu thập, sử dụng, cập nhật, sửa đổi, hủy bỏ, đảm bảo an toàn thông tin cá nhân thì tổ chức có thể bị phạt từ 10.000.000 – 70.000.000 đồng, nếu cá nhân có hành vi vi phạm tương tự thì mức phạt tiền chỉ bằng ½ số tiền nêu trên. Biện pháp khắc phục hậu quả có thể được áp dụng chỉ là buộc hủy bỏ thông tin cá nhân do thực hiện hành vi vi phạm. Dự thảo nghị định mới có đề cập rõ và liệt kê các hành vi vi phạm về dữ liệu cá nhân, nhưng mức phạt cao nhất cũng chỉ tối đa 80.000.000 đồng

Về xử lý trách nhiệm hình sự, hiện chưa có quy định đối với hành vi xâm phạm dữ liệu cá nhân. Tuy nhiên vẫn có quy định có thể áp dụng đó là “Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” tại Điều 159 hoặc “Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” tại Điều 288 của Bộ luật Hình sự 2015, sửa đổi bổ sung 2017. Trường hợp này người phạm tội có thể bị phạt cảnh cáo, phạt tiền từ 20.000.000 – 50.000.000 đồng, phạt cải tạo không giam giữ đến 03 năm, khung hình phạt cao nhất là bị phạt tù từ 01 – 03 năm.

Về trách nhiệm dân sự, như Điều 22 Luật Công nghệ Thông tin 2006 được trích dẫn tại mục 3 nêu trên, cá nhân có quyền yêu cầu bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân. Tuy nhiên việc bồi thường như thế nào và mức bồi thường ra sao thì vẫn chưa có văn bản nào quy định rõ. Dự thảo nghị định mới cũng có quy định chủ thể bị xâm phạm có quyền khiếu nại đòi bồi thường, nhưng khiếu nại như thế nào và căn cứ đòi mức bồi thường thì không quy định rõ. Vì pháp luật chưa định lượng được con số cho mức bồi thường thiệt hại nên các cá nhân, tổ chức bị xâm phạm quyền hợp pháp rất ngại khởi kiện bởi khó có thể chứng minh thiệt hại trên thực tế, chi phí kiện tụng lại lớn. Do vậy việc này không những gây khó khăn cho những người muốn yêu cầu bồi thường thiệt hại, mà còn cả những cơ quan áp dụng và thực thi pháp luật.

Một thượng nghị sĩ Mỹ Mark Warner đã đánh giá rằng, dữ liệu – chẳng hạn như tuổi tác, nghề nghiệp và tình trạng mối quan hệ – có thể có giá trị khoảng 5 USD/tháng cho mỗi người dùng, nhưng các ước tính khác cũng có thể khiến con số này cao hơn[17]. Hay theo Dell Secure Works, trong khi thông tin về thẻ tín dụng chỉ có giá vài USD trên các web đen, hồ sơ y tế lại có thể bán với giá 50 USD, thông tin về tài khoản ngân hàng có giá cao hơn một chút với khoảng 1.000 USD, tùy thuộc xem chủ nhân có bao nhiêu tiền trong tài khoản[18]. Như vậy có thể thấy giá trị của dữ liệu cá nhân trong thị trường “chợ đen” đang được đánh giá là có giá trị mua bán, trao đổi rất cao.

Các chế tài xử phạt theo pháp luật Việt Nam lại thấp hơn khoản lợi mà các cá nhân, tổ chức có được từ hành vi trục lợi, xâm phạm. Hơn nữa các mức phạt theo pháp luật Việt Nam chỉ dựa trên hành vi vi phạm mà không căn cứ theo giá trị thiệt hại và các khoản tiền do hành vi vi phạm mà có. Vì vậy các cá nhân, tổ chức vi phạm có thể sẵn sàng vi phạm, xâm hại quyền đối với dữ liệu cá nhân để kiếm món hời cao gấp mấy lần các khoản tiền phạt.

Các nước trên thế giới đang có chế tài xử phạt rất nghiêm khắc. Đặc biệt, Mỹ cũng đang có đề xuất triển khai dự luật công khai giá của dữ liệu người dùng mạng Internet. Vì vậy, tác giả cho rằng, Dự thảo nghị định mới của Việt Nam về dữ liệu cá nhân nên có chế tài xử lý vi phạm nghiêm khắc, chặt chẽ hơn, nhằm giải quyết rốt ráo các vấn đề đang tồn tại mà các quy định pháp luật rải rác chưa thực hiện được.

Dữ liệu cá nhân không được hợp pháp hóa như là một hàng hóa, thế nhưng thực tế sự bùng nổ của mạng internet đã làm nó trở thành một tài sản có giá trị trao đổi, mua bán mà người bán không phải là chủ sở hữu hợp pháp hoặc có quyền đối với tài sản. Nền kinh tế số đã và đang phát triển không ngừng, có những giá trị mới xuất hiện cần phải đặt ra tính pháp lý một cách toàn diện. Việt Nam đang thiếu một văn bản quy phạm pháp luật riêng điều chỉnh nhằm bảo vệ quyền con người, quyền riêng tư nói chung hay quyền đối với dữ liệu cá nhân nói riêng, hạn chế những lổ hổng và chồng chéo của hệ thống pháp luật hiện tại.

Hoàng Thúy Quỳnh – Công ty luật FDVN

[1] Số liệu lấy từ https://wearesocial.com/digital-2020, truy cập ngày 05/01/2021;

[2] Điều 11 Hiến pháp nước CHXHCNVN năm 1946;

[3] Điều 21 Hiến pháp nước CHXHCNVN 2013;

[4] TS. Lê Minh Hồng, TS. Đỗ Tiến Dũng, Pháp luật quốc tế về bảo vệ thông tin cá nhân, Tạp chí an toàn thông tin bản in số 3/2019;

[5] Khoản 5 Điều 4 Luật Giao dịch điện tử 2005;

[6] Khoản 5 Điều 3 Nghị định 64/2007/NĐ-CP ngày 10/04/2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan chính phủ;

[7] Khoản 15 Điều 3 Luật An toàn thông tin mạng 2015;

[8] Vân Anh (2020), “Người dùng Internet Việt Nam vẫn đăng công khai nhiều thông tin cá nhân nhạy cảm”, https://ictnews.vietnamnet.vn/, ngày truy cập 07/01/2021;

[9] Điều 22 Luật Công nghệ Thông tin 2006;

[10] Điều 21 Luật Công nghệ Thông tin 2006;

[11] Khoản 1 Điều 18 Luật An toàn thông tin mạng 2015;

[12] Khoản 1 Điều 16 Luật An toàn thông tin mạng 2015;

[13] Khoản 2 Điều 16 Luật An toàn thông tin mạng 2015;

[14] Khoản 5 Điều 7 Luật An toàn thông tin mạng 2015;

[15] Vụ lộ số điện thoại 50 triệu tài khoản Facebook VN: Chuyên gia nhắc người dùng cẩn trọng khi cung cấp thông tin cá nhân, https://ictnews.vietnamnet.vn/, truy cập ngày 07/01/2021;

[16] Vụ nghi lộ dữ liệu 2 triệu khách hàng của một ngân hàng Việt Nam: Chuyên gia bảo mật khuyến nghị gì?, https://ictnews.vietnamnet.vn/, truy cập ngày 07/01/2021;

[17] Facebook, Google kiếm được bao nhiêu tiền từ dữ liệu người dùng?, http://kinhtedothi.vn/, truy cập ngày 08/01/2021;

[18] Hacker kiếm được bao nhiêu tiền nhờ những dữ liệu cá nhân của bạn, http://www.phadistribution.com/, truy cập ngày 08/01/2021;

Bài viết liên quan