Pháp luật về bảo vệ dữ liệu cá nhân của một số nước và kinh nghiệm cho Việt Nam

Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới và hiện đang xếp thứ 13 trên thế giới với hơn 64 triệu người dùng

Bên cạnh đó, Chính phủ đang quyết liệt chỉ đạo đẩy mạnh xây dựng Chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số và đã đạt được nhiều kết quả quan trọng. Tuy nhiên, tình trạng lộ, lọt, hoạt động đánh cắp, mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến ở hầu hết các quôc gia trên thế giới trong đó có Việt Nam. Do đó, việc tìm hiểu , nghiên cứu pháp luật về bảo vệ dữ liệu cá nhân của các quốc gia trên thế giới là rất cần thiết để có thể rút ra bài học kinh nghiệm đáng quý trong quá trình xây dựng và hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân ở Việt Nam.

Cơ quan quốc gia về bảo vệ dữ liệu nhiều nước liên tục mở cuộc điều tra nhằm vào các công ty công nghệ.

Ngày 10/8 mới đây, Cơ quan Giám sát quyền bảo mật dữ liệu Pháp (CNIL) cho biết đã mở cuộc điều tra sơ bộ với ứng dụng chia sẻ video TikTok của Trung Quốc sau khi nhận một đơn kiến nghị về hoạt động của ứng dụng này.

Cụ thể, người phát ngôn CNIL cho biết tháng 5 vừa qua, cơ quan này đã nhận được kiến nghị về những sai phạm của TikTok và đang tiến hành điều tra. Tuy nhiên, người phát ngôn này từ chối tiết lộ thông tin chi tiết về kiến nghị hay người đứng đơn.

Ứng dụng TikTok, một sản phẩm của Công ty ByteDance, cũng đang bị các cơ quan quản lý của Mỹ, Liên minh châu Âu (EU) và Hà Lan điều tra nghi vấn vi phạm luật bảo mật. Giới chức Mỹ lo ngại với những dữ liệu cá nhân mà công ty này đang xử lý, TikTok có thể gây ra nguy cơ an ninh. Tổng thống Mỹ Donald Trump đe dọa cấm TikTok hoạt động tại thị trường nước này và cho ByteDance 45 ngày để đàm phán bán lại cho tập đoàn Microsoft.

Trước đó, hồi tháng 6, Cơ quan Bảo vệ dữ liệu châu Âu (EDPB) thông báo lập một đội điều tra đặc biệt để đánh giá hoạt động của TikTok tại châu lục này theo đề xuất từ một nghị sĩ EU do lo ngại các cách thức thu thập dữ liệu cùng các nguy cơ an ninh và bảo mật từ ứng dụng này. Một tháng trước cuộc điều tra của EDPB, cơ quan chức năng Hà Lan cũng thông báo điều tra cách thức TikTok xử lý dữ liệu của hàng triệu người dùng trẻ tuổi ở nước này.

Hôm 10/8, cơ quan bảo vệ dữ liệu của Pháp (CNIL) cho biết họ đang tiến hành điều tra sơ bộ đối với ứng dụng chia sẻ video ngắn của TikTok.

Không chỉ có Tik tok của ByteDance mà nhiều công ty công nghệ khác đã từng bị điều tra hoặc chịu các án phạt hàng tỷ USD vì những hành vi thu thập trái phép dữ liệu người dùng qua các ứng dụng di động.

Hồi cuối năm 2018, Ủy ban Bảo vệ Dữ liệu (DPC) của Ireland – cơ quan thực hiện giám sát các công ty theo Luật Bảo vệ dữ liệu chung châu Âu (GDPR) đã mở hơn một chục cuộc điều tra vào các công ty công nghệ lớn bao gồm Facebook, Apple, Google và Twitter.

Theo ông Graham Doyle – người đứng đầu truyền thông DPC cho biết DPC hiện đã kết thúc cuộc điều tra về WhatsApp mở ra vào năm ngoái liên quan đến tính minh bạch dữ liệu. DPC đã kiểm tra xem WhatsApp của Facebook có cung cấp thông tin một cách minh bạch cho người dùng và người dùng không sử dụng dịch vụ ứng dụng hay không. Trong khi đó, cuộc điều tra Twitter để làm rõ những thông tin vi phạm dữ liệu mà DPC nhận được vào tháng 1.2019.

Tại Mỹ, Chính phủ nước này cũng tăng cường xử lý đối với các hành vi thu thập trái phép thông tin người dùng của Google, Facebook. Tháng 7/2019, Facebook bị Ủy ban Thương mại Mỹ (FTC) phạt 5 tỷ USD vì bê bối dữ liệu Cambridge Analytica để lộ dữ liệu của hơn 50 triệu người dùng. Tháng 9/2019, FTC đã phạt Google 150 triệu USD vì thu thập dữ liệu trẻ em trái phép qua ứng dụng Youtube.

Pháp luật của Việt Nam so với thế giới về bảo vệ dữ liệu cá nhân

Bảo vệ dữ liệu cá nhân là quyền riêng tư và được pháp luật bảo vệ; bảo vệ dữ liệu cá nhân được thể hiện qua nhiều khía cạnh, như: bảo đảm quyền tự chủ, quyền riêng tư và bảo toàn được danh dự, uy tín của mỗi cá nhân.

Theo tìm hiểu của phóng viên Pháp lý, ở Việt Nam hiện nay vấn đề bảo vệ dữ liệu cá nhân được quy định rải rác trong các văn bản quy phạm pháp luật với mức độ khác nhau ở Hiến pháp, Luật, Nghị định và Thông tư.

Theo đó, hệ thống pháp luật Việt Nam đã ghi nhận vấn đề bảo vệ bí mật đời sống riêng tư và bí mật cá nhân từ bản Hiến pháp năm 1959, 1980, 1992 và mới nhất là Hiến pháp năm 2013. Việc bảo vệ bí mật đời sống riêng tư và bí mật thông tin của cá nhân đã được Nhà nước Việt Nam công nhận và bảo vệ thông qua quy định về bảo đảm an toàn và bí mật đối với thư tín, điện thoại, điện tín của công dân. Trong đó, Hiến pháp năm 2013 đã mở rộng một cách toàn diện phạm vi quy định quyền được bảo vệ bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình.

Luật An toàn thông tin mạng năm 2015, quy định Tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm: Tiến hành thu thập thông tin cá nhân sau khi có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó; Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân; Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.

Hiện, các hành vi vi phạm, xâm hại đến dữ liệu cá nhân có thể bị buộc bồi thường thiệt hại, xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự, tùy thuộc vào tính chất, mức độ nguy hiểm và hậu quả do hành vi vi phạm gây ra. Điều 159 Bộ Luật Hình sự quy định, “Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt từ tới 3 năm. Điều 288 quy định về “Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” với mức hình phạt cao nhất là 7 năm tù giam. Tuy nhiên, 2 tội danh này chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới dữ liệu cá nhân đang diễn ra hiện nay…

Trên thế giới, vấn đề bảo vệ dữ liệu cá nhân đã được nhiều quốc gia (như Mỹ, Pháp, Đức, Nhật Bản, Liên minh châu Âu…) hết sức coi trọng. Theo thống kê, hiện nay đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân.

Trong đó, Nhật Bản ban hành Luật Bảo vệ thông tin cá nhân (APPI) vào tháng 5/2017, điều chỉnh đối với tất cả các công ty kinh doanh có trụ sở tại Nhật Bản hay ở nước ngoài khi kinh doanh tại Nhật Bản, thành lập Ủy ban bảo vệ thông tin cá nhân (PPC), tăng cường quản lý các doanh nghiệp công nghệ nước ngoài (Google, Facebook, Amazon…).
Israel đã ban hành Quy định bảo mật dữ liệu vào tháng 5/2017, tiến hành quy trình kiểm toán đối với hơn 150 công ty thuộc các lĩnh vực khác nhau để đánh giá mức độ tuân thủ bảo mật dữ liệu, thành lập Cơ quan bảo vệ quyền riêng tư.

Đáng chú ý, tháng 5/2018, Liên minh châu Âu đã ban hành Luật Bảo vệ dữ liệu chung châu Âu (GDPR), yêu cầu các doanh nghiệp phải tuân thủ các quy định cụ thể, rõ ràng về cách thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, loại hình dữ liệu được phép chia sẻ, các công ty nằm ngoài lãnh thổ châu Âu cũng phải chấp hành các quy định này. Bất kỳ doanh nghiệp nào vi phạm sẽ có nguy cơ đối mặt với mức phạt lên tới 20 triệu Euro hoặc 4% doanh thu toàn cầu hàng năm.

Hệ thống bảo mật thông tin của Mỹ được cho là lâu đời, mạnh mẽ và có hiệu quả nhất trên thế giới. Ngoài đạo luật của chính quyền các tiểu bang như Đạo luật Bảo vệ Quyền riêng tư Trực tuyến của California ( CalOPPA ), các đạo luật của liên bang gần đây được ban hành với một số quy định mới về bảo vệ dữ liệu các nhân trong các luật chuyên ngành nhằm đảm bảo cho vấn đề an ninh được an toàn và chặt chẽ hơn.

Tại Canada, Đạo luật Bảo vệ Thông tin Cá nhân và Tài liệu Điện tử (PIPEDA) đặt ra các yêu cầu về cách các tổ chức phải xử lý thông tin cá nhân của cư dân Canada…

Pháp luật của các nước trong khu vực so với Việt Nam.

Tại khu vực Đông Nam Á, ngoại trừ Singapore đã có đạo luật riêng về bảo vệ dữ liệu cá nhân thì hầu hết các quốc gia còn lại cũng giống như Việt Nam đều chưa có Luật Bảo vệ dữ liệu cá nhân. Vấn đề bảo vệ dữ liệu cá nhân được quy định rải rác trong các văn bản quy phạm pháp luật với mức độ khác nhau ở Hiến pháp, Luật, Nghị định và Thông tư.
Ở Indonesia, bí mật đời tư, bí mật dữ liệu cá nhân là một quyền công dân, được quy định tại Điều 28G Hiến pháp năm 1945: Mỗi người đều có quyền tự bảo vệ bản thân, gia đình, sự tôn trọng, nhân phẩm và tài sản của mình. Mỗi người đều có quyền được bảo đảm an ninh và sự bảo vệ khỏi các mối đe dọa sợ hãi để làm, hay không làm, một điều gì đó cấu thành một quyền con người.

Trên cơ sở quy định của Hiến pháp, việc thu thập và sử dụng dữ liệu cá nhân được điều chỉnh bởi Luật số 11 năm 2008 về thông tin và giao dịch điện tử và Nghị định số 82 năm 2012 của Chính phủ liên quan đến các hệ thống và giao dịch điện tử. Ngoài ra, các luật chuyên ngành và văn bản hướng dẫn trong các lĩnh vực ngân hàng, thị trường vốn, viễn thông, chăm sóc sức khoẻ, thông tin… cũng quy định về bảo vệ dữ liệu cá nhân trong các lĩnh vực đó.

Hiện nay, Nghị định về Thông tin và Truyền thông đang được Chính phủ Indonesia xây dựng dự thảo. Nghị định sẽ quy định chi tiết về bảo vệ dữ liệu cá nhân bao gồm yêu cầu về sự đồng ý của chủ dữ liệu; việc thu thập, lưu giữ, đánh giá, chuyển giao, huỷ bỏ… dữ liệu cá nhân.

Còn ở Thái lan hiện nay, Thái Lan chưa ban hành một đạo luật chuyên biệt về bảo vệ dữ liệu cá nhân. Tuy nhiên, khuôn khổ pháp lý bảo vệ dữ liệu cá nhân được xác lập bởi các văn bản pháp luật như: Hiến pháp Thái Lan năm 2007, Các đạo luật chuyên ngành của Thái Lan như Bộ luật Dân sự và Thương mại, Luật Viễn thông, Luật Ngân hàng, Luật Kinh doanh tài chính, Luật Giao dịch điện tử… Các văn bản này đều xác lập cơ chế bảo vệ đối với dữ liệu cá nhân trước các hành động thu thập, sử dụng, tiết lộ, chuyển giao thông tin một cách bất hợp pháp.

Đặc biệt tại Singapore, Nghị viện Singapore đã thông qua Luật Bảo vệ dữ liệu cá nhân ngày 15/10/2012. Luật công nhận quyền của các cá nhân trong việc bảo vệ các dữ liệu cá nhân của chính họ, đồng thời thừa nhận sự cần thiết của việc các tổ chức tiến hành thu thập, sử dụng và tiết lộ thông tin cá nhân vì những mục đích phù hợp với những hoàn cảnh nhất định. Bên cạnh Luật Bảo vệ dữ liệu cá nhân, một số văn bản pháp luật chuyên ngành của Singapore cũng quy định về vấn đề này như: Luật An ninh mạng và máy tính; Luật Bí mật công vụ, Luật Thống kê; Luật Giao dịch điện tử, Luật Ngân hàng, Luật Viễn thông…

Để bảo vệ dữ liệu cá nhân, Uỷ ban Bảo vệ dữ liệu cá nhân được thành lập với các chức năng sau: nâng cao nhận thức về bảo vệ DLCN; cung cấp dịch vụ tư vấn, hỗ trợ kỹ thuật, quản lý hoặc các dịch vụ đặc biệt khác liên quan đến bảo vệ DLCN; tham mưu cho Chính phủ về tất cả các vấn đề liên quan đến bảo vệ DLCN….

Uỷ ban Bảo vệ dữ liệu cá nhân có quyền xem xét khiếu nại liên quan đến truy cập dữ liệu cá nhân cũng như tiến hành một cuộc điều tra theo quy định của Luật Bảo vệ dữ liệu cá nhân để xác định hành vi vi phạm Luật Bảo vệ dữ liệu cá nhân.

Cá nhân vi phạm sẽ bị áp dụng hình thức phạt tiền hoặc tù giam hoặc cả hai đối với các hành vi vi phạm. Mức hình phạt tuỳ thuộc vào hành vi vi phạm: phạt tiền từ 2.000 tới 100.000 USD, trong một số trường hợp vi phạm nghiêm trọng hình thức phạt tù có thể lên tới 3 năm.

Kiến nghị

Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới. Đặc biệt, số lượng người sử dụng Internet của Việt Nam tính đến hết năm 2019 đã đạt hơn 64 triệu người, xếp thứ 13 trên thế giới về số người dùng, trong đó có 58 triệu tài khoản Facebook, 62 triệu tài khoản Google. Bên cạnh đó, Chính phủ đang quyết liệt chỉ đạo đẩy mạnh xây dựng Chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số và đã đạt được nhiều kết quả quan trọng.

Tuy nhiên, tình trạng lộ, lọt, hoạt động đánh cắp, mua bán dữ liệu cá nhân diễn ra phổ biến ở hầu hết các quôc gia trên thế giới trong đó có Việt nam. Ngày càng nhiều chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau. Điều này đặt ra cho Chính phủ bài toán phải quản lý sao cho hiệu quả, bảo đảm phòng ngừa, xử lý được các hành vi vi phạm pháp luật về thông tin cá nhân; đồng thời, bảo đảm phù hợp với Hiến pháp, các quy định của pháp luật Việt Nam cũng như pháp luật quốc tế.

Do đó, tìm hiểu pháp luật về bảo vệ dữ liệu cá nhân của các quốc gia trên thế giới là rất cần thiết để có thể rút ra bài học kinh nghiệm đáng quý trong quá trình xây dựng và hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân.

Thứ nhất, cần phải học tập các quốc gia khác trên thế giới sớm nghiên cứu, xây dựng và ban hành Luật Bảo vệ dữ liệu cá nhân nhằm cùng với các văn bản pháp luật khác tạo cơ chế hữu hiệu thực hiện quyền bất khả xâm phạm đời sống riêng tư, bí mật cá nhân đã được quy định tại Điều 21 và 22 Hiến pháp Việt Nam năm 2013.

Bên cạnh đó, để nâng cao hiệu qua thực thi pháp luật về bảo vệ dữ liệu cá nhân Việt Nam cũng cần thành lập Uỷ ban quốc gia về bảo vệ dữ liệu cá nhân với chức năng như: tham mưu, tư vấn cho chính phủ, tổ chức, cá nhân; nâng cao nhận thức thông qua các hoạt động giáo dục, nghiên cứu; giám sát thực hiện pháp luật về bảo vệ dữ liệu cá nhân; điều tra xử lý hành vi có dấu hiệu vi phạm quy đinh pháp luật về bảo vệ dữ liệu cá nhân…

Trên thế giới, vấn đề bảo vệ dữ liệu cá nhân đã được nhiều quốc gia (như Mỹ, Pháp, Đức, Nhật Bản, Liên minh châu Âu…) hết sức coi trọng. Theo thống kê, hiện nay đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân.

Theo Luật Bảo vệ dữ liệu chung châu Âu (GDPR) của Liên minh Châu Âu, tất cả các doanh nghiệp phải tuân thủ các quy định cụ thể, rõ ràng về cách thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, loại hình dữ liệu được phép chia sẻ, các công ty nằm ngoài lãnh thổ châu Âu cũng phải chấp hành các quy định này. Bất kỳ doanh nghiệp nào vi phạm sẽ có nguy cơ đối mặt với mức phạt lên tới 20 triệu Euro hoặc 4% doanh thu toàn cầu hàng năm.

Nam Kiên

Link nội dung: https://phapluatbanquyen.phaply.vn/phap-luat-ve-bao-ve-du-lieu-ca-nhan-cua-mot-so-nuoc-va-kinh-nghiem-cho-viet-nam-a99.html