Quyền riêng tư và quyền bảo vệ dữ liệu cá nhân mặc dù có mối liên hệ mật thiết với nhau, nhưng đây là hai quyền riêng biệt. Quyền bảo vệ dữ liệu bắt nguồn từ quyền riêng tư và cả hai đều là công cụ để bảo tồn và thúc đẩy các giá trị và quyền cơ bản của con người, là cơ sở để thực hiện các quyền tự do khác, chẳng hạn như quyền tự do ngôn luận, quyền tiếp cận thông tin, quyền hội họp của công dân. Vì đời sống riêng tư của cá nhân được đặt ở vị trí ưu tiên và cần được bảo vệ để đảm bảo cá nhân có quyền toàn vẹn đối với đời sống chính mình[1]. Do đó, trong khuôn khổ pháp luật của Liên minh châu Âu (EU) và nhiều quốc gia, bảo vệ dữ liệu được xem là một quyền cơ bản của con người.

Về cơ bản, các quy định của pháp luật Việt Nam bảo vệ dữ liệu cá nhân được tiếp cận và phát triển từ quyền riêng tư – với tư cách là quyền cơ bản của con người. Đây cũng là cách tiếp cận đã được pháp luật nhiều nước trên thế giới công nhận và có cơ chế bảo vệ trước sự xâm phạm từ phía nhà nước cũng như từ các chủ thể khác. Hiến pháp năm 2013 đã ghi nhận quyền riêng tư, cụ thể là quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình[2]. Tiếp theo đó, cùng cách tiếp cận dưới góc độ quyền con người, lĩnh vực pháp luật dân sự ghi nhận quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình như một loại quyền nhân thân[3]. Pháp luật hành chính và pháp luật hình sự tiếp cận việc bảo vệ dữ liệu cá nhân dưới góc độ bảo vệ quyền con người thông qua việc quy định các chế tài hành chính, chế tài hình sự đối với các hành vi xâm phạm dữ liệu cá nhân[4].

Ngoài ra, trong một số lĩnh vực cụ thể có khả năng tiềm ẩn nguy cơ xâm phạm dữ liệu cá nhân, các văn bản pháp luật cũng thường có những quy định cụ thể để phòng ngừa và bảo vệ dữ liệu cá nhân như một trong những phương thức bảo vệ quyền riêng tư. Chẳng hạn: Luật Công nghệ thông tin năm 2006 ghi nhận bảo đảm bí mật thông tin cá nhân; Luật An toàn thông tin mạng năm 2015 quy định nguyên tắc bảo vệ thông tin cá nhân trên mạng; Luật An ninh mạng năm 2018 quy định hành vi xâm phạm bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng; Luật Báo chí năm 2016 quy định nghiêm cấm hành vi “tiết lộ thông tin thuộc danh Mục bí mật nhà nước, bí mật đời tư của cá nhân và bí mật khác theo quy định của pháp luật” (khoản 5 Điều 9)…

Tuy nhiên, Việt Nam chưa có cách hiểu thống nhất về khái niệm và nội hàm dữ liệu
cá nhân, bảo vệ dữ liệu cá nhân. Các văn bản quy phạm pháp luật hiện hành đang sử dụng một số thuật ngữ có liên quan đến dữ liệu cá nhân và bảo vệ dữ liệu cá nhân (gần 10 thuật ngữ) như: “thông tin cá nhân”; “thông tin riêng”, “thông tin riêng tư”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin bí mật đời tư”; “thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình”... với những cách giải thích khái niệm khác nhau^[5]. Điều này dẫn đến các cách hiểu không thống nhất, thậm chí có sự chồng chéo về khái niệm, cụ thể:

-            Khoản 15 Điều 3 Luật An toàn thông tin mạng năm 2015 quy định thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể.

-            Khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước quy định thông tin cá nhân là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu.

-            Khoản 13 Điều 3 Nghị định số 52/2013/NĐ-CP của Chính phủ về thương mại điện tử quy định thông tin cá nhân là các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật. Thông tin cá nhân trong Nghị định này không bao gồm thông tin liên hệ công việc và những thông tin mà cá nhân đã tự công bố trên các phương tiện truyền thông.

Quy định như trên dẫn đến nhiều cách hiểu chưa đồng nhất, vậy thông tin cá nhân là các thông tin gắn liền với việc xác định danh tính, hay phải đủ để xác định chính xác danh tính một cá nhân hay chỉ nhằm góp phần định danh một cá nhân cụ thể?

Thậm chí các quy định khác biệt còn dẫn đến sự mâu thuẫn lẫn nhau, ví dụ như khoản 13 Điều 3 Nghị định số 52/2013/NĐ-CP của Chính phủ quy định thông tin liên hệ công việc và những thông tin mà cá nhân đã tự công bố trên các phương tiện truyền thông không được coi là thông tin cá nhân. Trong khi đó, theo Nghị định số 72/2013/NĐ-CP của Chính phủ quy định chi tiết về việc quản lý, cung cấp, sử dụng dịch vụ Internet, thông tin trên mạng, trò chơi điện tử trên mạng; bảo đảm an toàn thông tin và an ninh thông tin, thì mọi thông tin cá nhân không phân biệt đã công khai hay giữ bí mật đều được coi là thông tin cá nhân.

Trước tác động của cách mạng công nghiệp 4.0, dữ liệu cá nhân ngày càng trở nên quý giá và các nguy cơ xâm phạm quyền cá nhân đối với dữ liệu đã vượt qua năng lực bảo vệ của các cơ chế pháp lý truyền thống. Tại Việt Nam, trước những hạn chế của các quy định về bảo vệ dữ liệu cá nhân trong các văn bản pháp luật khác nhau, Chính phủ đã xây dựng Nghị định quy định về bảo vệ dữ liệu cá nhân. Ngày 09/02/2021, Bộ Công an, cơ quan chủ trì soạn thảo Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân (Dự thảo Nghị định) đã công bố Dự thảo Nghị định và tiến hành lấy ý kiến từ công chúng[6].

Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân cũng đưa ra khái niệm: “Dữ liệu cá nhân là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể”[7]. Như vậy, xu hướng của Dự thảo áp dụng mở rộng các mức độ xác định danh tính cá nhân, có thể xác định chính xác một cá nhân cụ thể hoặc chỉ góp phần xác định danh tính cá nhân.

Ngoài khái niệm thông tin cá nhân chưa được quy định rõ ràng, các hành vi tác động đến thông tin cá nhân - “xử lý thông tin cá nhân” cũng được quy định rất khác nhau. Chẳng hạn, thuật ngữ “xử lý thông tin cá nhân” trong Luật An toàn thông tin mạng năm 2015 đã bao hàm cả nghĩa “thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ, phát tán thông tin cá nhân”[8], tức là có nghĩa rộng hơn so với thuật ngữ “xử lý thông tin cá nhân” trong Luật Công nghệ thông tin năm 2006 không bao hàm nghĩa “thu thập, sử dụng thông tin cá nhân”[9].

Nhìn chung, thực trạng quy định về khái niệm dữ liệu cá nhân trong pháp luật Việt Nam còn chưa được thống nhất giữa các văn bản luật chuyên ngành khác nhau, giữa văn bản luật và văn bản dưới luật, chưa làm rõ các yếu tố cơ bản để xác định thông tin hay dữ liệu đó có phải là dữ liệu cá nhân, chưa thống nhất được thuật ngữ thông tin cá nhân hay dữ liệu cá nhân.

Bên cạnh đó, pháp luật hiện hành còn thiếu quy định về bảo vệ dữ liệu cá nhân nhạy cảm. Ví dụ, dữ liệu cá nhân về các dữ liệu sinh trắc học, nguồn gốc chủng tộc hay dân tộc, quan điểm chính trị, triết lý hay tôn giáo hoặc các tổ chức xã hội mà các cá nhân tham gia, hay những thông tin liên quan đến sức khỏe, đời sống tình dục. Các quy định của pháp luật hiện hành liên quan đến dữ liệu cá nhân chưa bắt kịp được với thực tiễn sử dụng các dữ liệu cá nhân như dữ liệu về hình ảnh cá nhân (công nghệ nhận diện khuôn mặt), các dữ liệu sinh trắc học (dấu vân tay, nốt ruồi…). Chính vì vậy, có cần phân loại các loại dữ liệu cá nhân khác nhau hay không, để từ đó quy định các biện pháp bảo vệ dữ liệu cá nhân ở các mức độ khác biệt; cụ thể việc thu thập và sử dụng dữ liệu nhạy cảm của cá nhân như dữ liệu sinh trắc học nên được thiết lập quy trình chặt chẽ hơn so với thông tin về số điện thoại hoặc tên, tuổi của cá nhân[10]?

Đây là những vấn đề còn bất cập trong pháp luật hiện hành của Việt Nam, cần phải xây dựng và khắc phục để đảm bảo việc bảo vệ quyền của chủ thể dữ liệu cá nhân cũng như lợi ích hợp pháp của các chủ thể khác trong việc xử lý dữ liệu cá nhân.

Đạo luật bảo vệ dữ liệu được xem là tiêu biểu và hoàn thiện nhất hiện nay là Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu (EU), có hiệu lực vào tháng 05/2018^[11].GDPR là một bộ quy tắc mới được xây dựng nhằm cung cấp cho công dân EU quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân của họ trong bối cảnh bùng nổ của mạng Internet và các thiết bị thông minh trên quy mô lớn dựa trên nền tảng Chỉ thị về bảo vệ dữ liệu châu Âu (95/46/EC) được ban hành trước đó vào năm 1995.

Theo GDPR, không chỉ các tổ chức phải đảm bảo dữ liệu cá nhân được thu thập hợp pháp và trong các điều kiện nghiêm ngặt, mà tất cả những chủ thể thu thập và chủ thể quản lý dữ liệu đều có nghĩa vụ bảo vệ dữ liệu khỏi việc bị lạm dụng và khai thác, cũng như tôn trọng quyền của chủ thể dữ liệu cá nhân[12]. Quyền của chủ thể dữ liệu cá nhân bao gồm i) Quyền được sở hữu những thông tin cá nhân, bao gồm khả năng yêu cầu chủ thể nắm giữ chỉnh sửa nhằm bảo đảm tính toàn vẹn, chính xác của thông tin cá nhân của mình; ii) Quyền cho phép bên thứ ba tiếp cận thông tin cá nhân của mình; iii) Quyền yêu cầu các chủ thể có liên quan phải bảo đảm tính bí mật của thông tin, ví dụ như vô danh hóa thông tin cá nhân,…; iv) Quyền yêu cầu chủ thể nắm giữ bồi thường khi có hành vi xâm phạm thông tin trái pháp luật, gây thiệt hại cho cá nhân[13].

Tham khảo quy định của GDPR, “Dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến một cá nhân xác định hoặc liên quan đến một cá nhân có thể xác định được”^[14]. Theo đó, dữ liệu cá nhân là bất kỳ thông tin nào có liên quan đến một cá nhân cụ thể hoặc giúp nhận dạng một cá nhân cụ thể. Việc nhận dạng cá nhân được hiểu là một cá nhân có thể nhận dạng nếu chúng ta có thể phân biệt cá nhân đó với các thành viên khác của cộng đồng người.

Thông tin về pháp nhân, hoặc cơ quan công quyền không phải là dữ liệu cá nhân, không thuộc phạm vi bảo vệ của pháp luật về dữ liệu cá nhân trong GDPR.

Vì thuật ngữ dữ liệu cá nhân bao gồm “bất kỳ thông tin nào”, nên thuật ngữ này phải được giải thích rộng, bao gồm nhưng không giới hạn các yếu tố định danh như tên, số chứng minh nhân dân, thông tin định danh trên nền tảng số, một hoặc nhiều yếu tố cụ thể về thể chất, sinh lý, di truyền, bản sắc tinh thần, thương mại, văn hóa hoặc xã hội của cá nhân.

Đối với trường hợp thông tin liên quan đến một cá nhân “có thể xác định được” là trường hợp cá nhân được nhận dạng trực tiếp hoặc gián tiếp từ một hoặc nhiều yếu tố định danh. Do đó, bất kỳ thông tin nào có thể gián tiếp xác định một cá nhân cụ thể đều được xem là dữ liệu cá nhân theo GDPR. Những thông tin định danh gián tiếp cá nhân có thể là số đăng ký ô tô, số thẻ bảo hiểm y tế, số hộ chiếu; hoặc sự kết hợp các thông tin với nhau như: tuổi, nghề nghiệp, nơi cư trú… Điểm mấu chốt của khả năng nhận dạng gián tiếp là khi các thông tin được kết hợp với thông tin khác sẽ giúp phân biệt và cho phép xác định một cá nhân cụ thể. Do đó, những thông tin rời rạc cũng được coi là dữ liệu cá nhân bởi vì khi các thông tin này được tổng hợp, kết hợp với nhau có thể dẫn đến việc xác định một con người cụ thể.

Xem xét ví dụ: Tên là phương tiện phổ biến nhất để xác định một người nào đó, tuy nhiên bản thân yếu tố tên gọi “Nguyễn Văn A” rất khó để xác định cá nhân cụ thể vì có nhiều cá nhân mang tên Nguyễn Văn A. Tuy nhiên, việc kết hợp các yếu tố tên và các yếu tố định danh khác, chẳng hạn như địa chỉ nhà, địa chỉ cơ quan hoặc số điện thoại, đủ để xác định rõ ràng một cá nhân.

Xem xét tình huống: Một cá nhân nộp đơn xin việc tại công ty A, bộ phận nhân sự công ty A khi nhận đơn sẽ xóa trang đầu tiên chứa tên, chi tiết liên hệ, v.v... của cá nhân và lưu phần còn lại của biểu mẫu trong 'Thư mục 1'. Đơn xin việc được lưu với một số đơn xin việc khác được tạo ngẫu nhiên và được gửi đến bộ phận quản lý tuyển dụng. Trong 'Thư mục 2' hạn chế truy cập, bộ phận nhân sự chỉ lưu trang đầu tiên của đơn Đơn xin việc bằng ký hiệu số. Thông tin trong Thư mục 1 không cho phép nhận dạng bất kỳ cá nhân nào. Tuy nhiên, khi những thông tin này kết hợp với thông tin trong Thư mục 2, danh tính người nộp đơn có thể được xác định, do đó bất kỳ thông tin nào trong Thư mục 1 hay Thư mục 2 trong tình huống trên đều được xem là dữ liệu cá nhân^[15].

Có nhiều ví dụ về dữ liệu rõ ràng liên quan đến một cá nhân cụ thể, ví dụ như tiền sử bệnh án; hồ sơ tội phạm; hồ sơ về hiệu suất của một cá nhân tại nơi làm việc; hoặc kỷ lục về thành tích thể thao của một cá nhân, sao kê ngân hàng cá nhân, hóa đơn điện thoại… Tuy nhiên, nhiều trường hợp dữ liệu không phải là dữ liệu cá nhân nhưng sẽ trở thành dữ liệu cá nhân nếu dữ liệu đó được liên kết với một chủ thể khác để cung cấp thêm thông tin nhằm xác định cụ thể danh tính cá nhân.

Yếu tố “liên quan đến” một cá nhân được hiểu là dữ liệu được xử lý để liên kết với một cá nhân cụ thể và quá trình xử lý dữ liệu đó đưa ra các quyết định ảnh hưởng đến cá nhân cụ thể.

Xem xét ví dụ sau: dữ liệu phí điện thoại hoặc phí điện chiếu sáng tiêu dùng trong tháng tại một địa chỉ nhà không phải là dữ liệu cá nhân. Tuy nhiên, những thông tin về một ngôi nhà thường được liên kết với chủ sở hữu hoặc người thường trú trong ngôi nhà. Ngay khi dữ liệu chi phí tiền điện tại một ngôi nhà được liên kết với một cá nhân cụ thể như chủ hộ của căn nhà chẳng hạn để xác định chi phí điện mà chủ hộ phải trả, thì dữ liệu chi phí tiền điện sẽ là dữ liệu cá nhân. Như vậy tại thời điểm dữ liệu được sử dụng để liên kết đến một cá nhân cụ thể, dữ liệu sẽ được xem là dữ liệu “liên quan đến” cá nhân và là dữ liệu cá nhân.

Mục đích việc xử lý dữ liệu có ảnh hưởng quan trọng khiến dữ liệu đang được xử lý có thể trở thành dữ liệu cá nhân. Nếu việc xử lý dữ liệu ảnh hưởng đến trạng thái hoặc hành vi của một cá nhân, thì đó là dữ liệu cá nhân, mặc dù nội dung của dữ liệu không liên quan trực tiếp về cá nhân đó.

Xem xét ví dụ sau: Một công ty sử dụng nhật ký cuộc gọi từ điện thoại bàn để giúp xác định thời điểm người ngồi ở bàn làm việc đó ở trong văn phòng. Nhật ký cuộc gọi từ điện thoại bàn không nhất thiết phải là thông tin liên quan đến một cá nhân, nhưng những thông tin này khi được liên kết với cá nhân A được phân làm việc tại khu vực điện thoại bàn đó và được sử dụng để đánh giá hiệu suất công việc của cá nhân A. Như vậy, nhật ký cuộc gọi từ điện thoại bàn đó là thông tin liên quan đến một cá nhân có thể nhận dạng được, nên dữ liệu nhật ký cuộc gọi từ điện thoại bàn là dữ liệu cá nhân.

Xem xét ví dụ tiếp theo: Các email do luật sư viết cho khách hàng để tư vấn pháp lý cho khách hàng đều chứa thông tin về tên luật sư và nơi làm việc của luật sư, đây sẽ là dữ liệu cá nhân của luật sư. Tuy nhiên, nội dung của các email không phải về vấn đề cá nhân của luật sư mà là các tư vấn pháp lý đối với vấn đề của khách hàng, do đó nội dung của email không phải là dữ liệu cá nhân của luật sư. Nếu sau đó, khách hàng đưa ra khởi kiện về dịch vụ tư vấn pháp lý của luật sư và các email được sử dụng để làm chứng cứ cho vụ khởi kiện, khi đó các lời khuyên pháp lý trong email sẽ sẽ trở thành dữ liệu cá nhân của luật sư.

Thông tin có thể được xử lý như lưu trữ, tiết lộ, truyền tải trong môi trường vật chất truyền thống hoặc môi trường kỹ thuật số. Trong môi trường vật chất truyền thống, thông tin chỉ có thể tiếp cận bởi một số lượng người nhất định, ở một nơi xác định, và thông tin có thể bị xóa bỏ khi vật chất chứa thông tin bị tiêu hủy như giấy in, đĩa CD… Tuy nhiên, trên môi trường kỹ thuật số, vật chất lưu trữ thông tin đa dạng hơn (file ghi âm điện tử, trang web, nền tảng xã hội số…), đồng thời việc kiểm soát thông tin trở nên khó khăn hơn đối với chủ thể dữ liệu cá nhân, chủ thể xử lý dữ liệu và chủ thể được nhắc đến trong thông tin. Nếu muốn yêu cầu xóa bỏ thông tin tồn tại trên mạng Internet, đòi hỏi việc áp dụng các biện pháp kỹ thuật nhất định để kiểm soát sự tiếp tục xuất hiện của các thông tin đó.

Trong môi trường kỹ thuật số, yếu tố định danh cá nhân có thể là tên người dùng trên mạng xã hội, địa chỉ IP (internet protocol), nhận dạng cookie, và các định danh khác như thẻ nhận dạng tần số vô tuyến (RFID), tài khoản quảng cáo, thẻ pixel, dấu vân tay của thiết bị…

Đối với tên người dùng trên mạng xã hội của một cá nhân, thông tin này có vẻ ẩn danh hoặc đôi khi vô nghĩa Tuy nhiên, đây là các dữ liệu cá nhân để xác định danh tính. Bởi vì, tên người dùng giúp phân biệt cá nhân này với cá nhân khác bất kể có thể liên kết danh tính trên nền tảng trực tuyến với một cá nhân có tên trong “thế giới thực” hay không. Hay xét ví dụ đối với địa chỉ IP, trong những trường hợp có các yêu cầu hợp pháp để buộc nhà cung cấp dịch vụ phải đưa thêm thông tin bổ sung cho phép xác định người dùng cụ thể đằng sau địa chỉ IP, do đó địa chỉ IP là dữ liệu cá nhân được dùng để giúp xác định danh tính cá nhân.

Khi người dùng sử dụng cookie hoặc các công nghệ tương tự để theo dõi hành vi của một cá nhân trên các trang web, nhận dạng cookie là dữ liệu cá nhân vì lịch sử hoạt động trên các trang web liên quan đến nhận dạng người dùng trực tuyến, hoặc được sử dụng để tạo hồ sơ của một người dùng trực tuyến riêng biệt.

GDPR phân biệt rõ ràng giữa dữ liệu cá nhân nhạy cảm và không nhạy cảm.

GDPR thiết lập sự phân biệt rõ ràng giữa dữ liệu cá nhân nhạy cảm và dữ liệu cá nhân không nhạy cảm. Ví dụ về dữ liệu không nhạy cảm sẽ bao gồm giới tính, ngày sinh, nơi sinh… của cá nhân. Mặc dù loại dữ liệu này không nhạy cảm nhưng nó có thể được kết hợp với các dữ liệu khác để có thể xác định một cá nhân cụ thể.

GDPR thiết lập các danh mục dữ liệu nhạy cảm vì dữ liệu nhạy cảm của cá nhân cần được bảo vệ nhiều hơn so với dữ liệu không nhạy cảm. Điều 9 của GDPR thiết lập các danh mục dữ liệu nhạy cảm, ví dụ gồm: nguồn gốc chủng tộc hoặc dân tộc, quan điểm chính trị, tín ngưỡng, tôn giáo, dữ liệu di truyền hoặc sinh trắc học, sức khỏe tâm thần hoặc sức khỏe tình dục, khuynh hướng tình dục, thành viên công đoàn và GDPR đặt ra quy định nghiêm ngặt khi xử lý dữ liệu cá nhân nhạy cảm so với dữ liệu phi nhạy cảm. Cụ thể, việc xử lý dữ liệu cá nhân nhạy cảm phải có sự đồng ý rõ ràng của chủ thể dữ liệu (hoặc chủ thể đã công khai dữ liệu cá nhân nhạy cảm); trong trường hợp không có sự đồng ý của chủ thể dữ liệu, các dữ liệu nhạy cảm chỉ có thể được xử lý khi có các căn cứ hợp pháp theo luật định[16].

Ngoài ra, lưu ý rằng, dữ liệu cá nhân không cần phải là các dữ liệu mang tính khách quan. Thông tin chủ quan như ý kiến, nhận định hoặc đánh giá mức độ tín nhiệm của một người hoặc đánh giá kết quả công việc của người sử dụng lao động đều là dữ liệu cá nhân. Và các dữ liệu cá nhân phản ánh quan điểm chính trị, tín ngưỡng, tôn giáo của cá nhân đều được xem là dữ liệu nhạy cảm của cá nhân.

Do cách giải thích rộng liên quan đến “bất kỳ thông tin cá nhân nào” nên GDPR khuyến cáo các bên xử lý dữ liệu nên xem bất kỳ thông tin nào nghi ngờ là dữ liệu cá nhân là các dữ liệu cá nhân. Bởi vì, bất kỳ thông tin nào về cá nhân có thể giúp suy luận điều gì đó về một cá nhân cụ thể nếu nó được công khai và kết hợp với các thông tin do các chủ thể khác hay tổ chức khác nắm giữ. Do đó các thông tin bất kỳ này có thể là dữ liệu cá nhân. GDPR khuyến cáo khi bên xử lý dữ liệu có nghi ngờ về việc xác định thông tin đang được xử lý có phải là dữ liệu cá nhân, bên xử lý dữ liệu cá nhân phải bảo mật thông tin; bảo vệ thông tin khỏi việc bị tiết lộ không phù hợp; đảm bảo có lý do hợp pháp trong quá trình xử lý; thông báo việc đang xử lý dữ liệu cá nhân.

3. Khuyến nghị hoàn thiện các quy định về dữ liệu cá nhân trong pháp luật Việt Nam

Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân đã đưa ra khái niệm “Dữ liệu cá nhân là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể”. Về cơ bản, khái niệm này đã phản ánh sự tham khảo quy định chung được thừa nhận phổ quát trên thế giới, nhưng vẫn còn vài điểm hạn chế như nội hàm “dữ liệu về cá nhân” là gì hay yếu tố “có thể xác định” cần được làm rõ. Dựa trên việc tham khảo quy định về khái niệm dữ liệu cá nhân của GDPR, Việt Nam cần lưu ý những nội dung sau trong quá trình xây dựng khái niệm “dữ liệu cá nhân” và pháp luật về bảo vệ dữ liệu cá nhân:

Thứ nhất, về kỹ thuật lập pháp, Việt Nam hiện không có một đạo luật riêng biệt, toàn diện và nhất quán về bảo vệ dữ liệu cá nhân. Thay vào đó, nội dung này được quy định rải rác trong các luật và nghị định khác nhau như Bộ luật Dân sự năm 2015; Bộ luật Hình sự năm 2015 đã được sửa đổi, bổ sung năm 2017; Bộ luật Tố tụng dân sự năm 2015; Bộ luật Tố tụng hình sự năm 2015; Luật Giao dịch điện tử năm 2005; Luật Công nghệ thông tin năm 2006; Luật Bảo vệ quyền lợi người tiêu dùng năm 2010; Luật An toàn thông tin mạng năm 2015; Luật An ninh mạng năm 2018; Nghị định số 52/2013/NĐ-CP về thương mại điện tử, và Nghị định số 72/2013/NĐ-CP về quản  lý, cung cấp và sử dụng dịch vụ Internet và thông tin trên mạng… Tuy nhiên, các quy định này phần lớn chỉ bảo vệ quyền riêng tư nói chung. Gần đây, một số đạo luật chuyên ngành mới đã đưa ra một số quy định dành riêng cho việc bảo vệ thông tin cá nhân, nhưng chủ yếu dưới dạng các nguyên tắc chung.

Với tốc độ tăng trưởng nhanh chóng của công nghệ số thì các quy định về bảo vệ dữ liệu cá nhân hiện chưa đáp ứng được yêu cầu từ thực tế. Bên cạnh đó, các quy định không chỉ thiếu, hạn chế mà còn nằm rải rác gây nên sự chồng chéo và trở ngại cho việc tra cứu, áp dụng luật. Do đó, Việt Nam cần nghiên cứu để ban hành Luật Bảo vệ dữ liệu cá nhân nhằm khắc phục sự chồng chéo, mâu thuẫn trong các văn bản luật hiện hành.

Thứ hai, về nội dung khái niệm dữ liệu cá nhân, chúng tôi thấy đề xuất trong dự thảo Nghị định về bảo vệ dữ liệu cá nhân còn hạn chế, cụ thể nên xem xét bỏ nội dung “Dữ liệu cá nhân là dữ liệu về cá nhân” vì chưa thực sự làm rõ ý nghĩa; thay vào đó nên quy định cụ thể: một là, dữ liệu liên quan đến một cá nhân cụ thể; hai là, dữ liệu liên quan đến việc có thể xác định một cá nhân cụ thể. Dự thảo Nghị định cũng đã có phân loại dữ liệu thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Trong đó, dữ liệu cá nhân cơ bản gồm: a) Họ, chữ đệm và tên khai sinh, bí danh (nếu có); b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; c) Nhóm máu, giới tính; d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, địa chỉ thư điện tử; đ) Trình độ học vấn; e) Dân tộc; g) Quốc tịch; h) Số điện thoại; i) Số chứng minh nhân dân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội; k) tình trạng hôn nhân; l) Dữ liệu phản ánh hoạt động hoặc lịch sử hoạt động trên không gian mạng. Các dữ liệu nhạy cảm được quy định gồm nhiều loại thông tin hơn GDPR như dữ liệu cá nhân về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; dữ liệu cá nhân về tài chính, dữ liệu cá nhân về vị trí là thông tin về vị trí địa lý thực tế của cá nhân ở quá khứ và hiện tại; dữ liệu cá nhân về các mối quan hệ xã hội…

Tuy nhiên, Việt Nam cần bổ sung thêm các thông tin định danh cá nhân trong môi trường trường kỹ thuật số như tên người dùng trên mạng xã hội, địa chỉ IP (internet protocol), nhận dạng cookie và các định danh khác như thẻ nhận dạng tần số vô tuyến (RFID), tài khoản quảng cáo, thẻ pixel, dấu vân tay của thiết bị, ảnh, video hoặc bản ghi âm… Đồng thời, Việt Nam cần có các hướng dẫn cụ thể trong văn bản dưới luật để làm rõ hơn ý nghĩa của các thuật ngữ như: “liên quan đến”, “có thể xác định được” trong khái niệm về dữ liệu cá nhân như cách giải thích về ý nghĩa thuật ngữ của GDPR trong các văn bản recitals (nhằm nói rõ bối cảnh, mục đích, lý do hay ý nghĩa quy định của pháp luật). Ví dụ như lịch trình di chuyển của một người được ghi nhận lại trong ứng dụng du lịch sẽ trở thành thông tin cá nhân vì chúng phù hợp với mục đích sử dụng của tổ chức này: theo dõi và đưa ra đề xuất về khách sạn gần nhất; ngược lại, những thông tin này sẽ không được xem là thông tin cá nhân vì chúng không cần thiết đối với một ứng dụng nghe nhạc trên điện thoại. Như vậy, mục đích sử dụng thông tin cá nhân có ảnh hưởng quan trọng đến việc xác định dữ liệu đang xử lý là dữ liệu cá nhân. Tóm lại, để xác định thông tin nào là thông tin định danh, Việt Nam cần cân nhắc đến các yếu tố như: (a) những nội dung trong thông tin ấy có liên quan trực tiếp đến một người nào đó và hoạt động của họ hay không; (b) mục đích của việc truy cập và xử lý dữ liệu; và (c) hệ quả hoặc sự tác động đến chủ thể dữ liệu sau khi dữ liệu được truy cập và xử lý./.  

 

---