Tóm tắt: “Quyền được lãng quên” là một quyền quan trọng cần được được ghi nhận và bảo vệ. Trong bài viết này, các tác giả phân tích, bình luận về các quy định của pháp luật ở một số quốc gia liên quan đến việc ghi nhận và bảo vệ quyền được lãng quên, và khuyến nghị một số chính sách cho Việt Nam.
Từ khóa: Quyền con người, quyền được lãng quên, quyền dân sự.
Abstract: The “Right to be forgotten” is an important one that needs to be recognized and protected. In this article, the authors provide an analysis and discussions on the legal provisions in a number of countries related to the recognition and protection of the right to be forgotten, and also make recommendations for policies for Vietnam.
Keywords: Human rights; the right to be forgotten; civil rights.
Ảnh minh họa: Nguồn internet
1. Khái niệm quyền được lãng quên
Theo Michael Kelly và David Satola thuộc Hiệp hội Luật sư Hoa Kỳ về quản trị Internet, “quyền được lãng quên” (Right to be forgotten) đề cập đến việc các cá nhân có khả năng thực hiện việc xóa, giới hạn, xóa liên kết, xóa hoặc sửa những thông tin cá nhân có khả năng gây hiểu lầm, đáng xấu hổ, không liên quan hoặc đã hết hạn trên mạng Internet
[1].
Fleisher, Luật sư cố vấn bảo mật toàn cầu của Google, đưa ra ba cách giải thích về quyền được lãng quên
[2], theo đó, (i) quyền được lãng quên có nghĩa là một người có quyền xóa thông tin mà người đó đã đăng trực tuyến (mặc dù không phải tất cả nhưng hầu hết các trang mạng xã hội đều đã cho phép người dùng thực hiện điều này); (ii) quyền được lãng quên là việc một người có quyền xóa bất kỳ thông tin nào về bản thân mà người đó đã đăng trực tuyến, bao gồm cả thông tin mà người khác đã đăng lại; (iii) quyền này cũng có thể hiểu rằng, một người có quyền loại bỏ bất kỳ thông tin nào có sẵn trên mạng về bản thân, bất kể nguồn gốc của thông tin đó.
Theo nhóm tác giả, quyền được lãng quên có thể hiểu là quyền được xóa, chỉnh sửa, hạn chế các thông tin hoặc liên kết có liên quan đến cá nhân nếu những thông tin này gây phương hại tới cá nhân hoặc lợi ích của cộng đồng hay đã lỗi thời và không còn cần thiết. Trên thực tế, việc ghi nhận và bảo vệ quyền được lãng quên có ý nghĩa quan trọng cả về lý luận và thực tiễn.
Về mặt lý luận, quyền được lãng quên cũng là một quyền con người cơ bản, cần được ghi nhận và bảo vệ tương đương như các quyền cơ bản khác. Mặt khác, dù nội hàm của quyền này có sự đối lập với nhiều quyền khác nhưng về cơ bản, các quyền cùng tồn tại, cùng đấu tranh và bảo đảm lợi ích cao nhất cho cả cá nhân và cộng đồng. Ngoài ra, ghi nhận quyền được lãng quên cũng đặt trách nhiệm cho các chủ thể có thẩm quyền phải xem xét cụ thể, kỹ lưỡng các trường hợp có yêu cầu hay trường hợp xảy ra tranh chấp để quyết định đâu sẽ là vấn đề được ưu tiên hơn, giá trị của thông tin trong từng trường hợp cụ thể như thế nào…
Về mặt thực tiễn, quyền được lãng quên góp phần giải quyết một vấn đề cấp bách trong thời đại kỹ thuật số hiện nay, đó là gia tăng khả năng xóa bỏ các thông tin quá khứ/liên quan của cá nhân trên Internet. Điều này giúp loại bỏ tình trạng thông tin được lưu trữ mãi mãi trên dữ liệu đám mây
[3] và không thể bị xóa bỏ
[4], "sẽ vĩnh viễn gắn kết chúng ta với tất cả các hành động trong quá khứ của chúng ta, khiến chúng ta không thể thoát khỏi chúng trên thực tế"
[5]. Nhìn chung, khi được phép lưu chuyển tự do và không bị hạn chế bởi các quy tắc thương mại tư nhân hoặc quy định pháp lý, các dữ liệu được để ngỏ cho nhiều cách hiểu và sử dụng khác nhau trong khi chúng hoàn toàn bị tách rời khỏi bối cảnh ban đầu chúng xuất hiện. Những tác động bất lợi của dữ liệu có sẵn vĩnh viễn thể hiện rõ nhất khi thông tin cá nhân bị tiết lộ mà không được sự cho phép của chủ thể dữ liệu, hoặc khi thiệt hại do tiết lộ thông tin đó gây ra là không thể khắc phục được.
2. Mối quan hệ giữa “quyền được lãng quên” với các quyền tự do cơ bản khác của con người
Thứ nhất, quyền được lãng quên được đặt trong mối quan hệ với quyền tự do ngôn luận, tự do thông tin, tự do báo chí. Đây là vấn đề tranh cãi bởi lẽ hai quyền này có nội hàm trái ngược nhau
[6]. Trong khi quyền được lãng quên hay quyền riêng tư cá nhân hướng đến việc bảo vệ lợi ích cho từng cá nhân, cho phép họ được quyền quản lý, xử lý, quyết định thông tin của mình hoàn toàn theo ý chí của bản thân, thì quyền được tiếp cận thông tin lại hướng tới lợi ích của cộng đồng, của công chúng mà cho phép ẩn, xóa những thông tin của cá nhân đó một cách tùy ý. Một mặt, quyền được lãng quên là biểu hiện cho quyền riêng tư bởi không thể phủ nhận rằng, trong cuộc sống ở rất nhiều lĩnh vực, chúng ta cần được bảo vệ quyền riêng tư. Ví dụ: những thông tin về tài chính cá nhân, công việc, hồ sơ sức khoẻ, xu hướng tính dục, mối quan tâm xã hội,... Ngoài ra, mọi người đều không muốn những khoảnh khắc tồi tệ nhất trong cuộc đời bị hiển thị mãi mãi trên mạng Internet. Giống như Gonzilez từng nói
[7], con người nói chung thường muốn thoát ra khỏi quá khứ và có một cuộc sống hiện tại tốt đẹp, không liên quan đến những hình ảnh xấu xí tiêu cực đã lỗi thời. Vì vậy, chúng ta cần đưa lên bàn cân để xem quyền nào sẽ là quyền chiếm được nhiều sự ưu tiên hơn: quyền được lãng quên hay quyền được truy cập thông tin? Có lẽ, không thể có một câu trả lời chính xác cho mọi trường hợp vì phụ thuộc rất nhiều vào tinh thần pháp luật cũng như điều kiện kinh tế-xã hội, môi trường chính trị của mỗi quốc gia.
Thứ hai, quyền được lãng quên đặt trong mối quan hệ với quyền của chủ thể kinh doanh. Đây là mối quan hệ giữa trách nhiệm cộng đồng với bài toán kinh tế của doanh nghiệp. Tòa án Công lý Liên minh châu Âu (CJEU) đã “áp đặt” lên các nhà cung cấp công cụ tìm kiếm một trách nhiệm mà họ không mong muốn, đó là phải cân bằng giữa lợi ích kinh tế và trách nhiệm cộng đồng thông qua việc tuân thủ các quyền cơ bản của con người
[8]. Vào năm 2014, Google đã tổ chức một cuộc triển lãm vòng quanh châu Âu để thể hiện sự không hài lòng của công ty này, đáng chú ý một loạt các sự kiện công khai nhằm giải thích tác động từ quyết định của CJEU và phản ứng của Google đối với sự việc đó
[9]. Mặc dù Google “có vẻ” giống như một tiện ích công cộng khi cung cấp công cụ tìm kiếm miễn phí cho đa số người dùng và hầu hết hoạt động trên nền tảng này là không thu tiền, nhưng thực tế, nó không phải là một tiện ích công cộng - Google là một công ty. Giống như bất kỳ công ty nào, Google được đánh giá bằng lợi nhuận, duy trì hoạt động dựa trên lợi nhuận. Muốn làm được điều đó, Google sẽ phải thực hiện các thao tác để cắt giảm chi phí vận hành. Việc thực thi quyền được lãng quên đối với các nhà cung cấp dịch vụ tìm kiếm trên Internet như Google sẽ khiến cho các chi phí tăng lên rất nhiều, do phải chi trả cho nhân lực (bộ phận kiểm duyệt, bộ phận xử lý khiếu nại,…) hoặc cơ sở vật chất khác. Nếu như công ty không thực hiện quyền được lãng quên sẽ vấp phải sự phản đối của Liên minh châu Âu. Theo đó, hoạt động của Google tại những nước trong Liên minh có thể sẽ bị chặn và không được phép lưu hành như một sự trừng phạt cao nhất do không tuân thủ quy định. Nhưng nếu công ty thực hiện quyền được lãng quên, những tác động đến lợi ích kinh tế sẽ bị ảnh hưởng. Ngoài ra, Google sẽ phải thiết lập nhiều nguyên tắc khác nhau cho các quốc gia và khu vực khác nhau, giữa nơi công nhận và nơi không công nhận quyền được lãng quên,….
Như vậy, quyền được lãng quên có thể tác động đến các quyền lợi cơ bản khác như quyền tự do ngôn luận hay quyền của chủ thể kinh doanh và cho phép chủ thể quyền che giấu đi những điều không hay về mình. Chính vì vậy, việc xóa bỏ thông tin trên cơ sở yêu cầu của cá nhân cần đặt trong mối tương quan so sánh với quyền lợi tiếp cận thông tin, quyền tự do ngôn luận của cá nhân khác và của toàn xã hội. Nhìn chung, khi có yêu cầu xoá bỏ thông tin, bên tiếp nhận cần xem xét liệu thông tin này có thể đem lại lợi ích cho cộng đồng hay không, đồng thời cân nhắc giữa lợi ích đó với các quyền cần được bảo vệ của cá nhân. Có thể thấy rằng, quyền được lãng quên và quyền tự do ngôn luận luôn tồn tại các vấn đề xung đột, phải xử lý một cách hợp lý trong từng trường hợp cụ thể. Mặc dù là một trong những khu vực đi đầu và có lập trường rõ ràng trong bảo vệ “quyền được lãng quên”, CJEU cũng cho rằng quyền được lãng quên không thể tồn tại nếu không cân bằng lợi ích với các quyền khác
[10].
3. Quy định của pháp luật Liên minh châu Âu và Hoa Kỳ về quyền được lãng quên
3.1. Quy định của pháp luật Liên minh châu Âu
Liên minh châu Âu (EU) là khu vực tiên phong trên thế giới trong việc ban hành pháp luật liên quan đến quyền được lãng quên trong các đạo luật bảo vệ dữ liệu cá nhân (Data Protection Law). Kể từ năm 2014, quyền được lãng quên đã trở thành chủ đề tranh luận trên toàn thế giới khi quyền này đặt ra ranh giới giữa quyền riêng tư và quyền tự do ngôn luận, bắt nguồn từ một phán quyết của CJEU
[11]. Nội dung phán quyết của Toà chỉ ra rằng, nếu một cá nhân đưa ra yêu cầu hủy niêm yết, Google và các công cụ tìm kiếm khác phải gỡ niêm yết các kết quả liên quan đến họ trên một số địa chỉ web nhất định. Tuy nhiên, thông tin sẽ không bị xóa khỏi trang web gốc và có thể được truy cập bằng cách sử dụng các thuật ngữ tìm kiếm khác (nhằm cân bằng giữa quyền được lãng quên của cá nhân và quyền được tự do tiếp cận thông tin của cộng đồng). Ngoài ra, phán quyết cũng đề cập tới phạm vi áp dụng của pháp luật EU đối với các công cụ tìm kiếm. Mặc dù máy chủ của công ty xử lý dữ liệu nằm ngoài EU, nhưng khi có chi nhánh hoặc công ty con tại một quốc gia thành viên của EU thì pháp luật của của EU vẫn được áp dụng. Sau phán quyết này, các nhà điều hành công cụ tìm kiếm như Google đã phải tuân thủ nghiêm túc việc bảo đảm quyền được lãng quên theo pháp luật EU và xử lý một số lượng lớn yêu cầu từ các cá nhân để xóa các đường dẫn trong các kết quả tìm kiếm Google
[12]. Điều này thể hiện sự thay đổi lớn trong việc quan tâm tới thông tin của chính mình của các chủ thể dữ liệu khi có điều kiện thuận lợi để thực hiện sự quan tâm đó. Ngoài ra, EU cũng đặt lên vai các nhà cung cấp công cụ tìm kiếm một trách nhiệm lớn mà trước đây họ gần như không cần phải quan tâm.
Vào năm 2019, Tòa tiếp tục đưa ra thêm hai phán quyết liên quan đến quyền được lãng quên. Phán quyết thứ nhất
[13] liên quan tới vụ việc bốn công dân Pháp yêu cầu Google ngừng hiển thị trong kết quả tìm kiếm (dựa trên tên của họ) liên kết tới bài viết mà bên thứ ba đã đăng tải về họ, vì đây là những thông tin nhạy cảm. Tuy nhiên, Google từ chối vì cho rằng đây là những dữ liệu mang tính lợi ích công cộng nên quyền tiếp cận thông tin của công chúng là quan trọng hơn trong trường hợp đó. CJEU đã đồng ý rằng, những thông tin của các công dân trên thuộc trường hợp “thông tin nhạy cảm” và yêu cầu Google hủy tham chiếu với kết quả tìm kiếm này. Ngoài ra, đối với mối quan tâm của công chúng về những thông tin đã lỗi thời, không còn chính xác, CJEU cho rằng nên được hạn chế để bảo vệ quyền của chủ thể dữ liệu. Phán quyết thứ hai
[14] có nội dung về phạm vi lãnh thổ áp dụng quyền hủy niêm yết đối với các kết quả tìm kiếm trên Google liên quan tới tranh chấp giữa Google Inc. và Ủy ban Quốc gia Pháp về thông tin và quyền tự do (CNIL). CJEU đã phán quyết rằng:
Một là, việc hủy niêm yết của Google nên được
giới hạn ở các phiên bản trong các quốc gia thành viên EU sau khi đáp ứng những điều kiện nhất định;
hai là, khi Google nhận được yêu cầu hủy đường dẫn đến trang web có
dữ liệu nhạy cảm được công bố, Google phải xem xét lợi ích cân bằng giữa các quyền riêng tư và bảo vệ dữ liệu của người yêu cầu hủy niêm yết đó, với lợi ích hợp pháp của cộng đồng. CJEU cũng cho rằng, Google cùng các công cụ tìm kiếm khác cần được yêu cầu bổ sung việc hủy đường dẫn thông qua các biện pháp kỹ thuật nhằm ngăn chặn người dùng Internet ở EU sử dụng một tên miền ở một quốc gia ngoài EU truy cập vào các đường dẫn đó.
Với phán quyết thứ hai này, việc giới hạn phạm vi “chỉ ở trong các phiên bản công cụ tìm kiếm thuộc các quốc gia EU” có lẽ là một sự “đi lùi” trong mục tiêu thiết lập một tiêu chuẩn bảo vệ dữ liệu cá nhân ở mức độ toàn diện cho cư dân EU. Bởi lẽ, ở phạm vi ngoài EU, chỉ cần sử dụng một công cụ tìm kiếm thì các thông tin của chủ thể dữ liệu vẫn sẽ được tìm thấy. Như vậy, mức độ bảo mật, hay nói cách khác là phạm vi quyền được lãng quên vẫn chưa được thực hiện một cách triệt để. Mặt khác, như CJEU đã từng khẳng định, “quyền được lãng quên” không phải là một quyền tuyệt đối
[15]. Do đó, việc giới hạn phạm vi này nhằm mục đích nhượng bộ và cân bằng với quyền của các chủ thể khác trong xã hội. Ở một khía cạnh khác, việc không áp đặt tiêu chuẩn EU lên toàn cầu mà chỉ trong phạm vi khu vực cũng là một điều hợp lý. Đây sẽ là một cơ chế “mở” để các quốc gia có thể tự mình đặt ra các quy định phù hợp với điều kiện của chính quốc gia đó. Cần lưu ý rằng, CJEU cũng đã thực hiện các biện pháp để yêu cầu thực hiện sự bảo vệ này đến mức cao nhất trong phạm vi liên minh, thông qua việc yêu cầu các công cụ tìm kiếm cung cấp các giải pháp kỹ thuật nhằm ngăn chặn người dùng tại EU sử dụng tên miền khác để truy cập thông tin đã bị hủy tham chiếu. Thêm vào đó, EU không tạo ra một sự tuyệt đối hoá cho việc “chỉ áp dụng trong phạm vi EU”, mà các Tòa án quốc gia thành viên và các cơ quan bảo vệ dữ liệu quốc gia (DPA) hoàn toàn có thể dựa trên những tiêu chuẩn của nội luật để áp đặt lệnh gỡ bỏ niêm yết đối với các nhà điều hành công cụ tìm kiếm trên phạm vi toàn cầu trong những trường hợp thích đáng
[16]. Mặc dù phán quyết này có lợi cho Google, nhưng CJEU đã không loại trừ khả năng về tính hợp pháp của việc áp đặt lệnh gỡ bỏ niêm yết ở phạm vi toàn cầu trong tương lai.
Với ba phán quyết được đưa ra, có thể thấy, quan điểm của EU khá rõ ràng. EU ủng hộ quyền được lãng quên và đề cao quyền riêng tư cá nhân. Dù vậy, đây không phải là quyền tuyệt đối mà cũng cần có sự cân bằng và cân nhắc kỹ lưỡng đối với các quyền khác.
Quy định bảo vệ dữ liệu của Liên minh châu Âu (General Data Protection Regulation
[17]) bắt đầu có hiệu lực vào ngày 25/05/2018 và quyền được lãng quên được quy định trong Điều 17 của Bộ quy định này. Trong đó, quyền được lãng quên bao gồm hai nội dung: một là quyền xóa dữ liệu (right to erasure), hai là quyền hủy niêm yết/quyền hủy tham chiếu (right to de list/right to do-refer). Căn cứ theo Điều 17 GDPR, quyền xóa dữ liệu được áp dụng khi chủ thể dữ liệu yêu cầu xóa những thông tin liên quan đến họ trong một khoảng thời gian hợp lý và người quản lý dữ liệu sẽ có nghĩa vụ thực hiện việc xóa dữ liệu này. Tuy nhiên, điều này chỉ được áp dụng nếu đáp ứng đủ 6 điều kiện được quy định tại Điều 17 này; đó là: (1) Dữ liệu cá nhân không còn được sử dụng với mục đích thu nhập ban đầu; (2) Chủ thể dữ liệu cá nhân rút lại sự đồng ý cho việc xử lý dữ liệu; (3) chủ thể dữ liệu phản đối việc xử lý dữ liệu; (4) Dữ liệu cá nhân bị xử lý bất hợp pháp; (5) Dữ liệu cá nhân phải bị xóa vì tuân thủ nghĩa vụ pháp lý theo luật EU hay luật của quốc gia thành viên; (6) Dữ liệu cá nhân đã được thu nhập có mối liên quan đến việc cung cấp thông tin về các dịch vụ xã hội. Cũng tại Điều 17, EU cũng liệt kê ra các trường hợp không được phép áp dụng quyền xóa dữ liệu.
3.2. Quy định của pháp luật Hoa Kỳ
Đối với Hoa Kỳ, quyền được lãng quên chưa được công nhận là một quyền con người riêng biệt, mà chỉ được tiếp cận dưới góc độ là quyền được tự do, tự nguyện xóa các dữ liệu đã đưa lên trước đó
[18]. Kể từ thời điểm CJEU đưa ra quyết định mang tính bước ngoặt vào ngày 13/5/2014, công nhận quyền được lãng quên, các nhà bình luận từ Hoa Kỳ đã đưa ra quyết định trái ngược với lý lẽ của quyền tự do ngôn luận
[19]. Họ cảnh báo rằng, việc cấp cho mọi người quyền xóa liên kết đến những chuyện quá khứ của họ khỏi các kết quả tìm kiếm theo tên của họ trên Google là vi phạm quyền tự do ngôn luận
[20].
Việc Hoa Kỳ ủng hộ quyền tự do ngôn luận bắt nguồn từ các nguyên tắc trong Hiến pháp về việc bảo vệ quyền thu thập và truyền tải thông tin một cách cởi mở và không hạn chế. Điều này được thể hiện thông qua phán quyết của Tòa án Phúc thẩm Liên tiểu bang thứ hai tại Hoa Kỳ (The Second U.S. Circuit Court of Appeals’) trong vụ án Martin và Hearst Corporation năm 2015
[21]. Trong đó, Lorraine Martin bị bắt cùng với hai con trai của cô vì các cáo buộc liên quan tới ma túy. Mặc dù tiểu bang đã không truy tố Martin và xóa hồ sơ bắt giữ theo Quy chế Xóa hồ sơ hình sự của tiểu bang (Criminal Records Erasure Statute), các bài báo về vụ bắt giữ Martin vẫn xuất hiện trên mạng. Vì vụ bắt giữ của cô đã được xóa bỏ, Martin yêu cầu các phương tiện truyền thông, báo chí gỡ các bài báo về vụ việc nêu trên. Tuy nhiên, tập đoàn truyền thông Hearst Corporation đã từ chối yêu cầu này. Do đó, Martin đã kiện tập đoàn này với tội danh bôi nhọ danh dự. Tòa án liên bang quận đã bác bỏ yêu cầu này của Martin và khi cô này kháng cáo, Tòa án Phúc thẩm Liên tiểu bang thứ hai lập luận rằng các quy định về việc xóa dữ liệu cá nhân "không quy định trường hợp xóa dữ liệu về một vụ bắt giữ nghiêm trọng chỉ vì bị cáo sau đó trên thực tế đã chưa thực sự bị bắt hay truy tố". Chuyên gia Eric Goldman đã giải thích rằng, các quyết định của Tòa án cho thấy không có yêu cầu về quyền bị lãng quên nào được công nhận tại đây
[22]. Việc buộc các nhà cung cấp dịch vụ xóa tài liệu khỏi Internet nói chung
[23] sẽ tạo thành một dạng phát ngôn bắt buộc (compelled speech)
[24] mà theo Tu chính án thứ nhất (the First Amendment) là không được phép thực hiện. Bên cạnh đó, việc ép buộc các cơ quan báo chí xóa bỏ những thông tin đúng sự thật sẽ vi phạm một loạt các quy định về tự do báo chí được công nhận trong những vụ việc như: Florida Star v. BJF (1989)
[25], Cox Broadcasting Co. v. Cohn (1975)
[26] và Smith v. Daily Mail Publishing (1979)
[27]. Trong các phán quyết này, Tu chính án thứ nhất cấm việc xử phạt báo chí vì đã xuất bản thông tin một cách trung thực
[28]. Mặc dù vậy, Tu chính án thứ nhất cũng không hề ngăn cấm các quy định mang tính tự nguyện ở các lĩnh vực khác nhau, chẳng hạn như chính sách bảo vệ danh tính của các nạn nhân bị hiếp dâm
[29].
Tuy nhiên, bất chấp sự bảo vệ của Hiến pháp Hoa Kỳ, các công ty tại quốc gia này vẫn phải tuân thủ quy định của EU về quyền được lãng quên. Kể từ khi quy định về quyền được lãng quên tại châu Âu áp đặt lên Google có hiệu lực, công ty này đã xử lý 43% trong số 2,4 triệu yêu cầu xóa URL, gần 90% trong số những yêu cầu nộp đơn đó đến từ các cá nhân riêng lẻ
[30].
4. Khuyến nghị một số chính sách cho Việt Nam về quyền được lãng quên
Hiện nay, Việt Nam chưa có quy định về quyền được lãng quên. Tuy nhiên, khoản 1 Điều 22 Luật Công nghệ thông tin về việc lưu trữ, cung cấp thông tin cá nhân trên môi trường mạng, cho phép các chủ thể dữ liệu có quyền
“yêu cầu tổ chức, cá nhân lưu trữ thông tin cá nhân của mình trên môi trường mạng thực hiện việc kiểm tra, đính chính hoặc hủy bỏ thông tin đó”. Theo đó, việc các chủ thể dữ liệu có quyền hủy bỏ thông tin đã được lưu trữ trên không gian mạng đã cho thấy tinh thần của quyền được lãng quên trong phạm vi hẹp, khi quyền này cho phép các cá nhân, tổ chức được yêu cầu bên lưu trữ, xử lý dữ liệu xóa hoặc hủy bỏ thông tin cá nhân mà họ không mong muốn khỏi sự tìm kiếm của công chúng nếu đáp ứng được các điều kiện luật định. Dự thảo Nghị định về Bảo vệ dữ liệu cá nhân năm 2021
[31] cũng đã đề cập về việc ngừng lưu trữ, xóa dữ liệu cá nhân và hủy phương tiện lưu trữ dữ liệu cá nhân; các trường hợp cụ thể được quy định chủ yếu trong Điều 5 và Điều 16 Dự thảo Nghị định về quyền của chủ thể liên quan đến xử lý dữ liệu cá nhân. Tinh thần của “quyền được lãng quên” được quy định trong Dự thảo Nghị định này thuần tuý là quyền xóa dữ liệu, chứ không bao hàm quyền hủy tham chiếu giống như quy định của Liên minh châu Âu (GDPR).
Trên thực tế, dữ liệu mang lại rất nhiều giá trị cho chủ thể nắm quyền quản lý chúng, và vì thế, tính nhạy cảm và dễ tổn thương của dữ liệu cá nhân dường như càng tăng cao khi kinh tế phát triển vượt bậc, công cụ lưu trữ thông tin ngày càng tinh vi và phức tạp như hiện nay. Việt Nam là một trong số 20 nước có số người sử dụng Internet cao nhất thế giới, tỷ lệ người sử dụng Internet theo thống kê của Tổng cục Thống kê năm 2019 là đạt 68,7%, trong khi đó trung bình của thế giới là 51,4%
[32]. Theo số liệu của Cục Viễn thông, thời điểm diễn ra dịch Covid-19, tốc độ tăng trưởng băng rộng di động của Việt Nam trong năm 2020 tăng đến 22,45%, băng rộng cố định tăng 13,33% so với cùng kỳ; vào năm 2021, số lượng thuê bao băng rộng cố định trên toàn quốc trong 9 tháng đầu năm tăng đến hơn 1,6 triệu
[33]. Điều này đồng nghĩa với việc, một lượng lớn thông tin của người sử dụng sẽ được chuyển lên Internet, được lưu trữ tại các phương tiện điện tử như điện toán đám mây,… và đặt ra yêu cầu về các tiêu chuẩn đối với việc xử lý và lưu trữ các dữ liệu này nhằm bảo vệ người dùng. Bởi lẽ, đi cùng với nhu cầu sử dụng Internet tăng cao, là sự gia tăng của tình trạng xâm phạm, đánh cắp và rao bán thông tin cá nhân trên các diễn đàn tại Việt Nam ngày một công khai với mức độ ngày càng nghiêm trọng, quy mô ngày càng lớn và tinh vi. Điều đó báo động nguy cơ xử lý dữ liệu cá nhân sai mục đích cung cấp ban đầu, trái quy định của pháp luật, hoặc tệ hơn là “qua mặt” chủ thể dữ liệu: xử lý dữ liệu mà không có sự đồng ý của chủ thông tin.
Thực tiễn về các vụ việc giao bán dữ liệu cá nhân thời gian quá cho thấy, yêu cầu về việc quy định quyền được lãng quên đang dần trở nên cấp thiết hơn bao giờ hết. Việc ban hành các quy định liên quan tới quyền này sẽ góp phần giải quyết vấn đề các bên lưu trữ, xử lý dữ liệu không thực hiện trách nhiệm xóa và hủy bỏ sau khi đã hoàn thành mục đích sử dụng, mà lại tiếp tục sử dụng vào mục đích khác với mục đích ban đầu. Việc quy trách nhiệm xóa, hủy bỏ dữ liệu sau khi hoàn thành mục đích sử dụng cũng đặt ra vấn đề về hình thức xử lý các bên vi phạm trách nhiệm này.
Trên cơ sở các kết quả nghiên cứu từ lý luận và thực tiễn của các quốc gia liên quan đến quyền được lãng quên, nhóm tác giả đưa ra một số đề xuất sau đây cho việc ghi nhận quyền được lãng quên tại Việt Nam
Thứ nhất, cần công nhận và ghi nhận “quyền được lãng quên” tại Việt Nam trong Nghị định Bảo vệ dữ liệu cá nhân. Vấn đề về quyền được lãng quên đã được đề cập tại Việt Nam trong những năm gần đây, nhưng quyền được lãng quên nói riêng và bảo vệ dữ liệu cá nhân nói chung có tiến trình luật hoá tương đối chậm. Vì thế, vừa để bảo đảm cho quyền của chủ thể dữ liệu, vừa để quyền này không rơi vào “lãng quên”, việc đưa “quyền được lãng quên” vào Nghị định, rồi từng bước nghiên cứu nâng lên thành một điều khoản trong Luật Bảo vệ dữ liệu cá nhân là hoàn toàn hợp lý. Thực tế, đây là một bước tiến nhân văn, phù hợp với chủ trương của một nền pháp luật tiến bộ, dân chủ - hoà hợp với tinh thần của pháp luật quốc tế. Ngoài ra, việc ghi nhận quyền này là vô cùng cần thiết vì những lợi ích nó mang lại trong thời đại công nghệ số hiện nay.
Ngoài những lý do xuất phát từ nhu cầu kinh tế - xã hội, cũng cần lưu tâm tới văn hoá sử dụng mạng xã hội của một bộ phận người dùng tại Việt Nam. Trên các diễn đàn mạng Việt Nam có rất nhiều nơi đưa những thông tin sai lệch, chưa được kiểm chứng hoặc mang nội dung bắt nạt, bôi nhọ, vu khống một cách tràn lan, một chiều, thiếu căn cứ, chưa có xác nhận hay thẩm định của cơ quan có thẩm quyền. Người dùng Internet khi đứng trước những luồng thông tin đó liền lập tức chia sẻ, xuyên tạc, thậm chí dùng những từ ngữ rất không thiện chí để bình luận. Hậu quả của những vụ việc này rất nặng nề về mặt uy tín, danh dự, thiệt hại kinh tế, thậm chí cả mạng sống. Việc ghi nhận quyền được lãng quên trong trường hợp này có lẽ là giải pháp tốt để bảo đảm cho những thông tin sai sự thật, hoặc không còn giá trị theo thời gian được gỡ bỏ. Mục đích nhân văn, cao cả vẫn là hướng tới bảo vệ quyền con người - quyền của những chủ thể có khả năng bị tổn thương khỏi những hành vi gây tổn thương trên mạng Internet.
Thứ hai, nếu quyền được lãng quên được ghi nhận, các nhà làm luật nên xây dựng quyền này không chỉ bao gồm quyền xóa dữ liệu mà còn bao gồm cả quyền hủy tham chiếu/hủy niêm yết. Do quyền được lãng quên cũng cần được cân bằng với sự quan tâm của xã hội đối với các sự kiện cụ thể, thay đổi theo từng trường hợp. Vì vậy, trong những trường hợp này, việc hạn chế ở một mức độ nhất định truy cập dữ liệu sẽ tốt hơn là việc xóa đi hoàn toàn nội dung đó trên Internet. Rút kinh nghiệm từ các phán quyết của GDPR, nhóm tác giả đề xuất bổ sung khía cạnh của quyền hủy tham chiếu/hủy niêm yết vào nội dung của “quyền được lãng quên”.
Thứ ba, nên chọn cách tiếp cận với quyền này dựa trên các quy định về khung tiêu chuẩn. Nghĩa là, chúng ta nên học hỏi kinh nghiệm từ các nước là chỉ đặt ra những điều kiện, tiêu chuẩn nhất định cho việc áp dụng quyền này trên thực tế, những tiêu chuẩn cho việc tiến hành xử lý yêu cầu của chủ thể dữ liệu,… tránh việc chỉ đưa ra những quyền của chủ thể theo hướng trao cho họ những quyền định đoạt hoàn toàn đến mức tuyệt đối. Cần chú ý rằng, mục đích của việc quy định quyền được lãng quên đó là: bảo đảm thông tin được xử lý đúng mục đích, tính chính xác và tính cập nhật. Nếu như thông tin không đáp ứng được các yêu cầu này (trừ một số trường hợp ngoại lệ) thì thông tin nên được loại bỏ. Quyền của chủ thể dữ liệu trong trường hợp này là quyền được biết về việc xử lý thông tin hợp pháp của mình; ngoài ra được tự mình yêu cầu nếu như yêu cầu đó là hợp lý. Đối ứng với quyền của chủ thể dữ liệu là nghĩa vụ của bên xử lý dữ liệu: bảo đảm quá trình xử lý được hợp pháp, đúng mục đích đã cam kết và phù hợp với các nguyên tắc pháp quyền cũng như đạo đức xã hội. Do đó, thay vì quá chú trọng vào việc liệt kê tất cả các quyền của chủ thể dữ liệu khiến cho quy định bị thiên lệch, tập trung về một phía, nên xây dựng một khung tiêu chuẩn chung, một hành lang pháp lý chung về các điều kiện xuyên suốt của việc xử lý và truyền dữ liệu; trong đó, trọng tâm là các quy chuẩn về quy tắc ứng xử của chủ thể xử lý dữ liệu
[34]. Cách quy định này sẽ khiến việc xử lý dữ liệu trở nên đồng bộ hơn, đồng thời đề cao trách nhiệm ngay từ đầu đối với người xử lý dữ liệu cá nhân.
Thứ tư, cần xây dựng các cơ chế để quản trị rủi ro trong trường hợp ghi nhận quyền được lãng quên. Cần có cách quy định cụ thể hơn về chế tài đối với hành vi vi phạm quyền này. Dự thảo Nghị định Bảo vệ dữ liệu cá nhân quy định về xử phạt vi phạm hành chính, xử lý hình sự và các hình phạt bổ sung tại Điều 4 như sau:
“1. Cơ quan, tổ chức vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử phạt vi phạm hành chính hoặc xử lý hình sự, áp dụng các hình phạt bổ sung theo quy định của pháp luật.
2. Việc xử lý vi phạm quy định bảo vệ dữ liệu cá nhân được áp dụng đối với toàn bộ các tổ chức, doanh nghiệp, cá nhân trong và ngoài nước có hoạt động kinh doanh tại Việt Nam.
3. Ngoài mức phạt được quy định, trường hợp Bên xử lý dữ liệu cá nhân vi phạm nhiều lần, với hậu quả lớn có thể bị phạt tối đa 5% tổng doanh thu của Bên xử lý dữ liệu cá nhân tại Việt Nam”.
Theo quan điểm của nhóm tác giả, cách quy định như vậy có thể gây khó khăn trong vấn đề nhận thức và áp dụng, bởi lẽ: (i) mức độ vi phạm xử lý dữ liệu cá nhân ở mức hành chính hay hình sự chưa được quy định rõ, rất khó để có thể có sự đánh giá chính xác và đồng nhất giữa những cơ quan áp dụng pháp luật
[35]; (ii) tại khoản 2 quy định về việc xử lý vi phạm áp dụng với toàn bộ các tổ chức, doanh nghiệp, cá nhân trong và ngoài nước có hoạt động kinh doanh tại Việt Nam, vậy đối với những tổ chức không có hoạt động kinh doanh như các tổ chức xã hội nếu có hành vi vi phạm về việc thu thập và xử lý dữ liệu cá nhân thì có bị xử lý hay không? (iii) tại khoản 3 quy định thiếu cụ thể về mức phạt doanh thu ở con số tối đa 5% cũng là điều cần tranh cãi. Câu hỏi đặt ra là mức 5% doanh thu sẽ áp dụng đối với mốc xác định nào? 5% doanh thu của năm có vi phạm hay 5% doanh thu của tháng có vi phạm? Nếu vi phạm xảy ra trong khoảng thời gian dài, nhiều năm thì sẽ ra sao? Nếu pháp nhân vi phạm có nhiều chi nhánh trên toàn lãnh thổ Việt Nam hoặc trên thế giới thì mức phạt này chỉ áp dụng với địa điểm xảy ra vi phạm hay toàn bộ chi nhánh của pháp nhân đó?
Có thể nói, quyền được lãng quên đặt ra yêu cầu về việc tuân thủ và trách nhiệm của bên xử lý dữ liệu, hơn là trách nhiệm của chủ thể cung cấp dữ liệu. Vì vậy, để bảo đảm quyền này trên thực tế, ngoài việc ghi nhận là một quyền và có các biện pháp bảo vệ, Nhà nước cũng cần có các chính sách giáo dục, nâng cao ý thức của các bên khai thác lợi ích từ dữ liệu cá nhân, đặc biệt là lợi ích kinh tế. Có như vậy, việc ghi nhận mới có ý nghĩa và thực thi mới có hiệu quả. Bởi lẽ, “
lãng quên là một giá trị cơ bản, tồn tại trong bản chất của nhân loại. Phủ nhận hay từ chối quyền được lãng quên chính là đang nuôi dưỡng một con người bằng sự hối hận, tương lai chỉ quẩn quanh trong chính quá khứ của họ, và như thế đã dựng lên một bức tường không có lối thoát cho cá nhân đó”
[36]./.
[1] Michael J. Kelly, David Satola (2017),
The right to be forgotten, University of Illinois, Law Review, no.1, pp. 1-64.
[2] Peter Fleischer (2011),
Privacy...? Foggy Thinking About the Right to Oblivion, http://peterfleischer.blogspot.com/2011/03/foggy-thinking-about-right-to-oblivion.html, accessed 17/10/2021
.
[3] Snyder v. Millersville Univ., No. 07-1660, 2008 WL 5093140 (E.D. Pa. Dec. 3, 2008), https://www.leagle.com/decision/infdco20081204799, accessed 21/10/2021
; Balsley v. LFP, Inc., No. 11-3445 (6th Cir. 2012), https://law.justia.com/cases/federal/appellate-courts/ca6/11-3445/11-3445-2012-08-16.html,accessed 21/10/2021.
[4] Charles J. Sykes (1999),
The end of privacy,
The struggle over privacy is the
preeminent issue of the Information Age; Jonathan Zrrrrain (2008), The future of the internet-and how to stop it; Jeffrey Rosen (2010), The Web Means the End of Forgetting, N.Y. Times MAG, https://www.nytimes.com/2010/07/25/magazine/25privacy-t2.html?searchResultPosition=1, accessed 01/10/2021.
[5] Viktor Mayer-Schonberger (2009),
Delete: The virtue of forgetting in the digital age, p. 125.
[6] Eleni Frantziou (2014),
Further Developments in the Right to be Forgotten: The European Court of Justice's Judgment in Case C- 131/12, Google Spain, SL, Google Inc v Argencia Española de Protección de Datos
(AEPD), Human Rights Law Review, vol. 14, Issue 4, pp. 761–777.
[7] Nguyên đơn trong vụ án
Google Spain SL, Google Inc v Agencia Española de Protección de Datos
AEPD) and Mario Costeja Gonzalez (Court of Justice of the European Union, C- 131/12, 13 May 2014).
[8] Charles Miller (2014),
Google's 'Right to be Forgotten' Tour Comes to London, BBC (online), http://www. bbc.co.uk/blogs/blogcollegeofjournalism/posts/Googles-right-to-be-forgotten-tour-comes-to-London, accessed 28/10/2021.
[10] Shaniqua Singleton (2016),
Balancing a right to be forgotten with a right to freedom of expression in the wake of Google Spain v.AEPD, https://digitalcommons.law.uga.edu/cgi/viewcontent.cgi?referer=&httpsredir=1&article=2256&context=gjicl
, accessed 01/10/2021.
[11] Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González. Case C-131/12, Judgment of the Court (Grand Chamber) (2014), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62012CJ0131, accessed 01/10/2021.
[12] James Doubek (2018),
Google Has Received 650,000 'Right To Be Forgotten' Requests Since 2014, https://www.npr.org/sections/thetwo-way/2018/02/28/589411543/google-received-650-000-right-to-be-forgotten-requests-since-2014, accessed 01/10/2021.
[14] Vụ án Google Inc. và Ủy ban Quốc gia Pháp về thông tin và quyền tự do - Commission nationale de l’informatique et des libertés (CNIL), http://curia.europa.eu/juris/document/document.jsf?docid=218105&text=&dir=&doclang=EN&part=1&occ=first&mode=DOC&pageIndex=0&cid=969325, truy cập ngày 01/10/2021.
[16] Phần 72 Phán quyết vụ án Google - CNIL 2019.
[17] General Data Protection Regulation (GDPR) of EU, 2018, https://gdpr-info.eu.
[18] Leigh Phillips (2011),
EU to Force Social Network Sites to Enhance Privacy, GUARDIAN, https://www.theguardian.com/media/2011/mar/16/eu-social-network-sites-privacy, accessed 01/10/2021
.
[19] Case C-131/12, Google Spain SL v. Costeja (2014), E.C.R. I-317, https://curia.europa.eu/juris/document/document.jsf?text=&docid=152o65&pageIndex=o, accessed 24/10/2021.
[20] Marcus Wohlsen (2014),
For Google, the 'Right to Be Forgotten' Is an Unforgettable Fiasco, https://www.wired.com/2014/07/google-right-to-be-forgotten-censorship-is-an-unforgettable-fiasco/, accessed 24/10/2021.
[21] Martin v. Hearst Corporation (2015),
https://scholar.google.com/scholar_case?case=17020447715187840855&hl=en&as_sdt=6&as_vis=1&oi=scholarr, accessed 24/10/2021.
[22] Eric Goldman (2015),
Reports on Expunged Arrest Can’t Be Erased From the Internet–Martin v. Hearst, https://blog.ericgoldman.org/archives/2015/01/reports-on-expunged-arrest-cant-be-erased-from-the-internet-martin-v-hearst.htm, accessed 8/10/2021.
[23] Ronald Kahn (2009),
Internet, https://mtsu.edu/first-amendment/article/1119/internet, accessed 08/10/2021.
[24] David L. Hudson Jr,
Compelled Speech, https://mtsu.edu/first-amendment/article/933/compelled-speech, accessed 08/10/2021
.
[25] James T. Gibson,
Florida Star v. B.J.F. (1989), https://mtsu.edu/first-amendment/article/578/florida-star-v-b-j-f, accessed08/10/2021.
[26] Sandeep C. Ramesh, Cox Broadcasting Corp. v. Cohn (1975), https://mtsu.edu/first-amendment/article/576/cox-broadcasting-corp-v-cohn, accessed 08/10/2021
.
[27] Jane E. Kirtley, Smith v. Daily Mail Publishing Co. (1979), https://mtsu.edu/first-amendment/article/509/smith-v-daily-mail-publishing-co
, accessed 08/10/2021.
[28] Terry Carter (2017),
Erasing the News: Should some stories be forgotten?, https://www.abajournal.com/magazine/article/right_to_be_forgotten_US_law, accessed 08/10/2021
.
[29] Edward Lee,
The Right to Be Forgotten v. Free Speech Internet Freedom, https://heinonline.org/HOL/P?h=hein.journals/isjlpsoc12&i=93, accessed24/10/2021
.
[30] Heilweil, How Close Is An American Right-To-Be-Forgotten?, https://www.forbes.com/sites/rebeccaheilweil1/2018/03/04/how-close-is-an-american-right-to-be-forgotten/?sh=4949b6e626ef, accessed 08/10/2021.
[31] Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân, https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Du-thao-Nghi-dinh-quy-dinh-ve-bao-ve-du-lieu-ca-nhan-465185.aspx, truy cập ngày 16/7/2022.
[32] Lan Phương (2020),
Việt Nam trong top 20 nước có số người sử dụng Internet cao nhất thế giới, https://ictvietnam.vn/viet-nam-trong-top-20-nuoc-co-so-nguoi-su-dung-internet-cao-nhat-the-gioi-20201215205939618.htm, truy cập ngày 27/10/2021.
[33] Cục Viễn thông,
Tình hình phát triển thuê bao băng rộng năm 2020, 2021, https://vnta.gov.vn/thongke/Trang/dulieuthongke.aspx, truy cập ngày 27/10/2021.
[34] Tuomas Pöysti (2019),
The IIoT and Design for Contextually Relevant Data Protection, in R. M. Ballardini, P. Kuoppamäki, O. Pitkänen, & Future Regulation of Industrial Internet (Project) (B.t.v),
Regulating Industrial Internet through IPR, data protection and competition law, Kluwer Law International B.V.
[35] Khoản 2 Điều 83 GDPR.
[36] P. Kayser (1985),
La protection de la vie privée, t. I, Protection du secret de la vie privée. In:
Revue internationale de droit comparé. vol. 37, no.1, pp. 254-255, https://www.persee.fr/docAsPDF/ridc_0035-3337_1985_num_37_1_3043.pdf, accessed 27/10/2021.
