Pháp luật của một số quốc gia Đông Nam Á về bảo vệ dữ liệu cá nhân và các gợi ý cho Việt Nam
25/09/2019
Tóm tắt: Quyền được bảo vệ dữ liệu cá nhân là một trong những quyền cơ bản của con người được pháp luật quốc tế và pháp luật các quốc gia ghi nhận. Các quốc gia Đông Nam Á đã và đang sử dụng nhiều biện pháp để bảo vệ quyền này, không chỉ bằng hoàn thiện các quy định của pháp luật mà còn hình thành và củng cố các cơ chế đảm bảo quyền. Kinh nghiệm của các quốc gia này trong việc đảm bảo quyền được bảo vệ dữ liệu cá nhân thực sự có ý nghĩa trong bối cảnh Việt Nam đang nghiên cứu xây dựng Luật Bảo vệ dữ liệu cá nhân.
Từ khoá: dữ liệu cá nhân, dữ liệu đời tư, bảo vệ dữ liệu cá nhân
Abstract: The right to personal data is one of the fundamental human rights recognized by international and national law. South East Asian countries have been conducting many measures to protect the right to personal data, not only improving national law but also establishing and strengthening protection mechanisms. The experience of these countries in protecting the right to personal data is very useful for Vietnam in the context of preparing to formulgate Law on Personal Data Protection
Keywords: personal data, privacy data, personal data protection
Ảnh minh họa: nguồn internet
1. Pháp luật về bảo vệ dữ liệu cá nhân của Singapore
1.1 Các văn bản pháp luật của Singapore về bảo vệ dữ liệu cá nhân
Ngày 15/10/2012, Nghị viện Singapore thông qua Luật Bảo vệ dữ liệu cá nhân (DLCN)
[1]. Luật công nhận quyền của các cá nhân trong việc bảo vệ các DLCN của chính họ, đồng thời thừa nhận sự cần thiết của việc các tổ chức tiến hành thu thập, sử dụng và tiết lộ thông tin cá nhân vì những mục đích phù hợp với những hoàn cảnh nhất định. Bên cạnh Luật Bảo vệ DLCN, một số văn bản pháp luật chuyên ngành của Singapore cũng quy định về vấn đề này như: Luật An ninh mạng và máy tính; Luật Bí mật công vụ, Luật Thống kê; Luật Giao dịch điện tử, Luật Ngân hàng, Luật Viễn thông
[2]. Trong phạm vi nghiên cứu này, chúng tôi tập trung phân tích quy định của Luật Bảo vệ DLCN năm 2012.
1.2 Nội dung cơ bản của Luật bảo vệ DLCN năm 2012
a. Định nghĩa DLCN
Theo quy định của Điều 2.1 Luật Bảo vệ DLCN, DLCN là các dữ liệu, dù đúng hay sai, về một cá nhân mà có thể xác định được danh tính của họ từ các dữ liệu đó; hoặc từ các dữ liệu đó và các thông tin khác mà các tổ chức có hoặc có thể có quyền truy cập. Một số loại thông tin được loại trừ khỏi định nghĩa DLCN: thông tin liên hệ kinh doanh; thông tin về một cá nhân được lưu lại trong các bản ghi đã tồn tại ít nhất 100 năm; thông tin cá nhân về một người đã mất hơn 10 năm; thông tin cá nhân đã được công khai.
b. Phạm vi áp dụng của Luật Bảo vệ DLCN
Luật Bảo vệ DLCN áp dụng đối với tất cả các cá nhân, tổ chức được thành lập hoặc được công nhận theo pháp luật Singapore; hoặc có nơi cư trú hoặc văn phòng đại diện hoặc khu vực kinh doanh tại Singapore. Đặc biệt, Luật chỉ áp dụng nếu các DLCN được thu thập, sử dụng hoặc tiết lộ tại Singapore. Tuy nhiên, Luật cũng xác lập nguyên tắc bảo vệ các DLCN được chuyển giao qua biên giới. Theo đó, các tổ chức, cá nhân có trách nhiệm đảm bảo rằng các DLCN được chuyển ra khỏi Singapore cũng sẽ có được sự bảo vệ tương đương như sự bảo vệ theo quy định của Luật này.
c. Quyền và nghĩa vụ của các chủ thể liên quan
* Đối với chủ thể thu thập, lưu giữ, sử dụng DLCN
- Chỉ được thu thập, lưu giữ, sử dụng và tiết lộ DLCN nếu được sự đồng ý của chủ DLCN. Sự đồng ý này có thể được thể hiện một cách rõ ràng hoặc thông qua ngầm định. Sự đồng ý ngầm định thường trong trường hợp cá nhân tự nguyện (hoặc có căn cứ hợp lý để cho rằng cá nhân tự nguyện) cung cấp DLCN vì mục đích nhất định. Tuy nhiên, Điều 14.2 Luật Bảo vệ DLCN quy định về những trường hợp, mặc dù được thể hiện một cách rõ ràng, nhưng sự đồng ý của chủ DLCN lại không có giá trị nếu như: (i) sự đồng ý như là một điều kiện để được cung cấp một sản phẩm hoặc dịch vụ mà sự đồng ý này vượt xa những gì là hợp lý để được cung cấp sản phẩm hoặc dịch vụ đó; hoặc (ii) sự đồng ý có được thông qua việc đưa ra thông tin sai lệch hoặc gây hiểu nhầm hoặc sử dụng các hành vi lừa đảo.
Chủ DLCN có thể rút sự đồng ý của mình vào bất kỳ thời gian nào. Chủ thể thu thập, lưu giữ và sử dụng DLCN không được ngăn cản chủ DLCN rút lại sự đồng ý của mình. Tuy nhiên, chủ thể thu thập, lưu giữ và sử dụng DLCN phải thông báo cho chủ DLCN về các hậu quả của hành vi rút sự đồng ý. Nếu chủ DLCN rút sự đồng ý, các hoạt động thu thập, lưu giữ, sử dụng hoặc tiết lộ DLCN phải được chấm dứt, trừ khi việc lưu giữ, sử dụng hoặc tiết lộ dữ liệu được thực hiện theo yêu cầu của các cơ quan có thẩm quyền theo quy định của pháp luật.
Trong một số trường hợp, các hành vi thu thập, lưu giữ, sử dụng hoặc tiết lộ DLCN không cần đáp ứng các yêu cầu của Luật Bảo vệ DLCN (sự đồng ý của chủ dữ liệu): (i) trường hợp rõ ràng là vì lợi ích của chủ DLCN và sự đồng ý không thể có được một cách kịp thời; (ii) trường hợp khẩn cấp, hoặc thực sự cần thiết vì lợi ích quốc gia; (iii) trường hợp thu hồi nợ; (iv) trường hợp cung cấp các dịch vụ pháp lý; (v) trường hợp vì mục đích nghiên cứu, bao gồm các nghiên cứu mang tính lịch sử hoặc thống kê; (vi) trong trường hợp vì mục đích đánh giá.
- Chỉ được thu thập, sử dụng và tiết lộ DLCN vì những mục đích nhất định như đã thông báo cho chủ dữ liệu khi thu thập thông tin;
- Đảm bảo tính chính xác, toàn diện và cập nhật của dữ liệu được thu thập, lưu giữ, sử dụng;
- Áp dụng các biện pháp an ninh phù hợp để bảo vệ DLCN trước các hành động truy cập, thu thập, sử dụng, tiết lộ, sao chép… trái phép hoặc các rủi ro tương tự. Tính phù hợp của các biện pháp an ninh phụ thuộc vào tính chất của dữ liệu, hình thức thu thập dữ liệu, các ảnh hưởng tới cá nhân có liên quan nếu như dữ liệu về họ được thu thập, sửa đổi hoặc loại bỏ một cách trái phép…
- Phải ngừng ngay việc lưu giữ DLCN nếu như: mục đích ban đầu của việc thu thập DLCN không còn; hoặc việc lưu giữ DLCN không còn cần thiết cho các mục đích kinh doanh hoặc pháp lý;
- Được chuyển giao DLCN cho bên thứ ba trên cơ sở Hợp đồng chuyển giao. Hợp đồng chuyển giao này phải tuân thủ các quy định về nội dung và hình thức theo pháp luật Singapore. Tuy nhiên, không được chuyển giao bất kỳ DLCN nào ra khỏi Singapore trừ khi người nhận chuyển giao đảm bảo các tiêu chuẩn bảo vệ tương tự đối với DLCN như Luật này;
- Khi có yêu cầu, phải cung cấp cho công chúng những thông tin về thực tiễn bảo vệ DLCN, thủ tục và quy trình giải quyết khiếu nại.
* Đối với chủ DLCN:
- Quyền được truy cập vào DLCN của mình. Tuy nhiên, quyền này của chủ DLCN có một số ngoại lệ được quy định tại Điều 21 Luật Bảo vệ DLCN như: việc truy cập đe doạ sự an toàn hoặc sức khoẻ thể chất, tinh thần của chính chủ DLCN hoặc cá nhân khác; tiết lộ dữ liệu về một cá nhân khác; đi ngược lại lợi ích quốc gia;…
- Quyền yêu cầu sửa chữa những sai sót liên quan đến DLCN của mình. Ngoại lệ của quyền này được quy định tại Điều 22.6 và 22.7 Luật Bảo vệ DLCN: không sửa chữa các ý kiến của các chuyên gia hoặc ý kiến mang tính chuyên môn…
- Quyền được biết về mục đích thu thập, lưu giữ và sử dụng dữ liệu trước khi các hoạt động này diễn ra;
- Quyền được yêu cầu cung cấp các thông tin về chính sách, thực tiễn và quy trình giải quyết khiếu nại của chủ thể thu thập, lưu giữ và sử dụng DLCN.
d. Cơ chế bảo vệ quyền bí mật DLCN
Để vệ DLCN, Uỷ ban Bảo vệ DLCN được thành lập với các chức năng sau: nâng cao nhận thức về bảo vệ DLCN; cung cấp dịch vụ tư vấn, hỗ trợ kỹ thuật, quản lý hoặc các dịch vụ đặc biệt khác liên quan đến bảo vệ DLCN; tham mưu cho Chính phủ về tất cả các vấn đề liên quan đến bảo vệ DLCN; đại diện cho Chính phủ trong các quan hệ quốc tế liên quan đến bảo vệ DLCN; triển khai các nghiên cứu và thúc đẩy các hoạt động giáo dục liên quan đến bảo vệ DLCN; bao gồm tổ chức và thực hiện các cuộc hội thảo, toạ đàm, gặp gỡ; quản lý các hoạt động hợp tác và trao đổi kỹ thuật liên quan tới bảo vệ DLCN với các tổ chức khác, bao gồm cả các tổ chức quốc tế liên chính phủ; điều hành và triển khai thực hiện Luật Bảo vệ DLCN; thực hiện các chức năng theo quy định của các văn bản pháp luật khác.
Uỷ ban Bảo vệ DLCN có quyền: (i) xem xét khiếu nại liên quan đến Điều 21 (truy cập DLCN) và Điều 22 (sửa chữa DLCN) của Luật Bảo vệ DLCN; (ii) tiến hành một cuộc điều tra theo quy định của Điều 50 Luật Bảo vệ DLCN để xác định hành vi vi phạm Luật Bảo vệ DLCN. Khi thực hiện hoạt động nay, Uỷ ban có quyền yêu cầu chủ thể liên quan cung cấp tài liệu hoặc thông tin.
e. Biện pháp chế tài đối với hành vi vi phạm quyền bí mật DLCN
- Cá nhân bị thiệt hại bởi hành vi vi phạm bí mật DLCN có thể khởi kiện theo trình tự tố tụng dân sự để được yêu cầu bồi thường;
- Cá nhân vi phạm sẽ bị áp dụng hình thức phạt tiền hoặc tù giam hoặc cả hai đối với các hành vi vi phạm. Mức hình phạt tuỳ thuộc vào hành vi vi phạm: phạt tiền từ S$2.000 tới S$100.000 hoặc/và phạt tù không quá 12 tháng, trong một số trường hợp vi phạm nghiêm trọng hình thức phạt tù có thể lên tới 3 năm.
- Hành vi không thực hiện các quyết định của Uỷ ban Bảo vệ DLCN có thể bị phạt tiền lên tới S$1.000.000.
- Trong Luật Bảo vệ DLCN còn quy định về việc các cá nhân được đăng ký các số điện thoại cấm gọi (Do not Call) và hành vi cố tình gọi hoặc nhắn tin vào các số điện thoại này để quảng cáo, tiếp thị… của các nhà cung cấp dịch vụ, hàng hoá có thể bị phạt tiền lên tới S$10.000.
2. Pháp luật về bảo vệ dữ liệu cá nhân của Thái Lan
2.1 Các văn bản pháp luật của Thái Lan về bảo vệ DLCN
Hiện nay, Thái Lan chưa ban hành một đạo luật chuyên biệt về bảo vệ DLCN. Tuy nhiên, khuôn khổ pháp lý bảo vệ DLCN được xác lập bởi các văn bản sau đây:
- Hiến pháp Thái Lan năm 2007: Điều 35 Hiến pháp Thái lan năm 2007 ghi nhận quyền bảo vệ bí mật đời tư là một trong các quyền và tự do cơ bản của công dân Thái Lan: “Quyền gia đình, nhân phẩm, uy tín và quyền bí mật đời tư của một cá nhân sẽ được bảo vệ. Không được khẳng định hoặc lưu hành một tuyên bố hoặc hình ảnh vi phạm hoặc làm ảnh hưởng tới quyền gia đình, nhân phẩm, uy tín và quyền bí mật đời tư của một cá nhân, bằng bất cứ phương thức nào, trừ trường hợp có lợi cho cộng đồng. DLCN của một người sẽ được bảo vệ khỏi sự truy cập bất hợp pháp theo các quy định của pháp luật”
[3].
- Các đạo luật chuyên ngành của Thái Lan như Bộ luật Dân sự và Thương mại, Luật Viễn thông, Luật Ngân hàng, Luật Kinh doanh tài chính, Luật Giao dịch điện tử… cũng xác lập cơ chế bảo vệ đối với DLCN trước các hành động thu thập, sử dụng, tiết lộ, chuyển giao thông tin một cách bất hợp pháp
[4].
- Trong các hoạt động công vụ, các hành vi thu thập và lưu giữ thông tin cá nhân của các cơ quan chính phủ được điều chỉnh bởi Luật Thông tin công vụ năm 1997. Luật này có một số nội dung chính: xác lập các yêu cầu đối với hệ thống DLCN được vận hành bởi các cơ quan chính phủ; xác lập giới hạn tiết lộ DLCN; trao quyền cho các cá nhân được yêu cầu sửa đổi, bổ sung DLCN của mình được các cơ quan chính phủ lưu giữ
[5].
Hiện nay, Thái Lan đang xây dựng Dự thảo Luật Bảo vệ DLCN
[6]. Một trong những nội dung quan trọng của Dự thảo Luật này là quy định về:
+ DLCN được bảo vệ để hạn chế việc thu thập, sử dụng, tiết lộ và chuyển giao bất kỳ thông tin cá nhân nào mà không có sự đồng ý của người đó;
+ Xác lập chế tài hình sự và trách nhiệm dân sự đối với bất kỳ hành vi xâm phạm DLCN một cách bất hợp pháp;
+ Thành lập Uỷ ban Bảo vệ DLCN để giám sát việc tuân thủ Luật Bảo vệ DLCN.
2.2 Nội dung cơ bản về bảo vệ DLCN trong pháp luật Thái Lan
a. Định nghĩa DLCN
Trong các văn bản pháp luật hiện hành của Thái Lan chưa có định nghĩa về DLCN. Tuy nhiên, theo Dự thảo Luật Bảo vệ DLCN, DLCN được hiểu là:
- Bất kỳ thông tin hoặc dữ liệu nào liên quan tới một cá nhân, cho phép xác định danh tính của người đó, một cách trực tiếp hoặc gián tiếp, nhưng không bao gồm đơn thuần tên, chức vụ, nơi làm việc hoặc địa chỉ kinh doanh và dữ liệu thuộc về người đã khuất.
- Các thông tin và dữ liệu này có thể dưới hình thức tài liệu, tập tin, báo cáo, sổ sách, biểu đồ, ảnh chân dung, hình ảnh, phim, bản ghi hình ảnh hoặc âm thanh có thể lưu giữ trong máy tính hoặc bất kỳ phương tiện nào khác có thể đươc sử dụng để làm bản ghi thông tin và dữ liệu có thể được nhìn thấy.
b. Phạm vi áp dụng của các quy định về bảo vệ DLCN
Theo quy định của các văn bản pháp luật Thái Lan, các quy định về bảo vệ DLCN được áp dụng đối với: (i) bất kỳ thực thể nào được thành lập tại Thái Lan; (ii) bất kỳ thực thể nào có văn phòng đại diện tại Thái Lan; (iii) Công dân Thái Lan; (iv) Người nước ngoài cư trú tại Thái Lan
c. Quyền và nghĩa vụ của các chủ thể liên quan
* Đối với chủ thể thu thập, lưu giữ và sử dụng DLCN:
- Chỉ thu thập DLCN phục vụ cho các hoạt động được phép tiến hành thuộc thẩm quyền của cơ quan, tổ chức và cá nhân đó; không thu thập các dữ liệu thông tin nhạy cảm (ví dụ như thông tin về các khuyết tật thể chất và tinh thần…);
Dự thảo Luật Bảo vệ DLCN quy định khi tiến hành thu thập dữ liệu của một cá nhân, chủ thể thu thập có nghĩa vụ phải thông tin cho người đó: mục đích thu thập; loại dữ liệu được thu thập; cá nhân, tổ chức sẽ được sử dụng dữ liệu; các thông tin về chủ thể thu thập như địa chỉ liên hệ, phương thức liên hệ; quyền và nghĩa vụ của các bên.
- Việc sử dụng, tiết lộ, phát tán thông tin cá nhân phải có sự đồng ý của cá nhân đó, trừ trường hợp vì mục đích bảo vệ an ninh quốc gia hoặc nhằm thực hiện yêu cầu của toà án, cơ quan chính phủ; việc chuyển giao DLCN cho bên thứ ba cũng cần có sự đồng ý của chủ DLCN. Sự đồng ý của chủ DLCN phải được thể hiện một cách rõ ràng. Theo Dự thảo Luật Bảo vệ DLCN, sự đồng ý phải được thể hiện bằng văn bản hoặc thông qua các phương tiện điện tử. Tuy nhiên, sự đồng ý mang tính ngầm định cũng được thừa nhận trong một số trường hợp nhất định. Ví dụ, Luật Giao dịch điện tử của Thái Lan năm 2001 quy định: bằng cách nhập vào hoặc thực hiện thanh toán chi phí cho việc sử dụng một số dịch vụ, người dùng được coi là đồng ý với các điều khoản và điều kiện cung cấp dịch vụ, trong đó có thể bao gồm cả việc tiết lộ các thông tin cá nhân
[7].
- Áp dụng các biện pháp an ninh phù hợp để bảo vệ bí mật DLCN. Các biện pháp này được đề cập trong các đạo luật chuyên ngành của Thái Lan như Luật Giao dịch điện tử, Luật Ngân hàng…
Theo Dự thảo Luật Bảo vệ DLCN, chủ thể thu thập, lưu giữ và sử dụng DLCN phải: (i) áp dụng các biện pháp an ninh phù hợp để ngăn ngừa việc mất mát, truy cập, thay thế, sửa chữa, tiết lộ hoặc sử dụng DLCN một cách bất hợp pháp; (ii) áp dụng các biện pháp ngăn ngừa bên thứ ba sử dụng hoặc tiết lộ DLCN mà không có sự cho phép, trong trường hợp DLCN được yêu cầu chuyển cho bên thứ ba; (iii) huỷ bỏ DLCN khi hết thời hạn lưu trữ, khi DLCN không liên quan, DLCN không cần thiết vượt quá mục đích nhất định hoặc các DLCN được chủ dữ liệu đồng ý thu hồi, trừ trường hợp cần được lưu giữ vì mục đích điều tra, thu thập chứng cứ; (iv) thông báo ngay lập tức cho chủ DLCN khi có bất kỳ hành vi vi phạm DLCN nào. Trong trường hợp số người bị ảnh hưởng bởi hành vi vi phạm lớn, chủ thể thu thập, lưu giữ và sử dụng DLCN phải báo cáo về căn cứ vi phạm cùng với kế hoạch áp dụng các biện pháp khắc phục hậu quả;
- Các DLCN được chủ thể thu thập, lưu giữ, sử dụng hoặc tiết lộ (khi được sự cho phép) phải chính xác, hoàn chỉnh và cập nhật.
* Đối với chủ DLCN: Theo Dự thảo Luật Bảo vệ DLCN, chủ DLCN, trong những trường hợp nhất định có quyền:
- Yêu cầu truy cập vào các DLCN liên quan đến bản thân mình;
- Yêu cầu chủ thể thu thập, lưu giữ và sử dụng DLCN xoá bỏ hoặc tạm thời ngừng việc sử dụng DLCN hoặc chuyển sang hình thức ẩn danh;
- Yêu cầu chủ thể thu thập, lưu giữ và sử dụng DLCN đảm bảo tính chính xác, cập nhật, hoàn chỉnh và không gây hiểu lầm của các dữ liệu liên quan đến bản thân.
d. Cơ chế bảo vệ quyền bí mật DLCN
Hiện tại, Thái Lan chưa thành lập cơ quan, tổ chức chuyên biệt chịu trách nhiệm giám sát thi hành pháp luật về quyền riêng tư hoặc bảo vệ DLCN. Tuy nhiên, nếu Dự thảo Luật Bảo vệ DLCN được thông qua, Uỷ ban Bảo vệ DLCN sẽ là cơ quan đảm nhận chức năng đó. Theo Dự thảo, Uỷ ban Bảo vệ DLCN có các nhiệm vụ, quyền hạn sau đây:
- Lập kế hoạch chiến lược về các hoạt động nhằm bảo vệ DLCN phù hợp với các chính sách và kế hoạch quốc gia có liên quan, trong đó có đề xuất biện pháp giải quyết các vấn đề vướng mắc phát sinh từ việc thực hiện các chính sách và kế hoạch chiến lược đó;
- Trợ giúp các cơ quan chính phủ, khu vực tư nhân và xã hội dân sự trong việc thực hiện các hoạt động phù hợp với các chính sách và kế hoạch chiến lược, bao gồm tiến hành đánh giá việc thực hiện các chính sách và kế hoạch chiến lược đó;
- Xác định các biện pháp, phương pháp tiếp cận của các hoạt động liên quan đến bảo vệ DLCN; đưa ra các hướng dẫn hoặc quy định cho việc thực hiện Luật Bảo vệ DLCN;
- Đề nghị Nội các Chính phủ hoặc Bộ trưởng về việc ban hành hoặc sửa đổi pháp luật hoặc các quy định liên quan đến việc bảo vệ DLCN;
- Tư vấn cho các cơ quan chính phủ hay khu vực tư nhân về bất kỳ hoạt động nào để bảo vệ DLCN; hỗ trợ tập huấn các kỹ năng và sự hiểu biết về bảo vệ DLCN trong cộng đồng; hỗ trợ nghiên cứu để phát triển các công nghệ liên quan đến bảo vệ DLCN;
- Thực hiện các hoạt động theo quy định của các văn bản pháp luật khác.
e. Biện pháp chế tài đối với các hành vi vi phạm
Theo quy định của Điều 420 Bộ luật Dân sự và Thương mại Thái Lan, người nào, một cách cố ý hay vô ý, xâm hại bất hợp pháp tới tính mạng, thân thể, sức khỏe, sự tự do, tài sản hoặc bất kỳ quyền của người khác đều bị coi là vi phạm pháp luật và phải bồi thường cho nạn nhân
[8]. Ở khía cạnh này, các hành vi thu thập, lưu giữ, sử dụng, tiết lộ hoặc chuyển giao DLCN có thể được coi là một hành động sai trái nếu nó gây ra thiệt hại cho cá nhân chủ dữ liệu.
Hành vi gửi thông tin thương mại điện tử không mong muốn (còn gọi là thư rác) chưa được đề cập trong các các văn bản luật hiện hành cũng như trong Dự thảo Luật Bảo vệ DLCN. Tuy nhiên, hành vi đó có thể bị coi là vi phạm Luật Tội phạm máy tính năm 2007
[9] hoặc vi phạm Bộ luật Dân sự và Thương mại nếu như hành vi đó gây thiệt hại đối với người nhận thông tin.
Nếu Luật Bảo vệ DLCN được ban hành, người có hành vi vi phạm Luật này sẽ bị áp dụng các hình phạt: (i) phạt tiền tối đa tới 500.000 THB và/hoặc phạt tù không quá 6 tháng đối với chủ thể thu thập, lưu giữ và sử dụng DLCN; (ii) phạt tiền tối đa tới 1.000.000 THB và/hoặc phạt tù không quá 2 năm đối với chủ thể thu thập, lưu giữ và sử dụng DLCN nếu như họ vi phạm các cam kết để mang lại lợi nhuận bất hợp pháp cho chính họ hoặc người khác hoặc gây thiệt hại cho người khác.
3. Pháp luật về bảo vệ dữ liệu cá nhân của Indonesia
3.1 Các văn bản pháp luật của Indonesia về bảo vệ DLCN
Cũng giống như một số quốc gia khác trong khu vực, Indonesia chưa có Luật Bảo vệ DLCN. Cơ sở pháp lý đầu tiên để bảo vệ DLCN tại Indonesia là Hiến pháp năm 1945. Mặc dù không trực tiếp quy định về quyền bí mật đời tư, bí mật DLCN như một quyền công dân, tuy nhiên Điều 28G Hiến pháp năm 1945 quy định: Mỗi người đều có quyền tự bảo vệ bản thân, gia đình, sự tôn trọng, nhân phẩm và tài sản của mình. Mỗi người đều có quyền được bảo đảm an ninh và sự bảo vệ khỏi các mối đe dọa sợ hãi để làm, hay không làm, một điều gì đó cấu thành một quyền con người
[10].
Trên cơ sở quy định của Hiến pháp, việc thu thập và sử dụng DLCN được điều chỉnh bởi Luật số 11 năm 2008 về thông tin và giao dịch điện tử (Luật số 11)
[11]; và Nghị định số 82 năm 2012 của Chính phủ liên quan đến các hệ thống và giao dịch điện tử (Nghị định số 82)
[12]. Ngoài ra, các luật chuyên ngành và văn bản hướng dẫn trong các lĩnh vực ngân hàng, thị trường vốn, viễn thông, chăm sóc sức khoẻ, thông tin… cũng quy định về bảo vệ DLCN trong các lĩnh vực đó. Hiện nay, Nghị định về Thông tin và Truyền thông đang được Chính phủ Indonesia xây dựng dự thảo. Nghị định sẽ quy định chi tiết về bảo vệ DLCN bao gồm yêu cầu về sự đồng ý của chủ dữ liệu; việc thu thập, lưu giữ, đánh giá, chuyển giao, huỷ bỏ… DLCN.
[13]3.2 Nội dung cơ bản về bảo vệ DLCN trong pháp luật Indonesia
a. Định nghĩa DLCN
Điều 1.27 Nghị định số 82 định nghĩa DLCN là thông tin cá nhân được lưu trữ, xử lý và tính bảo mật được bảo vệ. Nghị định số 82 không đưa ra được sự giải thích cụ thể hơn liên quan đến phạm vi của DLCN.
b. Phạm vi áp dụng của các quy định về bảo vệ DLCN
Nghị định số 82 xác định phạm vi áp dụng của Nghị định chỉ liên quan đến DLCN và việc chuyển giao DLCN của công dân Indonesia được thực hiện trong phạm vi thẩm quyền tài phán của Indonesia hoặc liên quan đến công dân Indonesia.
c. Quyền và nghĩa vụ của các chủ thể liên quan
Theo Nghị định số 82 năm 2012, nhà cung cấp dịch vụ điện tử phải:
- Đảm bảo tính liên tục của hệ thống điện tử; bảo đảm an ninh thông tin và truyền thông nội bộ; đảm bảo tính bí mật, tính toàn vẹn và sẵn sàng của DLCN trong hệ thống. Nhà cung cấp dịch vụ phải áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để ngăn ngừa các hoạt động truy cập, xử lý DLCN bất hợp pháp. Nhà cung cấp dịch vụ cũng phải tiến hành các biện pháp ngăn ngừa việc mất mát, tiêu huỷ hoặc thay đổi DLCN trái phép. Mức độ của các biện pháp bảo đảm an ninh phải tương xứng với tính chất của nguồn dữ liệu. Trong trường hợp không đảm bảo được tính bí mật của DLCN, nhà cung cấp dịch vụ điện tử phải gửi văn bản thông báo cho chủ DLCN về việc này;
- Đảm bảo việc thu thập, sử dụng, tiết lộ và chuyển giao DLCN dựa trên sự chấp thuận trước của chủ dữ liệu và phù hợp với các mục đích như trước đó đã thông báo cho chủ dữ liệu trong quá trình thu thập dữ liệu, trừ trường hợp có quy định khác. Việc chuyển giao DLCN cho bên thứ ba phải trên cơ sở hợp đồng chuyển giao. Tuy nhiên, việc chuyển giao DLCN cho bên thứ ba ngoài thẩm quyền tài phán của Indonesia không được pháp luật Indonesia khuyến khích.
Theo quy định của Điều 29 Luật số 11, vì mục đích phục vụ điều tra hình sự, nhà cung cấp dịch vụ điện tử phải cung cấp thông tin lưu giữ trong hệ thống của mình nếu như điều tra viên có yêu cầu phù hợp với các quy định của pháp luật. Một số luật chuyên ngành cũng quy định các trường hợp nhà cung cấp dịch vụ được tiết lộ DLCN mà không cần sự đồng ý của chủ dữ liệu. Các trường hợp đó đều liên quan đến an ninh quốc gia hoặc lợi ích công cộng. Chẳng hạn, Điều 41 Luật Ngân hàng năm 1992, sửa đổi bổ sung năm 1998, quy định dữ liệu khách hàng sẽ được cung cấp cho cơ quan thuế khi nhận được yêu cầu của cơ quan này và trên cơ sở quyết định của Thống đốc Ngân hàng
[14]; Điều 42 Luật Viễn thông năm 1999 quy định việc sử dụng và tiết lộ thông tin cá nhân trong trường hợp phục vụ công tác điều tra hình sự theo yêu cầu của cơ quan cảnh sát hoặc toà án…
- Đăng ký hệ thống điện tử của mình tại Bộ Thông tin và Truyền thông; và thiết lập Trung tâm khôi phục thảm hoạ (các nghĩa vụ này chỉ đặc biệt áp dụng đối với nhà cung cấp dich vụ công cộng). Sau thủ tục đăng ký hệ thống điện tử, nhà cung cấp dịch vụ sẽ được Bộ Thông tin và Truyền thông cấp Chứng nhận điện tử, Chứng nhận về độ tin cậy và Giấy phép kinh doanh dịch vụ.
Luật số 11 cũng quy định, nội dung của thông tin điện tử hoặc một tài liệu (chẳng hạn như một trang web trên internet) thuộc phạm vi của quyền sở hữu trí tuệ, sẽ được bảo vệ như một tác phẩm sở hữu trí tuệ theo luật sở hữu trí tuệ.
Đối với chủ DLCN, họ được quyền biết các thông tin sau đây trước khi DLCN của họ được thu thập, lưu giữ, sử dụng và tiết lộ: (i) mục đích của quá trình thu thập dữ liệu; (ii) các dữ liệu sẽ được thu thập, lưu giữ, sử dụng, tiết lộ hoặc chuyển giao;
Các bên được chỉ định hoặc bên thứ ba liên quan đến việc chuyển giao dữ liệu. Theo Luật số 11, công nghệ thông tin phải tôn trọng quyền bí mật đời tư của cá nhân, cụ thể là: quyền hưởng thụ một cuộc sống không bị làm phiền, quyền giao tiếp với người khác một cách riêng tư; quyền hạn chế người khác truy cập tới các thông tin và dữ liệu của cá nhân mình. Tuy nhiên, Luật số 11 còn để ngỏ quyền được yêu cầu xoá bỏ các thông tin cá nhân.
d. Cơ chế bảo vệ quyền bí mật DLCN
Indonesia chưa xây dựng cơ chế chuyên biệt về bảo vệ bí mật DLCN. Một số cơ chế cũng đã được hình thành trên cơ sở các văn bản pháp luật chuyên ngành nhằm thực hiện sự quản lý Nhà nước đối với các hoạt động liên quan trong lĩnh vực đó, bao gồm cả vấn đề bảo vệ DLCN. Chẳng hạn như Quy định số 7/15/PBI/2007 của Ngân hàng Trung ương về quản lý rủi ro trong việc sử dụng công nghệ thông tin của Ngân hàng; Quy định số 1/POJK.07/2013 của Bộ Tài chính về viêc bảo vệ thông tin khách hàng trong các giao dịch tài chính; Nghị định số 269/Menkes/Per/III/2008 của Bộ Y tế về quản lý hồ sơ bệnh án; Nghị định số 21 năm 2013 của Bộ Thông tin và Truyền thông về quản lý mạng điện thoại di động, mang truy cập Internet không dây… Nhìn chung trong các văn bản này đều xác định rõ cơ quan quản lý nhà nước trong lĩnh vực đó; chức năng, nhiệm vụ quyền hạn của các cơ quan; cơ chế giám sát thực hiện các quy định có liên quan… Tuy vậy, các cơ chế hình thành trong các văn bản này còn mang tính riêng lẻ, độc lập, chưa có sự gắn kết để tạo ra một cơ chế đồng bộ, thống nhất và hiệu quả trong việc bảo vệ DLCN ở Indonesia.
e. Biện pháp chế tài đối với các hành vi vi phạm
Theo quy định của Nghị định số 82, bất kỳ chủ thể nào vi phạm Nghị định sẽ bị xử phạt vi phạm hành chính. Trách nhiệm dân sự hoặc chế tài hình sự không áp dụng đối với các hành vi vi phạm Nghị định. Các hình thức xử phạt vi phạm hành chính, tuỳ mức độ vi phạm, bao gồm: cảnh cáo bằng văn bản, phạt hành chính, tạm đình chỉ hoạt động, đưa ra khỏi danh sách đăng ký (hình thức xử phạt này liên quan đến nghĩa vụ của người cung cấp dịch vụ phải đăng ký hệ thống điện tử của mình tại Bộ Thông tin và Truyền thông)
Theo quy định của Điều 46 Luật số 11, các hành vi vi phạm quyền bí mật đời tư một cách cố ý, ngoài việc bị áp dụng hình phạt tiền, người vi phạm còn có thể bị phạt tù, phạt tiền tối đa đến 600 triệu IDR và/hoặc phạt tù không quá 6 năm đối với người nào truy cập trái phép máy tính và/hoặc hệ thống máy tính, bằng bất kỳ phương thức nào, với mục đích có được thông tin hoặc hồ sơ điện tử. Ngoài ra, nhà cung cấp dịch vụ cũng sẽ bị đưa ra khỏi danh sách đăng ký
Theo quy định của Điều 322, 323 Bộ luật Hình sự
[15], công chức, trong quá trình thực hiện nhiệm vụ, cố ý xâm phạm thông tin bí mật đều bị coi là phạm tội và phải chịu hình phạt tới 9 tháng tù và phạt tiền tới 600 IDR. Mức phạt tương tự cũng được áp dụng đối với hành vi tiết lộ bí mật thương mại. Bộ luật Hình sự còn quy định truy cứu trách nhiệm hình sự đối với các hành vi vi phạm quyền con người, trong đó có các quyền bí mật DLCN được thể hiện qua quy định tại Điều 28G Hiến pháp Indonesia.
4. Một số gợi ý cho Việt Nam trong xây dựng và hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân
4.1 Xây dựng và hoàn thiện các nguồn luật ghi nhận quyền bí mật DLCN
Xây dựngluật chuyên biệt về bảo vệ DLCN: Kinh nghiệm của các quốc gia trong khu vực gợi ý cho Việt Nam cần nghiên cứu, xây dựng và ban hành Luật Bảo vệ DLCN nhằm cùng với các văn bản pháp luật khác tạo cơ chế hữu hiệu thực hiện quyền bất khả xâm phạm đời sống riêng tư, bí mật cá nhân đã được quy định tại Điều 21 và 22 Hiến pháp Việt Nam năm 2013.
Các văn bản pháp luật chuyên ngành trong các lĩnh vực khác: Bên cạnh đẩy mạnh việc nghiên cứu, xây dựng và ban hành Luật Bảo vệ DLCN, thực tiễn cho thấy, dù đã hoặc chưa ban hành đạo luật chuyên biệt về bảo vệ DLCN, đa số các quốc gia đều ban hành văn bản luật chuyên ngành trong một số lĩnh vực để điều chỉnh các vấn đề liên quan đến bí mật DLCN trong các lĩnh vực đó. Các văn bản này thường được chia thành hai nhóm:
- Các văn bản liên quan đến bảo vệ DLCN trong hoạt động của các cơ quan nhà nước như Luật Bí mật công vụ, Luật Thống kê của Sigapore; Luật Thông tin công vụ của Thái Lan…
- Các văn bản liên quan đến bảo vệ DLCN trong hoạt động kinh doanh dịch vụ của khu vực tư nhân như Luật Viễn thông, Luật Ngân hàng, Luật Kinh doanh tài chính, Luật Giao dịch điện tử… của Thái Lan, Singapore, Indonesia.
Ngoài các văn bản pháp luật chuyên ngành, các biện pháp chế tài áp dụng đối với các hành vi vi phạm DLCN còn được quy định trong Bộ luật Hình sự, Bộ luật Dân sự và Thương mại, Luật An ninh mạng và máy tính… của các quốc gia như Thái Lan, Singapore, Indonesia…
4.2 Gợi ý một số nội dung cơ bản của Luật Bảo vệ DLCN của Việt Nam
a. Định nghĩa DLCN:
Pháp luật của các quốc gia thường có hai cách tiếp cận khi xây dựng định nghĩa DLCN, qua đó xác lập phạm vi các DLCN được pháp luật bảo vệ:
- Tiếp cận chỉ dựa trên nội dung: Đây là cách tiếp cận của Luật Bảo vệ DLCN của Singapore, Luật Dữ liệu bí mật đời tư của Philipine, theo đó, DLCN là các dữ liệu về một cá nhân mà có thể xác định được danh tính của họ từ các dữ liệu đó, không phụ thuộc vào hình thức ghi nhận hay xử lý các dữ liệu.
- Tiếp cận dựa trên nội dung và hình thức ghi nhận: Đây là cách tiếp cận của Luật Bảo vệ DLCN của Malaysia và Dự thảo Luật Bảo vệ DLCN của Thái Lan. Ngoài việc quy định DLCN là các dữ liệu về một cá nhân mà có thể xác định được danh tính của họ từ các dữ liệu đó, pháp luật các quốc gia này còn quy định hình thức ghi nhận dữ liệu như tài liệu, tập tin, báo cáo, sổ sách, biểu đồ, ảnh chân dung, hình ảnh, phim, bản ghi hình ảnh… (Dự thảo Luật Bảo vệ DLCN của Thái Lan) hoặc dữ liệu được xử lý toàn bộ hoặc một phần bởi các thiết bị hoạt động một cách tự động theo các chỉ dẫn được đưa ra vì mục đích đó (Luật Bảo vệ DLCN của Malaysia).
Hai cách tiếp cận trên về bản chất không mâu thuẫn với nhau vì đều đề cập đến nội dung cơ bản của DLCN là các dữ liệu về một cá nhân mà qua đó có thể xác định được danh tính của người đó. Cách tiếp cận thứ hai chi tiết hơn khi đề cập đến cả hình thức ghi nhận DLCN. Tuy nhiên, chúng tôi cho rằng, cách tiếp cận này tương đối rườm rà và hơn nữa có thể bị thay đổi khi mà với sự phát triển của khoa học công nghệ, các hình thức, phương tiện ghi nhận DLCN có thể bị thay đổi dẫn đến sự không phù hợp giữa các quy định pháp luật với thực tiễn đời sống xã hội.
Ngoài định nghĩa về DLCN, pháp luật của một số quốc gia còn trực tiếp (Malaysia) hoặc gián tiếp (Thái Lan) đưa ra định nghĩa DLCN nhạy cảm. Các dữ liệu này thường liên quan đến đến sức khoẻ hoặc tình trạng về thể chất hoặc tinh thần, quan điểm chính trị, tín ngưỡng tôn giáo… của người chủ dữ liệu. Đối với các dữ liệu này, việc bảo vệ được quy định chặt chẽ hơn.
Pháp luật của một số quốc gia như Singapore, Thái Lan, Philipine cũng xác định một số loại DLCN được loại trừ không áp dụng các quy định bảo vệ dữ liệu như thông tin về người đã mất, thông tin đã được công khai trên các phương tiện thông tin đại chúng, thông tin cá nhân được lưu lại trong các bản ghi quá cũ…
b. Phạm vi áp dụng của Luật Bảo vệ DLCN
Đối với các quốc gia đã hoặc đang chuẩn bị ban hành đạo luật chuyên biệt về bảo vệ DLCN, việc xác định phạm vi áp dụng của đạo luật này được cân nhắc khá kỹ để tránh sự chồng chéo, mâu thuẫn với các văn bản pháp luật chuyên ngành khác. Thông thường, đạo luật chuyên biệt về bảo vệ DLCN chỉ điều chỉnh hoạt động thu thập, lưu giữ, sử dụng và tiết lộ DLCN của khu vực tư nhân (chủ yếu của các doanh nghiệp cung cấp hàng hoá, dịch vụ) mà không điều chỉnh hoạt động của khối các cơ quan Nhà nước. Hoạt động thu thập, lưu giữ, sử dụng và tiết lộ DLCN của khối các cơ quan nhà nước chịu sự điều chỉnh của các văn bản pháp luật chuyên ngành khác như Luật Thống kê, Luật Bí mật công vụ…
Ngoài ra, Luật Bảo vệ DLCN của các quốc gia cũng thường chỉ được áp dụng đối với các cá nhân, tổ chức mang quốc tịch quốc gia hoặc có nơi cư trú hoặc trụ sở trên lãnh thổ quốc gia và các hoạt động liên quan đến DLCN xảy ra trong lãnh thổ quốc gia. Hành vi chuyển giao DLCN ra ngoài lãnh thổ quốc gia không được quy định chi tiết trong Luật mà chỉ được đề cập dưới dạng các nguyên tắc chung
c. Quyền và nghĩa vụ của các chủ thể liên quan
Các chủ thể liên quan theo các quy định của pháp luật các nước bao gồm hai chủ thể chính: Chủ DLCN (cá nhân mà dữ liệu về họ được thu thập, lưu giữ, sử dụng hay tiết lộ) và chủ thể thu thập, lưu giữ, sử dụng và tiết lộ DLCN. Chủ thể thu thập, lưu giữ, sử dụng và tiết lộ DLCN bao gồm các cơ quan nhà nước, doanh nghiệp kinh doanh dịch vụ (như viễn thông, ngân hàng, tài chính, giao dịch điện tử…) và các tổ chức, cá nhân khác theo quy định của pháp luật các nước (như cha mẹ, người giám hộ khi chủ DLCN là trẻ em; bên thứ ba được chủ thể thu thập, lưu giữ dữ liệu chuyển giao DLCN…).
Nội dung quyền và nghĩa vụ của các chủ thể bao gồm các vấn đề sau: (i) yêu cầu để các hoạt động thu thập, lưu giữ, sử dụng, tiết lộ DLCN được diễn ra; (ii) các trường hợp ngoại lệ không cần đáp ứng các yêu cầu nêu trên như vì lợi ích công cộng, vì an ninh quốc gia, trong trường hợp khẩn cấp, theo yêu cầu hợp pháp của các cơ quan Nhà nước có thẩm quyền…; (iii) đảm bảo tính chính xác, toàn diện và cập nhật của dữ liệu được thu thập, lưu giữ, sử dụng; (iv) áp dụng các biện pháp an ninh phù hợp để bảo đảm tính bí mật của DLCN; (v) vấn đề chuyển giao DLCN cho bên thứ ba thông qua các hợp đồng chuyển giao
d. Biện pháp chế tài đối với các hành vi vi phạm
Pháp luật của các quốc gia đều quy định về các biện pháp chế tài đối với các hành vi vi phạm quyền bí mật DLCN. Các biện pháp này bao gồm: xử phạt hành chính; trách nhiệm bồi thường dân sự; truy cứu trách nhiệm hình sự.
Ngoài Luật Bảo vệ DLCN, các văn bản pháp luật khác, đặc biệt là Bộ luật Dân sự, Thương mại, Hình sự của các quốc gia cũng quy định về các biện pháp chế tài này. Tuỳ mức độ nghiêm trọng của hành vi vi phạm mà một hoặc một số biện pháp chế tài nêu trên sẽ được áp dụng đối với các tổ chức, cá nhân có hành vi vi phạm pháp luật về bảo vệ DLCN xâm phạm quyền bí mật DLCN của người khác. Cũng chính vì vậy, việc hoàn thiện pháp luật không chỉ đặt ra đối với Luật Bảo vệ DLCN mà còn đối với các văn bản pháp luật quốc gia khác có liên quan.
e. Cơ chế bảo vệ quyền bí mật DLCN
* Uỷ ban quốc gia về bảo vệ DLCN
Kinh nghiệm của các quốc gia cho thấy, khi thành lập Uỷ ban quốc gia về bảo vệ DLCN cần cân nhắc một số vấn đề sau:
- Sự cần thiết của việc thành lập Uỷ ban quốc gia về bảo vệ DLCN;
- Chức năng, nhiệm vụ, quyền hạn của Uỷ ban: Thực tiễn các quốc gia thường trao cho Uỷ ban một số chức năng chính sau: (i) tư vấn cho chính phủ, tổ chức, cá nhân; (ii) nâng cao nhận thức thông qua các hoạt động giáo dục, nghiên cứu; (iii) giám sát thực hiện pháp luật về bảo vệ DLCN. Ngoài các chức năng trên, pháp luật của một số quốc gia như Singapore, Malaysia… còn trao quyền cho Uỷ ban Bảo vệ DLCN chức năng đại diện cho quốc gia trong các quan hệ quốc tế hay tiếp nhận và giải quyết các khiếu nại liên quan đến bí mật DLCN. Quyết định giải quyết khiếu nại của Uỷ ban có giá trị pháp lý bắt buộc và được bảo đảm thực hiện bằng lệnh của Toà án nếu như các bên không tự nguyện tuân thủ.
* Cơ chế giải quyết khiếu nại, tranh chấp:
Pháp luật các quốc gia duy trì các cơ chế khiếu nại, giải quyết tranh chấp khác nhau để đảm bảo quyền bí mật dữ liệu của các cá nhân. Các cơ chế này bao gồm: cơ chế hoà giải; cơ chế khiếu nại hành chính; cơ chế giải quyết tranh chấp thông qua trình tự, tố tụng dân sự; truy cứu trách nhiệm hình sự đối với các hành vi vi phạm nghiêm trọng./.
[1] Personal Data Protection Act 2012.
Nguồn http://statutes.agc.gov.sg/aol/search/display/view.w3p;page=0;query=DocId%3Aea8b8b45-51b8-48cf-83bf-81d01478e50b%20Depth%3A0%20Status%3Ainforce;rec=0
[2] Data protection in Singapore: Overview, http://us.practicallaw.com/6-579-6345?q=*&qp=
[3] Constitution of the Kingdom of Thailand 2007 http://www.asianlii.org/th/legis/const/2007/1.html
[4] Data protection in Thailand: Overview, http://us.practicallaw.com/0-520-0782
[5] Official Information Act 1997, http://www.asianlii.org/th/legis/consol_act/oia1997197/
[6] Data protection in Thailand: Overview, http://us.practicallaw.com/0-520-0782
[7] Data protection in Thailand: Overview, http://us.practicallaw.com/0-520-0782
[8] The Thailand Civil and Commercial Code, https://www.samuiforsale.com/law-texts/thailand-civil-code-part-1.html#V
[9] Computer Crime Act 2007, https://www.samuiforsale.com/law-texts/computer-crime-act.html
[10] The 1945 Constitution of the Republic of Indonesia, http://www.wipo.int/edocs/lexdocs/laws/en/id/id061en.pdf
[11] Law of the Republic of Indonesia No 11 of 2008 concerning electronic information and transactions, http://www.flevin.com/id/lgso/translations/JICA%20Mirror/english/4846_UU_11_2008_e.html
[12] Regulation of the Government of the Republic of Indonesia number 82 of 2012 concerning electronic system and transaction operation
http://www.flevin.com/id/lgso/translations/JICA%20Mirror/english/4902_PP_82_2012_e.html
[13] Data protection in Indonesia: overview, http://uk.practicallaw.com/4-583-2387#a737163
[14] Act of the Republic of Indonesia number 7 of 1992 concerning banking as amended by Act number 10 of 1998, http://www.bu.edu/bucflp/files/2012/01/Act-No.-7-of-1992-Concerning-Banking.pdf
[15] Indonesian Penal Code, https://www.unodc.org/res/cld/document/idn/indonesian_penal_code_html/I.1_Criminal_Code.pdf