Cuộc cách mạng về quyền riêng tư?

Lịch sử 20 năm của GDPR

GDPR không phải là nỗ lực làm luật bảo vệ dữ liệu đầu tiên của Liên minh châu Âu. Tiền thân của GDPR, Chỉ thị 95/46/EC về việc Bảo vệ Dữ liệu của Liên minh châu Âu, ra đời vào năm 1995 và là nền tảng pháp lý quan trọng cho việc thiết lập mô hình bảo vệ quyền riêng tư đi đầu xu hướng toàn cầu.

Có ba điểm đáng lưu ý về lịch sử hình thành của GDPR. Thứ nhất, việc hình thành Luật áp dụng cho toàn thể các quốc gia trong khối Liên minh châu Âu là một sự lựa chọn công cụ luật pháp mang tính đồng bộ hoá. Khác với Chỉ thị năm 1995, Luật Bảo vệ Dữ liệu châu Âu năm 2018 hạn chế tối đa tính “mềm dẻo” trong việc thi hành luật, vốn đã trở thành điểm yếu của Chỉ thị năm 1995. Do bản chất pháp lý của văn bản chỉ thị, các quốc gia thành viên Liên minh châu Âu tiến hành việc xử phạt vi phạm xử lý dữ liệu một cách rời rạc: Tây Ban Nha xử lý phạt nặng và thường xuyên, trong khi Pháp hầu như không đưa ra hình thức xử lý phạt nào đáng kể. GDPR áp dụng các hình thức xử phạt vi phạm doanh nghiệp đồng bộ cho toàn thể Liên minh châu Âu, cụ thể là tối đa 2% doanh thu hoặc 10 triệu euro cho những vi phạm nhỏ, và 4% doanh thu hoặc 20 triệu euro cho những vi phạm lớn. Thứ hai, việc cập nhật cơ sở pháp lý cho công tác quản lý dữ liệu đã trở nên vô cùng cấp bách vào thời điểm GDPR được soạn thảo. Chỉ thị năm 1995, soạn thảo vào những năm đầu thập niên 90, được hình thành vào thời điểm mà internet chỉ được sử dụng bởi 1% dân số thế giới. Các khái niệm và thiết bị đã trở nên quen thuộc trong môi trường internet hiện nay như mạng xã hội, điện toán đám mây, hay máy tính bảng và điện thoại thông minh, hoàn toàn không tồn tại vào năm 1995. Thứ ba, tốc độ phát triển chóng mặt của công nghệ thông tin trong hơn 20 năm vừa qua đã làm thay đổi hoàn toàn cách con người định nghĩa và bảo vệ quyền riêng tư của mình. Quyền riêng tư là yếu tố cốt lõi của các chế độ pháp lý bảo vệ dữ liệu cá nhân: bảo vệ dữ liệu là công cụ hỗ trợ bảo vệ quyền. Cơ sở hạ tầng công nghệ của internet và các thiết bị thông minh khiến việc thu thập dữ liệu cá nhân trở nên ngày càng dễ dàng, nhanh chóng, hiệu quả, và đặc biệt là ít tốn kém. Vụ bê bối xung quanh Facebook, Cambridge Analytica, và ban vận động tranh cử của Tổng thống Mỹ Donald Trump là một ví dụ điển hình cho xu hướng này. Hơn bao giờ hết, việc soạn ra một hệ thống pháp lý nghiêm ngặt “tiêu chuẩn vàng” nhằm bảo vệ dữ liệu cá nhân là vô cùng cần thiết.

Bước tiến về xác định dữ liệu cá nhân

Dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm (Điều 4 và Điều 9)

Hai khái niệm nền tảng cho GDPR là dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm. GDPR được thiết kế nhằm bảo vệ dữ liệu cá nhân; tất cả các dữ liệu nằm ngoài định nghĩa dữ liệu cá nhân đều không được bảo vệ bởi luật này.

Dữ liệu cá nhân được định nghĩa là “bất kỳ thông tin nào liên quan đến một cá thể dữ liệu (‘data subject’) đã được nhận định danh tính, hoặc có thể được nhận định danh tính, dù trực tiếp hay gián tiếp, cụ thể là bằng cách chỉ ra một định danh như tên, số định danh, dữ liệu vị trí, định danh trên mạng, hay một hoặc nhiều yếu tố chỉ định danh tính của một cá nhân mang tính vật lý, sinh lý, sinh thực, tâm lý, kinh tế, văn hoá, hoặc xã hội.” Khái niệm khá dông dài này thực chất không có gì khác với định nghĩa được đưa ra ở Chỉ định năm 1995; điều đáng lưu ý nhất về định nghĩa dữ liệu cá nhân trong GDPR là khái niệm “giả danh tính” (pseudonymisation). Một ví dụ điển hình cho khái niệm này là việc xử lý dữ liệu bằng cách đặt tên giả cho các nhân vật hoặc cá nhân có thật: một phương pháp bảo vệ danh tính thường được dùng trong giới báo chí và các nhà làm phim tài liệu. Theo GDPR, dữ liệu đã được xử lý theo phương pháp giả danh tính vẫn có thể được hiểu là dữ liệu cá nhân nếu dữ liệu này có thể được dùng để suy ngược lại danh tính thật của cá thể dữ liệu bằng cách thu thập thêm thông tin. Rõ ràng, khái niệm này nới rộng phạm vi định nghĩa dữ liệu cá nhân một cách đáng kể, giúp củng cố quyền lợi công dân các quốc gia thành viên và đặt ra tiêu chuẩn xử lý dữ liệu rất cao cho các đơn vị xử lý dữ liệu.

Dữ liệu cá nhân nhạy cảm được quy định dưới dạng hạng mục dữ liệu cá nhân đặc biệt trong GDPR. Ở khía cạnh này, GDPR một lần nữa giữ nguyên tinh thần được đề ra ở Chỉ định năm 1995, định nghĩa dữ liệu cá nhân nhạy cảm là bất kì dữ liệu nào tiết lộ “chủng tộc hoặc sắc tộc, tư tưởng chính trị, đức tin tôn giáo, quan niệm triết lý, thành viên công đoàn, và việc xử lý dữ liệu sinh thực và sinh trắc nhằm mục đích định danh, hoặc dữ liệu liên quan đến sức khoẻ, tình trạng sinh dục, và xu hướng tính dục.”Việc xử lý và phân tích các dữ liệu nhạy cảm được liệt kê bên trên là hoàn toàn bị cấm bởi GDPR. Một số trường hợp ngoại lệ cho việc xử lý dữ liệu cá nhân nhạy cảm bao gồm sự đồng thuận từ chủ thể dữ liệu (cắt nghĩa bên dưới), bảo vệ quyền lợi cá nhân, công tác y tế dự phòng và y tế nghiệp vụ, hoặc lợi ích chung. Xét trên những định nghĩa nêu trên, việc Facebook hoặc Google cùng các đối tác kinh doanh thu thập và xử lý các dữ liệu cá nhân nhạy cảm nói trên có khả năng vi phạm GDPR rất cao. Trong những tình huống vi phạm, GDPR cho phép các cá nhân có quyền nộp đơn khiếu nại đến Cơ quan Quản lý Dữ liệu đặt tại các quốc gia thành viên nơi cá nhân đang công tác hoặc sinh sống, hoặc nơi việc vi phạm đã diễn ra. Các cá nhân sau khi được thẩm định quyền bị xâm hại sẽ được xử lý đền bù theo quyết định của Cơ quan Quản lý Dữ liệu, theo tinh thần của những quyết định đưa ra bởi Hội đồng Bảo vệ Dữ liệu châu Âu (EDPB).

Đồng thuận cá nhân (Điều 7)

Đồng thuận cá nhân (individual consent) là cơ sở pháp lý quan trọng nhất trong việc hợp pháp hoá xử lý dữ liệu tự động, đặc biệt là trong môi trường internet. GDPR định nghĩa đồng thuận cá nhân là những “biểu lộ mong muốn của chủ thể dữ liệu được cung cấp một cách tự nguyện, cụ thể, và sau khi chủ thể đã được thông tin đầy đủ, được trình bày dưới dạng hành động khẳng định rõ ràng, thể hiện sự đồng ý cho phép xử lý dữ liệu cá nhân liên quan đến chủ thể.”Trên thực tế, đặc biệt là trên môi trường internet, định nghĩa này được thể hiện theo một số cách thực tiễn như sau. Hãy nhớ lại lần gần đây nhất bạn ghé thăm một trang web mua sắm trực tuyến, và trang web này yêu cầu bạn tạo tài khoản trước khi thanh toán và hoàn tất đơn mua hàng của bạn. Trước khi bạn hoàn tất các thủ tục đăng ký, trang web sẽ đòi hỏi bạn nhấn chọn đồng ý các điều khoản và quy định của trang web. Thủ tục này được gọi là ‘opt-in’–tạm dịch là ‘chọn tham gia’ – phù hợp với quy định của GDPR, vì thủ tục này đã cho bạn cơ hội cho phép trang web sử dụng dữ liệu cá nhân của bạn (tất nhiên, tình huống này giả sử bạn đã dành thời gian đọc những điều khoản của trang web). Nhưng trong đa số các trường hợp, trang web mà bạn sử dụng không chỉ đưa ra một ô chọn lựa; ngoài ô chọn lựa đồng ý điều khoản, các trang web còn cài cắm sẵn các phát biểu khác mà bạn thường là không để ý, như “Tôi đồng ý nhận thông tin khuyến mãi”, hay “Tôi đồng ý nhận bản tin”. Nếu bạn không đồng ý với những phát biểu này, bạn phải thực hiện hành động bỏ chọn những lựa chọn đã được chọn sẵn cho bạn; thủ tục này gọi là ‘opt-out’ – tạm dịch là ‘huỷ chọn tham gia’. Dưới quy định của GDPR, việc người dùng buộc phải trải qua thủ tục huỷ chọn tham gia này vi phạm quyền bảo vệ dữ liệu cá nhân họ, và những trang web được xây dựng theo cách này có thể sẽ phải chịu phạt.

Điều đáng lưu ý là đề xuất ban đầu của Ủy ban châu Âu, đòi hỏi đồng thuận cá nhân được quy định là ‘đồng thuận cá nhân minh bạch’ (explicit consent), đã không được thông qua bởi Hội đồng và Nghị viện. Đồng thuận minh bạch được đề xuất với những yêu cầu như việc đòi hỏi chủ thể dữ liệu phải trả lời một câu hỏi dưới dạng điền thông tin, hoặc điền vào bảng mẫu khảo sát, thay vì đơn thuần đánh chọn hoặc bỏ chọn ô trống. Yêu cầu này có thể đã được xem là khó khả thi, nhất là khi xem xét hiện trạng cơ sở hạ tầng và văn hoá sử dụng internet trên toàn cầu.

Sự hạn chế của GDPR trong thời kì internet vạn vật

Các đơn vị xử lý dữ liệu cá nhân (Điều 4)

Như vậy, các đơn vị xử lý dữ liệu cá nhân cần phải hết sức cẩn trọng trong việc quản lý dữ liệu để tránh vi phạm các điều khoản được đề ra bởi GDPR. Các đơn vị này là ai? Một lần nữa, những định nghĩa được đưa ra trong GDPR không khác mấy so với những định nghĩa ở Chỉ thị 1995. Một điều đáng lưu ý là những định nghĩa dưới đây về đơn vị xử lý dữ liệu không phải lần đầu tiên xuất hiện vào năm 1995; thực chất, những định nghĩa này có lịch sử từ những dự luật đầu tiên về bảo vệ dữ liệu được soạn thảo từ những năm 1970. Điều này một lần nữa nhấn mạnh bản chất cải cách của GDPR: dù là một cải cách quan trọng, GDPR không phải là một bước ngoặt về đặc tính, nếu xét từ góc độ làm luật.

Các đơn vị xử lý dữ liệu bao gồm:
Đơn vị kiểm soát dữ liệu (data controller)
Đơn vị tiến hành xử lý dữ liệu (data processor)
Đơn vị nhận dữ liệu (recipient)
Đơn vị thứ ba (third parties)

Có nhiều chỉ trích đã được đưa ra, hầu hết xoay quanh những bất cập mà các Cơ quan Quản lý Dữ liệu sẽ mắc phải khi điều tra vi phạm dựa trên những định nghĩa lỗi thời này. Trong thời đại điện toán phổ biến hiện nay, bất cứ thiết bị thông minh nào cũng có khả năng xử lý dữ liệu, và liên tục xử lý dữ liệu. Quy trình này khiến việc xác định và phân biệt các đơn vị kiểm soát, tiến hành xử lý, nhận dữ liệu, hoặc các đơn vị thứ ba trở nên phức tạp và tốn kém. Hãy suy nghĩ về một ví dụ đơn giản. Trong bối cảnh internet của vạn vật (internet of things), một chiếc máy pha cafe thông minh có thể được kết nối với mạng internet và trở thành một thiết bị kiểm soát, xử lý, và nhận dữ liệu. Trong trường hợp này, đơn vị nào sẽ được xem là đơn vị kiểm soát dữ liệu? Công ty chế tạo và sản xuất máy pha cafe thông minh hay căn hộ mua và lắp đặt sử dụng nó? Công ty sản xuất phần mềm tự động hoá một số tính năng của chiếc máy này hay công ty phân phối sử dụng dữ liệu thu từ chiếc máy để tự động cho thêm cafe vào máy ?

NGUYỄN HỒNG HẢI ĐĂNG (Đại học Melbourne, Úc)