Quyền riêng tư trong pháp y kỹ thuật số

Pháp y kỹ thuật số là thuật ngữ đã xuất hiện từ khá lâu và có ý nghĩa trong giai đoạn khoa học công nghệ phát triển vượt bậc hiện nay, nhưng khá mới mẻ trong khoa học pháp lý Việt Nam.

Việc thu thập dữ liệu từ các thiết bị cá nhân trong hoạt động tố tụng tư pháp có thể dẫn đến những hành vi xâm phạm quyền riêng tư, vì vậy đặt ra yêu cầu có khung pháp lý điều chỉnh lĩnh vực này để vừa phục vụ tốt cho hoạt động tố tụng tư pháp, vừa bảo vệ được quyền riêng tư của cá nhân.

1. Quy định của pháp luật về quyền riêng tư và pháp y kỹ thuật số

1.1. Về quyền riêng tư

Quyền riêng tư là quyền cơ bản của con người, của mỗi cá nhân. Xã hội càng phát triển thì các quyền con người càng được tôn trọng, bảo vệ và bảo đảm. Điều 21 Hiến pháp năm 2013 ghi nhận: “1. Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn”. Để cụ thể hóa Hiến pháp, Điều 38 Bộ luật Dân sự (BLDS) năm 2015 quy định: “Đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ” (khoản 1) và: “Thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của cá nhân được bảo đảm an toàn và bí mật. Việc bóc mở, kiểm soát, thu giữ thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư của người khác chỉ được thực hiện trong trường hợp luật quy định” (khoản 3).

Việc liệt kê các dạng của quyền riêng tư như trên dẫn đến khó khăn trong xác định những vấn đề liên quan đến quyền riêng tư. Để đảm bảo tính thống nhất và chặt chẽ với tư cách là luật chung điều chỉnh các quan hệ dân sự thì cần đưa ra các tiêu chí về đặc tính để có tính phân loại (nhận diện) những vấn đề thuộc phạm vi điều chỉnh của quyền riêng tư. Việc nghiên cứu, sử dụng thuật ngữ “quyền riêng tư” cần được xem xét, cụ thể hóa trong các văn bản pháp luật. Bởi lẽ, những vấn đề liên quan đến quyền riêng tư trong lĩnh vực dân sự rất rộng, với quy định chung tại Điều 32 và 38 BLDS năm 2015 (quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình và quyền của cá nhân đối với hình ảnh) chưa phản ánh hết nội hàm của quyền riêng tư cũng như vấn đề bảo vệ quyền riêng tư trong thời đại ngày nay, khi khoa học - kỹ thuật phát triển như vũ bão, dẫn đến nhiều quan hệ xã hội liên quan đến quyền riêng tư chưa được ghi nhận rõ ràng. Vì vậy, việc bảo vệ quyền riêng tư của cá nhân theo quy định của pháp luật dân sự Việt Nam gặp nhiều bất cập trong thực tế.

Luật Công nghệ thông tin năm 2006 nghiêm cấm việc tiết lộ bí mật nhà nước, bí mật quân sự, an ninh, kinh tế, đối ngoại và những bí mật khác đã được pháp luật quy định (khoản 2 Điều 12). Mặc dù Luật không quy định việc xâm phạm đời sống riêng tư, bí mật cá nhân, bí mật gia đình, nhưng với việc quy định mở đối với cụm từ “những bí mật khác đã được pháp luật quy định”, có thể hiểu, những vấn đề về quyền riêng tư của cá nhân được quy định gián tiếp trong luật. Theo Điều 21 Luật Công nghệ thông tin năm 2006: “Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân của người khác trên môi trường mạng phải được người đó đồng ý, trừ trường hợp pháp luật có quy định khác…”. Theo đó, Luật quy định khá chi tiết về nghĩa vụ, ràng buộc pháp lý với việc “thu thập, xử lý, lưu trữ, chuyển nhượng thông tin cá nhân” trên môi trường mạng nhằm đảm bảo quyền của mỗi người đối với thông tin cá nhân, cũng như quyền riêng tư nói chung trên môi trường mạng; tuy nhiên, việc thực hiện trên thực tế còn nhiều bất cập, do sự thiếu thống nhất trong nhận thức về thuật ngữ “quyền riêng tư”, và hướng dẫn thi hành còn chung chung, nên chưa đem lại hiệu quả cao.

Luật An toàn thông tin mạng năm 2015 quy định về hoạt động an toàn thông tin mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản lý nhà nước về an toàn thông tin mạng. Thông tin cá nhân theo Điều 3 Luật này được định nghĩa ngắn gọn: “Là thông tin gắn với việc xác định danh tính của một người cụ thể” (khoản 15). Điều 16 Luật an toàn thông tin mạng năm 2015 quy định 05 nguyên tắc bảo vệ thông tin cá nhân trên không gian mạng. Hướng tiếp cận trong các quy định của Luật dựa trên các nguyên tắc về việc bảo vệ thông tin cá nhân trên môi trường mạng nhưng việc thiếu thống nhất của thuật ngữ “quyền riêng tư” dẫn đến các quy định trong luật này chưa có sự rõ ràng, mang tính chung chung.

Luật An ninh mạng năm 2018 quy định những nội dung cơ bản về bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia; phòng ngừa, xử lý hành vi xâm phạm an ninh mạng, triển khai hoạt động bảo vệ an ninh mạng và quy định trách nhiệm của cơ quan, tổ chức, cá nhân. Theo đó, an ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

Đối với quyền riêng tư, Luật An ninh mạng năm 2018 quy định về phòng, chống gián điệp mạng; bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng (Điều 17) và bảo vệ trẻ em trên không gian mạng (Điều 29).

Mặc dù Luật An ninh mạng năm 2018 sử dụng các thuật ngữ như trong BLDS năm 2015 về đời sống riêng tư, bí mật cá nhân, bí mật gia đình nhưng các nội dung này trong Luật an ninh mạng năm 2018 lại không được quy định chi tiết và hướng dẫn để áp dụng thống nhất trong thực tiễn.

Ngoài ra, Bộ luật Tố tụng hình sự (BLTTHS) năm 2015 sửa đổi, bổ sung năm 2021 quy định căn cứ khám xét người, chỗ ở, nơi làm việc, địa điểm, phương tiện, tài liệu, đồ vật, thư tín, điện tín, bưu kiện, bưu phẩm, dữ liệu điện tử: “1. Việc khám xét người, chỗ ở, nơi làm việc, địa điểm, phương tiện chỉ được tiến hành khi có căn cứ để nhận định trong người, chỗ ở, nơi làm việc, địa điểm, phương tiện có công cụ, phương tiện phạm tội, tài liệu, đồ vật, tài sản do phạm tội mà có hoặc đồ vật, dữ liệu điện tử, tài liệu khác có liên quan đến vụ án. Việc khám xét chỗ ở, nơi làm việc, địa điểm, phương tiện cũng được tiến hành khi cần phát hiện người đang bị truy nã, truy tìm và giải cứu nạn nhân. 2. Khi có căn cứ để nhận định trong thư tín, điện tín, bưu kiện, bưu phẩm, dữ liệu điện tử có công cụ, phương tiện phạm tội, tài liệu, đồ vật, tài sản liên quan đến vụ án thì có thể khám xét thư tín, điện tín, bưu kiện, bưu phẩm, dữ liệu điện tử” (Điều 192). Tuy nhiên, điều luật lại không quy định những vấn đề liên quan trong việc bảo vệ dữ liệu riêng tư của bên thứ ba và thủ tục trong việc tiến hành pháp y kỹ thuật số (điều tra kỹ thuật số) trong vụ án.

1.2. Về pháp y kỹ thuật số

Pháp y máy tính là ngành lâu đời nhất trong số các ngành tạo nên pháp y kỹ thuật số. Sự phát triển của khoa học và công nghệ kéo theo việc máy tính không chỉ được kết nối thông qua các mạng cục bộ mang tính riêng lẻ mà đã thông qua mạng lớn nhất là internet. Thuật ngữ “pháp y máy tính” đã trở nên hạn chế, không bao hàm toàn bộ lĩnh vực này. Lĩnh vực pháp y kỹ thuật số đã mở rộng, bao gồm cả pháp y mạng và các lĩnh vực chuyên môn như: Điều tra vi phạm an ninh mạng, tấn công và đánh cắp dữ liệu. Với việc đưa tính năng xử lý của máy tính vào các thiết bị khác (chẳng hạn hệ thống định vị toàn cầu - GPS, ô tô, hộp đen, điện thoại di động, máy trả lời tự động, máy sao chép và fax…), lĩnh vực này đã mở rộng thêm các ngành phụ khác.

Trong mối quan hệ của pháp y kỹ thuật số, người dùng, thiết bị của họ và cơ sở hạ tầng truyền thông có liên quan chặt chẽ với nhau, dẫn đến một hệ sinh thái phức tạp. Với rất nhiều thiết bị thuộc sở hữu của hầu hết mọi người và lượng thông tin được lưu trữ trong đó, các cuộc điều tra kỹ thuật số bảo vệ quyền riêng tư đã được công nhận là một trong những thách thức chính mà pháp y kỹ thuật số phải vượt qua trong tương lai gần. Trong khi số lượng dữ liệu thu thập cho một cuộc điều tra ngày càng tăng, thường chỉ một phần nhỏ của dữ liệu này có liên quan đến cuộc điều tra. Hơn nữa, trong quá trình trích xuất dữ liệu để điều tra, một số dữ liệu cá nhân, không liên quan đến cuộc điều tra có thể bị lộ ra ngoài; có những ảnh hưởng nhất định đến quyền riêng tư của chính chủ thể dữ liệu và những bên thứ ba không liên quan.

Pháp y kỹ thuật số có thể được định nghĩa là các nhiệm vụ khoa học, kỹ thuật và thực hành được sử dụng trong việc điều tra thông tin hoặc dữ liệu nhị phân được lưu trữ hoặc truyền cho các mục đích pháp lý (ISO/IEC 27037: 2012). Hiểu đơn giản, pháp y kỹ thuật số là một bộ phận của giám định kỹ thuật hình sự, sử dụng kiến thức khoa học công nghệ điện tử tin học nhằm khôi phục, tìm kiếm, phân tích các thông tin dữ liệu lưu trữ trong các thiết bị điện tử phục vụ phát hiện, điều tra và xét xử tội phạm. Với nhiệm vụ trả lời có hay không có hành vi phạm tội; xác định thời gian, địa điểm xảy ra sự việc; phương thức, thủ đoạn gây án; xác định công cụ, phương tiện gây án… những kết luận của pháp y kỹ thuật số là một nguồn chứng cứ phục vụ đắc lực cho hoạt động điều tra, truy tố và xét xử.

Tại Việt Nam, bước vào thời kỳ cách mạng công nghiệp 4.0, các đối tượng phạm tội đã lợi dụng triệt để công nghệ thông tin, các phương tiện thiết bị điện tử nhằm thực hiện và che giấu hành vi phạm tội. Phá án bằng pháp y kỹ thuật số là chìa khoá quan trọng trong đấu tranh với tội phạm sử dụng công nghệ cao.

Trước sự bùng nổ của công nghệ - kỹ thuật mới với các phương thức, thủ đoạn mới trong việc xâm nhập các luồng dữ liệu, quyền riêng tư là mối quan tâm lớn trong pháp y kỹ thuật số.

Khi máy tính phát triển và internet được sử dụng rộng rãi, số lượng và mức độ của các vụ xâm phạm quyền riêng tư càng khó kiểm soát. Quá trình máy tính thu thập, lưu trữ, phân tích và phổ biến một lượng lớn thông tin đã xâm phạm quyền riêng tư. Thông tin có thể được truyền đi và chia sẻ với bất kỳ ai, ở bất kỳ đâu trên thế giới ngay lập tức. Việc sử dụng máy tính, điện thoại thông minh và các loại thiết bị khác để trực tuyến kéo theo việc tải nhận xét, hình ảnh và video lên mạng xã hội và “đám mây”. Tất cả những thông tin này để lại dấu vết về các hoạt động, sở thích, địa điểm của người dùng. Những dấu vết này có thể được các công ty, thậm chí tội phạm mạng thu thập và phân tích cho các mục đích khác nhau. Cùng với sự phát triển của các công nghệ và mô hình mới, chẳng hạn như IoT, với khả năng tính toán, cảm biến và giao tiếp, dữ liệu cá nhân sẽ được phân phối dễ dàng, được lưu trữ trong tất cả các loại thiết bị, cục bộ và từ xa. Mọi người thậm chí không nhận ra mình là đối tượng thu thập dữ liệu, ai đang thu thập dữ liệu và cho mục đích gì. Đây cũng là thách thức đối với việc bảo vệ quyền riêng tư.

2. Thể chế hoá các biện pháp bảo vệ quyền riêng tư trong pháp y kỹ thuật số

Có thể thấy, pháp y kỹ thuật số có tính ứng dụng vô cùng quan trọng, đặc biệt là khi thị trường dữ liệu ngày càng phát triển đa dạng và tính phức tạp của thông tin, kỹ thuật được gia tăng, đặt ra nhiều thách thức, trong đó, có vấn đề bảo đảm quyền riêng tư. Làm thế nào để phát triển lĩnh vực này nhưng không xâm phạm đến quyền riêng tư? Dựa vào các nguyên tắc chung và tính liên hệ mật thiết giữa hai phạm trù pháp y kỹ thuật số và quyền riêng tư nêu trên, việc thể chế hóa bằng các công cụ pháp lý là yêu cầu cần thiết được đặt ra, cụ thể:

Luật về quyền riêng tư: Hoạt động giám định kỹ thuật số, điện tử đặt ra nhiều vấn đề trong việc quy định các giới hạn về quyền riêng tư trong các trường hợp luật định. Hiện nay, các quy định chung về quyền riêng tư của cá nhân được cụ thể hoá trong BLDS năm 2015: Quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình và quyền của cá nhân đối với hình ảnh. Đây là các quy định khung, nền tảng để giải quyết các vấn đề về quyền riêng tư cá nhân khi các luật chuyên ngành chưa điều chỉnh hoặc phạm vi điều chỉnh không thể giải quyết các vấn đề phát sinh trong luật chuyên ngành. Tuy nhiên, như đã đề cập, cùng với sự phát triển của khoa học và kỹ thuật, nhiều vấn đề liên quan đến quyền riêng tư chưa được quy định cụ thể trong BLDS năm 2015. Điều này dẫn đến những bất cập nhất định trong việc bảo vệ quyền riêng tư của cá nhân. Do đó, việc xây dựng thuật ngữ “quyền riêng tư” và “những giới hạn của quyền riêng tư” cần được xem xét, ghi nhận trong BLDS để từ đó, làm cơ sở cho các luật chuyên ngành quy định chuyên sâu cho từng lĩnh vực cụ thể nhằm bảo vệ hiệu quả quyền riêng tư của cá nhân. Qua đó, giúp hoạt động giám định kỹ thuật số, điện tử (pháp y kỹ thuật số) phát huy hiệu quả, mang lại niềm tin cho các chủ thể liên quan trong phối hợp thực hiện hoạt động này.

Luật về pháp y kỹ thuật số: Luật được xây dựng trên cơ sở thu hẹp phạm vi điều tra pháp y, các giới hạn về các quyền, nguyên tắc cụ thể và trách nhiệm giải trình, trách nhiệm pháp lý trong hoạt động pháp y kỹ thuật số. Việc có luật chuyên ngành sẽ giúp Điều tra viên thận trọng và nắm vững các giới hạn trong quá trình điều tra. Trên cơ sở đó, đảm bảo lợi ích của các bên liên quan một cách rõ ràng nhất. Bên cạnh đó, khi có luật chuyên ngành, Cơ quan điều tra có thể cần hoặc không cần ra lệnh được Viện kiểm sát phê chuẩn để tiến hành điều tra. Nghĩa là, nếu cuộc điều tra không vi phạm quyền riêng tư hợp lý của một người, không vi phạm pháp luật hoặc thuộc trường hợp ngoại lệ, thì chứng cứ có thể được thu thập hợp pháp mà không cần ra lệnh, quyết định nêu trên. Điều này đáp ứng các quy định tố tụng hình sự về thu thập chứng cứ trong môi trường kỹ thuật số phức tạp và những chứng cứ có thể sẽ không kịp tiếp cận nếu thực hiện theo thủ tục thông thường trong môi trường vật lý.

Luật cũng cần quy định về trách nhiệm giải trình cá nhân thông qua đăng nhập dữ liệu nhằm xác định chắc chắn ai đang sử dụng công cụ này trong quá trình thu thập hoặc phân tích dữ liệu. Từ đó, có thể xác định trách nhiệm cho từng cá nhân cụ thể trong việc vi phạm các chính sách quyền riêng tư.

Theo  kiemsat.vn

TRẦN NGỌC TUẤN