Tăng cường cơ chế bảo vệ dữ liệu cá nhân nhạy cảm theo quy định của pháp luật Việt Nam hiện nay

1. Thực trạng pháp luật Việt Nam hiện nay về cơ chế bảo vệ dữ liệu cá nhân nhạy cảm

Hiện nay, ở Việt Nam vẫn chưa có luật bảo vệ dữ liệu cá nhân, chưa kể đến cơ chế bảo vệ toàn diện đối với dữ liệu cá nhân nhạy cảm. Thay vào đó, các quy định về bảo vệ dữ liệu và quyền riêng tư có thể được tìm thấy trong nhiều văn bản pháp luật khác nhau như Bộ luật Hình sự 2015, Luật An ninh mạng 2018, Luật An toàn thông tin mạng 2015, Luật Giao dịch điện tử 2005, Luật Công nghệ thông tin 2006. Hiện nay, hầu hết các quy định về bảo vệ dữ liệu và quyền riêng tư đều có thể được tìm thấy trong nhiều văn bản pháp luật khác nhau. Các văn bản pháp luật quan trọng của Việt Nam quy định về bảo vệ dữ liệu là Luật An ninh mạng và Luật An toàn thông tin mạng. Tuy nhiên, điều đáng chú ý là, không giống như luật an ninh mạng ở các khu vực pháp lý khác được lấy cảm hứng từ Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu (EU), Luật An ninh mạng của Việt Nam có những điểm tương đồng với Luật An ninh mạng của Trung Quốc ban hành năm 2017. Luật này tập trung vào việc trao cho chính phủ khả năng kiểm soát các luồng thông tin; trong khi đó, Luật An toàn thông tin mạng thực thi quyền bảo mật dữ liệu cho từng chủ thể dữ liệu. Khi nói đến chế độ bảo vệ dữ liệu cá nhân nhạy cảm, pháp luật hiện hành của Việt Nam đã có sự phân biệt giữa dữ liệu cá nhân thông thường và dữ liệu cá nhân nhạy cảm; tuy nhiên, cơ chế bảo vệ cụ thể có thể thực thi đối với dữ liệu nhạy cảm ở Việt Nam và khái niệm dữ liệu sức khỏe, dữ liệu sinh trắc học hoặc bút danh mới dừng lại ở quy định của Nghị định.

Cụ thể, nhận thấy tầm quan trọng của việc có cơ chế bảo vệ dữ liệu cá nhân nói chung và dữ liệu cá nhân nhạy cảm nói riêng, Chính phủ gần đây đã ban hành nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân với một số điểm tương đồng về phạm vi điều chỉnh và đối tượng áp dụng với GDPR của EU. Nghị định được đánh giá là cung cấp phạm vi điều chỉnh toàn diện về bảo vệ dữ liệu cá nhân bao gồm bốn chương và 44 điều, đề cập đến các vấn đề đáng chú ý như phân loại dữ liệu cá nhân, yêu cầu trong quá trình xử lý dữ liệu cá nhân (Chương 2), các biện pháp bảo vệ dữ liệu (Chương 3), bao gồm cả việc truyền dữ liệu xuyên biên giới (Điều 25), xử lý vi phạm bằng hình thức xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự (Điều 4). Kể từ khi có hiệu lực, Nghị định đã tạo ra khung pháp lý cho việc bảo vệ dữ liệu cá nhân nói chung và dữ liệu cá nhân nhạy cảm nói riêng tại Việt Nam.

Đối với nhóm dữ liệu cá nhân nhạy cảm, Nghị định phân loại lại dữ liệu cá nhân thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm (Điều 2 về Giải thích từ ngữ). Phạm vi quy định đối với dữ liệu cá nhân nhạy cảm bao gồm quan điểm chính trị, tín ngưỡng tôn giáo, dữ liệu liên quan đến sức khỏe, dữ liệu nguồn gốc chủng tộc, dân tộc, dữ liệu di truyền, dữ liệu sinh trắc học dành riêng cho một thể nhân, dữ liệu liên quan đến xu hướng tình dục của một thể nhân, hồ sơ tội phạm, vị trí của một thể nhân, mối quan hệ xã hội, tình hình tài chính và các dữ liệu khác được phân loại là bí mật. Theo đó, danh mục dữ liệu cá nhân nhạy cảm theo quy định của Nghị định có nhiều điểm tương đồng với Điều 9 của GDPR. Thật vậy, Điều 2 của Nghị định đã đưa ra một danh mục đầy đủ các dữ liệu nhạy cảm, trong đó báo hiệu rõ ràng cho các cá nhân và tổ chức nhóm dữ liệu cá nhân nào thuộc dữ liệu cá nhân nhạy cảm cần được trang bị cơ chế bảo vệ tăng cường. Cách tiếp cận hiện nay đối với cơ chế bảo vệ dữ liệu cá nhân nhạy cảm theo Nghị định có vẻ đơn giản khi xác định trước nhóm dữ liệu cá nhân được coi là nhạy cảm.

Tuy nhiên, không giống như GDPR, không có điều khoản nào trong Nghị định dành riêng cho việc bảo vệ dữ liệu cá nhân nhạy cảm như Điều 9 GDPR. Nội dung liên quan đến bảo vệ dữ liệu nhạy cảm vẫn còn rời rạc vì nội dung được đưa vào các điều khoản khác nhau liên quan đến việc xử lý hoặc bảo vệ dữ liệu cá nhân cơ bản. Chẳng hạn, Điều 11 quy định yêu cầu xử lý dữ liệu cá nhân nói chung và chỉ Khoản 8 Điều 11 quy định cụ thể rằng đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm. Ngoài ra, ngay cả điều khoản cụ thể về bảo vệ dữ liệu cá nhân nhạy cảm, điều khoản duy nhất dành riêng cho dữ liệu cá nhân nhạy cảm, cũng có vẻ chung chung. Cụ thể hơn, Điều 28 yêu cầu thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý. Quy định này dường như trùng lặp với quy trình xử lý dữ liệu cá nhân nhạy cảm đã được quy định tại Khoản 8 Điều 11 của Nghị định.

Ngoài ra, Điều 28 nêu rõ các trường hợp không cần có sự đồng ý của chủ thể dữ liệu khi xử lý dữ liệu cá nhân nhạy cảm, bao gồm: Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với mục đích, loại dữ liệu, cách thức xử lý, v.v… trước khi đồng ý cho Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật (Khoản 4 Điều 13 Nghị định số 13); để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác, tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật (Điều 17 Nghị định số 13); Xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân theo quy định của pháp luật (Điều 18 Nghị định số 13).

Với những nội dung hiện tại của Nghị định, những vấn đề đáng lưu ý khác cũng cần được quan tâm. Thứ nhất, nếu coi việc xử lý dữ liệu cá nhân nhạy cảm được xử lý riêng biệt để bảo vệ các cá nhân khỏi sự phân biệt đối xử (như hướng dẫn của EU về Điều 9 GDPR), thì Nghị định hiện tại có thể không phải lúc nào cũng hiệu quả trong việc trao quyền cho các cá nhân kiểm soát dữ liệu của họ trong trường hợp phân biệt đối xử gián tiếp. Vì nhiều dữ liệu cá nhân cơ bản có thể được kết hợp để tạo ra dữ liệu cá nhân nhạy cảm nên người môi giới dữ liệu có thể sử dụng những dữ liệu này để tạo ra các nhóm dữ liệu “phân loại người tiêu dùng theo nhóm” và sau đó suy ra về dữ liệu nhạy cảm của các cá nhân như nguồn gốc chủng tộc, dân tộc, sức khỏe và khuynh hướng tình dục của họ. Ngoài ra, các nhà môi giới dữ liệu thường lưu trữ dữ liệu đã thu thập trong thời gian không giới hạn, do đó, chủ thể dữ liệu hầu như không thể xác định được dữ liệu cá nhân nhạy cảm của mình được thu thập và xử lý như thế nào. Thứ hai, các loại dữ liệu cá nhân cơ bản không nằm trong danh mục dữ liệu cá nhân nhạy cảm hiện hành theo Điều 2 của Nghị định nhưng được coi là nhạy cảm, chẳng hạn như mật khẩu truy cập hệ thống công nghệ thông tin và trang web, thông tin thẻ tín dụng, số CMND, số hộ chiếu, v.v. Đặc biệt, địa chỉ email không được coi là dữ liệu cá nhân nhạy cảm nhưng khi kết hợp với mật khẩu, nó có thể trở nên rất nhạy cảm khi phần lớn người dùng Internet có quyền truy cập vào các trang web khác nhau bằng cùng một tổ hợp email và mật khẩu.

2. Một số khuyến nghị nhằm tăng cường mức độ bảo vệ dữ liệu cá nhân nhạy cảm tại Việt Nam

Tác giả đặc biệt khuyến nghị các danh mục dữ liệu cá nhân nhạy cảm xứng đáng có thêm một lớp bảo vệ do việc vi phạm có thể dẫn đến xâm phạm bản chất cốt lõi của quyền riêng tư và các quyền cơ bản cũng như những tổn hại lớn mà việc xử lý dữ liệu cá nhân nhạy cảm có thể gây ra cho chủ thể dữ liệu khi mức độ bảo vệ là không đủ. Về vấn đề này, nội dung của Nghị định hiện hành có những điểm tương đồng với GDPR của EU, đặc biệt là liên quan đến việc xử lý dữ liệu cá nhân nhạy cảm. Tuy nhiên, có thể cần phải sửa đổi Nghị định để giải quyết các vấn đề bổ sung được nêu dưới đây.

Thứ nhất, nên xây dựng các điều khoản riêng hoặc một chương riêng về dữ liệu cá nhân nhạy cảm. Vì loại dữ liệu đặc biệt này cần được xử lý riêng biệt nên cần được đặc biệt chú ý về cách xử lý dữ liệu nhạy cảm, dù có hoặc không có sự đồng ý của chủ thể dữ liệu vì mục đích lợi ích công cộng. Ngoài ra, các định nghĩa về dữ liệu cá nhân nhạy cảm có thể cần được sửa đổi thêm hoặc phải được quy định theo các luật và quy định khác, rằng dữ liệu cá nhân như chi tiết thẻ tín dụng, số định danh cá nhân, số hộ chiếu, địa chỉ email và mật khẩu, v.v. đều được phân loại thuộc nhóm dữ liệu cá nhân nhạy cảm.

Thứ hai, vì việc xử lý dữ liệu cá nhân liên quan đến tình trạng sức khỏe được ghi trong hồ sơ bệnh án thường liên quan đến hành vi lạm dụng quyền riêng tư nghiêm trọng như sử dụng dữ liệu cá nhân của người bệnh vì mục đích thương mại, đặc biệt khi xử lý dữ liệu sức khỏe cho mục đích bảo hiểm, nên phải nêu rõ loại thông tin nào được coi là dữ liệu sức khỏe cần được xác định rõ ràng. Ngoài ra, định nghĩa về dữ liệu sức khỏe nên được hiểu để bao gồm cả rủi ro sức khỏe và tình trạng sức khỏe. Có ý kiến ​​cho rằng các rủi ro về sức khỏe có thể bao gồm cả thói quen sinh hoạt của đối tượng dữ liệu, ví dụ: việc sử dụng thuốc lá hàng ngày.

Thứ ba, ảnh hoặc hình ảnh của cá nhân, ảnh có sẵn trên Internet và các miền công cộng không thể được phân tích sâu hơn để xác định các mẫu sinh trắc học hoặc được chọn ra giữa các hệ thống sinh trắc học để tự động nhận dạng danh tính của cá nhân bằng nhận dạng khuôn mặt mà không có căn cứ pháp lý cụ thể, chẳng hạn như sự đồng ý rõ ràng. Ngay cả khi chủ thể dữ liệu đồng ý cho phép nhận dạng khuôn mặt tự động bằng thuật toán, vẫn phải đảm bảo rằng dữ liệu sinh trắc học sẽ bị xóa khi quá trình nhận dạng hoàn tất. Vì vậy, khoản 4 Điều 2 có thể cần phải làm rõ thêm cho phù hợp.

Thứ tư, các quy tắc ứng xử nên được áp dụng trong một số ngành công nghiệp để quy trách nhiệm bảo vệ dữ liệu cá nhân nhạy cảm trong các lĩnh vực cụ thể. Đối với những người kiểm soát và xử lý dữ liệu nhạy cảm, việc tạo các quy tắc ứng xử như vậy có thể tăng cường một cách đáng kể sự tuân thủ và nâng cấp việc thực thi điều khoản bảo vệ dữ liệu nhạy cảm. Sự chuyên môn hóa theo ngành sẽ giúp ban hành các quy định phù hợp nhất, có tính áp dụng vào thực tế và từ đó đạt được các mục tiêu ban đầu dễ dàng hơn. Nhược điểm chính của phương pháp này là hiện tại không có quy tắc ứng xử nào. Nếu một quy tắc như vậy được áp dụng, sẽ có khả năng mạnh mẽ trở thành cơ chế hấp dẫn nhất để bảo vệ dữ liệu nhạy cảm liên quan đến nhiều quốc gia. Để đảm bảo rằng người kiểm soát và xử lý dữ liệu tuân thủ các quy tắc ứng xử, một hội đồng đặc biệt thuộc cơ quan giám sát trong từng lĩnh vực có thể kiểm tra và đảm bảo việc tuân thủ. Để thực hiện hiệu quả nhiệm vụ của mình, hội đồng quản trị phải khách quan, có chứng nhận thành thạo về các vấn đề liên quan được quy định trong quy tắc ứng xử, có các thủ tục và cơ cấu minh bạch để cho phép hội đồng giải quyết các khiếu nại về hành vi vi phạm quy tắc.

Cuối cùng, cần phải hài hòa hóa các luật và quy định liên quan để bảo vệ dữ liệu cá nhân nói chung và dữ liệu cá nhân nhạy cảm nói riêng.

Việc xử lý dữ liệu nhạy cảm trái phép hoặc bất hợp pháp tồn tại và gây thiệt hại lớn cho chủ thể dữ liệu do tính chất đặc biệt rủi ro của chúng. Trên cơ sở đánh giá tổng quan về cơ chế bảo vệ xử lý dữ liệu nhạy cảm hiện nay theo quy định của pháp luật Việt Nam, cụ thể là Nghị định số 13/2023 của Chính phủ về Bảo vệ dữ liệu cá nhân, một số khuyến nghị pháp lý được đưa ra nhằm xây dựng cơ chế bảo vệ xử lý dữ liệu cá nhân nhạy cảm ở Việt Nam.

(Ảnh minh họa, nguồn thưvienluat.vn)

ThS. LÝ VƯƠNG THẢO (Giảng viên Khoa Luật Trường Đại học Ngoại thương)