Chương 1. Khái niệm và đặc điểm bảo vệ dữ liệu cá nhân của người tiêu dùng trên không gian mạng 1. Khái niệm bảo vệ dữ liệu cá nhân của người tiêu dùng trên không gian mạng Để làm rõ khái niệm này, nhóm tác giả sẽ phân tích khái niệm của từng cụm từ cụ thể như sau: Thứ nhất, về khái niệm dữ liệu cá nhân Trước hết, nhóm tác giả sẽ phân tích khái niệm này dưới góc độ tiếng Việt. Theo từ điển tiếng Việt thì thuật ngữ dữ liệu có hai cách hiểu nhưng liên quan đến đề tài này thì có cách định nghĩa như sau: “Dữ liệu là sự biểu diễn của một thông tin trong máy tính dưới dạng quy ước, nhằm làm dễ dàng việc xử lý”5.
Như vậy, theo cách hiểu này thì dữ liệu là những thông tin có thực và chúng được đưa vào hệ thống máy tính dưới một dạng dữ liệu được định trước để tiến hành các thao tác, xử lý dữ liệu. Còn thuật ngữ cá nhân được định nghĩa là một con người với tư cách là một cá thể trong xã hội6; ở đây, cá nhân là một con người, là một chủ thể riêng biệt, phân biệt với một nhóm người hay một tổ chức nào đó. Tổng quan, ta có thể hiểu dữ liệu cá nhân chính là những thông tin của một cá nhân, một con người được đưa vào máy tính dưới dạng dữ liệu điện tử nhằm mục đích thực hiện công tác xử lý dữ liệu đó một cách đơn giản, thuận tiện hơn. Từ điển tiếng Việt, Viện ngôn ngữ học, Nhà xuất bản Đà Nẵng, tr269.
6 Từ điển bách khoa Việt Nam Tập 1, Trung tâm biên soạn từ điển bách khoa Việt Nam - 1995, tr318. 13 Về phương diện pháp lý, Hiến pháp năm 2013 bên cạnh việc kế thừa các quy định của những bản Hiến pháp trước đây thì cũng đồng thời khẳng định quyền riêng tư là một trong những nội dung quan trọng của con người. Cụ thể, tại Điều 21 Hiến pháp năm 2013 quy định: “(1) Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn.
(2) Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác. Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác”. Trên cơ sở quy định của Hiến pháp năm 2013, các văn bản quy phạm pháp luật cũng đã cụ thể hóa quyền riêng tư của công dân Việt Nam nói chung và người tiêu dùng nói riêng thông qua việc đề cập, quy định quyền đối với DLCN trong các văn bản luật và nghị định khác nhau, tiêu biểu có thể kể đến như: Luật An toàn thông tin mạng năm 2015 (sửa đổi bổ sung 2018), Nghị định số 52/2013/NĐ-CP của Chính phủ về thương mại điện tử… Tuy nhiên trong hệ thống những văn bản pháp luật này chưa sử dụng cụm từ “dữ liệu cá nhân”, cũng như chưa có khái niệm giải thích cho cụm từ này. Thay vì sử dụng “dữ liệu cá nhân” thì các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình được diễn đạt bằng cụm từ “thông tin cá nhân”.
Nhưng Nghị định 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân đã quy định riêng một dạng thông tin cá nhân mới, Nghị định quy định về vấn đề DLCN đồng thời cũng có khái niệm chi tiết, rõ ràng về cụm từ này. Theo đó, tại khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP có quy định “DLCN là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể”. Theo quy định này, DLCN bắt nguồn từ những thông tin gắn liền với một cá nhân nào đó hoặc là những thông tin mà khi đưa ra ta có thể xác định được chủ thể dữ liệu được nhắc đến là ai và chúng có thể được thể hiện bằng các dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hay bất kì dạng dữ liệu nào tương tự trên môi trường điện tử. Ở đây, quy định thể hiện rằng “giúp xác định một con người cụ thể” và tại khoản 2 Điều 2 Nghị định 13/2023/NĐ-CP có giải thích “thông tin giúp xác định một con người cụ thể là thông tin hình thành từ hoạt động của cá nhân mà khi kết hợp với các dữ liệu, thông tin lưu trữ khác có thể xác định một con người cụ thể” nhưng không nói rõ là theo phương thức nào, là gián tiếp hay trực tiếp nên ta có thể hiểu rằng dù những thông tin này trực tiếp hay gián tiếp xác định một cá nhân thì chúng cũng có thể được xếp vào DLCN.
Ta có thể thấy rằng, DLCN có bản chất vẫn là những thông tin cá nhân nhưng những thông tin này được đưa vào hệ thống máy tính và biểu thị dưới dạng các dữ liệu khác nhau nên khi nghiên cứu các quy định pháp luật về DLCN thì những quy định về 14 thông tin cá nhân cũng sẽ được áp dụng. Như vậy, việc Chính phủ ban hành Nghị định 13/2023/NĐ-CP đã phần nào giải quyết được vấn đề khái niệm dữ liệu cá nhân đang được quy định rải rác tại các văn bản pháp luật đồng thời đây cũng là một việc làm hết sức cần thiết. Khái niệm dữ liệu cá nhân đã có phạm vi bao trùm khá chặt chẽ, hạn chế được những khoảng trống, những kẽ hở pháp lý cho những hành vi tận dụng những kẽ hở đấy để “lách luật”. Bên cạnh đó, Nghị định 13/2023/NĐ-CP còn xuất hiện những điểm mới nổi bật, tiêu biểu trong số đó phải kể đến việc DLCN bao gồm hai loại dữ liệu, đó là dữ liệu cơ bản và dữ liệu nhạy cảm.
Cụ thể, DLCN cơ bản được quy định khoản 3 Điều 2 của Nghị định này và DLCN nhạy cảm được quy định tại khoản 4 Điều 2 của Nghị định này. Có thể thấy DLCN nhạy cảm là một khái niệm hoàn toàn mới, chưa từng xuất hiện trong các văn bản luật trước đây. Như vậy, dữ liệu cá nhân nhạy cảm dường như là một bước ngoặt quan trọng trong nhận nâng cao nhận thức cho người tiêu dùng cũng như những chủ thể sử dụng những dữ liệu cá nhân nhạy cảm của người tiêu dùng rằng những dữ liệu nào là cơ bản, dữ liệu nào là nhạy cảm và cách thức bảo việc của hai loại dữ liệu này cũng khác nhau, theo đó, dữ liệu cá nhân nhạy cảm sẽ được bảo vệ nghiêm ngặt hơn vì những dữ liệu này liên quan trực tiếp đến quyền riêng tư của người tiêu dùng. Đối với kinh nghiệm quốc tế, điển hình như Liên minh Châu Âu, Nghị viện châu Âu thông qua quy định GDPR7 thay thế cho các luật bảo mật dữ liệu đã lỗi thời từ năm 1995.
GDPR được sử dụng đồng bộ trên khắp 28 thành viên EU. Theo đó, trong phần các định nghĩa, GDPR đã giải thích “dữ liệu cá nhân là bất kỳ thông tin nào có liên quan đến một cá nhân (chủ thể dữ liệu); có thể nhận dạng, trực tiếp hoặc gián tiếp, bằng cách căn cứ vào tên, số chứng minh thư (căn cước công dân), dữ liệu vị trí, dữ liệu số trực tuyến hoặc một trong những định dạng vật lý, sinh học, di truyền… của cá nhân đó. Cụ thể như tên tuổi, số điện thoại, địa chỉ, số chứng minh thư do Nhà nước cấp, dấu vân tay… kể cả một số dữ liệu khác: định vị, tài khoản trực tuyến, thông tin tài chính, …của một người đều được xem là dữ liệu cá nhân”8. Như vậy, theo định nghĩa của GDPR thì DLCN là bất kỳ thông tin nào có liên quan đến một cá nhân cụ thể hoặc giúp nhận dạng một cá nhân cụ thể9 - có thể giúp nhận dạng một cách trực tiếp hoặc gián tiếp.
Theo đó, có thể thấy khái niệm DLCN của Nghị định 7 The General Data Protection Regulation (GDPR) is legislation that updated and unified data privacy laws across the European Union (EU). GDPR was approved by the European Parliament on April 14, 2016 and went into effect on May 25, 2018. 8 GDPR Art 4 (1) 9 Bạch Thị Nhã Nam (2022), Hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân, Tạp chí Nghiên cứu lập pháp, http://lapphap.vn/Pages/tintuc/tinchitiet.aspx?tintucid=211048, truy cập ngày 13/3/2023. 15 13/2023/NĐ-CP và GDPR của Liên minh Châu Âu cũng có nét tương đồng nhau, việc Nghị định 13/2023 định nghĩa “Dữ liệu cá nhân” góp một phần không nhỏ vào quá trình hoàn thiện pháp luật Việt Nam nói chung và pháp luật dân sự Việt Nam nói riêng trong công cuộc bảo vệ dữ liệu cá nhân của người tiêu dùng trên KGM tại Việt Nam.
Hầu hết các tác giả của những bài nghiên cứu về DLCN ở trong nước đều đồng tình với khái niệm DLCN được định nghĩa theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Từ những phân tích trên, nhóm tác giả cho rằng khái niệm DLCN cũng như cách xác định DLCN cơ bản và DLCN nhạy cảm được quy định trong NĐ 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân là phù hợp. Thứ hai, về khái niệm người tiêu dùng Tìm hiểu khái niệm người tiêu dùng không chỉ có ý nghĩa về mặt lý luận mà còn có giá trị về mặt pháp lý để pháp luật xác định chính xác chủ thể này, từ đó có những quy định phù hợp và hiệu quả trong việc bảo vệ quyền lợi người tiêu dùng, cũng như để người tiêu dùng thực thi quyền và nghĩa vụ của mình. Dưới góc độ tiếng Việt, theo từ điển Kinh tế học hiện đại định nghĩa thì người tiêu dùng là tác nhân kinh tế chịu trách nhiệm thực hiện hành vi tiêu dùng hàng hóa và dịch vụ cuối cùng.
Nhìn chung, người ta thường coi người tiêu dùng là cá nhân, nhưng trên thực tế người tiêu dùng còn có thể là một cá nhân, nhóm cá nhân hay tổ chức10. Như vậy, người tiêu dùng ở đây không chỉ có cá nhân, họ có thể là nhóm gồm nhiều cá nhân, các cơ quan, tổ chức, các đơn vị khác nhau và điểm chung để xếp vào nhóm người tiêu dùng chính là nhờ vào đặc điểm mua hàng hóa, dịch vụ và sử dụng chúng. Ta có thể thấy họ là những người “tiêu dùng hàng hóa và dịch vụ cuối cùng” tức họ sẽ là chủ thể cuối cùng kết thúc chuỗi cung ứng sản phẩm, làm cho mục đích đem sản phẩm, dịch vụ đến tay người tiêu dùng được thỏa mãn.