CHƯƠNG 1: CƠ SỞ LÝ LUẬN VÀ QUY ĐỊNH CỦA PHÁP LUẬT VỀ DỮ LIỆU CÁ NHÂN 1.1 Dữ liệu cá nhân Theo định nghĩa của GDPR, “dữ liệu cá nhân 2 là bất kỳ thông tin nào có liên quan đến cá nhân; cá nhân này phải nhận dạng được, cho dù trực tiếp hoặc gián tiếp bằng cách căn cứ vào tên, số chứng minh thư (căn cước công dân), dữ liệu vị trí, dữ liệu số trực tuyến hoặc một định danh trực tuyến hoặc một hoặc nhiều yếu tố đặc trưng cho bản sắc thể chất, sinh lý, di truyền, tâm thần, kinh tế, văn hóa hoặc xã hội của cá nhân đó.” 3 Đây là tất cả những thông tin về một cá nhân cụ thể, từ những thông tin cơ bản hằng ngày của cá nhân như tên, số căn cước, đến thông tin liên quan về sinh học, xã hội, kể cả những thông tin trực tuyến. Từ đó, một cá nhân có thể nhận dạng được, nghĩa là có khả năng xác định được cá nhân này là ai. Có thể thấy định nghĩa của GDPR chỉ liệt kê ra một vài yếu tố đặc trưng của thông tin cá nhân nhưng về mức độ bao phủ của nó thì rất rộng, thể hiện qua cụm từ “bất kỳ thông tin nào có liên quan đến cá nhân”. Tuy nhiên cũng cần lưu ý, phạm vi thông tin cá nhân của GDPR chỉ áp dụng đối với cá nhân còn sống, nếu cá nhân đó đã chết, thông tin của họ sẽ không được điều chỉnh theo phạm vi của GDPR.
4 Đôi khi chỉ một vài thông tin riêng lẻ về một cá nhân sẽ không đủ để cấu thành một “dữ liệu cá nhân” dưới góc độ của GDPR, bởi lẽ những thông tin này phải đủ đến mức có thể xác định, dù trực tiếp hoặc gián tiếp một người cụ thể. Ví dụ, khi xét đến tên một cá nhân: “Hoa”, sẽ có rất nhiều cá nhân có tên Hoa, vậy không nhất thiết tên lúc nào cũng là thông tin cá nhân mà chúng ta cần phải căn cứ thêm một vài yếu tố khác kết hợp như ngày tháng năm sinh, nơi cư trú để có thể xác định cá nhân Hoa muốn đang đề cập là ai. 2 Tác giả sử dụng từ “dữ liệu” và “thông tin” với cùng một ý nghĩa trong suốt bài viết của mình 3 Art. 4(1) GDPR 4 Information Commission’s Office (2018), Guide to the General Data Protection Regulation, p.
11 8 Tương tự GDPR, Luật Bảo vệ dữ liệu cá nhân của Hồng Kông 5 cũng định nghĩa rằng “dữ liệu cá nhân là bất kỳ thông tin nào (a) liên quan trực tiếp hoặc gián tiếp đến một cá thể sống; (b) từ thông tin đó có thể xác định trực tiếp hoặc xác định danh tính của cá nhân đó; và (c) trong một hình thức mà quyền truy cập hoặc xử lý dữ liệu có thể thực hiện được.” 6 Tham khảo đến luật Bảo vệ người tiêu dùng của bang California, Hoa Kỳ, tuy trong văn bản luật không có bất kỳ khái niệm nào về thông tin cá nhân, nhưng cách hiểu của cơ quan tư pháp về loại thông tin này là “thông tin xác định, liên quan hoặc có thể được liên kết một cách hợp lý với cá nhân hoặc hộ gia đình của cá nhân đó. Ví dụ: nó có thể bao gồm tên của bạn, số an sinh xã hội, địa chỉ email, hồ sơ của các sản phẩm đã mua, lịch sử duyệt internet, dữ liệu vị trí địa lý, dấu vân tay và các suy luận từ thông tin cá nhân khác có thể tạo hồ sơ về sở thích và đặc điểm của cá nhân đó.” Đặc điểm chung của các định nghĩa này về dữ liệu cá nhân là yếu tố “liên quan” đến cá nhân ấy, nếu không có yếu tố này, thông tin đó không thể trở thành dữ liệu cá nhân của một người vì chúng hoàn toàn không liên quan đến người đó. Từ những định nghĩa trên, dữ liệu cá nhân tương đối không quá khó hiểu, bởi chúng được thể hiện ngay trong cụm từ “dữ liệu” và “cá nhân”. Hiểu đơn giản, đây là thông tin hoặc những thông tin về một con người cụ thể chứ không phải là một tổ chức hay pháp nhân.
Mặc dù một vài định nghĩa trong luật của một số nước không xem thông tin của người chết là dữ liệu cá nhân, theo quan điểm của tác giả, thông tin của bất kỳ cá nhân nào, mặc dù còn sống hay đã chết đều phải được xem là dữ liệu cá nhân và cần có các biện pháp bảo vệ phù hợp theo luật bảo vệ dữ liệu cá nhân. Có thể sự bảo vệ này, theo từng mức độ cụ thể, phụ thuộc vào sự quan trọng của thông tin, sự ảnh hưởng đến chủ thể dữ liệu, 7 và những cá nhân liên quan đến họ. Quy định này có thể khác so với pháp luật các nước, tuy vậy không đi ngược các nguyên tắc chung của pháp luật Việt Nam. Pháp luật của các nước quy định không có nhiều điểm khác biệt quá lớn về 5 Personal Data (Privacy) Ordinance 6 Article 2(1) Hong Kong Personal Data (Privacy) Ordinance 7 Trường hợp thông tin đối với cá nhân đã chết có thể được xử lý theo các quy định của pháp luật về thừa kế, bởi có thể thông tin này liên quan đến cá nhân lúc còn sống và có một mức độ ảnh hưởng đến những người xung quanh họ (ví dụ vợ, chồng, con cái, anh, chị, em,…).
9 cách hiểu dữ liệu cá nhân. Vào năm 2018, Liên hợp quốc (UN) đã ban hành các quy tắc chung về bảo vệ dữ liệu cá nhân và quyền riêng tư. Với mục đích tạo nên sự hài hòa của khung pháp lý các quốc gia, tạo điều kiện cho một môi trường xử lý dữ liệu đáng tin cậy và đặc biệt các quyền của chủ thể dữ liệu, trong đó có quyền riêng tư. 8 Nhìn chung, cách hiểu về dữ liệu cá nhân của Việt Nam vẫn có nét tương đồng với pháp luật các nước trên thế giới, mặc dù phạm vi định nghĩa còn hẹp, chủ yếu quy định theo phương pháp liệt kê.
9 Trong Dự thảo Nghị định Bảo vệ dữ liệu cá nhân, các nhà làm luật đã một lần nữa định nghĩa lại khái niệm dữ liệu cá nhân như sau, đây là “dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể” và đưa ra các trường hợp cụ thể những dữ liệu được xem là thông tin cá nhân 10 và một quy định mở “dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết”. Đây có thể là một bước tiến bộ trong quy định về bảo vệ dữ liệu cá nhân ở Việt Nam khi cuối cùng dữ liệu cá nhân cũng có cho mình một văn bản quy phạm pháp luật điều chỉnh riêng.2 Phân loại các mức độ xâm phạm dữ liệu cá nhân Có bốn nhóm mức độ xâm phạm dữ liệu cá nhân cơ bản mà chúng ta thường gặp. 11 Đầu tiên là thu thập thông tin, sau khi thông tin được thu thập sẽ trải qua quá trình xử lý và tổng hợp, tiếp theo là hành vi phổ biến thông tin đã được xử lý, tổng hợp và cuối cùng nhóm xâm phạm vào đời tư của một người mà đôi khi không cần thiết phải bao gồm thông tin cá nhân. 12 Những mức độ này có thể dễ dàng quan sát được từ thực tiễn cuộc sống hằng ngày xung quanh chúng ta.
Thậm chí nó có thể diễn ra một cách thầm lặng cho đến khi sự xâm phạm thực sự gây ảnh hưởng đến cuộc sống của mình. Trong phạm vi bài viết, tác giả đề cập đến ba nhóm xâm phạm đầu tiên, nhóm xâm phạm cuối cùng tuy cũng gây ảnh hưởng (tiêu cực) đến đời sống của một người, tuy vậy không phải lúc nào nhóm xâm phạm này cũng yêu cầu phải có dữ liệu, thông tin cá nhân, do đó tác giả không giới thiệu về nhóm hành vi này. 8 UN High-Level Committee on Management, UN Principles on Personal Data Protection 9 Ví dụ khái niệm về thông tin cá nhân được quy định ở Điều 3(5) Nghị định 64/2007/NĐ-CP 10 Ví dụ như tên, tuổi, số chứng minh nhân dân, số điện thoại,… 11 Daniel J. Solove (2008), Understanding Privacy, p.
103 – 105 12 Ví dụ như hành vi theo dõi, chụp hình, ghi hình lại 10 Thứ nhất, đối với mức độ đầu tiên là thu thập thông tin cá nhân, đây là bước đầu tiên mà tác giả cho rằng khá đơn giản, bất kỳ ai cũng có thể làm được. Ở bước này, thông tin về một cá nhân (kể cả hình ảnh) có thể được thu thập thông qua các phương tiện ghi âm, ghi hình, hoặc có thể thông qua ghi chép thủ công. Ví dụ đơn giản cho việc thu thập thông tin này chính là các máy camera giám sát tại nơi công cộng, các biểu mẫu thu thập thông tin / khảo sát ở siêu thị hoặc khi thực hiện việc đăng ký một tài khoản trên mạng xã hội. Có thể thấy, thông tin cá nhân có thể được thu thập ở bất kỳ nơi nào có hành vi của con người.
Tuy nhiên, việc thu thập thông tin này không phải lúc nào cũng vi phạm. Chẳng hạn như việc đặt các camera tại nơi công cộng có thể góp phần điều chỉnh hành vi con người, 13 làm giảm thiểu các hành vi xâm phạm đến cộng đồng, ngăn chặn tội phạm, hoặc giúp cơ quan chức năng xác định danh tính của cá nhân thực hiện hành vi bất chính trong nhiều trường hợp. Thứ hai, đối với mức độ tiếp theo, thông tin cá nhân thu thập được đem đi xử lý. Từ bước này trở đi, các thông tin trở nên nhạy cảm hơn do mức độ nhận diện chủ thể dữ liệu đã rõ ràng hơn.
Hành vi xâm phạm đặc trưng của mức độ này là việc tổng hợp thông tin của cá nhân rồi sử dụng với mục đích khác mục đích ban đầu, ví dụ khi đăng ký một tài khoản ngân hàng, các khách hàng không mong muốn thông tin cá nhân của mình bị một bên thứ ba đem ra sử dụng không nhằm phục vụ mục đích đã ký trong hợp đồng ban đầu. Ở bước này, dữ liệu cá nhân đã được cụ thể hóa và gắn với một cá nhân xác định, giúp các cá nhân, tổ chức xử lý thông tin “tạm hiểu” bạn là ai, ở đâu, thu nhập thế nào,…Đây cũng là giai đoạn chính và chủ yếu được đề cập trong phần lớn các văn bản quy phạm pháp luật của các quốc gia về bảo vệ dữ liệu cá nhân, 14 vì từ việc xử lý này, thông tin cá nhân trở nên hữu dụng và có giá trị kinh tế cao.