Khung pháp lý chuyển dữ liệu cá nhân xuyên biên giới: Kinh nghiệm quốc tế & Khuyến nghị cho Việt Nam

Khung pháp lý chuyển dữ liệu cá nhân xuyên biên giới: Kinh nghiệm quốc tế & khuyến nghị cho Việt Nam. Tìm hiểu quy định và giải pháp tối ưu.

Chuyên ngành

Luật Kinh Tế

Người đăng

Ẩn danh

Thể loại

Khóa luận tốt nghiệp

2023

48
0
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CAM ĐOAN

MỤC LỤC

PHẦN MỞ ĐẦU

1. Lý do chọn đề tài

2. Tình hình nghiên cứu đề tài

2.1. Tình hình nghiên cứu trong nước

2.2. Tình hình nghiên cứu ở nước ngoài

3. Mục đích, đối tượng và phạm vi nghiên cứu

3.1. Mục đích nghiên cứu

3.2. Đối tượng nghiên cứu

3.3. Phạm vi nghiên cứu

4. Các phương pháp tiến hành nghiên cứu

5. Ý nghĩa khoa học và giá trị ứng dụng

6. Bố cục khóa luận

1. CHƯƠNG 1: TỔNG QUAN VỀ DỮ LIỆU CÁ NHÂN VÀ DÒNG CHẢY DỮ LIỆU XUYÊN BIÊN GIỚI

1.1. Tổng quan về dữ liệu cá nhân và dữ luyện xuyên biên giới

1.1.1. Khái quát về dữ liệu cá nhân

1.1.1.1. Khái niệm “dữ liệu cá nhân”

1.1.2. Hiểu về “chuyển dữ liệu cá nhân xuyên biên giới”

1.2. Mối tương quan giữa cơ chế bảo vệ dữ liệu cá nhân và chủ nghĩa bảo hộ điện toán

1.3. Thực trạng chuyển dữ liệu cá nhân xuyên biên giới

1.4. Tầm quan trọng việc duy trì dòng chảy dữ liệu xuyên biên giới

1.5. Sự cần thiết trong việc thiết lập khung pháp lý điều chỉnh việc chuyển dữ liệu cá nhân xuyên biên giới

1.5.1. Đối với Quốc hội và Chính phủ

1.5.2. Đối với các doanh nghiệp, tổ chức và cá nhân có liên quan

KẾT LUẬN CHƯƠNG 1

2. CHƯƠNG 2: KINH NGHIỆM QUỐC TẾ TRONG VIỆC THIẾT LẬP KHUNG PHÁP LÝ ĐIỀU CHỈNH VẤN ĐỀ CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI

2.1. Các hướng tiếp cận cơ bản khi xây dựng quy định bảo vệ dữ liệu cá nhân xuyên biên giới

2.1.1. Không quy định

2.1.2. Quy định trách nhiệm giải trình

2.1.3. Quy định điều kiện an toàn cho trước

2.1.4. Cấp phép trong từng trường hợp cụ thể

2.1.5. Cấm chuyển dữ liệu

2.2. Chính sách bản địa hóa dữ liệu tại một số quốc gia

2.2.1. Khái niệm “bản địa hóa dữ liệu”

2.2.2. Một số xu hướng chính trong việc hoạch định chính sách bản địa hóa dữ liệu

2.3. Các điều khoản chung điều chỉnh việc chuyển dữ liệu cá nhân xuyên biên giới

2.3.1. Điều khoản mẫu theo quy định của Liên minh Châu Âu (Standard Contractual Clauses)

2.3.2. Điều khoản mẫu của Hiệp hội các quốc gia Đông Nam Á (ASEAN Model Contractual Clauses)

2.3.3. Điều khoản mẫu tại Trung Quốc (Standards Contractual Clauses)

2.4. Xu hướng phát triển của các quy định về chuyển dữ liệu xuyên biên giới

KẾT LUẬN CHƯƠNG 2

3. CHƯƠNG 3: NHẬN DIỆN KHUNG PHÁP LÝ ĐIỀU CHỈNH VIỆC CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI TẠI VIỆT NAM VÀ MỘT SỐ HÀM Ý CHÍNH SÁCH

3.1. Các quy định hiện hành về việc chuyển dữ liệu cá nhân xuyên biên giới

3.1.1. Điều kiện chuyển dữ liệu cá nhân qua biên giới

3.1.2. Ngoại lệ của việc chuyển giao

3.1.3. Chế tài xử lý đối với hành vi vi phạm

3.2. Yêu cầu thiết lập chính sách bản địa hóa dữ liệu tại Việt Nam

3.2.1. Một số hạn chế khi xây dựng chính sách

3.2.2. Xác định điểm cân bằng của chính sách

3.3. Một số khuyến nghị

3.3.1. Đối với công tác hoạch định chính sách

3.3.2. Đối với việc củng cố hệ thống pháp luật

3.3.3. Khuyến nghị đối với các doanh nghiệp

KẾT LUẬN CHƯƠNG 3

Tóm tắt

I. Toàn cảnh chuyển dữ liệu cá nhân xuyên biên giới 2024

Hoạt động chuyển dữ liệu cá nhân xuyên biên giới là quá trình sử dụng không gian mạng, thiết bị điện tử để đưa dữ liệu cá nhân của công dân Việt Nam ra ngoài lãnh thổ. Trong bối cảnh kinh tế số, dòng chảy dữ liệu tự do là huyết mạch cho thương mại điện tử, chuỗi cung ứng toàn cầu và đổi mới sáng tạo. Theo một nghiên cứu được Nikkei Asia công bố, Việt Nam là một trong những quốc gia có tốc độ tăng trưởng dòng dữ liệu xuyên biên giới cao nhất thế giới, tăng 230.000 lần trong giai đoạn 2001-2019 (Nguồn: Hà Thị Thanh Thanh, 2023). Sự tăng trưởng đột phá này cho thấy tầm quan trọng chiến lược của việc duy trì dòng chảy dữ liệu. Tuy nhiên, nó cũng đặt ra thách thức lớn về bảo vệ dữ liệu cá nhânan toàn thông tin. Một khung pháp lý rõ ràng không chỉ bảo vệ quyền riêng tư của công dân mà còn tạo ra một môi trường kinh doanh minh bạch, thu hút đầu tư nước ngoài. Việc thiết lập các quy định cụ thể giúp định hình trách nhiệm của doanh nghiệp, ngăn chặn tình trạng 'chảy máu dữ liệu' và khẳng định chủ quyền quốc gia trên không gian mạng. Do đó, việc xây dựng và hoàn thiện các quy định pháp lý, đặc biệt là các văn bản như Nghị định 13/2023/NĐ-CP, là yêu cầu cấp thiết để Việt Nam có thể cân bằng giữa phát triển kinh tế và bảo vệ quyền lợi của chủ thể dữ liệu. Hoạt động này cần sự đồng bộ từ các cơ quan nhà nước, sự tuân thủ từ doanh nghiệp và nhận thức từ mỗi cá nhân.

1.1. Khái niệm dữ liệu cá nhân và chuyển dữ liệu ra nước ngoài

Dữ liệu cá nhân là mọi thông tin liên quan đến một cá nhân được xác định hoặc có thể nhận dạng, trực tiếp hoặc gián tiếp. Điều này bao gồm từ thông tin cơ bản như tên, số nhận dạng, đến các dữ liệu nhạy cảm như thông tin sinh trắc học, tình trạng sức khỏe. Hoạt động chuyển dữ liệu ra nước ngoài là việc di chuyển các dữ liệu này qua biên giới địa lý của một quốc gia, thường thông qua các nền tảng lưu trữ dữ liệu đám mây hoặc mạng lưới của các công ty đa quốc gia. Khóa luận của Hà Thị Thanh Thanh (2023) nhấn mạnh rằng, việc thiếu một định nghĩa thống nhất về 'dữ liệu cá nhân' trong hệ thống pháp luật Việt Nam trước đây đã tạo ra nhiều khoảng trống pháp lý. Nghị định 13/2023/NĐ-CP ra đời đã phần nào giải quyết vấn đề này, cung cấp một nền tảng pháp lý rõ ràng hơn cho các tổ chức, doanh nghiệp.

1.2. Sự khác biệt giữa bảo vệ dữ liệu và chủ nghĩa bảo hộ

Cần phân biệt rõ giữa chính sách bảo vệ dữ liệu cá nhân và 'chủ nghĩa bảo hộ điện toán'. Chính sách bảo vệ dữ liệu hướng đến việc thiết lập các quy tắc để đảm bảo an toàn, minh bạch và quyền lợi cho chủ thể dữ liệu. Ngược lại, chủ nghĩa bảo hộ điện toán thường nhằm hạn chế dòng chảy dữ liệu tự do với mục đích tạo lợi thế cho doanh nghiệp nội địa, thông qua các yêu cầu như bản địa hóa dữ liệu một cách cứng nhắc. Việc áp dụng các biện pháp bảo hộ quá mức có thể tạo ra rào cản thương mại, kìm hãm sự đổi mới và làm suy yếu khả năng cạnh tranh của nền kinh tế số. Một quy định pháp lý hiệu quả cần tìm được điểm cân bằng, vừa đảm bảo an ninh dữ liệu, vừa thúc đẩy dòng chảy dữ liệu tự do có kiểm soát.

II. Thách thức khi chuyển dữ liệu cá nhân theo luật Việt Nam

Việc chuyển dữ liệu cá nhân xuyên biên giới tại Việt Nam đối mặt với nhiều thách thức pháp lý, chủ yếu xoay quanh việc tuân thủ các quy định mới. Nghị định 13/2023/NĐ-CP là văn bản pháp lý quan trọng nhất điều chỉnh hoạt động này, đặt ra các điều kiện nghiêm ngặt mà doanh nghiệp phải đáp ứng. Theo đó, doanh nghiệp phải có sự đồng ý của chủ thể dữ liệu, lưu trữ dữ liệu gốc tại Việt Nam, và quan trọng nhất là phải lập hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài. Hồ sơ này sau đó phải được gửi đến Bộ Công an để thẩm định. Quy trình này đòi hỏi sự đầu tư lớn về thời gian, chi phí và nhân lực. Một trong những khó khăn lớn nhất là việc chứng minh quốc gia tiếp nhận dữ liệu có cơ chế bảo vệ dữ liệu tương đương hoặc cao hơn Việt Nam. Điều này đặc biệt phức tạp khi làm việc với các đối tác ở những quốc gia chưa có khung pháp lý mạnh mẽ. Nếu không tuân thủ, doanh nghiệp có thể đối mặt với các rủi ro pháp lý nghiêm trọng, bao gồm các khoản phạt hành chính lên đến 5% tổng doanh thu tại Việt Nam. Những quy định này, mặc dù cần thiết để bảo vệ dữ liệu, nhưng cũng đang tạo ra một gánh nặng tuân thủ không nhỏ, đặc biệt với các doanh nghiệp vừa và nhỏ.

2.1. Phân tích điều kiện chuyển dữ liệu trong Nghị định 13

Điều 25 của Nghị định 13/2023/NĐ-CP quy định rõ 04 điều kiện để chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài. Đầu tiên là phải có sự đồng ý của chủ thể dữ liệu. Thứ hai, dữ liệu gốc phải được lưu tại Việt Nam. Thứ ba, Bên Kiểm soát dữ liệu cá nhânBên xử lý dữ liệu cá nhân phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Cuối cùng, phải có văn bản thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) về việc chuyển giao. Quy trình này đòi hỏi sự chuẩn bị kỹ lưỡng về mặt giấy tờ và pháp lý, bao gồm cả việc xây dựng các hợp đồng chuyển giao dữ liệu chặt chẽ.

2.2. Các rủi ro pháp lý và chế tài xử phạt doanh nghiệp

Rủi ro pháp lý lớn nhất là không đáp ứng đủ các điều kiện của Nghị định 13, dẫn đến việc chuyển dữ liệu bị xem là bất hợp pháp. Chế tài xử phạt được quy định khá nghiêm khắc. Mức phạt tiền có thể lên tới hàng chục triệu đồng cho mỗi hành vi vi phạm. Trong trường hợp tái phạm hoặc gây hậu quả nghiêm trọng, mức phạt có thể lên đến 5% tổng doanh thu của doanh nghiệp tại Việt Nam. Ngoài ra, doanh nghiệp còn có thể bị áp dụng các biện pháp khắc phục hậu quả như buộc nộp lại số lợi bất hợp pháp có được. Những rủi ro này không chỉ ảnh hưởng đến tài chính mà còn gây tổn hại nghiêm trọng đến uy tín và niềm tin của khách hàng đối với doanh nghiệp.

III. Hướng dẫn lập hồ sơ chuyển dữ liệu cá nhân ra nước ngoài

Để đảm bảo tuân thủ và giảm thiểu rủi ro pháp lý, doanh nghiệp cần xây dựng một quy trình chuẩn bị hồ sơ chuyển dữ liệu ra nước ngoài một cách bài bản. Trọng tâm của quy trình này là việc lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo quy định của Nghị định 13/2023/NĐ-CP. Hồ sơ này không chỉ là một thủ tục hành chính mà còn là công cụ để doanh nghiệp tự đánh giá các rủi ro và xây dựng biện pháp bảo vệ phù hợp. Doanh nghiệp cần xác định rõ vai trò của mình là Bên kiểm soát dữ liệu cá nhân hay Bên xử lý dữ liệu cá nhân để thực hiện đúng trách nhiệm. Quá trình này bắt đầu bằng việc thu thập sự đồng ý của chủ thể dữ liệu một cách minh bạch, rõ ràng, nêu rõ mục đích và phạm vi của việc chuyển dữ liệu. Tiếp theo, doanh nghiệp cần mô tả chi tiết loại dữ liệu được chuyển, quốc gia nhận, phương thức bảo vệ và cam kết của bên nhận. Một hợp đồng chuyển giao dữ liệu chặt chẽ, tham khảo các điều khoản mẫu quốc tế như SCC của Châu Âu, là một công cụ pháp lý hữu hiệu để ràng buộc trách nhiệm của đối tác. Toàn bộ hồ sơ sau khi hoàn thiện phải được gửi đến Bộ Công an ít nhất 01 lần/năm.

3.1. Các bước xây dựng Hồ sơ đánh giá tác động chi tiết

Một hồ sơ đánh giá tác động hoàn chỉnh cần bao gồm các nội dung chính: thông tin của bên chuyển và bên nhận dữ liệu; mô tả và phân loại dữ liệu cá nhân được chuyển (đặc biệt lưu ý dữ liệu cá nhân nhạy cảm); mục đích xử lý dữ liệu; các biện pháp bảo vệ được áp dụng để đảm bảo an toàn thông tin; đánh giá mức độ tuân thủ của bên nhận dữ liệu; và cơ chế giải quyết khiếu nại của chủ thể dữ liệu. Doanh nghiệp cần chứng minh được rằng bên nhận có cơ chế bảo vệ dữ liệu tương đương hoặc cao hơn. Việc lập hồ sơ cần được thực hiện một cách cẩn trọng và trung thực để tránh các vấn đề pháp lý sau này.

3.2. Trách nhiệm của Bên kiểm soát và Bên xử lý dữ liệu

Bên kiểm soát dữ liệu cá nhân (thường là doanh nghiệp thu thập dữ liệu gốc) chịu trách nhiệm chính trong việc lập hồ sơ và đảm bảo tính hợp pháp của toàn bộ quá trình. Bên xử lý dữ liệu cá nhân (đối tác nước ngoài) có nghĩa vụ tuân thủ các yêu cầu bảo vệ dữ liệu theo hợp đồng và pháp luật của nước sở tại. Cả hai bên cần phối hợp chặt chẽ, minh bạch về vai trò và trách nhiệm. Việc phân định rõ ràng giúp quy trách nhiệm hiệu quả khi có sự cố xảy ra và là yếu tố quan trọng để được cơ quan chức năng chấp thuận.

IV. Kinh nghiệm quốc tế về việc chuyển dữ liệu xuyên biên giới

Kinh nghiệm quốc tế cung cấp những bài học quý giá cho Việt Nam trong việc hoàn thiện khung pháp lý về chuyển dữ liệu cá nhân xuyên biên giới. Một trong những mô hình thành công nhất là Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu. GDPR đưa ra khái niệm 'Quyết định tương đương' (Adequacy Decision), theo đó Ủy ban Châu Âu sẽ đánh giá và công nhận các quốc gia có cơ chế bảo vệ dữ liệu tương đương. Khi một quốc gia được công nhận, việc chuyển dữ liệu ra nước ngoài đến quốc gia đó sẽ diễn ra thuận lợi hơn rất nhiều. Đây là một cách tiếp cận dựa trên sự tin cậy và tiêu chuẩn hóa. Một mô hình khác là khung pháp lý APEC CBPR (Hệ thống quy tắc bảo mật xuyên biên giới của APEC), tập trung vào việc chứng nhận các doanh nghiệp tuân thủ một bộ quy tắc chung. Mô hình này thúc đẩy trách nhiệm giải trình của doanh nghiệp thay vì kiểm soát từng giao dịch. Trong khu vực ASEAN, các Điều khoản hợp đồng mẫu (MCC) cũng được đưa ra để tạo điều kiện thuận lợi cho việc chuyển dữ liệu trong nội khối. Việc nghiên cứu và học hỏi có chọn lọc từ các mô hình này sẽ giúp Việt Nam xây dựng một chính sách vừa đảm bảo an toàn thông tin, vừa không tạo ra rào cản cho sự phát triển của các công ty đa quốc gia và nền kinh tế số.

4.1. Bài học từ cơ chế bảo vệ dữ liệu tương đương của GDPR

Cơ chế 'Quyết định tương đương' của tuân thủ GDPR là một tiêu chuẩn vàng. Nó không chỉ đơn giản hóa việc chuyển dữ liệu mà còn khuyến khích các quốc gia khác nâng cao tiêu chuẩn bảo vệ dữ liệu cá nhân của mình để được công nhận. Việt Nam có thể hướng tới việc xây dựng một khung pháp lý tiệm cận các tiêu chuẩn của GDPR để trong tương lai có thể đàm phán các thỏa thuận công nhận tương đương. Điều này sẽ mở ra cơ hội lớn cho các doanh nghiệp Việt Nam khi làm việc với thị trường châu Âu. Các Điều khoản Hợp đồng Tiêu chuẩn (SCCs) của GDPR cũng là một công cụ hữu ích, có thể được tham khảo để xây dựng các mẫu hợp đồng chuyển giao dữ liệu tại Việt Nam.

4.2. Áp dụng mô hình trách nhiệm giải trình theo APEC CBPR

Khung pháp lý APEC CBPR trao quyền nhiều hơn cho doanh nghiệp trong việc tự chứng minh sự tuân thủ. Doanh nghiệp tham gia hệ thống sẽ được đánh giá bởi một 'Bên thứ ba chịu trách nhiệm' (Accountability Agent) và nếu đạt chuẩn sẽ được chứng nhận. Cách tiếp cận này giảm gánh nặng hành chính cho cơ quan nhà nước và thúc đẩy văn hóa tự giác tuân thủ trong cộng đồng doanh nghiệp. Việt Nam, với tư cách là thành viên APEC, nên xem xét việc tham gia sâu hơn vào hệ thống này như một con đường để hài hòa hóa quy định pháp lý và tạo thuận lợi cho thương mại số trong khu vực.

V. Khuyến nghị chiến lược bảo vệ dữ liệu cá nhân cho doanh nghiệp

Để điều hướng thành công trong bối cảnh pháp lý mới về chuyển dữ liệu cá nhân xuyên biên giới, doanh nghiệp Việt Nam cần xây dựng một chiến lược toàn diện. Chiến lược này không chỉ là việc tuân thủ quy định mà còn là cách xây dựng lợi thế cạnh tranh dựa trên sự tin cậy. Trước hết, doanh nghiệp cần nâng cao nhận thức và đào tạo nhân sự về tầm quan trọng của bảo vệ dữ liệu cá nhân và các yêu cầu của Nghị định 13/2023/NĐ-CP. Việc chỉ định một nhân sự hoặc một bộ phận chuyên trách về tuân thủ dữ liệu (Data Protection Officer - DPO) là một bước đi cần thiết. Tiếp theo, cần rà soát lại toàn bộ quy trình thu thập, xử lý và lưu trữ dữ liệu hiện có để đảm bảo an toàn thông tin. Doanh nghiệp nên chủ động xây dựng các chính sách nội bộ, các quy trình ứng phó sự cố và thực hiện các đánh giá rủi ro định kỳ. Việc áp dụng các tiêu chuẩn quốc tế về an ninh thông tin như ISO/IEC 27001 sẽ giúp củng cố hệ thống bảo vệ. Cuối cùng, trách nhiệm của doanh nghiệp là phải minh bạch với khách hàng. Chính sách quyền riêng tư cần được công bố rõ ràng, dễ hiểu, giải thích cách dữ liệu được sử dụng và chuyển đi đâu, qua đó xây dựng lòng tin bền vững.

5.1. Xây dựng văn hóa tuân thủ và an toàn thông tin nội bộ

Văn hóa tuân thủ bắt đầu từ cấp lãnh đạo cao nhất. Doanh nghiệp cần xem bảo vệ dữ liệu cá nhân là một phần cốt lõi trong quản trị rủi ro, không phải là một chi phí. Cần tổ chức các buổi đào tạo định kỳ cho nhân viên về các quy định pháp lý mới, nhận diện các mối đe dọa an ninh mạng và quy trình xử lý dữ liệu cá nhân nhạy cảm. Việc xây dựng một quy trình báo cáo và xử lý vi phạm dữ liệu minh bạch và hiệu quả là yếu tố sống còn để giảm thiểu thiệt hại khi sự cố xảy ra.

5.2. Lựa chọn giải pháp lưu trữ dữ liệu đám mây và đối tác

Khi sử dụng dịch vụ lưu trữ dữ liệu đám mây từ các nhà cung cấp quốc tế, doanh nghiệp cần thẩm định kỹ lưỡng đối tác. Cần ưu tiên các nhà cung cấp có chứng chỉ tuân thủ các tiêu chuẩn quốc tế như GDPR, SOC 2, hoặc ISO 27001. Trong hợp đồng dịch vụ, cần có các điều khoản rõ ràng về trách nhiệm bảo mật, vị trí đặt máy chủ và cam kết hỗ trợ doanh nghiệp trong việc tuân thủ quy định của Việt Nam. Việc lựa chọn đúng đối tác công nghệ sẽ giúp giảm thiểu đáng kể các rủi ro pháp lý liên quan đến việc chuyển dữ liệu cá nhân xuyên biên giới.

11/09/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1: TỔNG QUAN VỀ DỮ LIỆU CÁ NHÂN VÀ DÒNG CHẢY DỮ LIỆU XUYÊN BIÊN GIỚI 1. Tổng quan về dữ liệu cá nhân và dữ luyện xuyên biên giới 1. Khái quát về dữ liệu cá nhân 1. Khái niệm “dữ liệu cá nhân” Tính đến nay, hệ thống pháp luật nước ta vẫn tồn tại một khoảng trống về định nghĩa cụ thể của khái niệm “dữ liệu cá nhân”.

Trong hầu hết các văn bản pháp luật có liên quan đến dữ liệu cá nhân, cụm từ “thông tin cá nhân” có lẽ là thuật ngữ được sử dụng nhiều nhất (bên cạnh một số thuật ngữ khác ít phổ biến hơn như: “thông tin riêng”, “thông tin riêng tư”, thông tin số”, “thông tin bí mật đời tư”,.1 Chính điều này đã dẫn đến việc không ít người lầm tưởng rằng “thông tin cá nhân” là một cách gọi khác của “dữ liệu cá nhân”. Tuy nhiên, nội hàm của hai khái niệm này là hoàn toàn khác biệt. Cụ thể, nếu “thông tin cá nhân” đại diện cho các thông tin có tính sơ cấp - gắn liền với thực tế, bối cảnh thì “dữ liệu cá nhân” khi này vẫn là các thông tin đó nhưng đã được trải qua quy trình thu thập, lưu trữ, xử lý, kết hợp, phân loại, truyền đưa bằng các thuật liên quan của một nền tảng số.2 Từ đây, có thể suy luận rằng, để một loại thông tin cá nhân bất kỳ được xem là “dữ liệu cá nhân” đòi hỏi “sự can thiệp” của một quy trình lưu trữ, xử lý thông tin nhất định. Khi xây dựng nền tảng pháp lý điều chỉnh đối với một vấn đề nhất định, việc thống nhất ngay từ giai đoạn đầu một cách hiểu chung đối với các khái niệm cơ bản có liên quan đến lĩnh vực đang được điều chỉnh là vô cùng cần thiết.

Điều này không chỉ có ý nghĩa trong công tác tra cứu, áp dụng luật của các cơ quan, tổ chức, cá nhân có liên quan mà còn có khả năng gián tiếp định hướng, điều chỉnh cách thức xây dựng các quy định pháp luật về lâu dài. Thực tế cho thấy, việc thiếu vắng một định nghĩa mang tính phổ quát về “dữ liệu cá nhân” đã dẫn đến không ít hệ lụy trong công tác xây dựng và áp dụng pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam. Theo thống kê, hiện có đến gần 10 thuật ngữ liên quan đến dữ liệu cá nhân và bảo vệ dữ liệu cá nhân được sử dụng trong các văn bản pháp luật, bao gồm: “thông tin cá nhân”, “thông tin riêng”, “thông tin riêng tư”, “thông tin số”, “thông tin trên môi trường mạng”, “thông tin bí mật đời tư”,. Trong số các thuật ngữ kể trên, “thông tin cá nhân” có lẽ 1 http://www.vn/Pages/TinTuc/211048/Hoan-thien-phap-luat-ve-bao-ve-du-lieu-ca-nhan.html 2 Dương Kim Thế Nguyên, Huỳnh Thiên Tứ, Lê Thùy Khanh, Mai Nguyễn Dũng (2021), “Cải cách pháp luật đáp ứng nhu cầu bảo vệ dữ liệu cá nhân trong chuyển đổi số”, Trường Đại học Kinh tế Thành phố Hồ Chí Minh 11 là khái niệm gần nhất với cụm từ “dữ liệu cá nhân”.

Tuy nhiên, một lần nữa, nội hàm của khái niệm này cũng không được thống nhất giữa các văn bản pháp luật chuyên ngành. Theo Khoản 15 Điều 3 Luật An toàn thông tin mạng 2015, thông tin cá nhân là “thông tin gắn với việc xác định danh tính của một người cụ thể”. Trong khi đó, Khoản 5 Điều 3 Khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước, thông tin cá nhân là “thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu”. Còn tại Khoản 13 Điều 3 Nghị định số 52/2013/NĐ-CP của Chính phủ về thương mại điện tử, thông tin cá nhân được định nghĩa là “các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật”.

Câu hỏi được đặt ra là, trong ba định nghĩa trên, đâu mới là định nghĩa cung cấp cách hiểu chính xác nhất khi nhắc đến “thông tin cá nhân” trong bối cảnh pháp luật Việt Nam hiện nay? Liệu rằng thông tin cá nhân chỉ đơn thuần là các thông tin gắn liền với việc xác định danh tính cá nhân, hay thông tin chỉ cần đáp ứng việc góp phần định danh một cá nhân cụ thể, hay thông tin cần phải đủ để xác định chính xác danh tính của một cá nhân? Dễ thấy, chỉ tính riêng khái niệm “thông tin cá nhân” trong một số quy định nằm rải rác ở các văn bản pháp luật kể trên, sự mâu thuẫn và chồng chéo giữa các định nghĩa là rất rõ ràng. Cùng một khái niệm nhưng việc xác định điều kiện để một thông tin bất kỳ được pháp luật công nhận là thông tin cá nhân lại không thực sự đồng nhất. Sự chồng chéo giữa các quy định như hiện nay có thể dẫn đến tình huống mà ở đó, một số thông tin bất kỳ có thể được công nhận là thông tin cá nhân theo quy định của văn bản này, song khi đối chiếu với quy định ở văn bản khác thì không còn phù hợp chỉ bởi những khác biệt tồn tại (một cách không đáng có) trong cách giải thích khái niệm. Khái niệm “dữ liệu cá nhân” chỉ thực sự được quan tâm rộng rãi kể từ thời điểm Bộ Công an công bố Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân (tháng 02 năm 2021).3 Theo đó, “dữ liệu về cá nhân” là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có 3 https://bocongan.vn/vanban/Pages/van-ban-moi.aspx?ItemID=519 12 thể xác định một cá nhân cụ thể.4 Định nghĩa này nhìn chung đã tham khảo và kế thừa cách thức quy định của GDPR đối với nội hàm thuật ngữ “dữ liệu cá nhân”.

Có thể hiểu rằng, theo tinh thần của dự thảo, dữ liệu bất kỳ sẽ có khả năng trở thành dữ liệu cá nhân khi rơi vào một trong 03 trường hợp: (i) là dữ liệu về cá nhân; (ii) liên quan đến việc xác định một cá nhân cụ thể; (iii) có thể xác định một cá nhân cụ thể. Tuy nhiên, khái niệm này vẫn chưa thực sự hoàn chỉnh. Cụ thể, nội dung “dữ liệu cá nhân là dữ liệu về cá nhân” khiến cách giải thích trở nên tối nghĩa5, trong khi mục đích ban đầu của điều khoản là nhằm làm rõ thuật ngữ “dữ liệu cá nhân”. Nói cách khác, nếu vẫn giữ nguyên nội dung trên thì buộc phải tiếp tục trả lời câu hỏi mới phát sinh: Vậy như thế nào là “dữ liệu về cá nhân”? Đây là chi tiết mà cơ quan soạn thảo luật cần cân nhắc loại bỏ để đảm bảo sự tường minh của định nghĩa về dữ liệu cá nhân.

Theo Hướng dẫn Bảo vệ quyền riêng tư và luồng dữ liệu cá nhân xuyên biên giới của Tổ chức Hợp tác kinh tế và phát triển (OECD), “dữ liệu cá nhân” được định nghĩa là “bất kỳ thông tin nào liên quan đến hoặc cho phép xác định một cá nhân nhất định (đối tượng dữ liệu). Mặc dù bản hướng dẫn của OECD chỉ mang tính khuyến nghị và không có giá trị pháp lý ràng buộc, song cách hiểu này vẫn còn nguyên giá trị cho đến thời điểm hiện tại và được một số quốc gia/khu vực tham khảo khi xây dựng các quy định liên quan. Kế thừa cách hiểu trên, Quy định chung về bảo vệ dữ liệu (GDPR) của EU định nghĩa, “dữ liệu cá nhân” là “bất kỳ thông tin nào liên quan đến một các nhân xác định hoặc có thể nhận dạng (chủ thể dữ liệu); một cá nhân có thể nhận dạng là một người có thể được xác định, một cách trực tiếp hoặc gián tiếp, đặc biệt bằng cách tham chiếu đến một mã định danh như tên, số nhận dạng, dữ liệu vị trí, số nhận dạng trực tuyến hoặc một hoặc nhiều yếu tố cụ thể đối với vật lý, sinh lý, sinh trắc, tinh thần, kinh tế, văn hóa hoặc xã hội của cá nhân đó.6 Thông qua các cách hiểu về nội hàm khái niệm “dữ liệu cá nhân” ở một số quốc gia/khu vực, có thể đi đến một định nghĩa tổng quát về dữ liệu cá nhân như sau: Dữ liệu cá nhân là tất cả các thông liên quan đến một cá nhân được xác định cụ thể hoặc có thể nhận dạng được. Việc cá nhân được nhận dạng có thể thông qua trực tiếp hoặc gián tiếp.

Các thông tin để nhận 4 https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Du-thao-Nghi-dinh-quy-dinh-ve-bao-ve-du-lieu-ca-nhan- 465185.aspx 5 http://www.vn/Pages/TinTuc/211048/Hoan-thien-phap-luat-ve-bao-ve-du-lieu-ca-nhan.html 6 Thuật ngữ “dữ liệu cá nhân” được định nghĩa tại Điều 4 GDPR. Nguyên văn: ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person 13 dạng cá nhân có thể là tên, số nhận dạng, dữ liệu vị trí, số nhận dạng trực tuyến hoặc một hoặc nhiều yếu tố cụ thể đối với vật lý, sinh lý, sinh trắc, tinh thần, kinh tế, văn hóa hoặc xã hội của cá nhân đó. Đặc điểm của dữ liệu cá nhân Thứ nhất, “bất kỳ thông tin nào” cũng có khả năng được đưa vào xem xét để trở thành dữ liệu cá nhân của một chủ thể xác định. Việc công nhận dữ liệu cá nhân dưới “bất kỳ thông tin nào” theo tinh thần của GDPR cho phép thông tin được thể hiện ở tất cả hình thức, phạm vi,.

Đó có thể là các thông tin cơ bản như họ tên, số hộ chiếu, địa chỉ thường trú, số điện thoại,. cho đến các thông tin liên quan đến đặc điểm sinh lý, bản dạng giới, sinh trắc học (như vân tay, võng mạc,.) của mỗi cá nhân. Trong thời đại kinh tế số, thông tin cá nhân còn có thể được ghi nhận dưới dạng lịch sử giao dịch trên các sàn thương mại điện tử; lịch sử truy cập các ứng dụng trên thiết bị thông minh; lịch sử tin nhắn, bình luận trên các trang mạng xã hội,. và vô số các hình thái khác.

Thứ hai, thông tin cần có “tính định danh”. Mặc dù phạm vi các thông tin có khả năng trở thành dữ liệu cá nhân là rất rộng, song điều này cũng không có nghĩa rằng không có giới hạn nào được đặt ra đối với các loại thông tin này.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ