CHƯƠNG 1: TỔNG QUAN VỀ DỮ LIỆU CÁ NHÂN VÀ DÒNG CHẢY DỮ LIỆU XUYÊN BIÊN GIỚI 1. Tổng quan về dữ liệu cá nhân và dữ luyện xuyên biên giới 1. Khái quát về dữ liệu cá nhân 1. Khái niệm “dữ liệu cá nhân” Tính đến nay, hệ thống pháp luật nước ta vẫn tồn tại một khoảng trống về định nghĩa cụ thể của khái niệm “dữ liệu cá nhân”.
Trong hầu hết các văn bản pháp luật có liên quan đến dữ liệu cá nhân, cụm từ “thông tin cá nhân” có lẽ là thuật ngữ được sử dụng nhiều nhất (bên cạnh một số thuật ngữ khác ít phổ biến hơn như: “thông tin riêng”, “thông tin riêng tư”, thông tin số”, “thông tin bí mật đời tư”,.1 Chính điều này đã dẫn đến việc không ít người lầm tưởng rằng “thông tin cá nhân” là một cách gọi khác của “dữ liệu cá nhân”. Tuy nhiên, nội hàm của hai khái niệm này là hoàn toàn khác biệt. Cụ thể, nếu “thông tin cá nhân” đại diện cho các thông tin có tính sơ cấp - gắn liền với thực tế, bối cảnh thì “dữ liệu cá nhân” khi này vẫn là các thông tin đó nhưng đã được trải qua quy trình thu thập, lưu trữ, xử lý, kết hợp, phân loại, truyền đưa bằng các thuật liên quan của một nền tảng số.2 Từ đây, có thể suy luận rằng, để một loại thông tin cá nhân bất kỳ được xem là “dữ liệu cá nhân” đòi hỏi “sự can thiệp” của một quy trình lưu trữ, xử lý thông tin nhất định. Khi xây dựng nền tảng pháp lý điều chỉnh đối với một vấn đề nhất định, việc thống nhất ngay từ giai đoạn đầu một cách hiểu chung đối với các khái niệm cơ bản có liên quan đến lĩnh vực đang được điều chỉnh là vô cùng cần thiết.
Điều này không chỉ có ý nghĩa trong công tác tra cứu, áp dụng luật của các cơ quan, tổ chức, cá nhân có liên quan mà còn có khả năng gián tiếp định hướng, điều chỉnh cách thức xây dựng các quy định pháp luật về lâu dài. Thực tế cho thấy, việc thiếu vắng một định nghĩa mang tính phổ quát về “dữ liệu cá nhân” đã dẫn đến không ít hệ lụy trong công tác xây dựng và áp dụng pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam. Theo thống kê, hiện có đến gần 10 thuật ngữ liên quan đến dữ liệu cá nhân và bảo vệ dữ liệu cá nhân được sử dụng trong các văn bản pháp luật, bao gồm: “thông tin cá nhân”, “thông tin riêng”, “thông tin riêng tư”, “thông tin số”, “thông tin trên môi trường mạng”, “thông tin bí mật đời tư”,. Trong số các thuật ngữ kể trên, “thông tin cá nhân” có lẽ 1 http://www.vn/Pages/TinTuc/211048/Hoan-thien-phap-luat-ve-bao-ve-du-lieu-ca-nhan.html 2 Dương Kim Thế Nguyên, Huỳnh Thiên Tứ, Lê Thùy Khanh, Mai Nguyễn Dũng (2021), “Cải cách pháp luật đáp ứng nhu cầu bảo vệ dữ liệu cá nhân trong chuyển đổi số”, Trường Đại học Kinh tế Thành phố Hồ Chí Minh 11 là khái niệm gần nhất với cụm từ “dữ liệu cá nhân”.
Tuy nhiên, một lần nữa, nội hàm của khái niệm này cũng không được thống nhất giữa các văn bản pháp luật chuyên ngành. Theo Khoản 15 Điều 3 Luật An toàn thông tin mạng 2015, thông tin cá nhân là “thông tin gắn với việc xác định danh tính của một người cụ thể”. Trong khi đó, Khoản 5 Điều 3 Khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước, thông tin cá nhân là “thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu”. Còn tại Khoản 13 Điều 3 Nghị định số 52/2013/NĐ-CP của Chính phủ về thương mại điện tử, thông tin cá nhân được định nghĩa là “các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật”.
Câu hỏi được đặt ra là, trong ba định nghĩa trên, đâu mới là định nghĩa cung cấp cách hiểu chính xác nhất khi nhắc đến “thông tin cá nhân” trong bối cảnh pháp luật Việt Nam hiện nay? Liệu rằng thông tin cá nhân chỉ đơn thuần là các thông tin gắn liền với việc xác định danh tính cá nhân, hay thông tin chỉ cần đáp ứng việc góp phần định danh một cá nhân cụ thể, hay thông tin cần phải đủ để xác định chính xác danh tính của một cá nhân? Dễ thấy, chỉ tính riêng khái niệm “thông tin cá nhân” trong một số quy định nằm rải rác ở các văn bản pháp luật kể trên, sự mâu thuẫn và chồng chéo giữa các định nghĩa là rất rõ ràng. Cùng một khái niệm nhưng việc xác định điều kiện để một thông tin bất kỳ được pháp luật công nhận là thông tin cá nhân lại không thực sự đồng nhất. Sự chồng chéo giữa các quy định như hiện nay có thể dẫn đến tình huống mà ở đó, một số thông tin bất kỳ có thể được công nhận là thông tin cá nhân theo quy định của văn bản này, song khi đối chiếu với quy định ở văn bản khác thì không còn phù hợp chỉ bởi những khác biệt tồn tại (một cách không đáng có) trong cách giải thích khái niệm. Khái niệm “dữ liệu cá nhân” chỉ thực sự được quan tâm rộng rãi kể từ thời điểm Bộ Công an công bố Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân (tháng 02 năm 2021).3 Theo đó, “dữ liệu về cá nhân” là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có 3 https://bocongan.vn/vanban/Pages/van-ban-moi.aspx?ItemID=519 12 thể xác định một cá nhân cụ thể.4 Định nghĩa này nhìn chung đã tham khảo và kế thừa cách thức quy định của GDPR đối với nội hàm thuật ngữ “dữ liệu cá nhân”.
Có thể hiểu rằng, theo tinh thần của dự thảo, dữ liệu bất kỳ sẽ có khả năng trở thành dữ liệu cá nhân khi rơi vào một trong 03 trường hợp: (i) là dữ liệu về cá nhân; (ii) liên quan đến việc xác định một cá nhân cụ thể; (iii) có thể xác định một cá nhân cụ thể. Tuy nhiên, khái niệm này vẫn chưa thực sự hoàn chỉnh. Cụ thể, nội dung “dữ liệu cá nhân là dữ liệu về cá nhân” khiến cách giải thích trở nên tối nghĩa5, trong khi mục đích ban đầu của điều khoản là nhằm làm rõ thuật ngữ “dữ liệu cá nhân”. Nói cách khác, nếu vẫn giữ nguyên nội dung trên thì buộc phải tiếp tục trả lời câu hỏi mới phát sinh: Vậy như thế nào là “dữ liệu về cá nhân”? Đây là chi tiết mà cơ quan soạn thảo luật cần cân nhắc loại bỏ để đảm bảo sự tường minh của định nghĩa về dữ liệu cá nhân.
Theo Hướng dẫn Bảo vệ quyền riêng tư và luồng dữ liệu cá nhân xuyên biên giới của Tổ chức Hợp tác kinh tế và phát triển (OECD), “dữ liệu cá nhân” được định nghĩa là “bất kỳ thông tin nào liên quan đến hoặc cho phép xác định một cá nhân nhất định (đối tượng dữ liệu). Mặc dù bản hướng dẫn của OECD chỉ mang tính khuyến nghị và không có giá trị pháp lý ràng buộc, song cách hiểu này vẫn còn nguyên giá trị cho đến thời điểm hiện tại và được một số quốc gia/khu vực tham khảo khi xây dựng các quy định liên quan. Kế thừa cách hiểu trên, Quy định chung về bảo vệ dữ liệu (GDPR) của EU định nghĩa, “dữ liệu cá nhân” là “bất kỳ thông tin nào liên quan đến một các nhân xác định hoặc có thể nhận dạng (chủ thể dữ liệu); một cá nhân có thể nhận dạng là một người có thể được xác định, một cách trực tiếp hoặc gián tiếp, đặc biệt bằng cách tham chiếu đến một mã định danh như tên, số nhận dạng, dữ liệu vị trí, số nhận dạng trực tuyến hoặc một hoặc nhiều yếu tố cụ thể đối với vật lý, sinh lý, sinh trắc, tinh thần, kinh tế, văn hóa hoặc xã hội của cá nhân đó.6 Thông qua các cách hiểu về nội hàm khái niệm “dữ liệu cá nhân” ở một số quốc gia/khu vực, có thể đi đến một định nghĩa tổng quát về dữ liệu cá nhân như sau: Dữ liệu cá nhân là tất cả các thông liên quan đến một cá nhân được xác định cụ thể hoặc có thể nhận dạng được. Việc cá nhân được nhận dạng có thể thông qua trực tiếp hoặc gián tiếp.
Các thông tin để nhận 4 https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Du-thao-Nghi-dinh-quy-dinh-ve-bao-ve-du-lieu-ca-nhan- 465185.aspx 5 http://www.vn/Pages/TinTuc/211048/Hoan-thien-phap-luat-ve-bao-ve-du-lieu-ca-nhan.html 6 Thuật ngữ “dữ liệu cá nhân” được định nghĩa tại Điều 4 GDPR. Nguyên văn: ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person 13 dạng cá nhân có thể là tên, số nhận dạng, dữ liệu vị trí, số nhận dạng trực tuyến hoặc một hoặc nhiều yếu tố cụ thể đối với vật lý, sinh lý, sinh trắc, tinh thần, kinh tế, văn hóa hoặc xã hội của cá nhân đó. Đặc điểm của dữ liệu cá nhân Thứ nhất, “bất kỳ thông tin nào” cũng có khả năng được đưa vào xem xét để trở thành dữ liệu cá nhân của một chủ thể xác định. Việc công nhận dữ liệu cá nhân dưới “bất kỳ thông tin nào” theo tinh thần của GDPR cho phép thông tin được thể hiện ở tất cả hình thức, phạm vi,.
Đó có thể là các thông tin cơ bản như họ tên, số hộ chiếu, địa chỉ thường trú, số điện thoại,. cho đến các thông tin liên quan đến đặc điểm sinh lý, bản dạng giới, sinh trắc học (như vân tay, võng mạc,.) của mỗi cá nhân. Trong thời đại kinh tế số, thông tin cá nhân còn có thể được ghi nhận dưới dạng lịch sử giao dịch trên các sàn thương mại điện tử; lịch sử truy cập các ứng dụng trên thiết bị thông minh; lịch sử tin nhắn, bình luận trên các trang mạng xã hội,. và vô số các hình thái khác.
Thứ hai, thông tin cần có “tính định danh”. Mặc dù phạm vi các thông tin có khả năng trở thành dữ liệu cá nhân là rất rộng, song điều này cũng không có nghĩa rằng không có giới hạn nào được đặt ra đối với các loại thông tin này.