Pháp luật quốc tế về bảo vệ thông tin cá nhân
Trong thời đại ngày nay, nhu cầu bảo vệ thông tin cá nhân ngày càng trở nên cấp bách đối với tất cả các quốc gia và vùng lãnh thổ, trong đó có Việt Nam. Nhiều quốc gia đã và đang trong quá trình xây dựng luật về bảo vệ thông tin cá nhân (TTCN). Bài viết này nghiên cứu khái quát các mô hình pháp luật bảo vệ TTCN của một số tổ chức, quốc gia trên thế giới, chỉ ra quan điểm tiếp cận, cơ chế pháp lý và cách thức để bảo vệ TTCN; từ đó, rút ra một số gợi ý ban đầu cho Việt Nam trong quá trình nghiên c
MÔ HÌNH PHÁP LUẬT BẢO VỆ TTCN TRÊN THẾ GIỚI
Theo thống kê chưa đầy đủ, trên thế giới, có khoảng 40-50 quốc gia đã ban hành văn bản pháp luật riêng về bảo vệ TTCN. Một cách khái quát, có thể tạm chia pháp luật về bảo vệ TTCN trên thế giới thành 3 mô hình chính như sau:
Mô hình Châu Âu (Mô hình tiếp cận thắt chặt). Chủ thuyết của mô hình này là đặt cá nhân ở vị trí trung tâm và đề cao, ưu tiên bảo vệ quyền riêng tư đối với TTCN. Vì vậy, cơ chế pháp lý được xây dựng theo hướng thắt chặt quản lý các hoạt động tiếp cận, thu thập, xử lý và sử dụng TTCN. Các quốc gia theo mô hình này (chủ yếu là các nước thuộc Liên minh Châu Âu) thường ban hành đạo luật riêng về bảo vệ TTCN (hay dữ liệu thông tin) để quy định tập trung, toàn diện, cụ thể và chi tiết các vấn đề có liên quan; đồng thời, mở rộng tối đa phạm vi TTCN được pháp luật điều chỉnh – là tất cả những thông tin liên quan, thuộc về một cá nhân mà từ đó có thể xác định được danh tính của cá nhân đó.
Mô hình Mỹ (Mô hình tiếp cận tối giản). Cũng tiếp cận bảo vệ TTCN là một khía cạnh của quyền riêng tư nhưng ở mức độ hài hoà hơn giữa bảo vệ quyền, lợi ích của cá nhân là chủ thể TTCN và của các chủ thể khác. Vì vậy, cơ chế pháp lý được xây dựng theo hướng quản lý tối giản - chỉ tập trung bảo vệ TTCN nhạy cảm và “mở, lỏng” hơn đối với TTCN thông thường. Pháp luật về bảo vệ TTCN ở các quốc gia theo mô hình này (điển hình là Mỹ) thường không tập trung mà phân tán trong các văn bản pháp luật; đồng thời, thuật ngữ pháp lý được sử dụng phổ biến là Thông tin nhận dạng cá nhân (personally identifiable information - PII) với nội hàm hẹp hơn so với khái niệm dữ liệu cá nhân (DLCN) (Personal Data) ở Châu Âu. Ví dụ: Đối với số nhận dạng trực tuyến của cá nhân (như địa chỉ IP, MAC, cookie…), nếu theo quy định của Mỹ thì không phải là Thông tin nhận dạng cá nhân (PII) nhưng theo quy định của Châu Âu và Úc thì thuộc DLCN.
Mô hình hỗn hợp (Mô hình tiếp cận hài hoà). Là sự kết hợp 2 mô hình trên được áp dụng ở một số nước Châu Á như Nhật Bản, Hàn Quốc,…. Các quốc gia theo mô hình này thường ban hành một đạo luật riêng về quyền riêng tư hoặc về bảo vệ TTCN để quy định tập trung, toàn diện các vấn đề có liên quan; đồng thời, phạm vi TTCN được pháp luật điều chỉnh về cơ chế, mức độ quản lý cũng hợp lý, hài hoà hơn trên cơ sở kết hợp 2 mô hình Châu Âu, Mỹ.
QUAN ĐIỂM TIẾP CẬN, CƠ CHẾ PHÁP LÝ VÀ CÁCH THỨC ĐỂ BẢO VỆ TTCN
Dù giữa các quốc gia còn có sự khác nhau về mô hình pháp luật và nội dung pháp luật về bảo vệ TTCN nhưng lại có những điểm chung nhất định mang tính cơ sở nền tảng cho việc hoạch định chính sách lập pháp cũng như thiết kế các quy phạm cụ thể. Có thể nói cách khái quát như sau:
Tiếp cận bảo vệ TTCN trên quan điểm bảo vệ quyền riêng tư nhưng đặt trong mối quan hệ đa chiều, đa lợi ích
Hướng dẫn bảo vệ quyền riêng tư và dịch chuyển dữ liệu cá nhân giữa các quốc gia (1980) của Tổ chức Hợp tác và Phát triển Kinh tế (OECD); Hiệp ước bảo vệ dữ liệu cá nhân liên quan đến xử lý tự động dữ liệu cá nhân (1981) của Hội đồng Châu Âu là những văn bản đầu tiên quy định về bảo vệ Dữ liệu cá nhân, đều tiếp cận trên cơ sở và gắn liền với quyền riêng tư. Báo cáo quốc tế về “Quyền riêng tư và nhân quyền” (2004) về sự phát triển của pháp luật về bảo vệ quyền riêng tư ở 50 quốc gia từ năm 1997 đã chỉ ra 4 nội dung cơ bản của quyền này, gồm: (i) Sự riêng tư về TTCN; (ii) Sự riêng tư về cơ thể (thân thể vật chất của cá nhân); (iii) Sự riêng tư về thông tin liên lạc (trong truyền thông); (iv) Sự riêng tư về nơi cư trú. Như vậy, bảo vệ TTCN luôn được tiếp cận là một nội dung của quyền riêng tư nhằm bảo vệ cá nhân - là chủ thể TTCN trước sự xâm hại từ các chủ thể khác.
Tuy nhiên, bảo vệ TTCN còn luôn được các quốc gia xem xét đa chiều, đa lợi ích, trong mối quan hệ tổng thể, hài hoà. Trước tiên, bảo vệ TTCN được coi là “tấm khiên” bảo vệ cá nhân trước việc thực thi Quyền tiếp cận thông tin, rộng hơn là Quyền tự do biểu đạt. Đây là mối quan hệ giữa 2 quyền cơ bản của con người có tính đối kháng, xung đột với nhau. Bên cạnh đó, bảo vệ TTCN còn được đặt trong việc bảo đảm quyền, lợi ích của tập thể, nhà nước và quốc gia; trong đó, việc thúc đẩy thương mại, kinh tế cần được chú trọng. Mục đích là để đáp ứng nhu cầu giao tiếp, thúc đẩy biểu đạt, trao đổi thông tin trong xã hội và cho phép doanh nghiệp, nhà nước và một số chủ thể khác được tiếp cận, thu thập, sử dụng TTCN hợp lý để phát triển kinh tế, phục vụ lợi ích chính đáng của cộng đồng, quốc gia. Vì vậy, pháp luật về bảo vệ TTCN các quốc gia đều ghi nhận một số nguyên tắc và có những quy định để thể hiện và bảo đảm quan điểm hài hoà lợi ích này. Ví dụ một số nguyên tắc như: phù hợp với mục đích sử dụng; tối thiểu hợp lý phạm vi TTCN được bảo vệ; cân xứng, tôn trọng quyết định của chủ thể TTCN và bảo đảm quyền truy cập cho người có liên quan; ở cấp độ quốc gia là quy định về bảo vệ dữ liệu khi dịch chuyển xuyên quốc gia (Nguyên tắc bảo vệ dữ liệu trong “Tuyên bố Montreux” tại Hội nghị Bảo vệ Dữ liệu Quốc tế (2005)). Hay có một số quy định loại trừ áp dụng đối với một số TTCN và giới hạn quyền của chủ thể TTCN trong những trường hợp nhất định như: không áp dụng đối với việc cá nhân sử dụng TTCN của mình ở phạm vi trong nước và không vì mục đích kinh doanh hay TTCN đã được cá nhân đó công bố, công khai; quy định thông tin về hồ sơ y tế của một cá nhân – dù thuộc loại thông tin nhạy cảm nhưng vẫn có thể được sử dụng cho mục đích nghiên cứu phòng, chữa bệnh…
Dựa vào phân loại TTCN, mục đích sử dụng và hoạt động thông tin để thiết lập cơ chế, cách thức bảo vệ tương ứng
TTCN vô cùng đa dạng, phức tạp nên xây dựng cơ chế pháp lý để bảo vệ TTCN là một thách thức. Để tìm ra cơ chế, cách thức bảo vệ TTCN khả thi, các nhà lập pháp thường dựa trên và kết hợp 3 yếu tố gồm: (i) bảo vệ ai/cái gì (TTCN), để làm gì (mục đích) và bằng cách nào (hoạt động thông tin).
Phân loại TTCN được sử dụng để xác định phạm vi, mức độ bảo vệ TTCN. Có nhiều cách thức phân loại khác nhau nhưng phổ biến nhất là: (i) Theo nội dung thông tin, TTCN được chia thành các nhóm theo lĩnh vực, chủ đề nhất định hoặc đơn giản là liệt kê (Ví dụ: Ở Nhật Bản chia thành 10 nhóm, ở Nam Phi chia thành 8 nhóm, ở Đài Loan (Trung Quốc) là liệt kê). (ii) Theo tính chất thông tin (gắn với chủ thể thông tin hoặc nội dung thông tin), TTCN được chia thành: TTCN thông thường (General personal data), TTCN đặc biệt (special categories of personal data) và TTCN của trẻ em. Trong đó, TTCN đặc biệt là TTCN mà việc tiếp cận, sử dụng có nguy cơ ảnh hưởng tới sức khoẻ, tính mạng, nhân phẩm, danh dự, tài sản của cá nhân như TTCN nhạy cảm (SPI), TTCN về bí mật cá nhân, bí mật gia đình... Nguyên tắc chung, TTCN ở những lĩnh vực thiết yếu đối với đời sống một con người và TTCN có tính chất đặc biệt sẽ được bảo vệ ở cấp độ cao hơn, với cơ chế, cách thức bảo vệ chặt chẽ, nghiêm ngặt hơn.
Mục đích sử dụng TTCN cũng được dùng để xác định cơ chế, cách thức bảo vệ TTCN theo nguyên tắc chung như sau:
- Mọi hoạt động thông tin đều phải có mục đích và tuân thủ mục đích;
- Mục đích phải cụ thể, rõ ràng, hợp lý, hợp pháp, công khai;
- Mục đích quan trọng hơn phải được ưu tiên;
- Mục đích cá nhân phải đặt sau mục đích cộng đồng, nhà nước và quốc gia.
Ví dụ: Luật bảo vệ TTCN Nhật Bản năm 2003 (sửa đổi năm 2015 quy định: Các chủ thể có quyền xử lý TTCN mà không bắt buộc phải có sự đồng ý của chủ thể TTCN nếu để bảo vệ tính mạng, cơ thể, tài sản của một cá nhân hoặc để cải thiện sức khỏe cộng đồng, thúc đẩy sự phát triển của trẻ em (Khoản 3, Điều 16).
Cơ chế, cách thức bảo vệ TTCN ở các nước còn được xây dựng gắn với các hoạt động thông tin, từ tiếp cận, thu thập, xử lý đến sử dụng, chỉnh sửa và xoá bỏ, huỷ bỏ TTCN. Yếu tố này chủ yếu được sử dụng làm cơ sở để xác định quyền, nghĩa vụ cụ thể của các bên có liên quan trong từng hoạt động. Nguyên tắc chung trong việc này là:
- TTCN được bảo vệ toàn diện trên các hoạt động thông tin;
- Hoạt động có mức độ tiếp cận sâu, đe dọa lớn đến sự an toàn của TTCN sẽ được bảo vệ cao hơn, quyền của chủ thể TTCN nhiều hơn và tương ứng là nghĩa vụ của các chủ thể có liên quan cao hơn và ngược lại.
Ví dụ: Nếu chỉ là hoạt động thu thập TTCN trong phạm vi cho phép, các chủ thể thu thập TTCN chỉ cần công khai mục đích, gửi thông báo cho cá nhân đó biết và nếu không có tín hiệu từ chối rõ ràng thì có thể thực hiện. Còn trong trường hợp cần tiết lộ, công khai hoặc xử lý TTCN thì phải thực hiện nhiều nghĩa vụ khác như phải có văn bản đồng ý, phải có các biện pháp kỹ thuật để bảo vệ thông tin…
Tóm lại, về cơ bản, mức độ bảo vệ và cơ chế, cách thức bảo vệ TTCN được xác định và thiết kế tương ứng với loại hình TTCN, mục đích sử dụng gắn với các hoạt động thông tin. Đối với TTCN thông thường, mục đích sử dụng hợp pháp, hợp lý và hoạt động thông tin ít nguy hại thì cơ chế, cách thức bảo vệ đơn giản hơn và ngược lại. Đây là nguyên lý cơ bản, xuyên suốt cho việc xây dựng cơ chế, cách thức bảo vệ TTCN trong các văn bản pháp lý quốc tế và các quốc gia.
Thiết lập cơ chế tổng thể để bảo vệ TTCN; trong đó, việc thực thi quyền quyết định của chủ thể TTCN là “chìa khoá” giải quyết vấn đề
Để bảo vệ TTCN, cần sự chung tay của cả xã hội và bằng nhiều cơ chế, công cụ, biện pháp khác nhau và trách nhiệm của cộng đồng, trong đó, pháp luật đóng vai trò đặc biệt quan trọng. Pháp luật các nước thường thiết lập cơ chế bảo vệ TTCN mang tính tổng thể, bao trùm, về cả thể chế, thiết chế và cách thức vận hành. Trong đó, nhóm quy định về quyền, nghĩa vụ của các chủ thể là nội dung cốt lõi của pháp luật về bảo vệ TTCN. Vì vậy, pháp luật các nước đều thể hiện nguyên tắc chung là: Trừ trường hợp pháp luật có quy định khác hoặc có thỏa thuận cụ thể khác, cá nhân phải thực hiện và không được từ bỏ các quyền liên quan đến TTCN của mình, bao gồm bất kỳ yêu cầu, đề nghị thực hiện các hoạt động thông tin nào, từ xem xét, sao chép, bổ sung, chỉnh sửa, ngừng thu thập, xử lý, sử dụng, đến xóa bỏ, huỷ bỏ TTCN (Điều 3 Luật bảo vệ TTCN của Đài Loan (Trung Quốc) năm 2015).
Nhưng trong pháp luật bảo vệ TTCN, TTCN có tính định danh, cá nhân là chủ thể TTCN, bảo vệ TTCN thuộc về quyền riêng tư nên Quyền quyết định của cá nhân - chủ thể TTCN là quyền cốt lõi, là “chìa khoá” tiếp cận và giải quyết các vấn đề pháp lý liên quan đến bảo vệ TTCN. Quyền quyết định này được thể hiện cơ bản qua Quyền được biết và Quyền đồng ý.
Quyền được biết là quyền cá nhân được biết TTCN của mình đã, đang và sẽ được làm gì? Quyền này luôn đi liền và là cơ sở của Quyền đồng ý, Quyền truy cập TTCN của mình và từ đó thực hiện Quyền cải chính TTCN. Vì vậy, nội dung cơ chế, cách thức bảo vệ TTCN và quyền, nghĩa vụ pháp lý của các chủ thể pháp luật có liên quan đều được xây dựng xoay quanh việc xác lập và thực hiện 2 quyền này. Thể hiện qua một số khía cạnh sau:
“Thông báo bảo mật” là nghĩa vụ của các chủ thể khác trong quan hệ pháp lý để bảo đảm Quyền được biết của cá nhân. Nó phải được gửi sớm, dễ nhận biết và đầy đủ, rõ ràng đến mức một người bình thường phải hiểu được bản chất, mục đích và hậu quả nếu họ đồng ý. Sớm có nghĩa là chủ thể tiến hành các hoạt động thông tin phải thực hiện tất cả các bước hợp lý để bảo đảm Thông báo bảo mật được cung cấp trước hoặc tại thời điểm thu thập TTCN; nếu chưa thể thì phải thực hiện ngay sau khi có thể thực hiện được. Dễ nhận biết là cá nhân phải được cảnh bảo để biết và hiểu rõ hậu quả trước khi đưa ra bất cứ hành vi nào. Đầy đủ, rõ ràng là nội dung thông báo bảo mật phải có đủ các thông tin được luật định, rộng hơn là các điều khoản về chính sách của chủ thể khai thác TTCN. Ít nhất phải bao gồm thông tin cho biết là thực tế TTCN đang được tiếp cận, thu thập; mục đích đang và có thể sẽ được sử dụng; tên, địa chỉ của chủ thể khai thác; các TTCN có thể được tiết lộ; việc chuyển TTCN cho bên thứ 3; các lựa chọn của chủ thể TTCN… Tuỳ theo loại TTCN mà thông báo bảo mật có thể bắt buộc phải bằng văn bản hoặc có thời hạn trả lời. Ví dụ: Việc sửa đổi, xoá, huỷ bỏ TTCN của chủ thể quản lý TTCN thường phải được thông báo bằng văn bản.
Quyền đồng ý được biểu đạt bởi quyết định đồng ý, không đồng ý và thay đổi quyết định. Đồng ý bao hàm đồng ý ngầm, đồng ý chính thức và đồng ý bằng văn bản. Nguyên tắc chung là (i) đề cao, tôn trọng quyền quyết định của cá nhân đối với TTCN của mình; (ii) TTCN càng quan trọng thì cách thức, hình thức thực hiện quyền của cá nhân càng chặt chẽ, rõ ràng. Tuy nhiên, cần lưu ý, Quyền đồng ý của cá nhân không phải là tất cả và tuyệt đối. Trong một số trường hợp được quy định, các hoạt động thông tin vẫn có thể được thực hiện hoặc không được thực hiện mà không phụ thuộc vào quyết định của cá nhân. Ví dụ: Nếu vì mục đích an ninh quốc gia, TTCN vẫn có thể được cơ quan nhà nước sử dụng, cho dù cá nhân đó không đồng ý. Hoặc sẽ không được sử dụng TTCN dù đã có văn bản đồng ý của họ trước đó nhưng chứng minh được rằng văn bản đó không phản ánh ý chí đúng đắn của cá nhân.
Như vậy, bài viết đã nghiên cứu khái quát các mô hình pháp luật bảo vệ TTCN của một số tổ chức, quốc gia trên thế giới, từ đó chỉ ra quan điểm tiếp cận, cơ chế pháp lý và cách thức để bảo vệ TTCN. Đây cũng là những gợi ý cho Việt Nam trong quá trình nghiên cứu xây dựng, ban hành Luật về bảo vệ TTCN.