Bảo vệ thông tin, dữ liệu cá nhân và quyền riêng tư trên môi trường số

Hiến pháp năm 2013 và nhiều đạo luật khác đã ghi nhận quyền riêng tư như một quyền con người cơ bản ở Việt Nam. Trong giai đoạn hiện nay, khi quá trình chuyển đổi số, xây dựng chính quyền số là một trong những mục tiêu quan trọng của quốc gia, việc bảo vệ, đảm bảo quyền riêng tư trên môi trường số có ý nghĩa quan trọng. Dữ liệu, thông tin cá nhân được thu thập rất nhiều qua các công cụ trên môi trường số, điển hình như cổng thông tin điện tử (TTĐT), cổng dịch vụ công trực tuyến (DVCTT) và ứng dụng thông minh của Ủy ban nhân dân (UBND) cấp tỉnh.

Tuy nhiên, việc bảo vệ dữ liệu cá nhân, đảm bảo quyền riêng tư trên các nền tảng đó vẫn chưa được chú ý; vẫn còn những khoảng cách nhất định so với quy định pháp luật.

Trong bối cảnh nói trên, đối chiếu với khung pháp luật hiện hành, Viện nghiên cứu Chính sách và Phát triển Truyền thông - IPS đã có một số nghiên cứu đã đánh giá tổng quan ban đầu về thực tiễn bảo vệ dữ liệu cá nhân, đảm bảo quyền riêng tư, trên các cổng TTĐT, cổng dịch vụ công trực tuyến của 63 tỉnh, thành phố trực thuộc trung ương, ứng dụng thông minh của 50 tỉnh, thành.

Từ đó, đưa ra một số khuyến nghị phù hợp về mặt chính sách, pháp luật và thực thi pháp luật tới các cơ quan hữu quan ở trung ương và địa phương nhằm cải thiện việc bảo vệ dữ liệu cá nhân trên các nền tảng tương tác giữa chính quyền và người dân trên mạng Internet.

Thực trạng bảo vệ dữ liệu cá nhân trên các nền tảng tương tác giữa chính quyền và người dân trên mạng Internet ở cấp tỉnh

Việc đánh giá được thực hiện trên hai phương diện: Các chính sách bảo vệ quyền riêng tư của chính quyền địa phương ban hành (có nêu rõ cơ quan chịu trách nhiệm bảo vệ quyền riêng tư; những loại thông tin nào được thu thập; thông tin cá nhân được chia sẻ cho cơ quan nào; quyền riêng tư của trẻ em v.v....); Các biện pháp cụ thể để thực hiện các chính sách đó qua các công cụ kỹ thuật.

Đồng thời, dựa trên các nguyên tắc của Liên Hợp Quốc (LHQ), đánh giá thực tiễn bảo vệ dữ liệu cá nhân và quyền riêng tư của các địa phương theo 06 tiêu chí: tính công bằng, hợp pháp trong xử lý thông tin cá nhân; mục đích sử dụng thông tin cá nhân rõ ràng; tính tương xứng và cần thiết; nguyên tắc lưu trữ thông tin; tính minh bạch; và tính giải trình trong thu thập, xử lý dữ liệu cá nhân.

Một số địa phương đã và đang có sự nỗ lực trong xây dựng và triển khai các công cụ khác nhau để bảo vệ dữ liệu cá nhân, và rộng hơn là quyền riêng tư, trên các nền tảng tương tác với người dân. Tuy nhiên, nói chung, chính quyền các tỉnh, thành phố chưa quan tâm nhiều đến vấn đề này. Không có địa phương nào thực hiện tốt việc bảo vệ dữ liệu cá nhân nói chung trên các nền tảng khác nhau, mà chỉ có một số cách làm tốt ở một số khía cạnh cụ thể. Chỉ có 4 trong số 63 cổng TTĐT và 3 trong số 63 cổng DVCTT có đăng tải văn bản đề cập chính sách bảo vệ quyền riêng tư của mình (thường được gọi là Quy chế).

Trong số 50 tỉnh, thành phố có vận hành ứng dụng thông minh để tương tác với công dân, 32 địa phương có đăng tải chính sách bảo vệ quyền riêng tư do yêu cầu của Google Play và Apple Store phải làm như vậy đối với ứng dụng. Có thể thấy, các chính sách, công cụ liên quan đến bảo vệ dữ liệu cá nhân trên cổng TTĐT, cổng DVCTT và ứng dụng thông minh của các tỉnh, thành phố còn mang tính tự phát, mà chưa xuất phát từ nhận thức rõ ràng về tầm quan trọng của việc bảo vệ quyền riêng tư của công dân. Các địa phương chú ý nhiều đến các yêu cầu kỹ thuật nhằm đảm bảo an toàn, bảo mật của dữ liệu; phòng chống các mối nguy cơ, rủi ro đối với an ninh mạng hơn là tính riêng tư của dữ liệu cá nhân và quyền riêng tư của người sử dụng ba nền tảng tương tác nêu trên.

Có thể dễ dàng tiếp cận trực tuyến các văn bản của chính quyền địa phương về an toàn thông tin, nhưng 59 cổng TTĐT và 60 cổng DVCTT không thể tìm thấy văn bản về bảo vệ dữ liệu cá nhân. Không chỉ thế, hầu như các nền tảng hiện thời chỉ yêu cầu người dùng khẳng định thông tin họ cung cấp là chính xác, nhưng lại không có công cụ để người dùng lựa chọn để bảo vệ quyền riêng tư.

Hơn thế, không một chính sách, nền tảng nào nói trên đáp ứng đầy đủ yêu cầu của pháp luật liên quan đến quyền riêng tư trên môi trường số theo 17 chỉ tiêu nhỏ, cũng như theo 6 nguyên tắc của LHQ về bảo vệ dữ liệu cá nhân và quyền riêng tư như đã đề cập ở trên. Cụ thể, trong số 39 chính sách về quyền riêng tư được công khai, 16 chính sách chỉ bằng tiếng Anh, mà không có tiếng Việt, và 22 chính sách thì ngược lại. Những chính sách hiện có trên các nền tảng tương tác với công dân ở cấp tỉnh chưa có các điều khoản bảo vệ thông tin, quyền riêng tư của trẻ em; song, lại đưa ra điều khoản để thu thập nhiều loại thông tin vượt quá giới hạn được phép; không viện dẫn cơ sở pháp lý; không nêu rõ mục đích thu thập thông tin cá nhân.

Những chính sách này không thể hiện rõ quyền được đồng ý/không đồng ý của người dùng đối với việc thu thập thông tin cá nhân và chưa cung cấp công cụ để người dùng thể hiện quyền được tiếp cận, yêu cầu chỉnh sửa thông tin, khiếu nại v.v...

Đặc biệt, trừ một trường hợp của ứng dụng thông minh tỉnh Hậu Giang, hầu hết các văn bản về chính sách quyền riêng tư trên các Cổng và ứng dụng thông minh đều không xác định rõ mối quan hệ pháp lý giữa cơ quan Nhà nước chịu trách nhiệm chính với người sử dụng các ứng dụng và các Cổng. Do không xác định rõ chủ thể quản lý dữ liệu, trách nhiệm pháp lý đối với dữ liệu cá nhân bị lẫn lộn giữa "cơ quan chủ quản" (Ủy ban nhân dân tỉnh, thành phố), "cơ quan/đơn vị vận hành" (Sở Thông tin và Truyền thông) và doanh nghiệp cung cấp dịch vụ xây dựng nền tảng.

Chỉ có 1 trong số 39 chính sách về quyền riêng tư được rà soát nêu rõ, UBND tỉnh là cơ quan chịu trách nhiệm đối với việc thu thập, lưu trữ dữ liệu cá nhân qua các Cổng DVCTT và các ứng dụng thông minh; còn Sở TT&TT là cơ quan thay mặt UBND vận hành, xử lý dữ liệu trên các nền tảng này. Thực trạng này đáng lưu ý ở chỗ, nó không chỉ tạo ra khoảng trống về trách nhiệm đối với thông tin cá nhân thu thập qua các nền tảng nói trên, mà còn không rõ căn cứ để xác định chủ thể chịu trách nhiệm và xem xét trách nhiệm lưu trữ, quản lý, sử dụng, chia sẻ khối dữ liệu khổng lồ sau khi đã được thu thập từ người dùng qua các nền tảng tương tác của chính quyền địa phương.

Ở mức độ tổng quan, nếu đặt việc bảo vệ quyền riêng tư trong toàn bộ quá trình tương tác của chính quyền địa phương với công dân trên môi trường số, có thể nói, các yếu tố đầu vào như cơ sở vật chất, hạ tầng kỹ thuật đã được quan tâm khá nhiều. Tuy nhiên, quá trình thực hiện các chính sách, pháp luật có liên quan đến bảo vệ thông tin, dữ liệu cá nhân của người dùng nói riêng, và quyền riêng tư của người dân nói chung cần được cải thiện nhiều hơn nữa.

Đặc biệt, kết quả đầu ra gồm mức độ bảo vệ dữ liệu cá nhân và đáp ứng quyền riêng tư của người dân còn chưa được như mục tiêu mong muốn đã đề ra trong Hiến pháp năm 2013, Luật số 86/2015/QH13 về an toàn thông tin mạng, Luật số 67/2006/QH11 về công nghệ thông tin, Nghị định số 47/2020/NĐ-CP về quản lý, kết nối và chia sẻ dữ liệu số của cơ quan nhà nước, Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước, Nghị định số 43/2011/NĐ-CP quy định về việc cung cấp thông tin và dịch vụ công trực tuyến trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước, và Thông tư số 25/2010/TT- BTTTT quy định việc thu thập, sử dụng, chia sẻ thông tin cá nhân và các biện pháp đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước.

Một số khuyến nghị hoàn thiện khung pháp luật quốc gia

Ở tầm quốc gia, các văn bản quy phạm pháp luật có liên quan cần điều chỉnh một số vấn đề sau đây liên quan đến bảo vệ dữ liệu cá nhân, quyền riêng tư: Một là, cần xác định, phân loại rõ ràng dữ liệu cá nhân phù hợp với các xu hướng mới của chuyển đổi số, trong đó có các loại dữ liệu cá nhân được thu thập từ người sử dụng trên các nền tảng tương tác của chính quyền. Đồng thời, cần phân biệt giữa tính riêng tư của dữ liệu và an toàn bảo mật dữ liệu, theo đó tính riêng tư quan tâm bảo vệ quyền riêng tư của người dân, còn an toàn bảo mật dữ liệu chú trọng bảo vệ hệ thống công nghệ thông tin và an ninh của cơ quan Nhà nước qua các công cụ kỹ thuật.

Hai là, cần phân biệt rõ ràng giữa chủ thể kiểm soát dữ liệu và chủ thể xử lý dữ liệu, từ đó xác định rõ trách nhiệm pháp lý của các chủ thể đó đối với chủ thể dữ liệu cá nhân. Cần thiết lập chế độ trách nhiệm pháp lý mặc nhiên của cơ quan Nhà nước khi đăng tải văn bản chính sách về quyền riêng tư; hoặc khi họ cung cấp công cụ cho người dân thể hiện quyền của mình, ví dụ như quyền đồng ý hoặc không đồng ý cung cấp thông tin cá nhân trên ứng dụng thông minh. Tương tự, cần làm rõ mối quan hệ pháp lý giữa cơ quan Nhà nước thu thập dữ liệu cá nhân với doanh nghiệp cung cấp nền tảng tương tác trên môi trường số.

Ba là, xác định rõ trách nhiệm của các cơ quan liên quan và chuẩn hóa quy trình, thủ tục minh bạch trong sử dụng, chia sẻ dữ liệu cá nhân trong các cơ quan Nhà nước và với các chủ thể bên ngoài. Điều này đặc biệt quan trọng trong bối cảnh một khối dữ liệu cá nhân khổng lồ được thu thập qua các nền tảng tương tác của chính quyền với người dân, kéo theo mối quan tâm lớn để làm sao đảm bảo khối dữ liệu đó được bảo vệ, quyền riêng tư được đảm bảo trong quá trình lưu trữ, sử dụng, chia sẻ sau đó.

Bốn là, Luật cần có quy định về nhân sự phụ trách bảo vệ dữ liệu cá nhân và quyền riêng tư trong hoạt động của các cơ quan Nhà nước, ít nhất ở cấp tỉnh; công bố thông tin về nhân sự này để người dân liên hệ khi cần thiết. Người này có nhiệm vụ tham mưu cho các cơ quan Nhà nước về những vấn đề bảo vệ dữ liệu cá nhân và quyền riêng tư; theo dõi việc tuân thủ các quy định pháp luật, chuẩn mực chung và quy tắc nội bộ về bảo vệ dữ liệu cá nhân và quyền riêng tư; kết nối người cung cấp dữ liệu với cơ quan chủ quản dữ liệu khi cần thiết.

Năm là, để đạt được sự đồng nhất giữa các tỉnh, thành phố trực thuộc trung ương trên toàn quốc trong thực tiễn bảo vệ quyền riêng tư trên môi trường số, cần liên tục đánh giá, nghiên cứu các thông lệ, cách làm tốt. Từ đó, khái quát thành các quy định, hướng dẫn cụ thể để các địa phương nắm bắt được các chuẩn mực, dễ dàng bám sát, tuân theo; hướng tới tạo cơ sở pháp lý để các tỉnh bảo vệ quyền riêng tư tốt hơn trên môi trường số.

Ngày 24/6/2022, Chính phủ đã ban hành Nghị định số 42/2022/NĐ-CP quy định về việc cung cấp thông tin và dịch vụ công trực tuyến của cơ quan nhà nước trên môi trường mạng thay thế cho Nghị định số 43/2011/NĐ-CP. Căn cứ trách nhiệm được giao tại Nghị định số 42/2022/NĐ-CP, Bộ TT&TT có thể chủ trì xây dựng các văn bản mẫu cho các cơ quan chính quyền địa phương sử dụng trong quá trình cung cấp các dịch vụ công trực tuyến, bảo đảm quyền riêng tư, bảo vệ dữ liệu cá nhân. Đó là Quy chế mẫu về quyền riêng tư; Thỏa thuận sử dụng mẫu; hoặc, Hợp đồng mẫu giữa bên cung cấp và bên sử dụng các nền tảng tương tác của chính quyền với người dân./.