Tổng quan về các văn bản pháp lý hiện hành của Việt Nam

          Bảo vệ thông tin cá nhân là một trong những quyền cơ bản của con người. Cùng với sự phát triển nhanh chóng của Công nghệ thông tin (CNTT), thông tin cá nhân ngày càng trở nên dễ bị khai thác, phát tán, lạm dụng không đúng mục đích. Để bảo vệ thông tin cá nhân, Nhà nước đã ban hành nhiều văn bản quy phạm pháp luật, cụ thể:

- Pháp luật dân sự: Bộ Luật dân sự năm 2005 đã đưa ra một số quy định nguyên tắc tại Điều 31 - Quyền của cá nhân đối với hình ảnh và Điều 38 - Quyền bí mật đời tư [1].

- Pháp luật bảo vệ người tiêu dùng: Điều 6 của Luật bảo vệ người tiêu dùng năm 2010 quy định trách nhiệm của tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ trong việc thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng [2].

- Pháp luật về giao dịch điện tử: Điều 46 của Luật giao dịch điện tử năm 2005 quy định chung về bảo mật thông tin trong giao dịch điện tử [3]. Trong các văn bản hướng dẫn thi hành Luật giao dịch điện tử, trước đây chỉ có Thông tư số 09/2008/TT-BCT ngày 21/7/2008 của Bộ Công Thương đưa ra một số quy định bảo vệ thông tin cá nhân trên website thương mại điện tử tại Điều 21 [8]. Ngày 16/5/2013, Chính phủ ban hành Nghị định số 52/2013/NĐ-CP về Thương mại điện tử, quy định khá chi tiết về bảo vệ thông tin cá nhân từ Điều 68 đến Điều 73.

- Pháp luật chuyên ngành về viễn thông: Luật viễn thông năm 2009 có Điều 6 và 16 quy định về bảo vệ thông tin riêng của tổ chức, cá nhân tham gia hoạt động viễn thông [4].

- Pháp luật chuyên ngành về CNTT: Luật công nghệ thông tin năm 2006 đã có những quy định rõ ràng, cụ thể hơn về trách nhiệm bảo vệ thông tin cá nhân tại các Điều 21,22 và 72 [5]. Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng CNTT trong hoạt động của cơ quan nhà nước đã có Điều 3 giải thích khái niệm Thông tin cá nhân và Điều 5 quy định về bảo vệ thông tin cá nhân do cơ quan nhà nước tiến hành thu thập và nắm giữ trên môi trường mạng [7]. Để hướng dẫn Nghị định 64, Bộ Thông tin và Truyền thông đã ban hành Thông tư số 25/2010/TT-BTTTT ngày 15/11/2010 quy định về việc thu thập, sử dụng, chia sẻ, bảo đảm an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước [10]. Các qui định trong Thông tư được nêu rõ ràng, mạch lạc, theo kịp xu hướng và phù hợp với chuẩn mực quốc tế, là nguồn tham khảo rất hữu ích để khái quát hóa, mở rộng áp dụng cho các ngành, lĩnh vực khác ở Việt Nam.

Từ góc độ xử lý vi phạm hành chính liên quan đến thông tin cá nhân, Nghị định số 63/2007/NĐ-CP ngày 10/4/2007 của Chính phủ có Điều 6 quy định mức xử lý vi phạm hành chính từ 200.000 đồng đến 5.000.000 đồng cho các hành vi vi phạm quy định về thông tin cá nhân [8].

Từ góc độ xử lý hình sự, Luật sửa đổi, bổ sung một số điều của Bộ Luật Hình sự năm 2009 sửa đổi Điều 226 quy định hình phạt từ 10 triệu đồng đến 100 triệu đồng, cải tạo không giam giữ đến ba năm hoặc bị phạt tù từ 6 tháng đến 3 năm cho hành vi: “Mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa những thông tin riêng hợp pháp của cơ quan, tổ chức, cá nhân khác trên mạng máy tính, mạng viễn thông, mang Internet mà không được phép của chủ sở hữu thông tin đó” gây hậu quả nghiêm trọng [6].

Kinh nghiệm quốc tế

Vấn đề bảo vệ thông tin, dữ liệu cá nhân được các nước trên thế giới quan tâm từ khoảng 5 thập kỷ trở lại đây, từ những năm 1970. Hoa Kỳ là một trong số những nước sớm ban hành văn bản pháp luật đề điều chỉnh lĩnh vực này vào năm 1974. Tiếp theo đó là Úc (1988), Liên minh châu Âu (1995) và một loạt các nước và vùng lãnh thổ châu Á khác như Hồng Kông (1996), Nhật Bản (2003), Hàn Quốc (2005) v.v… Tính đến thời điểm hiện tại, đã có khoảng 40 nước trên thế giới ban hành văn bản pháp luật trong lĩnh vực này.

Kết quả khảo sát các văn bản trên cho thấy 6 vấn đề lớn sau đây:

Thứ nhất, có 3 xu hướng lập pháp chính trong bảo vệ thông tin cá nhân:

- Quy định rải rác tại nhiều văn bản chuyên ngành như: tài chính, ngân hàng, viễn thông. Đại diện tiêu biểu cho xu hướng này là Hoa Kỳ.

- Có văn bản chuyên biệt quy định chi tiết về bảo vệ thông tin cá nhân. Đại diện tiêu biểu cho xu hướng này là các nước thành viên Liên minh Châu Âu (EU).

- Kết hợp cả hai hướng trên: đại diện tiêu biểu cho xu hướng này là các nước châu Á như: Nhật Bản, Malaysia, v.v….

Thứ hai, các nước đều tương đối nhất quán trong việc định nghĩa thông tin cá nhân là “thông tin đủ để trực tiếp hoặc gián tiếp xác định chính xác một cá nhân cụ thể” (Mỹ, Châu Âu, Nhật Bản, Malaysia, v.v…).

Thứ ba, đối tượng chính mà các văn bản luật điều chỉnh bao gồm: chủ thể thông tin cá nhân và tổ chức thu thập, sử dụng thông tin cá nhân. Văn bản của một số nước đã giới hạn đối tượng điều chỉnh là các doanh nghiệp, tổ chức thu thập, sử dụng thông tin cá nhân phục vụ mục đích thương mại, kinh doanh, không bao gồm các cơ quan nhà nước (Nhật Bản, Malaysia, Trung Quốc). Lý do của việc giới hạn này cần được nghiên cứu sâu thêm.Văn bản của EU loại trừ thêm trường hợp xử lý thông tin cá nhân chỉ phục vụ hoạt động cá nhân.

Thứ tư, các nước đều tương đối nhất quán trong việc xác định các hành vi và quy phạm để điều chỉnh hành vi trong vấn đề bảo vệ thông tin cá nhân gồm: thu thập, cập nhật, sử dụng, lưu trữ, truyền đưa, cung cấp, chia sẻ, phát tán và gọi chung là xử lý (process hoặc handle).

Thứ năm, một số nước có quy định cơ chế tiếp nhận, giải quyết khiếu nại, phản ánh của người dân và doanh nghiệp về những vấn đề liên quan đến thông tin cá nhân và coi đây là một trong những trách nhiệm của cơ quan nhà nước có thẩm quyền (ví dụ: Nhật Bản).

Thứ sáu, một số nước đưa ra biện pháp yêu cầu các tổ chức xử lý thông tin cá nhân phải đăng ký với cơ quan quản lý nhà nước (Malaysia) và đặt vấn đề truyền đưa thông tin cá nhân qua biên giới (EU, Malaysia).

Bên cạnh các nội dung khái quát như trên, phần tiếp theo sẽ đi sâu vào trình bày một số nội dung cơ bản (giải thích khái niệm, phạm vi điều chỉnh và đối tượng áp dụng, đối tượng và hành vi được loại trừ) trong quy định bảo vệ thông tin cá nhân của một số nước trong khu vực châu Á là Malaysia, Nhật Bản và Trung Quốc.

Malaysia - Luật bảo vệ thông tin cá nhân năm 2010 (Act No.709)

- Khái niệm “thông tin cá nhân”: là thông tin trực tiếp hoặc gián tiếp liên quan tới một cá nhân cụ thể, có thể được xác định từ thông tin đó.

- Về phạm vi điều chỉnh và đối tượng áp dụng: Tổ chức, cá nhân xử lý thông tin cá nhân phục vụ mục đích thương mại, được thành lập tại Malaysia hoặc tổ chức, cá nhân nước ngoài nhưng sử dụng thiết bị đặt tại Malaysia để xử lý thông tin cá nhân hoặc trung chuyển thông tin cá nhân qua hệ thống hạ tầng mạng của Malaysia (nhóm đối tượng thực hiện hành vi này phải chỉ định đại diện hợp pháp tại Malaysia).

- Về đối tượng được loại trừ, không thuộc phạm vi điều chỉnh: Cáccơ quan thuộc Chính phủ liên bang hoặc chính quyền địa phương.

Nhật Bản - Luật bảo vệ thông tin cá nhân năm 2003 (Act No. 57)

- Khái niệm “thông tin cá nhân”: là thông tin về cá nhân đang sống được xác định một cách cụ thể bằng họ tên, ngày sinh hoặc những thông tin tương tự khác.

- Về phạm vi điều chỉnh và đối tượng áp dụng: Tổ chức, cá nhân xử lý thông tin cá nhân phục vụ mục đích kinh doanh.

- Về đối tượng được loại trừ, không thuộc phạm vi điều chỉnh: Các cơ quan Chính phủ trung ương và địa phương.

Trung Quốc - Quyết định về tăng cường bảo vệ thông tin mạng năm 2012

Quyết định nêu trên được thông qua tại cuộc họp lần thứ 30 của Uỷ ban thường vụ Đại hội đại biểu nhân dân toàn quốc lần thứ 11 ngày 28/12/2012.

- Khái niệm “thông tin cá nhân”: là thông tin mà từ đó có thể nhận biết thân phận của công dân và liên quan đến sự riêng tư cá nhân của công dân.

- Về phạm vi điều chỉnh và đối tượng áp dụng: phạm vi điều chỉnh của văn bản này giới hạn chỉ bao gồm thông tin trên mạng (thông tin số). Đối tượng áp dụng chỉ bao gồm các doanh nghiệp cung cấp dịch vụ trên mạng, doanh nghiệp thu thập, xử lý thông tin cá nhân trong hoạt động thương mại, kinh doanh.

Bàn thêm về một số khái niệm

Tính bảo mật và tính riêng tư

Tính bảo mật (confidentiality) và tính riêng tư (privacy) là hai trong số những thuộc tính quan trọng thuộc phạm trù an toàn thông tin, được quan tâm thảo luận khá nhiều cả trong nước và quốc tế. Liên quan đến tính bảo mật và tính riêng tư, hiện nay đang có 2 cách hiểu như sau:

- Quan điểm thứ nhất, nhìn nhận tính riêng tư theo nghĩa hẹp, xét từ góc độ kỹ thuật, công nghệ mà nhìn nhận, cho rằng tính riêng tư là một bộ phận của tính bảo mật. Nói cách khác, tính bảo mật bao trùm lên tính riêng tư. Quan điểm này được sử dụng trong văn bản pháp luật của Mỹ về an toàn thông tin.

- Quan điểm thứ hai, nhìn nhận tính riêng tư theo nghĩa rộng hơn, dưới hình thức là một quyền cơ bản của con người, cho rằng tính riêng tư và tính bảo mật có liên quan với nhau, giao thoa nhau, chứ không bao gồm lẫn nhau. Quan điểm này cho rằng tính riêng tư gắn với con người, còn tính bảo mật gắn với thông tin.

          Từ phân tích trên, có thể thấy, trong phạm vi chỉ xét đến thông tin trên mạng, hướng tới đối tượng điều chỉnh chính là các tổ chức, cá nhân xử lý thông tin cá nhân phục vụ mục đích thương mại và kinh doanh thì việc nhìn nhận tính riêng tư theo nghĩa rộng, như là một quyền cơ bản của con người, sẽ là rộng hơn phạm vi điều chỉnh dự kiến của Luật An toàn thông tin mà phải thuộc một Luật chuyên biệt về Bảo vệ thông tin cá nhân hoặc trong Hiến pháp.

          Trong Luật an toàn thông tin, với phạm vi điều chỉnh giới hạn chủ yếu là thông tin trên mạng, thì việc quy định theo quan điểm thứ nhất sẽ là phù hợp hơn.

Thông tin cá nhân và dữ liệu cá nhân

Từ góc độ khoa học máy tính nói chung để nhìn nhận thì khái niệm “thông tin” và “dữ liệu” là 2 khái niệm khác nhau. Tuy có nhiều định nghĩa khác nhau cho hai khái niệm này nhưng về cơ bản có sự thống nhất chung trong cách hiểu, đó là: dữ liệu là tổ chức thấp hơn của thông tin, dữ liệu được tổ chức, xử lý, biểu diễn, kết hợp lại để tạo thành thông tin. Ví dụ:

- 1,7 là một số nó được xem là dữ liệu, còn “chiều cao của anh Nam là 1,7 m” sẽ cho người đọc một mô tả về một con người đây là thông tin.

- Số điện thoại bản thân nó không có giá trị thông tin gì, nó chỉ là con số (dữ liệu), nhưng nếu số điện thoại lại gắn kết với một người cụ thể có tên tuổi, chức vụ, nó sẽ cung cấp về thông tin về một con người cụ thể, lúc đó các con số này mới có giá trị (tính bí mật, tính riêng tư…).

Tuy nhiên, nếu xét từ góc độ an toàn thông tin là bảo vệ thông tin và hệ thống thông tin nhằm bảo đảm 3 thuộc tính: tính nguyên vẹn, tính bảo mật và tính khả dụng mà nhìn nhận thì đối với khái niệm “thông tin” hay khái niệm “dữ liệu” cũng không có gì khác nhau. Vì vậy, trong văn bản khác nhau của các nước, ngoài việc ngôn ngữ gốc quy định có thể cụ thể hơn, nhưng khi dịch ra tiếng Anh thì người dịch có thể dùng là “personal information” – thông tin cá nhân hoặc “personal data” – tùy theo cách dịch, mà không làm ảnh hưởng tới nội dung cũng như tinh thần chủ yếu của các quy định trong văn bản luật.

Tóm lại, từ góc độ khoa học máy tính nhìn nhận thì có sự khác nhau giữa “thông tin” và “dữ liệu”, do đó, có sự khác nhau giữa “thông tin cá nhân” và “dữ liệu cá nhân”. Nhưng đứng từ góc độ xây dựng các văn bản quy phạm pháp luật mà nhìn nhận, hai khái niệm trên cơ bản có thể sử dụng một cách tương đương nhau mà không có sự khác biệt đáng kể nào trong các quy phạm điều chỉnh.

Đánh giá, nhận định

Căn cứ vào kết quả khảo sát, đánh giá hệ thống văn bản pháp luật trong nước và kinh nghiệm quốc tế về bảo vệ thông tin cá nhân, bài viết này rút ra một số kết luận như sau:

Thứ nhất, vấn để bảo vệ thông tin cá nhân là một vấn đề thuộc phạm trù an toàn thông tin. Nó liên quan đến đủ 3 thuộc tính của an toàn thông tin là: bảo mật (confidentiality), nguyên vẹn (integrity) và khả dụng, sẵn sàng (availability).

Thứ hai, văn bản pháp luật hiện hành đã bước đầu đưa ra một số quy định mang tính nguyên tắc đối với vấn đề bảo vệ thông tin cá nhân. Tuy nhiên, hiện chưa có khái niệm nhất quán về thông tin cá nhân (mỗi văn bản dùng một loại thuật ngữ riêng mà chưa giải thích, ví dụ, thông tin cá nhân, thông tin riêng, bí mật đời tư, thông tin của người tiêu dùng). Các quy định chỉ dừng lại ở mức hết sức nguyên tắc, chưa rõ đối tượng và hành vi cần điều chỉnh. (Ví dụ, một cá nhân thu thập thông tin cá nhân của bạn bè để lưu vào danh bạ vẫn bị điều chỉnh bởi những văn bản hiện hành? Chưa rõ quyền và trách nhiệm của các bên liên quan). Vì vậy, dẫn đến khó khăn khi áp dụng vào đời sống thực tế. Trên thực tế, vấn đề bảo vệ thông tin cá nhân đã trở nên nóng hơn, thu hút được sự quan tâm của dư luận trong thời gian vừa qua.

Như vậy, với quan điểm tính bảo mật trùm lên tính riêng tư thì việc đưa nội dung bảo vệ thông tin cá nhân vào Luật an toàn thông tin là hết sức cần thiết. Nội dung đưa ra cần xuất phát từ các yêu cầu của thực tiễn Việt Nam, khái quát, hệ thống hóa lại các quy định đã được đưa ra một cách riêng rẽ tại các văn bản khác và bao trùm lên các quy định này, để tạo hành lang pháp lý rõ ràng cho việc bảo vệ thông tin cá nhân tại Việt Nam.

TÀI LIỆU THAM KHẢO

 [1] Bộ Luật dân sự số 33/2005/QH11 được Quốc hội Khóa XI thông qua ngày 14/6/2005.

[2] Luật bảo vệ người tiêu dùng số 59/2010/QH12 được Quốc hội Khóa XII thông qua ngày 17/11/2010.

[3] Luật giao dịch điện tử số 51/2005/QH11 được Quốc hội Khóa XI thông qua ngày 29/11/2005.

[4] Luật viễn thông số 41/2009/QH12 được Quốc hội Khóa XII thông qua ngày 23/11/2009.

[5] Luật công nghệ thông tin số 67/2006/QH11 được Quốc hội Khóa XI thông qua ngày 29/6/2006.

[6] Luật sửa đổi, bổ sung một số điều của Bộ Luật hình sự số 37/2009/QH12 được Quốc hội khóa XII thông qua ngày 19/06/2009.

[7] Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ quy định về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;

[8] Nghị định số 63/2007/NĐ-CP ngày 10/4/2007 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực công nghệ thông tin.

[9] Thông tư số 09/2008/TT-BCT ngày 21/7/2008 của Bộ Công Thương hướng dẫn về cung cấp thông tin và giao kết hợp đồng trên website thương mại điện tử.

[10] Thông tư số 25/2010/TT-BTTTT ngày 15/11/2010 của Bộ Thông tin và Truyền thông quy định về việc thu thập, sử dụng, chia sẻ, bảo đảm an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước.

[11] FISMA: Federal Information Security Management Act of 2002, 44 U.S.C. Sections 3541-3549.

[12] GLB Act: Gramm-Leach-Bliley Act, Public L. 106-102, Sections 501 and 505(b),

[13] Privacy Act of 1974: 5 U.S.C. Section 552a

[14] EU Data Protection Directive: European Union Directive 95/46/EC of February

20, 1995.

[15] Australia: Privacy Act 1988, Act No. 119 of 1988 as amended taking into

account amendments up to Act No. 86 of 2006, Schedule 3, Clause 4.

[16] Canada: Personal Information Protection and Electronic Documents Act ( 2000,

c. 5 ), Schedule 1, § 4.7.

[17] Hong Kong: Personal Data (Privacy) Ordinance, December 1996, Schedule 1,

Principle 4.

[18] Japan: Act on the Protection of Personal Information, Law No.57, 2003, Articles

20, 21, 22, and 43

[19] South Korea: The Act on Promotion of Information and Communications

Network Utilization and Information Protection, Etc., Amended by Act No. 7812.