Dự thảo Nghị Định Mới về Bảo Vệ Dữ Liệu Cá Nhân tại Việt Nam
Ngày 9 tháng 2 năm 2021, Bộ Công An đã ban hành dự thảo Nghị định về bảo vệ dữ liệu cá nhân (Dự Thảo Nghị Định). Nghị định này sau khi được ban hành sẽ là đạo luật toàn diện đầu tiên của Việt Nam về dữ liệu cá nhân. Blog này sẽ phân tích một số điểm chính của Dự Thảo Nghị Định và so sánh chúng với các điều khoản liên quan theo Quy Định Chung về Bảo Bệ Dữ Liệu (GDPR).[1] Bài viết do Nguyễn Thu Giang thực hiện và Nguyễn Quang Vũ biên tập. Vui lòng tải về bản pdf đầy đủ tại Đây.
1) Phạm vi áp dụng
a) Trong khi GDPR liệt kê các trường hợp không thuộc phạm vi điều chỉnh của GDPR, Dự Thảo Nghị Định có xu hướng điều chỉnh toàn diện mọi loại hoạt động liên quan đến dữ liệu cá nhân ở Việt Nam, cả về mặt nội dung và lãnh thổ.
Phạm vi nội dung
b) Không giống như GDPR, Dự Thảo Nghị Định không quy định các trường hợp nào có thể được miễn trừ khỏi các yêu cầu bảo vệ dữ liệu cá nhân. Ví dụ: GDPR miễn trừ các trường hợp sau khỏi phạm vi điều chỉnh của mình:[2]
i) việc xử lý dữ liệu cá nhân của một cá nhân trong quá trình hoạt động của cá nhân hoặc hộ gia đình thuần túy; và
ii) việc xử lý dữ liệu cá nhân của các cơ quan có thẩm quyền cho các mục đích công cộng như để phòng ngừa, điều tra, phát hiện hoặc truy tố tội phạm hình sự.
c) Do sự không rõ ràng này, một cá nhân duy trì một danh sách liên lạc, bao gồm tên, số điện thoại di động, email, trong điện thoại của mình hoàn toàn cho mục đích cá nhân, vẫn có thể phải tuân theo Dự Thảo Nghị Định.
Phạm vi lãnh thổ
d) Dự Thảo Nghị Định cũng không đề cập về phạm vi lãnh thổ. Ngược lại, GDPR quy định rõ ràng rằng, về phạm vi lãnh thổ, GDPR có thể áp dụng cho những điều sau:[3]
i) việc xử lý dữ liệu cá nhân trong bối cảnh của các hoạt động của cơ sở của bên kiểm soát hoặc bên xử lý trong Liên Minh, bất kể việc xử lý có diễn ra trong Liên Minh hay không (tiêu chí thành lập);
ii) việc xử lý dữ liệu cá nhân của các chủ thể dữ liệu ở trong Liên Minh bởi một bên kiểm soát hoặc bên xử lý không được thành lập trong Liên Minh, nơi các hoạt động xử lý có liên quan đến mục đích cung cấp hàng hóa và dịch vụ hoặc theo dõi hành vi của các chủ thể dữ liệu ở Liên Minh Châu Âu (tiêu chí mục tiêu ); và
iii) việc xử lý dữ liệu cá nhân bởi một bên kiểm soát không được thành lập trong Liên Minh nhưng GDPR vẫn được áp dụng theo công pháp quốc tế.
e) Mặc dù rõ ràng rằng các tổ chức và cá nhân có cơ sở trên lãnh thổ Việt Nam là đối tượng của Dự Thảo Nghị Định, nhưng vẫn chưa rõ là các tổ chức và cá nhân ở nước ngoài sẽ bị đối xử như thực thể có cơ sở trên lãnh thổ Việt Nam ở mức độ nào. Trước khi có Dự thảo Nghị định, đã có nhiều văn bản khác đề cập đến vấn đề này. Cụ thể là:
i) Theo Điều 26.3 Luật An Ninh Mạng 2018,[4] nhà cung cấp dịch vụ nước ngoài cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam; và phải đặt chi nhánh và văn phòng đại diện tại Việt Nam; và
ii) Theo Điều 22.1 Nghị Định 72/2013,[5] các nhà cung cấp thông tin công cộng qua biên giới có người sử dụng tại Việt Nam hoặc có truy cập từ Việt Nam, phải tuân thủ các quy định của pháp luật Việt Nam có liên quan. Cung cấp thông tin công cộng qua biên giới là việc tổ chức, cá nhân tại nước ngoài sử dụng trang thông tin điện tử, mạng xã hội, ứng dụng trên mạng, dịch vụ tìm kiếm và các loại hình tương tự khác trên mạng để cung cấp thông tin công cộng mà người sử dụng tại Việt Nam có truy cập hoặc sử dụng dịch vụ (bao gồm cả tổ chức và cá nhân).[6]
f) Có vẻ như các điều khoản trên không tính đến "tiêu chí mục tiêu"[7] của việc xử lý dữ liệu. Điều đó để nói rằng, không rõ liệu quá trình xử lý của các tổ chức và cá nhân ở nước ngoài, những người không có ý định để cung cấp hàng hóa và dịch vụ cho chủ thể dữ liệu tại Việt Nam có phải tuân theo Dự Thảo Nghị Định hay không Ví dụ, một công ty Nhật Bản bán hàng trên trang web của họ. Công ty này không có ý định bán hàng cho người cư trú tại Việt Nam, bằng chứng là trang web của họ chỉ có tiếng Nhật, đơn vị tiền tệ thanh toán khả dụng không bao gồm Việt Nam Đồng và không nêu rõ phương thức vận chuyển hàng từ Nhật Bản về Việt Nam. trên trang web của mình. Đáng chú ý là GDPR không điều chỉnh trường hợp việc cung cấp hàng hóa hoặc dịch vụ không hướng đến một người trong Liên Minh.[8]
2) Khái niệm về dữ liệu cá nhân
a) Nhìn chung, cả Dự Thảo Nghị Định và GDPR đều ban hành rằng thông tin được coi là dữ liệu cá nhân nếu nó liên quan đến một thể nhân được xác định hoặc có thể được sử dụng để xác định một thể nhân.[9] Việc định nghĩa về dữ liệu cá nhân thường được soạn thảo một cách rộng rãi để bảo vệ quyền riêng tư của một cá nhân là một điều hợp lý. Tuy nhiên, vì Việt Nam là một quốc gia theo Luật Châu Âu lục địa (Civil Law), một định nghĩa rộng mà không có hướng dẫn chính thức nào từ các cơ quan có thẩm quyền có thể gây ra sự mơ hồ cho người áp dụng.
b) Những điểm sau có thể được rút ra từ các hướng dẫn về GDPR:[10]
i) Liệu thông tin được đề cập có thể xác định được hay không nên được đánh giá từ quan điểm của bên thứ ba, thay vì chỉ dựa trên quan điểm của bên xử lý thông tin cá nhân (phương pháp tiếp cận khách quan);
ii) Để quyết định xem một thể nhân có thể được xác định hay không, cần tính đến tất cả các phương thức có thể được sử dụng một cách hợp lý, chẳng hạn như phương thức chỉ ra một người [từ một nhóm] (slinging out), để xác định thể nhân một cách trực tiếp hoặc gián tiếp. Để xác định chắc chắn liệu các phương thức có khả năng được sử dụng một cách hợp lý để xác định thể nhân hay không, cần tính đến tất cả các yếu tố khách quan, chẳng hạn như chi phí và lượng thời gian cần thiết để xác định, xem xét đến công nghệ hiện có tại thời điểm xử lý và sự phát triển công nghệ; và
iii) GDPR sử dụng cách tiếp cận dựa trên rủi ro, điều này có nghĩa là khi có rủi ro một cách hợp lý về việc xác định, dữ liệu phải được coi như dữ liệu cá nhân.
3) Các bên liên quan đến việc xử lý dữ liệu
Tổng quát
a) Bảng dưới đây tóm tắt các định nghĩa về các bên liên quan đến việc xử lý dữ liệu theo Dự thảo Nghị định và GDPR.
Bên kiểm soát dữ liệu, Bên kiểm soát chung và bên xử lý dữ liệu
a) Một trong những điểm khác biệt chính giữa Dự Thảo Nghị Định và GDPR là Dự Thảo Nghị Định chỉ định rõ ràng trách nhiệm giữa các bên liên quan đến việc xử lý dữ liệu. Ví dụ,
b) Về mối quan hệ giữa bên kiểm soát và bên xử lý, Dự Thảo Nghị Định yêu cầu bên kiểm soát phải chịu trách nhiệm về việc xử lý dữ liệu do chính mình thực hiện hoặc do bên xử lý thay mặt mình thực hiện theo quy định của pháp luật. Thỏa thuận giữa bên kiểm soát và bên xử lý phải có một số điều khoản bắt buộc.[1]
c) Về mối quan hệ giữa các bên kiểm soát chung, các bên kiểm soát chung được yêu cầu phải có một thỏa thuận minh bạch đặt ra các vai trò và trách nhiệm đã thống nhất để tuân thủ GDPR. Bản chất của thỏa thuận phải được cung cấp cho chủ thể dữ liệu.[2]
2) Hài hòa với các quy định khác
a) Trước khi có Dự Thảo Nghị Định, đã có những quy định khác về xử lý dữ liệu cá nhân. Do các quy định này còn rời rạc, nên Dự Thảo Nghị Định được kỳ vọng sẽ đóng vai trò là văn bản quy phạm pháp luật toàn diện. Tuy nhiên, có một số vấn đề mà Dự Thảo Nghị Định chưa giải quyết được. Ví dụ,
i) Không rõ Dự thảo Nghị định giải quyết việc xử lý dữ liệu cá nhân đã được công khai như thế nào. Dự Thảo Nghị Định không đề cập trực tiếp đến vấn đề này. Thay vào đó, Dự Thảo Nghị Định quy định rằng không cần có sự đồng ý từ chủ thể dữ liệu khi luật pháp khác cho phép.[3] Theo Điều 70.4(a) của Nghị Định 52/2014,[4] thu thập thông tin cá nhân đã được tiết lộ công khai trên trang web thương mại điện tử không phải nhận được sự đồng ý từ cá nhân đó. Tuy nhiên, bài viết này chỉ áp dụng cho thông tin trên các trang web thương mại điện tử. Đáng chú ý là theo GDPR, trong khi một người có thể thu thập dữ liệu cá nhân công khai mà không cần có thêm sự đồng ý, người đó phải thông báo cho chủ thể dữ liệu ý định xử lý dữ liệu của họ.[5]
ii) Hiện chưa rõ việc xử lý dữ liệu cá nhân của các tổ chức tín dụng được đề cập như thế nào trong Dự Thảo Nghị Định. Một tổ chức tín dụng khi xử lý thông tin tài chính của khách hàng có thể phải được Ủy Ban Bảo Vệ Dữ Liệu Cá Nhân chấp thuận (như được định nghĩa tại 5.2).[6] Yêu cầu này có thể gây khó khăn cho hoạt động kinh doanh của các tổ chức tín dụng.
3) Các điểm đáng chú ý khác
a) Nguyên tắc xử lý dữ liệu cá nhân. Dự Thảo Nghị Định đưa ra các nguyên tắc xử lý dữ liệu cá nhân như sau:[7]
i) Nguyên tắc về tính hợp pháp của quá trình xử lý. Dữ liệu cá nhân chỉ được thu thập trong trường hợp cần thiết theo quy định của pháp luật;
ii) Nguyên tắc giới hạn mục đích. Dữ liệu cá nhân chỉ được xử lý theo đúng mục đích đã đăng ký, tuyên bố về việc xử lý thông tin cá nhân;
iii) Nguyên tắc tối giản: Dữ liệu cá nhân chỉ được thu thập trong phạm vi cần thiết để đạt được mục đích đã xác định;
iv) Nguyên tắc sử dụng hạn chế: Dữ liệu cá nhân chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc được phép của cơ quan có thẩm quyền theo quy định của pháp luật;
v) Nguyên tắc chính xác: Dữ liệu cá nhân phải được cập nhật và đầy đủ để đảm bảo mục đích xử lý dữ liệu;
vi) Nguyên tắc an ninh: Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ trong quá trình xử lý dữ liệu cá nhân;
vii) Nguyên tắc cá nhân: Chủ thể dữ liệu biết và nhận thông báo về các hoạt động của họ liên quan đến việc xử lý dữ liệu cá nhân; và
viii) Nguyên tắc bảo mật: Dữ liệu cá nhân phải được bảo mật trong quá trình xử lý dữ liệu.
b) Ủy Ban Bảo Vệ Dữ Liệu Cá Nhân. Theo Dự Thảo Nghị Định, Ủy Ban Bảo Vệ Dữ Liệu Cá Nhân (Ủy Ban) sẽ được thành lập. Ủy Ban phụ trách, ngoài các việc khác, việc đánh giá các đơn đăng ký xử lý dữ liệu cá nhân nhạy cảm và chuyển dữ liệu cá nhân xuyên biên giới.[8]
c) Dữ liệu cá nhân của trẻ em. Việc xử lý thông tin trẻ em phải tuân theo các yêu cầu nghiêm ngặt hơn.[9]
d) Chuyển dữ liệu cá nhân xuyên biên giới. Các yêu cầu sau phải được đáp ứng khi chuyển dữ liệu cá nhân ra ngoài lãnh thổ Việt Nam:[10]
i) Chủ thể dữ liệu đồng ý với việc chuyển giao;
ii) Dữ liệu gốc được lưu trữ tại Việt Nam;
iii) Quốc gia/vùng lãnh thổ nơi dữ liệu được chuyển đến có quy định về bảo vệ dữ liệu cá nhân ở mức tương đương hoặc cao hơn quy định tại Dự Thảo Nghị Định; và
iv)PDPC chấp thuận việc chuyển giao này.
[1] Điều 28 của GDPR.
[2] Điều 26 của GDPR.
[3] Điều 10.1 (a) của Dự Thảo Nghị Định.
[4] Nghị Định 52 của Chính Phủ ngày 16 tháng 5 năm 2013 về thương mại điện tử (Nghị định 52/2013).
[5] Điều 14 của GDPR.
[6] Điều 2.3 (h) và 20.1 của Dự Thảo Nghị Định.
[7] Điều 3 của Dự Thảo Nghị Định.
[8] Điều 24.16 của Dự Thảo Nghị Định.
[9] Điều 14 của Dự Thảo Nghị Định.
[10] Điều 21.1 của Dự Thảo Nghị Định.