Pháp luật quốc tế về bảo vệ quyền đối với dữ liệu cá nhân

Luật pháp quốc tế hiện nay vẫn còn tương đối tụt hậu so với sự phát triển như vũ bão của công nghệ. Điều này đã khiến cho việc bảo vệ quyền đối với dữ liệu cá nhân của con người trong thực tế còn rất khó khăn.

Khóa họp 44 của Hội đồng Nhân quyền LHQ: Việt Nam tái khẳng định chính sách nhất quán thúc đẩy và bảo vệ các quyền con người

Ngày 30/6 tại trụ sở Liên hợp quốc ở Geneva, Thụy Sỹ, Khóa họp lần thứ 44 của Hội đồng Nhân quyền Liên hợp quốc đã khai mạc, với sự tham dự của đại diện 47 nước thành viên và hơn 100 nước quan sát viên, các tổ chức quốc tế liên chính phủ và các tổ chức phi chính phủ có trụ sở tại Geneva.

Tuyên ngôn quốc tế về nhân quyền, 1948

Tuyên ngôn quốc tế nhân quyền 1948 như một tiêu chuẩn thực hiện chung cho tất cả các dân tộc và quốc gia. Tạp chí Thời Đại xin giới thiệu nội dung bản tuyên ngôn như sau:

Ở cấp độ toàn cầu, các quy định về bảo vệ quyền về sự riêng tư có thể được tìm thấy trong Tuyên ngôn Nhân quyền phổ quát năm 1948 (UDHR), trong đó có Điều 12 về bảo vệ quyền về sự riêng tư.

Từ nội dung Điều 12 UDHR, có thể thấy nội hàm của các giá trị riêng tư cần được bảo vệ không chỉ là cuộc sống riêng tư của mỗi cá nhân, mà còn bao gồm cả những khía cạnh đời sống có sự gắn kết mật thiết với cá nhân, cụ thể như gia đình, nơi ở, thư tín và cả những giá trị định tính như danh dự, uy tín cá nhân...

Tiếp theo UDHR, nhiều công ước quốc tế về quyền con người cũng công nhận quyền về sự riêng tư như một quyền cơ bản, cụ thể như: Công ước quốc tế về các quyền dân sự và chính trị (ICCPR) (Điều 17); Công ước về quyền của người lao động nhập cư (Điều 14); Công ước về quyền trẻ em (Điều 16); Công ước về quyền của người khuyết tật (Điều 22) ...

Dù vậy, sự phát triển của công nghệ trong cuộc Cách mạng công nghiệp 4.0 mà đi kèm với nó là tiềm năng giám sát ngày càng tinh vi của các hệ thống máy tính đã đặt ra những yêu cầu mới với bảo vệ dữ liệu của cá nhân. Để đáp ứng yêu cầu này, có hai công cụ pháp lý quốc tế đã được phát triển, trong đó đặt ra một số quy tắc cụ thể chi phối việc thu thập và xử lý dữ liệu cá nhân, bao gồm: Công ước năm 1981 của Hội đồng châu Âu về bảo vệ cá nhân liên quan đến việc xử lý dữ liệu cá nhân tự động và Hướng dẫn của Tổ chức Hợp tác và Phát triển Kinh tế (OSCD) điều chỉnh việc bảo vệ quyền về sự riêng tư và việc chuyển đổi dữ liệu cá nhân xuyên biên giới Các văn kiện này mô tả thông tin cá nhân là dữ liệu được bảo vệ ở mọi bước, từ thu thập đến lưu trữ và phổ biến. Quyền của mọi người được truy cập và sửa đổi dữ liệu của mình cũng là một khía cạnh chính của các quy tắc này. Biểu hiện của sự bảo vệ dữ liệu trong hai văn kiện đã nêu cơ bản là tương đồng, chỉ khác nhau ở mức độ, theo đó tất cả đều yêu cầu đối với thông tin cá nhân thì: i) Chỉ có thể được thu thập một cách công bằng và hợp pháp; ii) Chỉ được sử dụng cho mục đích ban đầu được biết rõ; iii) Bảo đảm tính đầy đủ, phù hợp và không vượt quá mục đích; iv) Bảo đảm tính chính xác và cập nhật; và v) Phải được loại bỏ sau khi mục đích sử dụng đã hoàn thành. Hai văn kiện nêu trên đã có tác động sâu sắc đến việc xây dựng và áp dụng luật pháp về bảo vệ dữ liệu cá nhân trên toàn thế giới, không giới hạn ở các nước châu Âu và các quốc gia thành viên của OECD.

Pháp luật quốc tế về bảo vệ quyền đối với dữ liệu cá nhân

Bảo vệ quyền đối với dữ liệu cá nhân là một xu hướng chung trên thế giới mà tất cả các nước, trong đó có Việt Nam.

Tuy nhiên tính đến thời điểm hiện nay, vẫn chưa có điều ước quốc tế toàn cầu nào về bảo vệ quyền đối với dữ liệu cá nhân. Hai văn kiện về bảo vệ dữ liệu cá nhân đã nêu trên (Công ước của Hội đồng châu Âu năm 1981 và Hướng dẫn của OECD) về nguyên tắc chỉ có tác động trong khu vực châu Âu và với các nước thành viên của OECD. Không chỉ vậy, Bản hướng dẫn của OECD chỉ có tính chất khuyến nghị, không có hiệu lực pháp lý ràng buộc.

Luật bảo mật thông tin GDPR của Châu Âu

Điều luật GDPR được ban hành là để bảo vệ thông tin riêng tư của người dùng khỏi hành vi sử dụng dữ liệu cá nhân trái phép của các công ty hoạt động trong khối Liên minh Châu Âu (EU). Điều luật này sẽ chính thức có hiệu lực từ ngày 25 tháng 5 năm 2018.

Về phía người dùng, điều luật GDPR không chỉ bảo vệ quyền lợi của cư dân Châu Âu nói riêng mà còn áp dụng cho bất kỳ người nào có sử dụng dịch vụ do một công ty đặt tại Châu Âu cung cấp.

Về phía các doanh nghiệp, họ sẽ phải tuân theo các quy định cụ thể và rõ ràng của GDPR về cách thức thu thập thông tin cá nhân, địa điểm dữ liệu được chia sẻ và những loại thông tin nào của người dùng được sử dụng. Đối với các công ty nằm ngoài Châu Âu nhưng có cung cấp dịch vụ cho cư dân Châu Âu thì vẫn phải chấp hành theo điều luật GDPR.

Điều luật này sẽ được áp dụng cho toàn bộ 28 thành viên trong EU bao gồm cả Vương quốc Anh (UK) dù trên lý thuyết UK đang trong quá trình rời khỏi EU sau sự kiện Brexit vào năm 2016. Tuy nhiên để UK chính thức tách khỏi EU theo đúng luật pháp sẽ cần một khoảng thời gian nhất định cho việc hoàn tất các thủ tục liên quan nên trước mắt UK vẫn phải tuân theo điều luật này.

Vì GDPR không phải là chỉ thị nhất thời mà là luật bắt buộc nên mọi công ty hoạt động tại Châu Âu đều phải tuân thủ nghiêm túc. Bất kỳ doanh nghiệp nào vi phạm các điều luật GDPR sẽ có nguy cơ đối mặt với án phạt lên đến 20 triệu euro (khoảng 550 tỷ đổng) hoặc 4% lợi nhuận toàn cầu hàng năm của mình.

Luật Bảo vệ dữ liệu cá nhân ở Hoa Kỳ

Cho đến nay, Hoa Kỳ chưa có bất kỳ đạo luật riêng nào ở cấp liên bang về bảo vệ dữ liệu cá nhân, song vấn đề này đã được nêu trong nhiều văn bản pháp luật ban hành theo từng ngành, từng đối tượng.

Luật Bảo vệ quyền về sự riêng tư trực tuyến của trẻ em (COPPA) - cung cấp cho phụ huynh quyền kiểm soát đối với những thông tin mà các trang web có thể thu thập từ con cái họ; Luật về Trách nhiệm giải trình và trách nhiệm bảo hiểm y tế (HIPPA) - đảm bảo tính bảo mật của bệnh nhân đối với tất cả các dữ liệu liên quan đến chăm sóc sức khỏe; Luật Bảo vệ quyền về sự riêng tư video - ngăn chặn việc tiết lộ sai thông tin của một cá nhân xuất phát từ việc cho thuê hoặc mua tài liệu nghe nhìn của họ... Theo cách tiếp cận của Hoa Kỳ, việc bảo vệ dữ liệu và quyền về sự riêng tư được dựa trên sự kết hợp giữa luật pháp, quy định và tự điều chỉnh, thay vì chỉ có sự can thiệp của nhà nước. Pháp luật thường chỉ được áp dụng cho các tình huống trong đó các cá nhân không thể tự kiểm soát việc sử dụng dữ liệu cá nhân của họ.

Sau khi GDPR được thông qua, một số tiểu bang của Hoa Kỳ đã đề xuất luật bảo vệ dữ liệu của riêng họ,thiết lập một số quyền giống như GDPR. Luật về Sự riêng tư của người tiêu dùng của bang California (CCPA) được thông qua vào tháng 6/2018 sau vụ bê bối Cambridge Analytica, dự kiến sẽ trở thành luật về quyền về sự riêng tư dữ liệu toàn diện nhất ở Hoa Kỳ. Giống như GDPR, văn bản luật này thiết lập một số quyền nhất định cho người tiêu dùng, bao gồm “quyền được biết”, “quyền được tiếp cận”, “quyền từ chối” và “quyền xóa bỏ”. Ngoài ra, CCPA mở rộng đáng kể định nghĩa về thông tin cá nhân, từ đó đòi hỏi các công ty phải có những thay đổi đáng kể trong cách thức hoạt động của mình. Văn bản luật này, không giống như bất kỳ luật bảo vệ dữ liệu nào được ban hành trước đây ở Hoa Kỳ , yêu cầu có một lựa chọn trên trang web của công ty để cho phép người tiêu dùng từ chối chia sẻ dữ liệu cho bên thứ ba. Văn bản luật này cũng cho phép quyền hành động riêng tư trong trường hợp vi phạm dữ liệu và cho phép Bộ trưởng Tư pháp California áp dụng các hình phạt hành chính lên tới 7.500 đô la cho mỗi lần vi phạm mà không có giới hạn tối đa.

Không chỉ California, 11 bang khác của Hoa Kỳ bao gồm Maryland, New Jersey và Washington… gần đây đã đưa ra dự thảo văn bản pháp luật tương tự. Những dự luật này có các phiên bản riêng về quyền từ chối và các yêu cầu công bố mà khác một chút so với GDPR và CCPA. Nếu được ban hành, các luật này sẽ dẫn đến tăng chi phí đáng kể cho các doanh nghiệp khi phải cố gắng hiểu và đưa ra một khung bảo mật tuân thủ các quy định của của luật.

Trên thực tế, mức độ phức tạp và không chắc chắn do những thay đổi về khung pháp lý đang khiến các doanh nghiệp kêu gọi Quốc hội Hoa Kỳ ban hành và thực thi luật bảo mật dữ liệu cá nhân áp dụng cho toàn quốc. Đáp ứng lời kêu gọi đó, Quốc hội Hoa Kỳ đã đưa ra một số dự luật về quyền về sự riêng tư dữ liệu để thực hiện tiêu chuẩn bảo mật dữ liệu liên bang tại Hoa Kỳ. Ví dụ, Luật Phổ biến Dữ liệu Hoa Kỳ (S. 142) sẽ áp đặt các yêu cầu về quyền về sự riêng tư đối với các nhà cung cấp dịch vụ Internet tương tự như các yêu cầu áp đặt cho các cơ quan Liên bang theo Luật về quyền về sự riêng tư năm 1974. Luật bảo vệ quyền về sự riêng tư và quyền lợi người tiêu dùng trên phương tiện truyền thông xã hội năm 2019 (S. 189), sẽ yêu cầu các chủ thể: 1) cung cấp cho người dùng một bản sao miễn phí dưới dạng điện tử những dữ liệu cá nhân mà nhà điều hành đã xử lý và 2) thông báo cho người dùng trong vòng 72 giờ sau khi biết rằng dữ liệu của người dùng đã bị truyền đi mà vi phạm nền tảng bảo mật.

Tóm lại, trước những tác động của cuộc Cách mạng công nghiệp 4.0, nhiều khu vực và quốc gia đã có những động thái tích cực và hiệu quả về mặt lập pháp để bảo vệ quyền về sự riêng tư dữ liệu của cá nhân.