Khoảng trống pháp lý thông tin cá nhân

(ĐTTCO)-Gần đây nhiều vụ lộ, lọt thông tin cá nhân (TTCN) do các chủ thể kinh doanh nắm giữ và tình trạng mua bán, chuyển nhượng trái phép TTCN đã được đề cập trên các phương tiện thông tin đại chúng. Tuy nhiên, hiệu lực, hiệu quả điều chỉnh pháp luật về bảo vệ TTCN ở nước ta hiện còn nhiều bất cập.
Khoảng trống pháp lý thông tin cá nhân
Quy định chồng chéo và bất cập
Pháp luật ở nhiều quốc gia trên thế giới đã thiết lập các chuẩn mực về việc tiếp cận, sử dụng TTCN trong các giao dịch giữa cá nhân với doanh nghiệp và với cơ quan công quyền.
Ở Việt Nam, thuật ngữ TTCN đã được nhắc tới trong Luật Dược năm 2005; yêu cầu bảo mật TTCN trong lĩnh vực hàng không đã được đề cập trong Luật Hàng không dân dụng năm 2006.
Tuy nhiên, các quy định cụ thể về bảo vệ TTCN chỉ thực sự xuất hiện trong Luật Công nghệ thông tin năm 2006 (Luật CNTT). Mặc dù vậy, Luật CNTT chỉ quy định việc bảo vệ TTCN trên môi trường mạng, không quy định chung cho việc bảo vệ TTCN. 
Thực tế, dù Việt Nam có những quy định liên quan đến TTCN trong các bộ luật, song điều này vẫn còn những chồng chéo và hạn chế. Trước hết, định nghĩa về TTCN chưa thống nhất giữa các văn bản quy phạm pháp luật có liên quan.
Thí dụ, định nghĩa về TTCN trong Luật An toàn thông tin (ANTT) mạng ngắn gọn, trong khi Nghị định 52/2013/NĐ-CP của Chính phủ về thương mại điện tử lại quy định cụ thể, chi tiết và có những điểm khó đánh giá có tương hợp với quy định của Luật ATTT mạng không.
Hay Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 sử dụng cụm từ “thông tin của người tiêu dùng” (Điều 6) để hàm chứa TTCN của người tiêu dùng, trong khi Luật ATTT mạng và Nghị định 52/2013/NĐ-CP lại dùng cụm từ TTCN.
Các quy định hiện hành mới tập trung điều chỉnh việc bảo vệ TTCN trên môi trường không gian mạng, chưa có quy định cụ thể về bảo vệ TTCN trong môi trường truyền thống.
Điều này tạo ra sự chia cắt trong điều chỉnh pháp luật giữa không gian thực và không gian ảo, không phù hợp với thực tiễn có sự hòa trộn, kết nối một cách khó phân tách giữa không gian thực (không gian vật lý) và không gian ảo của thời kỳ cách mạng công nghệ 4.0. 
Thêm vào đó, pháp luật bảo vệ TTCN chưa bắt kịp được với thực tiễn sử dụng các dữ liệu cá nhân, như dữ liệu về hình ảnh cá nhân (công nghệ nhận diện khuôn mặt), dữ liệu sinh trắc (vân tay, mống mắt)…
Chính vì vậy, khi doanh nghiệp sử dụng các dữ liệu này, vấn đề được đặt ra là các quy định bảo vệ TTCN hiện hành có được áp dụng với các doanh nghiệp này không? Và liệu có cần quy định các biện pháp mang tính chặt chẽ hơn đối với doanh nghiệp thu thập và sử dụng dữ liệu sinh trắc của người tiêu dùng không? 
Lý do, nếu như địa chỉ, số điện thoại của một người cũng được xếp vào TTCN, thì các dữ liệu về sinh trắc học, tuy có thể coi là dữ liệu hoặc TTCN, nhưng độ nhạy cảm lớn hơn nhiều so với thông tin về số điện thoại hoặc tên, tuổi của chủ thể TTCN.
Tại nhiều quốc gia, trong luật có quy định về quyền được quên trong những trường hợp cần thiết, trong khi Việt Nam chưa có quy định này. Việt Nam cũng chưa có quy định cụ thể về trách nhiệm bồi thường thiệt hại đối với chủ thể có hành vi sai trái trong việc thu thập và sử dụng TTCN. 
Hạn chế nữa là giữa Nghị định 185 và Nghị định 15/2020/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực CNTT, không có nhiều khác biệt về mức phạt tiền đối với cùng một hành vi vi phạm.
Dù Bộ luật Hình sự năm 2015 đã được sửa đổi, bổ sung năm 2017, nhưng về cơ bản mới có một số quy định bước đầu tại Điều 159 về tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín, hoặc hình thức trao đổi thông tin riêng tư khác của người khác, và Điều 288 về tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông.
Tuy nhiên, 2 tội danh này chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới TTCN hiện nay.

Cần có luật bảo vệ TTCN
Luật Bảo vệ TTCN cần quy định cơ chế hợp tác quốc tế trong bối cảnh cuộc cách mạng 4.0 cùng tiến trình hội nhập đang tác động rất mạnh tới Việt Nam.
2016, Liên minh châu Âu (EU) đã ban hành Quy chế chung về bảo vệ dữ liệu cá nhân (GDPR), có hiệu lực từ ngày 25-5-2018. GDPR đã quy định chi tiết trách nhiệm của chủ thể thu thập, xử lý TTCN trong đó có trách nhiệm của người trực tiếp tiến hành công việc thu thập, xử lý TTCN trong doanh nghiệp.
Mức phạt cho hành vi vi phạm có thể lên tới 4% doanh thu của năm tài chính trước thời điểm xảy ra hành vi vi phạm. Nhiều quốc gia châu Âu đã ban hành Luật về Bảo vệ TTCN trên cơ sở nội luật hóa các quy định của GDPR.
Trong ASEAN, Luật Bảo vệ dữ liệu cá nhân được Malaysia ban hành năm 2010, Singapore năm 2012 cùng Quy chế bảo vệ dữ liệu cá nhân năm 2014, Thái Lan năm 2019.
Ở khu vực Đông Bắc Á, Nhật Bản ban hành Luật Bảo vệ TTCN lần đầu tiên vào năm 2003, sửa đổi, bổ sung cơ bản năm 2016. Hàn Quốc lần đầu tiên ban hành Luật Bảo vệ TTCN vào năm 2011, và từ đó tới nay đạo luật này liên tục được sửa đổi, bổ sung vào các năm 2013, 2014, 2015, 2017 và 2020 để phục vụ việc phát triển nền kinh tế số của Hàn Quốc.
Tại Trung Quốc, ngày 28-5-2020, Quốc hội ban hành Bộ luật dân sự với 1.260 điều được chia thành 84 chương, trong đó có chương riêng quy định về “quyền về đời sống riêng tư và bảo vệ TTCN” (từ Điều 1032 đến Điều 1039) cùng nhiều quy định có liên quan. 
Từ thực tiễn trên, đã đến lúc Việt Nam cần nghiên cứu xây dựng Luật Bảo vệ TTCN, trên cơ sở kế thừa một số quy định về bảo vệ TTCN đã có trong Luật Công nghệ thông tin năm 2006, Luật ATTT mạng năm 2015, Nghị định 52/2013/NĐ-CP về thương mại điện tử.
Theo đó, điều chỉnh toàn diện hơn việc bảo vệ TTCN (không chỉ giới hạn việc bảo vệ TTCN trong không gian mạng), nhất là quy định đầy đủ hơn các nguyên tắc bảo vệ TTCN.
Cùng với đó là các biện pháp chế tài nghiêm khắc, trách nhiệm quản lý nhà nước về bảo vệ TTCN, góp phần duy trì niềm tin của người dân về an ninh, an toàn TTCN khi tham gia nền kinh tế số.  

Các tin khác