Lỗ hổng lớn của luật Việt Nam về dữ liệu cá nhân

Bài viết này nằm trong số báo tháng Chín năm 2022 của Luật Khoa tạp chí, được phát hành lần đầu trên ấn bản PDF đề ngày 1/9/2022.

Pháp luật Việt Nam hiện nay không có định nghĩa thế nào là “dữ liệu cá nhân” và “bảo vệ dữ liệu cá nhân”.

Đó là kết luận của Tiến sĩ Chu Thị Hoa, Phó Viện trưởng Viện Khoa học Pháp lý (Bộ Tư pháp), sau khi khảo sát 65 văn bản pháp luật khác nhau có liên quan tới dữ liệu cá nhân. Kết quả khảo sát [1] được công bố trong cuốn “Smart cities in Asia” của Springer, được đăng tải lần đầu ngày 29/5/2022.

Việt Nam hiện chưa có một văn bản pháp luật toàn diện nào quy định về dữ liệu cá nhân. Động thái gần nhất mà công chúng biết được là nỗ lực xây dựng một nghị định về bảo vệ dữ liệu cá nhân do Bộ Công an chủ trì, với dự thảo đầu tiên được công bố vào tháng 2/2021. [2] Quá trình xây dựng nghị định này sau đó được chuyển vào vòng bí mật mà không có lý do công khai nào.

Nghiên cứu nói trên khảo sát hàng loạt điều khoản liên quan đến dữ liệu riêng tư nằm rải rác trong các luật, nghị định, pháp lệnh, và thông tư. Theo đó, có tới 10 khái niệm gần với khái niệm dữ liệu cá nhân được luật Việt Nam dùng như “thông tin cá nhân”, “thông tin riêng tư”, “thông tin kỹ thuật số”, “thông tin cá nhân trên mạng Internet”, với các định nghĩa khác nhau và thậm chí mâu thuẫn nhau.

Trong tất cả các văn bản này, các điều khoản liên quan tới dữ liệu cá nhân đều dừng lại ở mức nguyên tắc chung mà chưa được quy định cụ thể.

Đặt nghiên cứu trong bối cảnh 46/63 tỉnh, thành đã và đang triển khai các dự án đô thị thông minh với các hệ thống camera giám sát và các cơ sở dữ liệu về dân cư, tác giả cho rằng pháp luật Việt Nam hiện nay còn thiếu quy định về bảo vệ dữ liệu cá nhân nhạy cảm (sắc tộc, tôn giáo, hội đoàn, sức khỏe…) và mức phạt tiền với việc xâm phạm bí mật đời tư còn quá thấp (tối đa 200 triệu đồng, so với 480 tỷ đồng của Liên minh Châu Âu).

Tác giả đề xuất Việt Nam cần ban hành một đạo luật riêng về bảo vệ dữ liệu cá nhân, trong đó:

• Định nghĩa rõ khái niệm “dữ liệu cá nhân” và “dữ liệu cá nhân nhạy cảm”. Theo đó, “dữ liệu cá nhân” nên được hiểu là là dữ liệu định danh một cá nhân cụ thể như tên, ngày sinh, giới tính, quốc tịch, địa chỉ, số căn cước, v.v; còn “dữ liệu cá nhân nhạy cảm” bao gồm quan điểm chính trị và tôn giáo, sức khỏe, gen, dữ liệu sinh trắc, tài chính, quan hệ xã hội, xu hướng tình dục, lý lịch tư pháp, v.v.
• Phân biệt giữa “dữ liệu cá nhân” và “thông tin cá nhân”.
• Minh bạch hóa các thủ tục thu thập và sử dụng dữ liệu cá nhân.
• Làm rõ quyền và nghĩa vụ của các bên liên quan, trong đó có nghĩa vụ của chính phủ và bên thứ ba.
• Làm rõ các hành vi bị cấm.