Một số khía cạnh pháp lý về bảo vệ dữ liệu cá nhân trên thế giới – Kinh nghiệm cho Việt Nam

Một số khía cạnh pháp lý về bảo vệ dữ liệu cá nhân trên thế giới – Kinh nghiệm cho Việt Nam

Tóm tắt
Cuộc Cách mạng công nghiệp lần thứ tư đang diễn ra mạnh mẽ trên phạm vi toàn cầu. Bên cạnh những mặt tích cực, sự bùng nổ của các thành tựu công nghệ đã đặt ra nhiều vấn đề liên quan đến quyền của cá nhân đối với dữ liệu của họ. Tại Việt Nam, nhằm cụ thể hóa quy định của Hiến pháp năm 2013 về việc ghi nhận, tôn trọng, bảo đảm quyền con người, quyền cơ bản của công dân và bảo vệ dữ liệu cá nhân, ngày 17 tháng 4 năm 2023, Chính phủ Việt Nam đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Do có mối quan hệ chặt chẽ giữa quyền riêng tư và dữ liệu cá nhân, bài viết này cung cấp cái nhìn tổng quan về quyền riêng tư trong các văn bản pháp luật quốc tế và Việt Nam, đồng thời trình bày khái quát về thông tin cá nhân và dữ liệu cá nhân trong hệ thống pháp luật Việt Nam, qua đó giới thiệu khái niệm về dữ liệu cá nhân tại Việt Nam. Ngoài ra, bài viết còn phân tích một số mô hình pháp lý hiện hành trên thế giới về bảo vệ dữ liệu cá nhân và lựa chọn của Việt Nam. Trên cơ sở so sánh các quy định của Liên minh châu Âu và một số quốc gia châu Á, bao gồm Ba Lan, Vương quốc Anh, Hàn Quốc và Nhật Bản, bài viết đề xuất nguyên tắc bảo đảm tính độc lập trong việc thực hiện chức năng, nhiệm vụ và quyền hạn của cơ quan bảo vệ dữ liệu cá nhân tại Việt Nam hiện nay.
Mở đầu
Quyền được công nhận và bảo vệ đời tư, gia đình, chỗ ở và thư tín – gọi chung là quyền riêng tư – là một trong những quyền nhân thân quan trọng của mỗi cá nhân trong xã hội văn minh. Về mặt lịch sử, quyền riêng tư đã được quy định từ lâu trong các văn bản pháp luật quốc tế và quốc gia. Tuy nhiên, quyền riêng tư truyền thống dường như không còn đủ toàn diện để bảo vệ cá nhân trước nguy cơ dữ liệu cá nhân bị rò rỉ trong bối cảnh phát triển mạnh mẽ của nền kinh tế số. Do đó, các quy định về bảo vệ dữ liệu cá nhân đã được xây dựng song song với quyền riêng tư truyền thống nhằm tạo nên một lớp “lá chắn” bảo vệ cá nhân khỏi các hành vi lạm dụng.
Tại Việt Nam, trong cuộc họp về xây dựng Chính phủ điện tử ngày 15 tháng 4 năm 2018 (Đức Tuấn, 2018), nguyên Bộ trưởng Mai Tiến Dũng khẳng định rằng, dựa trên kinh nghiệm của các quốc gia phát triển trong lĩnh vực chính phủ điện tử, nền tảng thể chế của chính phủ điện tử phải được hình thành trước, trong khi Việt Nam vẫn còn thiếu nhiều quy định và chính sách, trong đó có quy định về bảo vệ dữ liệu cá nhân (Mai Tiến Dũng, 2021). Do vậy, ngày 29 tháng 9 năm 2020, Chính phủ Việt Nam đã ban hành Nghị quyết số 138/NQ-CP nhằm phê duyệt đề nghị xây dựng nghị định về bảo vệ dữ liệu cá nhân. Tiếp đó, Chính phủ ban hành hai nghị quyết thông qua hồ sơ xây dựng Nghị định về bảo vệ dữ liệu cá nhân, bao gồm Nghị quyết số 27/NQ-CP ngày 7 tháng 3 năm 2022 và Nghị quyết số 13/NQ-CP ngày 7 tháng 2 năm 2023. Sau khi tiếp thu ý kiến góp ý đối với các dự thảo, Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân đã được ban hành ngày 17 tháng 4 năm 2023 và có hiệu lực từ ngày 1 tháng 7 năm 2023.
Nghị định này có ý nghĩa đặc biệt quan trọng, không chỉ liên quan đến việc bảo vệ dữ liệu cá nhân của từng công dân mà còn gắn liền với công tác quản lý xã hội, bảo đảm an ninh chính trị, trật tự, an toàn xã hội và chủ quyền quốc gia. Bài viết này cung cấp cái nhìn tổng quan về quyền riêng tư trong các văn bản pháp luật quốc tế và Việt Nam, cũng như tổng quan về thông tin và dữ liệu cá nhân trong pháp luật Việt Nam, từ đó giới thiệu khái niệm dữ liệu cá nhân tại Việt Nam. Bên cạnh đó, bài viết còn phân tích một số mô hình pháp lý hiện hành trên thế giới về bảo vệ dữ liệu cá nhân và định hướng lựa chọn của Việt Nam. Do các quy định pháp luật về bảo vệ dữ liệu cá nhân của Việt Nam được ban hành muộn hơn nhiều năm so với châu Âu và các quốc gia khác như Hoa Kỳ, Nhật Bản, Hàn Quốc…, việc nghiên cứu Quy định chung về bảo vệ dữ liệu (GDPR) của châu Âu và pháp luật của một số nước là cần thiết để hoàn thiện hệ thống pháp luật Việt Nam về bảo vệ dữ liệu cá nhân. Vì vậy, trên cơ sở so sánh các quy định về cơ quan bảo vệ dữ liệu cá nhân của Liên minh châu Âu và một số quốc gia châu Á, bao gồm Ba Lan, Vương quốc Anh, Hàn Quốc và Nhật Bản, bài viết đề xuất bổ sung nguyên tắc độc lập trong việc thực hiện chức năng, nhiệm vụ và quyền hạn của các cơ quan bảo vệ dữ liệu cá nhân trong pháp luật Việt Nam hiện nay.
Phương pháp nghiên cứu
Phương pháp mô tả quy phạm pháp luật thông qua nghiên cứu pháp lý là phương pháp đầu tiên được áp dụng trong bài viết này. Việc phân tích các quy định có liên quan trong pháp luật Việt Nam cũng được sử dụng nhằm xác định các quy định hiện hành của Việt Nam về quyền riêng tư, thông tin cá nhân và bảo vệ dữ liệu cá nhân. Bên cạnh đó, phương pháp so sánh được áp dụng xuyên suốt bài viết nhằm đối chiếu các mô hình pháp lý về bảo vệ dữ liệu cá nhân trên thế giới và sự lựa chọn của Việt Nam. Trên cơ sở so sánh các quy định về cơ quan bảo vệ dữ liệu cá nhân của Liên minh châu Âu và các quốc gia châu Á, bao gồm Ba Lan, Vương quốc Anh, Hàn Quốc và Nhật Bản, bài viết này đề xuất nguyên tắc bảo đảm tính độc lập trong việc thực hiện chức năng, nhiệm vụ và quyền hạn của cơ quan bảo vệ dữ liệu cá nhân tại Việt Nam hiện nay (Phạm Duy Nghĩa, 2014). Hai nguồn pháp luật chính được sử dụng cho việc phân tích và so sánh bao gồm:
• Quy định (EU) số 2016/679 của Nghị viện và Hội đồng châu Âu ngày 27 tháng 4 năm 2016 về việc bảo vệ các cá nhân liên quan đến xử lý dữ liệu cá nhân và việc tự do lưu chuyển các dữ liệu đó, đồng thời bãi bỏ Chỉ thị 95/46/EC (Quy định chung về bảo vệ dữ liệu – GDPR).
• Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ Việt Nam về bảo vệ dữ liệu cá nhân.
Ngoài ra, các văn kiện pháp lý quốc tế sau đây cũng được sử dụng trong phương pháp nghiên cứu của bài viết:
• Tuyên ngôn Quốc tế Nhân quyền năm 1948.
• Công ước châu Âu về Nhân quyền năm 1950.
• Công ước châu Mỹ về Nhân quyền năm 1969.
Các văn bản pháp luật Việt Nam được sử dụng cho phương pháp nghiên cứu gồm:
• Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam năm 2013.
• Một số bộ luật, bao gồm: Bộ luật Dân sự năm 2015; Bộ luật Hình sự năm 2015 (được sửa đổi, bổ sung năm 2017); Bộ luật Tố tụng dân sự năm 2015 (được sửa đổi, bổ sung các năm 2019, 2020 và 2022); Bộ luật Tố tụng hình sự năm 2015 (được sửa đổi, bổ sung năm 2021).
• Một số luật, bao gồm: Luật Khám bệnh, chữa bệnh các năm 2009 và 2023; Luật Xử lý vi phạm hành chính năm 2012 (sửa đổi, bổ sung năm 2020); Luật Công an nhân dân năm 2018; Luật Quản lý thuế năm 2019; Luật Kinh doanh bảo hiểm năm 2022.
• Một số nghị định, bao gồm: Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước; Nghị định số 52/2013/NĐ-CP ngày 16 tháng 5 năm 2013 của Chính phủ về thương mại điện tử; Nghị định số 85/2021/NĐ-CP ngày 25 tháng 9 năm 2021 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 52/2013/NĐ-CP; Nghị định số 144/2021/NĐ-CP ngày 31 tháng 12 năm 2021 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh, trật tự, an toàn xã hội; phòng, chống tệ nạn xã hội; phòng cháy và chữa cháy; cứu nạn, cứu hộ; phòng, chống bạo lực gia đình.
Kết quả và thảo luận
Tổng quan về quyền riêng tư trong các văn bản pháp luật quốc tế và Việt Nam
Do có mối liên hệ giữa quyền riêng tư và dữ liệu cá nhân (Yuliia Kovalenko, 2022), việc xem xét khái niệm quyền riêng tư là cần thiết trước khi bàn đến dữ liệu cá nhân. Quyền riêng tư là một khái niệm pháp lý đã được đề cập trong hơn 100 năm qua. Hai tác giả có đóng góp lớn cho sự hình thành quyền riêng tư hiện đại là Samuel Warren và Louis Brandeis, với tác phẩm “The Right to Privacy” (Glancy, 1979) đăng trên Harvard Law Review năm 1890 (Warren & Brandeis, 1890). Hai tác giả này đã thể hiện nhu cầu về quyền riêng tư trong bối cảnh xã hội Hoa Kỳ lúc bấy giờ – một xã hội vừa trải qua nội chiến, đồng thời có trình độ phát triển cao về kinh tế, khoa học và kỹ thuật (Glancy, 1979).
Tuyên ngôn Quốc tế Nhân quyền là văn kiện có tính dấu mốc trong lịch sử nhân quyền, trong đó quyền riêng tư được ghi nhận và bảo vệ trên phạm vi toàn cầu. Bản tuyên ngôn này được Đại hội đồng Liên Hợp Quốc thông qua tại Paris vào ngày 10 tháng 12 năm 1948, với Hoa Kỳ là một trong các quốc gia thành viên. Theo Điều 12 của Tuyên ngôn:
“Không ai bị can thiệp một cách tùy tiện vào đời sống riêng tư, gia đình, chỗ ở hoặc thư tín của mình, cũng như bị xâm phạm danh dự và uy tín. Mọi người đều có quyền được pháp luật bảo vệ chống lại sự can thiệp hoặc xâm phạm đó.”
Công ước châu Âu về Nhân quyền được ký tại Rome ngày 4 tháng 11 năm 1950 và có hiệu lực từ ngày 3 tháng 9 năm 1953. Điều 8 của Công ước quy định về quyền riêng tư như sau:
1. Mọi người đều có quyền được tôn trọng đời sống riêng tư, gia đình, chỗ ở và thư tín của mình.
2. Không cơ quan công quyền nào được can thiệp vào việc thực hiện quyền này, trừ khi việc can thiệp đó phù hợp với pháp luật và là cần thiết trong một xã hội dân chủ vì lợi ích an ninh quốc gia, an toàn công cộng, phúc lợi kinh tế của quốc gia, phòng ngừa rối loạn hoặc tội phạm, bảo vệ sức khỏe hoặc đạo đức, hoặc bảo vệ quyền và tự do của người khác.
Công ước châu Mỹ về Nhân quyền được thông qua tại San José, Costa Rica ngày 22 tháng 11 năm 1969 và có hiệu lực từ ngày 18 tháng 7 năm 1978. Quyền riêng tư được đề cập tại Điều 11 như sau:
1. Mọi người đều có quyền được tôn trọng danh dự và được công nhận phẩm giá của mình.
2. Không ai bị can thiệp tùy tiện hoặc lạm dụng vào đời sống riêng tư, gia đình, chỗ ở, thư tín, hoặc bị tấn công trái pháp luật vào danh dự và uy tín của mình.
3. Mọi người đều có quyền được pháp luật bảo vệ chống lại sự can thiệp hoặc tấn công đó.
Có thể nhận thấy rằng cả ba văn kiện nói trên – Tuyên ngôn Quốc tế Nhân quyền, Công ước châu Âu về Nhân quyền và Công ước châu Mỹ về Nhân quyền – đều quy định phạm vi tương tự về quyền riêng tư, trong đó bao gồm đời sống cá nhân, đời sống gia đình, chỗ ở và thư tín. Cả ba văn kiện đều khẳng định không ai có quyền xâm phạm đời sống riêng tư của người khác, và quyền riêng tư được pháp luật bảo vệ trước mọi hành vi xâm phạm.
Tại Việt Nam, mặc dù chưa có khái niệm cụ thể về “quyền riêng tư”, Hiến pháp năm 2013 ghi nhận nguyên tắc bất khả xâm phạm đối với đời sống riêng tư, bí mật cá nhân và bí mật gia đình (Điều 21 Hiến pháp năm 2013). Nguyên tắc này được tái khẳng định trong Bộ luật Dân sự năm 2015 như một quyền nhân thân (Điều 38 Bộ luật Dân sự năm 2015). Bên cạnh đó, nguyên tắc bất khả xâm phạm đối với đời sống riêng tư, bí mật cá nhân và bí mật gia đình cũng được quy định trong Bộ luật Tố tụng dân sự năm 2015 (khoản 3 Điều 13; khoản 2 Điều 15; khoản 3 Điều 78; điểm e khoản 1 Điều 80; khoản 2 Điều 109; khoản 3 Điều 208; khoản 2 Điều 254 và điểm b khoản 1 Điều 510).
Ngoài ra, các quy định về chế tài xử lý hành vi xâm phạm quyền riêng tư của cá nhân trong pháp luật hành chính và hình sự cũng dựa trên nguyên tắc bất khả xâm phạm nêu trên. Cụ thể, các Điều 159 và 288 của Bộ luật Hình sự năm 2015 (sửa đổi, bổ sung năm 2017) lần lượt quy định về “xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín của người khác” và “cung cấp, sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông.” Bên cạnh đó, hành vi xâm phạm quyền riêng tư cá nhân còn được điều chỉnh tại Điều 12 Bộ luật Tố tụng hình sự năm 2015 (sửa đổi, bổ sung năm 2021) về “bảo đảm quyền bất khả xâm phạm về chỗ ở, đời sống riêng tư, bí mật cá nhân, bí mật gia đình, an toàn và bí mật thư tín, điện thoại, điện tín.” Theo điểm a khoản 2 Điều 64 của Luật Xử lý vi phạm hành chính năm 2012 (sửa đổi, bổ sung năm 2020), “việc quản lý, sử dụng các phương tiện, thiết bị kỹ thuật nghiệp vụ và việc lập danh mục các phương tiện, thiết bị đó phải bảo đảm tôn trọng quyền tự do, danh dự, nhân phẩm, bí mật đời tư của công dân và các quyền, lợi ích hợp pháp khác của cá nhân, tổ chức.” Ngoài ra, khoản 4 Điều 134 của Luật này cũng quy định rằng “trong quá trình xử lý người chưa thành niên vi phạm hành chính, phải tôn trọng và bảo vệ bí mật đời tư của họ.”
Tổng quan về thông tin cá nhân và dữ liệu cá nhân trong các văn bản pháp luật Việt Nam
Mặc dù quyền về đời tư (right to privacy) và quyền bảo vệ dữ liệu cá nhân (right to personal data protection) là hai quyền độc lập, song chúng có mối liên hệ mật thiết với nhau. Quyền bảo vệ dữ liệu cá nhân bắt nguồn từ quyền về đời tư. Cả hai quyền này đều đóng vai trò quan trọng trong việc thúc đẩy bảo vệ các quyền và tự do cơ bản của mỗi cá nhân. Ở Việt Nam, pháp luật cũng tiếp cận vấn đề bảo vệ dữ liệu cá nhân trên cơ sở quyền về đời tư. Tuy nhiên, bên cạnh các quy định về đời sống riêng tư của cá nhân, pháp luật Việt Nam còn quy định về thông tin cá nhân.
Điều 3 của Luật An toàn thông tin mạng năm 2015 định nghĩa “thông tin cá nhân” là thông tin gắn liền với việc xác định danh tính của một người cụ thể. Tuy nhiên, trước đó, Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước đã đưa ra định nghĩa chi tiết hơn, theo đó:
“Thông tin cá nhân là thông tin đủ để xác định chính xác danh tính của một cá nhân, bao gồm ít nhất một trong các thông tin sau: họ và tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu” (khoản 5 Điều 3 Nghị định 64/2007/NĐ-CP).
Nghị định này cũng quy định rằng:
“Bí mật cá nhân bao gồm hồ sơ bệnh án, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và các bí mật cá nhân khác” (khoản 5 Điều 3 Nghị định 64/2007/NĐ-CP).
Do đó, các luật chuyên ngành khác như Luật Khám bệnh, chữa bệnh năm 2023, Luật Quản lý thuế năm 2019, Luật Kinh doanh bảo hiểm năm 2022… cũng có các quy định riêng về việc bảo mật thông tin cá nhân trong lĩnh vực tương ứng.
Quyền được tôn trọng danh dự, bảo vệ sức khỏe và đời tư trong khám chữa bệnh được quy định tại Điều 10 Luật Khám bệnh, chữa bệnh năm 2023. Liên quan đến nghĩa vụ nghề nghiệp, khoản 5 Điều 45 Luật này yêu cầu đảm bảo bảo mật tình trạng bệnh, thông tin do người bệnh cung cấp và hồ sơ bệnh án. Theo khoản 2 Điều 69, “hồ sơ bệnh án được lưu trữ, bảo mật theo quy định của pháp luật; trường hợp hồ sơ bệnh án được xác định là bí mật nhà nước thì áp dụng quy định của pháp luật về bảo vệ bí mật nhà nước. Việc lưu trữ hồ sơ bệnh án phải tuân thủ pháp luật về lưu trữ.”
Ngoài ra, việc có quyền được bảo mật thông tin là một trong những quyền của người nộp thuế theo khoản 4 Điều 16 Luật Quản lý thuế năm 2019. Căn cứ khoản 1 Điều 99, “cơ quan quản lý thuế, công chức quản lý thuế, công chức quản lý thuế đã nghỉ hưu, tổ chức cung cấp, trao đổi thông tin người nộp thuế và tổ chức cung cấp dịch vụ thuế phải giữ bí mật thông tin người nộp thuế theo quy định của pháp luật.”
Theo khoản 3 Điều 11 Luật Kinh doanh bảo hiểm năm 2022, “việc thu thập, sử dụng, lưu trữ và cung cấp thông tin cho cơ sở dữ liệu về hoạt động kinh doanh bảo hiểm phải đảm bảo an toàn, bảo mật và tuân thủ quy định về bảo vệ đời sống riêng tư, bí mật cá nhân, bí mật gia đình và bí mật kinh doanh.”
Ngoài ra, theo khoản 2 Điều 129 của Luật này, “giữ bí mật thông tin khách hàng, chỉ sử dụng thông tin khách hàng cho mục đích phù hợp và không được cung cấp thông tin đó cho bên thứ ba khi chưa được sự đồng ý của khách hàng” là nghĩa vụ của đại lý bảo hiểm. Tương tự, Điều 142 quy định một trong các trách nhiệm của tổ chức cung cấp dịch vụ phụ trợ bảo hiểm là “giữ bí mật thông tin khách hàng, chỉ sử dụng thông tin khách hàng cho mục đích phù hợp và không được cung cấp thông tin đó cho bên thứ ba khi chưa có sự đồng ý của khách hàng.”
Bên cạnh đó, khoản 13 Điều 3 Nghị định 52/2013/NĐ-CP ngày 16/5/2013 của Chính phủ về thương mại điện tử cũng định nghĩa “thông tin cá nhân là thông tin góp phần xác định danh tính của một cá nhân cụ thể, bao gồm họ tên, tuổi, địa chỉ nhà, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và các thông tin khác mà cá nhân muốn được giữ bí mật.”
Tóm lại, pháp luật Việt Nam quy định về đời tư cá nhân và định nghĩa thông tin cá nhân trong nhiều văn bản pháp luật khác nhau, từ luật đến nghị định. Tuy nhiên, cần phân biệt rõ giữa thông tin cá nhân và dữ liệu cá nhân.
Theo khoản 2 Điều 2 Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân,
“Thông tin giúp nhận dạng một người cụ thể là thông tin được hình thành từ hoạt động của cá nhân mà khi kết hợp với dữ liệu và thông tin được lưu trữ khác có thể xác định được người đó.”
Trong khi đó, khoản 1 Điều 2 quy định:
“Dữ liệu cá nhân là thông tin ở dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trong môi trường điện tử, gắn liền với một người cụ thể hoặc giúp xác định người đó. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.”
Khoản 3 Điều 2 của Nghị định này liệt kê các loại dữ liệu cá nhân cơ bản, bao gồm:
a) Họ, chữ đệm và tên ghi trong giấy khai sinh, và các tên khác (nếu có);
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c) Giới tính;
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán và địa chỉ liên hệ;
đ) Quốc tịch;
e) Hình ảnh;
g) Số điện thoại, số CCCD, mã định danh cá nhân, số hộ chiếu, số giấy phép lái xe, biển số xe, mã số thuế cá nhân, số sổ bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h) Tình trạng hôn nhân;
i) Thông tin về quan hệ gia đình (cha mẹ, con cái);
k) Thông tin về tài khoản số của cá nhân, dữ liệu phản ánh hoạt động và lịch sử hoạt động của cá nhân trên không gian mạng;
l) Các thông tin khác gắn liền với một người cụ thể hoặc giúp xác định người đó mà không thuộc quy định tại khoản 4 Điều này.
Dữ liệu cá nhân nhạy cảm, được định nghĩa tại khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP, là:
“Dữ liệu cá nhân gắn liền với đời sống riêng tư của cá nhân mà khi bị xâm phạm sẽ trực tiếp ảnh hưởng đến quyền và lợi ích hợp pháp của người đó, bao gồm:
a) Quan điểm chính trị, tôn giáo;
b) Thông tin về tình trạng sức khỏe, đời tư được ghi trong hồ sơ bệnh án (trừ thông tin về nhóm máu);
c) Thông tin liên quan đến nguồn gốc chủng tộc, dân tộc;
d) Thông tin về đặc điểm di truyền, bẩm sinh hoặc mắc phải của cá nhân;
đ) Thông tin về đặc điểm thể chất và sinh trắc học;
e) Thông tin về đời sống tình dục và xu hướng tính dục của cá nhân;
g) Dữ liệu về tội phạm và hành vi phạm tội được thu thập, lưu giữ bởi cơ quan thực thi pháp luật;
h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức trung gian thanh toán và tổ chức được cấp phép khác, bao gồm thông tin định danh khách hàng, thông tin về tài khoản, tiền gửi, tài sản, giao dịch và bên bảo đảm;
i) Dữ liệu về vị trí của cá nhân được xác định thông qua dịch vụ định vị;
k) Các dữ liệu cá nhân khác được pháp luật quy định là dữ liệu đặc thù cần có biện pháp bảo mật cần thiết.”
Mô hình pháp lý bảo vệ dữ liệu cá nhân trên thế giới và lựa chọn của Việt Nam
Tham chiếu các quy định pháp luật về bảo vệ dữ liệu cá nhân tại một số quốc gia (Giao & Tuyên, 2020), có thể thấy hiện nay trên thế giới tồn tại ba mô hình pháp lý chính về bảo vệ dữ liệu cá nhân (Hồng & Dũng, 2020), bao gồm: mô hình châu Âu, mô hình Hoa Kỳ và mô hình hỗn hợp.
Thứ nhất, theo mô hình châu Âu, cá nhân được đặt ở vị trí trung tâm hoặc ở vị trí cao nhất; do đó, quyền riêng tư của cá nhân được xem là ưu tiên hàng đầu. Hiện nay, châu Âu có văn bản luật riêng về bảo vệ dữ liệu cá nhân. Quy định (EU) 2016/679 được ban hành ngày 27/4/2016 và có hiệu lực từ ngày 25/5/2018 — thường được gọi là Quy định Bảo vệ Dữ liệu Chung (GDPR). Đây là bước tiến pháp lý lớn, đặt ra các quy định cụ thể, chi tiết và toàn diện về vấn đề bảo vệ dữ liệu cá nhân. Pháp luật châu Âu cũng mở rộng phạm vi điều chỉnh của thông tin cá nhân, bao gồm mọi thông tin liên quan đến hoặc thuộc về một cá nhân mà từ đó có thể xác định được danh tính người đó.
Thứ hai, mô hình của Hoa Kỳ có cách tiếp cận hài hòa hơn giữa việc bảo vệ quyền và lợi ích hợp pháp của cá nhân – chủ thể dữ liệu – và lợi ích của các bên liên quan khác. Theo mô hình này, việc bảo vệ dữ liệu cá nhân không được quy định trong một văn bản pháp lý duy nhất, mà phân tán trong nhiều đạo luật khác nhau. Hiện nay, Hoa Kỳ chưa có luật riêng ở cấp liên bang về bảo vệ dữ liệu cá nhân (Trang, 2017); thay vào đó, các quy định này được đề cập trong nhiều văn bản pháp luật khác nhau theo từng ngành nghề hoặc đối tượng cụ thể, chẳng hạn như Đạo luật Bảo vệ Quyền riêng tư Trẻ em Trực tuyến (COPPA) hoặc Đạo luật Bảo vệ Quyền riêng tư trong Video (Video Privacy Protection Act) (Giao & Tuyên, 2020).
Cuối cùng, mô hình hỗn hợp là sự kết hợp hài hòa giữa hai mô hình trên, được áp dụng ở nhiều nước châu Á như Nhật Bản và Hàn Quốc. Các quốc gia này thường ban hành luật riêng về quyền riêng tư hoặc bảo vệ thông tin cá nhân để điều chỉnh tập trung và toàn diện các vấn đề liên quan. Ví dụ, Nhật Bản ban hành Luật Bảo vệ Thông tin Cá nhân năm 2003 (Hounslow & Nozaki, 2023) và sửa đổi cơ bản năm 2016, có tham chiếu nhiều quy định trong GDPR. Hàn Quốc ban hành Luật Bảo vệ Thông tin Cá nhân (PIPA) năm 2011 (Bae Park & Kang, 2024), và liên tục sửa đổi trong các năm 2013, 2014, 2015, 2017, cũng như 2020 và 2023 (Nguyễn Văn Cường, 2020; Park & Kang, 2024), nhằm đáp ứng yêu cầu của nền kinh tế số. Bằng việc kết hợp giữa hai mô hình của châu Âu và Hoa Kỳ, phạm vi điều chỉnh về thông tin cá nhân của các nước này có cơ chế và mức độ quản lý hợp lý, linh hoạt và cân bằng hơn.
Như đã phân tích ở trên, tại Việt Nam, quyền riêng tư luôn được tôn trọng và bảo vệ bởi pháp luật. Tuy nhiên, việc đề cao vai trò của cá nhân phải hài hòa với lợi ích quốc gia, dân tộc và quyền, lợi ích hợp pháp của người khác. Do đó, Việt Nam không thể chỉ đơn thuần áp dụng mô hình châu Âu hoặc mô hình Hoa Kỳ trong lĩnh vực bảo vệ dữ liệu cá nhân. Với việc ban hành Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân, có thể thấy rằng Việt Nam đang kết hợp cả hai mô hình châu Âu và Hoa Kỳ trong khuôn khổ pháp lý của mình.
Cơ quan bảo vệ dữ liệu cá nhân trên thế giới và lựa chọn của Việt Nam
Tại Liên minh châu Âu (EU), Quy định (EU) 2016/679 yêu cầu mỗi quốc gia thành viên phải có ít nhất một cơ quan công quyền độc lập chịu trách nhiệm giám sát việc thực thi GDPR nhằm bảo vệ quyền và tự do cơ bản của cá nhân. Mặc dù mỗi quốc gia có thể tự quyết mô hình tổ chức và phương thức hoạt động của cơ quan này, nhưng phải tuân thủ nguyên tắc cốt lõi đầu tiên của GDPR – tính độc lập. Điều này có nghĩa là cơ quan giám sát bảo vệ dữ liệu của mỗi nước không chịu bất kỳ ảnh hưởng nào từ bên ngoài, trực tiếp hoặc gián tiếp, và không được phép nhận chỉ đạo từ bất kỳ cá nhân, tổ chức hay cơ quan nào khác.
Ví dụ, tại Ba Lan, cơ quan giám sát là Thanh tra trưởng về Bảo vệ Dữ liệu Cá nhân (GIODO), có thẩm quyền giám sát việc xử lý dữ liệu cá nhân, ban hành quyết định hành chính, giải quyết khiếu nại và xử phạt vi phạm dữ liệu cá nhân (Philip Schütz, 2023; Kowalczuk Pakula et al., 2023).
Tại Vương quốc Anh, Văn phòng Ủy viên Thông tin (ICO) là cơ quan công quyền độc lập được thành lập dưới quyền Quốc hội Anh, không do chính phủ bổ nhiệm và không chịu ảnh hưởng của cơ quan hành pháp hay tư pháp (Government of the United Kingdom, 2023; Information Commissioner’s Office, 2024).
Ở Hàn Quốc, Ủy ban Truyền thông Hàn Quốc (KCC) là một trong những cơ quan bảo vệ dữ liệu chính, gồm 5 ủy viên thường trực, trong đó 2 người (bao gồm Chủ tịch) do Tổng thống bổ nhiệm, và 3 người còn lại do Quốc hội đề cử và Tổng thống bổ nhiệm (KCC, 2024). Cấu trúc này thể hiện mức độ độc lập tương đối cao của Ủy ban trong việc áp dụng các biện pháp hành chính, xử phạt, và ban hành quyết định khắc phục vi phạm (Park & Kang, 2024).
Tại Nhật Bản, Ủy ban Bảo vệ Thông tin Cá nhân (PPC) cũng là một cơ quan độc lập cao, theo Luật Bảo vệ Thông tin Cá nhân, trong đó Chủ tịch và các Ủy viên thực hiện quyền hạn một cách độc lập (PPC, 2024).
Tại Việt Nam, theo Khoản 1 Điều 29 Nghị định 13/2023/NĐ-CP, cơ quan chuyên trách về bảo vệ dữ liệu cá nhân là Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an, có nhiệm vụ giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
Theo Điều 34 Nghị định 13/2023/NĐ-CP, Bộ Công an có các trách nhiệm chính sau:
1. Giúp Chính phủ thực hiện thống nhất quản lý nhà nước về bảo vệ dữ liệu cá nhân;
2. Hướng dẫn, tổ chức thực hiện các hoạt động bảo vệ dữ liệu cá nhân và bảo vệ quyền của chủ thể dữ liệu;
3. Xây dựng, quản lý và vận hành Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân;
4. Đánh giá kết quả bảo vệ dữ liệu cá nhân của các cơ quan, tổ chức, cá nhân;
5. Tiếp nhận hồ sơ, biểu mẫu và thông tin liên quan đến bảo vệ dữ liệu cá nhân;
6. Tăng cường nghiên cứu, đổi mới và hợp tác quốc tế về bảo vệ dữ liệu;
7. Thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo và xử lý vi phạm về bảo vệ dữ liệu cá nhân.
Theo Điều 16 Luật Công an Nhân dân năm 2018, lực lượng Công an nhân dân có nhiệm vụ quản lý cư trú, cơ sở dữ liệu quốc gia về dân cư và căn cước công dân, đồng thời thực hiện quản lý và bảo vệ an ninh mạng, phòng chống tội phạm mạng.
Từ các quy định trên có thể thấy, tại Việt Nam, cơ quan Công an hiện đang chịu trách nhiệm quản lý và xử lý các hành vi vi phạm trong lĩnh vực bảo vệ dữ liệu cá nhân. Tuy nhiên, khi so sánh với mô hình GDPR của châu Âu, đặc biệt là các nước như Ba Lan hoặc Anh Quốc, có thể thấy Việt Nam còn thiếu nguyên tắc “tính độc lập” trong hoạt động của cơ quan bảo vệ dữ liệu.
Vì vậy, trong giai đoạn tới, ngoài các nguyên tắc bảo vệ dữ liệu cá nhân đã được quy định tại Điều 3 Nghị định 13/2023/NĐ-CP, Việt Nam nên bổ sung nguyên tắc độc lập trong thực hiện chức năng, nhiệm vụ và quyền hạn của cơ quan bảo vệ dữ liệu cá nhân, quy định cụ thể tại Điều 29 của Nghị định này.
Kết luận
Bảo vệ dữ liệu cá nhân bắt nguồn từ quyền được bảo mật đời tư. Cả hai quyền này đều nhằm bảo đảm sự tôn trọng và thúc đẩy các quyền con người cơ bản cũng như tự do cá nhân.
Tại khu vực Đông Bắc Á — điển hình là Nhật Bản và Hàn Quốc — các đạo luật về bảo vệ thông tin cá nhân đã được ban hành hơn 10 năm trước. Trong khu vực ASEAN, bao gồm Singapore, Thái Lan, Malaysia, v.v., Luật về bảo vệ dữ liệu cá nhân cũng đã được ban hành từ lâu (Nguyễn Văn Cường, 2020).
Tại Việt Nam, ngày 17 tháng 4 năm 2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Nhìn chung, nội dung của Nghị định này được xây dựng theo hướng tiếp cận phù hợp với chuẩn mực quốc tế, đặc biệt là Quy định số 2016/679 (GDPR) của Liên minh châu Âu.
Tuy nhiên, bên cạnh việc quy định trách nhiệm của cơ quan, tổ chức và cá nhân trong việc bảo vệ dữ liệu cá nhân (từ Điều 32 đến Điều 42 của Nghị định 13/2023/NĐ-CP ngày 17/4/2023), việc bổ sung nguyên tắc “độc lập” trong thực thi chức năng và nhiệm vụ của cơ quan chịu trách nhiệm bảo vệ dữ liệu cá nhân tại Việt Nam (theo Điều 29 của Nghị định này) là cần thiết trong giai đoạn hiện nay.

Thông tin về tác giả
Lâm Tố Trang hiện là Trưởng Bộ môn Luật Dân sự, Khoa Luật – Trường Đại học Mở TP. Hồ Chí Minh, Việt Nam.
Hướng nghiên cứu của bà tập trung vào lĩnh vực luật tư, đặc biệt là luật dân sự.
Bà đã công bố nhiều bài nghiên cứu trên các tạp chí khoa học trong nước và quốc tế có phản biện học thuật.
Lời cảm ơn
Tác giả xin gửi lời cảm ơn chân thành đến tất cả những người đã đóng góp quan trọng vào việc hoàn thành bài viết này.
Tuyên bố xung đột lợi ích
Tác giả không có bất kỳ xung đột lợi ích tiềm ẩn nào liên quan đến nghiên cứu này.
Tuyên bố về dữ liệu nghiên cứu
Các dữ liệu hỗ trợ cho kết quả của nghiên cứu này có thể được cung cấp bởi tác giả liên hệ theo yêu cầu hợp lý.

Chú thích
1. Nghị định số 52/2013/NĐ-CP ngày 16/5/2013 của Chính phủ về thương mại điện tử, được sửa đổi, bổ sung bởi Nghị định số 85/2021/NĐ-CP ngày 25/9/2021.
2. Xem chi tiết tại: Law and Regulation (2016). General Data Protection Regulation (GDPR) – https://gdpr.eu/tag/gdpr/.
3. Toàn văn Khoản 1 Điều 51 của GDPR:
“Mỗi quốc gia thành viên phải thiết lập một hoặc nhiều cơ quan công quyền độc lập chịu trách nhiệm giám sát việc thực thi Quy định này, nhằm bảo vệ các quyền và tự do cơ bản của cá nhân liên quan đến việc xử lý dữ liệu và thúc đẩy dòng chảy tự do của dữ liệu cá nhân trong Liên minh (‘cơ quan giám sát’).”
4. Toàn văn Khoản 1 và 2 Điều 52 của GDPR:
1. “Mỗi cơ quan giám sát phải hành động với sự độc lập hoàn toàn khi thực hiện nhiệm vụ và quyền hạn của mình theo Quy định này.”
2. “Các thành viên của cơ quan giám sát, khi thực hiện nhiệm vụ và quyền hạn theo Quy định này, phải không chịu bất kỳ ảnh hưởng bên ngoài nào, dù trực tiếp hay gián tiếp, và không được tìm kiếm hay nhận chỉ thị từ bất kỳ cá nhân hay tổ chức nào.”
Tài liệu tham khảo
1. Akhmetova, S. B., & Ibrayeva, A. S. (2023). The European data protection model as a global privacy standard. Farabi Journal of Social Sciences, 9(1), 78–85. https://doi.org/10.26577/FJSS.2023.v9.i1.09
2. Bae Park, K., & Kang, M. (2024). South Korea - data protection overview, https://www.dataguidance.com/notes/south-korea-data-protection-overview(open in a new window)
3. Cuong, N. V. (2020). Thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và hướng hoàn thiện [Current law on personal information protection in Vietnam and direction for improvement]. Journal of Legislative Studies. http://www.lapphap.vn/Pages/TinTuc/210631/Thuc-trang-phap-luat-ve-cover-ve-thong-news-ca-nhan-o-Viet-Nam-hien-nay-and-huong-hoan-thien.html(open in a new window)
4. Dung, M. T. (2021). Xây dựng Chính phủ điện tử hướng tới Chính phủ số và nền kinh tế số ở Việt Nam [Building e-Government towards Digital Government and digital economy in Vietnam]. http://egov.chinhphu.vn/xay-dung-chinh-phu-dien-tu-huong-toi-chinh-phu-so-va-nen-Kinh-te-so-o-viet-nam-a-NewsDetails-37599-14-186.html(open in a new window)
5. Giao, V. C., & Tuyen, L. T. N. (2020). Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt Nam [Protection of rights to personal data in international law, laws in some countries and reference values for Vietnam]. Journal of Legislative Studies. http://lapphap.vn/Pages/tintuc/tinchitiet.aspx?tintucid=210546(open in a new window)
6. Glancy, D. J. (1979). The invention of the right to privacy. Arizona Law Review, 21(1).
7. Government of the United Kingdom. (2023). Information Commissioner’s Office. https://www.gov.uk/government/organisations/information-commissioner-s-office(open in a new window)
8. Hong, L. M., & Dung, D. T. (2020). Pháp luật quốc tế về bảo vệ thông tin cá nhân [International law on personal information protection]. https://www.mic.gov.vn/atantt/Pages/TinTuc/143749/Phap-luat-quoc-te%20-ve-bao-ve-thong-tin-ca-nhan.html(open in a new window)
9. Hounslow, D., & Nozaki, R. (2023). Japan - data protection overview. https://www.dataguidance.com/notes/japan-data-protection-overview(open in a new window)
10. Information Commissioner’s Office. (2024). About the Information Commissioner’s Office. https://ico.org.uk/about-the-ico/(open in a new window)
11. Inspector General for the Protection of Personal Data (GIODO). (2023). Inspector General for the Protection of Personal Data. https://archiwum.giodo.gov.pl/en/453#:∼:text=Edyta%20Bielak%20%E2%80%93%20Jomaa%20was%20born,University%20of%20Lodz%20(UL)(open in a new window)
12. Korea Communications Commission (KCC). (2024). Overview. https://kcc.go.kr/user.do?page=E01010100&dc=E01010100(open in a new window)
13. Kovalenko, Y. (2022). The right to privacy and protection of personal data: Emerging trends and implications for development in jurisprudence of European Court of Human Rights. Masaryk University Journal of Law and Technology, 16(1), 37–58. https://doi.org/10.5817/MUJLT2022-1-2
14. Kowalczuk Pakula, I., Jaraczewska, P., & Stepien, E. (2023). Poland - data protection overview. https://www.dataguidance.com/notes/poland-data-protection-overview(open in a new window)
15. Law and Regulation. (1948). Universal Declaration of Human Rights in 1948. United Nations.

16. Law and Regulation. (1950). European Convention on Human Rights in 1950. Council of Europe.
17. Law and Regulation. (1969). American Convention on Human Rights in 1969. Organization of American States (OAS).
18. Law and Regulation. (2007). Decree 64/2007/ND-CP Dated April 10, 2007 of the Government on the Application of Information Technology in the Operations of State Agencies. Government of Vietnam.
19. Law and Regulation. (2009). Law on Medical Examination and Treatment in 2009. National Assembly of Vietnam.
20. Law and Regulation. (2012). Law on Handling of Administrative Violations in 2012, Amended and Supplemented in 2020. National Assembly of Vietnam.
21. Law and Regulation. (2013). Constitution in 2013. National Assembly of Vietnam.
22. Law and Regulation. Government of Vietnam (2013). Decree 52/2013/ND-CP Dated May 16, 2013 of the Government on e-Commerce.
23. Law and Regulation. National Assembly of Vietnam (2015). Civil Code in 2015.
24. Law and Regulation. National Assembly of Vietnam (2015). Civil Procedure Code in 2015, Amended and Supplemented 2019, 2020 and 2022.
25. Law and Regulation. National Assembly of Vietnam (2015). Criminal Procedure Code in 2015, Amended and Supplemented in 2021.
26. Law and Regulation. National Assembly of Vietnam (2015). Penal Code in 2015, Amended and Supplemented in 2017.
27. Law and Regulation. European Parliament and Council (2016). General Data Protection Regulation (GDPR). https://gdpr.eu/tag/gdpr/(open in a new window)
28. Law and Regulation. National Assembly of Vietnam (2018). Law on people’s public security forces in 2018.
29. Law and Regulation. National Assembly of Vietnam (2019). Law on Tax Administration in 2019.
30. Law and Regulation. Government of Vietnam (2021). Decree 144/2021/ND-CP Dated December 32, 2021 of the Government Regulating Penalties for Administrative Violations in the Field of Security, Order and Social Safety; Prevention of Social Evils; Fire Protection and Prevention; Rescue and Salvage; Prevent and Combat Domestic Violence.
31. Law and Regulation. Government of Vietnam (2021). Decree 85/2021/ND-CP Dated September 25, 2021 of the Government on Amending and Supplementing a Number of Articles of Decree 52/2013/ND-CP Dated May 16, 2013 of the Government on Trade Electronic.
32. Law and Regulation. National Assembly of Vietnam (2022). Law on insurance business in 2022.
33. Law and Regulation. Government of Vietnam (2023). Decree 13/2023/ND-CP Dated April 17, 2023 of the Government on Personal Data Protection.
34. Law and Regulation. National Assembly of Vietnam (2023). Law on medical examination and treatment in 2023.
35. Pearce, G., & Platten, N. (2011). Managing personal data flows between the EU and US. Fordham International Law Journal (1999), 1–36.
36. Personal Information Protection Commission. (2024). Roles and responsibilities. https://www.ppc.go.jp/en/aboutus/roles/(open in a new window)
37. Pham Duy Nghia. (2014). Phương pháp nghiên cứu luật học [Legal research methods]. People’s Public Security Publishing House.
38. Schütz, P. (2023). Assessing formal independence of data protection authorities in a comparative perspective. Springer Link. https://link.springer.com/chapter/10.1007/978-3-642-31668-5_4(open in a new window)
39. Thuy Trang, L. T. (2017). Nghiên cứu một số quy định về bảo vệ thông tin cá nhân trên thế giới và tại Việt Nam [Research on some regulations on personal information protection in the world and in Vietnam]. https://aita.gov.vn/nghien-cuu-mot-so-quy-dinh -ve-cover-ve-thong-news-ca-nhan-on-the-world-and-tai-viet-nam(open in a new window)
40. Tuan, D. (2018). Thủ tướng: Xây dựng Chính phủ điện tử từ những việc nhỏ nhất [Prime Minister: Building e-Government from the smallest things]. https://baochinhphu.vn/thu-tuong-xay-dung-chinh-phu-dien-tu-tu-nhung-viec -nho-nhat-102238718(open in a new window).htm
41. Warren, S. D., & Brandeis, L. D. (1890). The right to privacy. Harvard Law Review, 4(5), 193. https://www.jstor.org/stable/1321160?seq=1(open in a new window) https://doi.org/10.2307/132116
Nguồn: https://www.tandfonline.com/doi/full/10.1080/23311886.2024.2414872#abstract