Bảo vệ dữ liệu cá nhân tại Nhật Bản thông qua Đạo luật về bảo vệ thông tin cá nhân và một số khuyến nghị đối với Việt Nam

20/10/2020

THS. LÊ XUÂN TÙNG

Viện khoa học pháp lý, Bộ Tư pháp.

Tóm tắt: Bài viết này cung cấp thông tin về bảo vệ dữ liệu cá nhân tại Nhật Bản thông qua Đạo luật bảo vệ thông tin cá nhân[1]. Trên cơ sở kinh nghiệm quốc tế, tác giả đề xuất một số khuyến nghị cho Việt Nam khi xây dựng khung pháp luật về bảo vệ dữ liệu cá nhân.
Từ khóa: Bảo vệ dữ liệu cá nhân, quyền riêng tư, thông tin, APPI.
Abstract: This article provides information on the regulation of personal data protection in Japan through the Act on the Protection of Personal Information. Based on international experience, the article presents a number of proposed recommendations for Vietnam when developing a legal framework for personal data protection.
Keywords: Personal data protection; privacy right, information, APPI.
 BẢO-VỆ-DỮ-LIỆU-CÁ-NHÂN.jpg
Ảnh minh họa: Nguồn internet
1. Đặt vấn đề
Bảo vệ dữ liệu cá nhân là một khía cạnh lớn của sự riêng tư và quyền bảo vệ dữ liệu cá nhân được ghi nhận và phát triển từ quyền riêng tư. Sự ra đời của điện thoại, máy ghi âm và đặc biệt là máy tính cùng internet đã tạo ra mối quan tâm lớn về bảo vệ dữ liệu từ các quốc gia, đặc biệt là trong thập niên 70 của thế kỷ XX. Nhận biết được về sự phát triển của thương mại điện tử cũng như là internet, việc xây dựng luật về bảo vệ dữ liệu sẽ giúp người dùng yên tâm hơn khi tham gia hay trao đổi trên không gian mạng. Pháp luật về bảo vệ dữ liệu cá nhân ở các quốc gia trên thế giới được hình thành trong thời gian này hầu hết dựa vào “Hướng dẫn của OECD[2] về bảo vệ riêng tư và dữ liệu cá nhân xuyên biên giới năm 1980”[3] và “ Hướng dẫn của OECD về bảo vệ người tiêu dùng trong bối cảnh thương mại điện tử năm 1999”[4] . Theo Hướng dẫn năm 1980 của OECD, có thể hiểu dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến hoặc cho phép xác định một cá nhân nhất định (đối tượng dữ liệu)[5].
 Sau sự ra đời của EU vào năm 1993, Chỉ thị số 95/46/EC về bảo vệ dữ liệu được ban hành[6] vào ngày 24 tháng 10 năm 1995, tiếp tục tạo ra một khung pháp lý mới đối với thị trường kỹ thuật số với sự công nhận về quyền riêng tư và việc bảo vệ dữ liệu cá nhân bởi Tòa án Nhân quyền châu Âu (European Court of Human Rights hay ECHR). Cụ thể, các mục tiêu bao trùm được đặt ra bởi EU và các quốc gia thành viên có thể có những sự thay đổi khi áp dụng nhưng vẫn phải đảm bảo những tiêu chuẩn tối thiểu của Chỉ thị. Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu có hiệu lực chính thức vào ngày 25 tháng 5 năm 2018 (General Data Protection Regulation – gọi tắt là GDPR) thay thế Chỉ thị số 95/46/EC, là một quy định có tính ràng buộc trực tiếp đối với các quốc gia thành viên mà trong đó nó không chỉ tập trung vào quyền riêng tư, mà còn đơn giản hóa chế độ bảo vệ dữ liệu cho các doanh nghiệp châu Âu trong thời đại kỹ thuật số.
Đối với các nước châu Á, quốc gia đầu tiên quy định về bảo vệ dữ liệu là Hong Kong thông qua Sắc lệnh về quyền riêng tư có hiệu lực vào ngày 20 tháng 12 năm 196[7], một nơi rất đề cao quyền công dân cũng như sự phát triển và bảo vệ tự do cá nhân (bao gồm quyền riêng tư). Sự chậm trễ trong quá trình lập pháp liên quan đến bảo vệ dữ liệu diễn ra ở những năm tiếp theo cho đến khi các quốc gia nhận thấy được sự bùng nổ khó kiểm soát của thông tin và dữ liệu. Có thể thấy, dù nhận thức được về tầm quan trọng của quyền riêng tư cũng như bảo vệ dữ liệu trong kỷ nguyên số, đây không phải là vấn đề có thể được quy định ngay trong luật quốc gia. Nhiều nước vẫn còn đang khá dè dặt và chỉ đề cập đến thông qua các luật khác, hay thậm chí là các chính sách. Sự ra đời của GDPR như đã đề cập ở trên có tác động toàn cầu và có thể trở thành một tiêu chuẩn vàng cho các quốc gia hay lãnh thổ áp dụng cho quá trình lập pháp về bảo vệ dữ liệu.  
Vào năm 2003, Nhật Bản ban hành Đạo luật bảo vệ thông tin cá nhân có hiệu lực vào tháng 4 năm 2005. Nhật Bản luôn được biết đến là quốc gia có ngành công nghệ thông tin phát triển hàng đầu và luôn quan tâm đến việc bảo vệ các quyền cơ bản của con người. Nhật Bản cũng là một trong các nước châu Á đi đầu trong việc ban hành pháp luật về bảo vệ dữ liệu. Đạo luật bảo vệ thông tin của Nhật Bản khi ra đời vào năm 2003 được đánh giá là có nhiều nét tương đồng với Chỉ thị số 95/46/EC của EU và những sửa đổi mới nhất của Đạo luật này vào năm 2017 cũng có sự tương thích với GDPR.
2. Nhật Bản - quốc gia châu Á tiên phong cho vấn đề bảo vệ dữ liệu cá nhân thời đại số
2.1.                 Văn hóa Nhật Bản đối với quyền riêng tư
Khi nói đến Nhật Bản, người ta thường nghĩ ngay tới một quốc gia có nền văn hóa Á Đông lâu đời song song với sự hiện đại đi đầu đối với những đổi mới của nhân loại[8]. Đối với quá trình lập pháp cũng như xuyên suốt lịch sử pháp luật, hệ thống pháp luật Nhật Bản cũng có sự kết hợp hài hòa giữa truyền thống, đạo đức và những ảnh hưởng tiến bộ của pháp luật phương Tây với mục tiêu “khoa học phương Tây, đạo đức phương Đông”[9], tạo ra bước tiền đề vững chắc cho quá trình hội nhập và phát triển. Trong một xã hội phát triển, mỗi cá nhân đều tự ý thức được các quyền cơ bản của họ và quyền riêng tư hiện nay đã trở thành mối quan tâm hàng đầu. Tuy nhiên, sự hiểu biết về khái niệm và tầm quan trọng của quyền riêng tư không thật sự phổ quát và có sự đồng nhất. Điều này có thể được lý giải do sự khác biệt về văn hóa, kinh tế và xã hội theo từng vùng lãnh thổ. De George[10] trong nghiên cứu của mình đã tuyên bố rằng, văn hóa ảnh hưởng đến khái niệm riêng tư; các xã hội khác nhau có quan điểm khác nhau về những gì cấu thành sự riêng tư, tầm quan trọng của nó và mức độ, nhu cầu của việc xứng đáng được bảo vệ. Đối vời người Nhật Bản, trước đây, họ thường nhìn nhận khái niệm quyền riêng tư một cách chủ quan và ít coi trọng quyền này hơn các quốc gia phương Tây.
Xét về mặt bản chất, xã hội Nhật Bản từ xưa không dành quá nhiều sự quan tâm đến quyền riêng tư. Không có từ tiếng Nhật tương ứng với từ “privacy” (riêng tư trong tiếng Anh). Nhiều người Nhật sử dụng từ puraibashi, một từ được chấp nhận cho quyền riêng tư, mà ý nghĩa của nó là không rõ ràng[11] . Đối với người Nhật bình thường, quyền riêng tư là một ý tưởng đến từ các nước phương Tây, một số người cảm thấy rằng ý thức về quyền riêng tư có thể mang tính chủ quan vì nó có nghĩa là bất cứ ai cũng có thể tự ý từ chối sự can thiệp của người khác. Mặt khác, để thích ứng với sự phát triển của một xã hội thông tin, Đạo luật về bảo vệ dữ liệu cá nhân được ban hành vào tháng 4 năm 2005. Đạo luật này đã giúp nhiều người ở Nhật Bản hiểu giá trị của việc bảo vệ dữ liệu cá nhân và tầm quan trọng của nó. Đồng thời, các tổ chức kinh doanh cũng như Chính phủ cũng quản lý đúng cách dữ liệu cá nhân mà họ có thể thu thập và lưu trữ trong cơ sở dữ liệu.
2.2.Đạo luật bảo vệ thông tin cá nhân của Nhật Bản (APPI)[12]
Dựa vào ý tưởng rằng công nghệ thông tin có thể trở thành một công nghệ chiến lược toàn cầu trong thế kỷ 21, Chính phủ Nhật Bản đã áp dụng chính sách xây dựng một xã hội thông tin có mạng lưới cao, và đang phát triển cơ sở hạ tầng. Đạo luật bảo vệ dữ liệu cá nhân là một phần của việc thực hiện chính sách này; nó đã được phê duyệt vào tháng 5 năm 2003, bắt đầu có hiệu lực vào mùng 1 tháng 4 năm 2005.
Động lực đằng sau Đạo luật, trong đó có các điều khoản phạt, không đến từ Nhật Bản. Thay vào đó, nó đến từ áp lực bên ngoài của cộng đồng quốc tế với các nguồn chính là Hướng dẫn của OECD và Chỉ thị số 95/46/EC về xử lý dữ liệu cá nhân. Đạo luật bảo vệ thông tin cá nhân của Nhật Bản là một trong những luật riêng tư sớm nhất được ban hành tại châu Á. Đạo luật này được thiết kế để bảo vệ quyền và lợi ích của cá nhân trong khi đảm bảo xem xét đúng đắn việc sử dụng thông tin cá nhân bởi các nguyên tắc cơ bản để xử lý đúng thông tin cá nhân. Mười bốn năm sau, Nhật Bản đã có sửa đổi đáng chú ý và rộng rãi cho Đạo luật vào tháng 5 năm 2017, chỉ một năm trước ngày GDPR có hiệu lực.Việc sửa đổi là sự phản ánh xu hướng toàn cầu về quy định bảo mật dữ liệu, cụ thể là GDPR của EU. Chính phủ Nhật Bản và Ủy ban châu Âu đã đạt được thỏa thuận chung rằng họ sẽ làm việc cùng nhau để cung cấp cho công dân của họ mức độ riêng tư dữ liệu cao hơn. Vào tháng 7 năm 2017, hai bên cũng đã đồng ý rằng họ sẽ làm việc để đưa ra danh sách trắng vào đầu năm 2018[13], làm nổi bật vai trò ngày càng tăng của quyền riêng tư đối với dữ liệu trong quan hệ kinh doanh quốc tế.
2.2.1. Phạm vi áp dụng
APPI được áp dụng đối với “những nhà quản lý doanh nghiệp xử lý các thông tin cá nhân”[14] (Business operator handling personal information). Cụ thể hơn, nhà quản lý doanh nghiệp này có thể là thể nhân hay pháp nhân sử dụng dữ liệu thông tin cá nhân nhằm mục đích kinh doanh, ngoại trừ: i) Các cơ quan nhà nước; ii) Chính quyền địa phương; (iii) Những cơ quan hành chính được sáp nhập; và iv) Những tổ chức hành chính độc lập ở địa phương. Phạm vi của APPI cũng mở rộng tới cả những pháp nhân nước ngoài thu thập và xử lý thông tin cá nhân tại Nhật Bản. Thêm vào đó, thậm chí nếu một pháp nhân nước ngoài không được thành lập tại Nhật Bản, một vài điều khoản trong APPI cũng sẽ được áp dụng đối với pháp nhân đó khi cung cấp sản phẩm hay dịch vụ cho cá nhân tại Nhật Bản và thu thập, xử lý dữ liệu cá nhân đó.
Một điểm đáng chú ý của APPI là việc sử dụng thuật ngữ “handling” (nắm giữ hoặc xử lý thông tin) thay vì “processing” (xử lý thông tin) như các văn bản khác liên quan đến bảo vệ dữ liệu. “Handling” có thể được hiểu với tính khái quát cao hơn, bao gồm bất kỳ hoạt động nào liên quan đến các thông tin cá nhân.  
2.2.2. Thông tin cá nhân và dữ liệu thông tin cá nhân
Thông tin cá nhân được định nghĩa là thông tin về một cá nhân sống thuộc bất kỳ mục nào sau đây: (a) thông tin có chứa tên, ngày sinh hoặc các mô tả khác, theo đó một cá nhân cụ thể có thể được xác định (bao gồm thông tin cho phép dễ dàng tham khảo cho phép nhận dạng cá nhân); hoặc (b) thông tin chứa mã nhận dạng cá nhân, là mã, bao gồm các ký tự, ký tự số và dấu, có thể được sử dụng để xác định cá nhân cụ thể và được quy định trong Nghị định của Chính phủ quy định về việc thực hiện Luật sửa đổi, bổ sung ban hành tháng 12 năm 2016[15] (ví dụ: định danh sinh trắc học chẳng hạn như dữ liệu vân tay, dữ liệu nhận dạng, hộ chiếu hoặc số giấy phép lái xe). Các định nghĩa về thông tin cá nhân tùy thuộc vào ngữ cảnh và không giới hạn đến các loại dữ liệu cụ thể. Luật sửa đổi, bổ sung năm 2017 đã làm rõ hơn định nghĩa về mã được quy định trong APPI[16]; cụ thể, dựa theo Điều 1 Nghị định của Chính phủ, mã cá nhân nhận dạng bao gồm hai loại mã sau đây:
(1) Mã là một tính năng cơ thể của một cá nhân cụ thể đã được chuyển đổi thành dữ liệu được cung cấp để sử dụng bởi máy tính, bao gồm dữ liệu DNA, dữ liệu nhận dạng khuôn mặt, dữ liệu giọng nói, dữ liệu mẫu dáng đi, dữ liệu lòng bàn tay/ ngón tay/ dấu vân tay, mô hình tĩnh mạch;
(2) Mã được gán liên quan đến việc sử dụng dịch vụ hoặc mua bán hàng hóa cung cấp cho một cá nhân, hoặc được nêu trong giấy tờ cấp cho một cá nhân để có thể xác định một người cụ thể, chẳng hạn như số hộ chiếu, sổ lương hưu, giấy phép lái xe và số bảo hiểm y tế[17].
Dữ liệu cá nhân được định nghĩa là thông tin cá nhân nằm trong một cơ sở dữ liệu thông tin cá nhân. Một cơ sở dữ liệu thông tin cá nhân là tập hợp thông tin, bao gồm (a) tập hợp thông tin được sắp xếp một cách có hệ thống theo cách cho phép thông tin cá nhân cụ thể được lấy ra bằng máy tính; và (b) bất kỳ việc thu thập thông tin nào khác được quy định trong Nghị định của Chính phủ được sắp xếp một cách có hệ thống theo một cách cho phép cụ thể để thông tin cá nhân dễ dàng được tìm kiếm.
2.2.3. Mục đích sử dụng thông tin
 Nhà quản lý doanh nghiệp xử lý thông tin cá nhân phải làm rõ mục đích sử dụng thông tin cá nhân, đồng thời phải tuân thủ những quy định sau: (i) nhà quản lý không được sử dụng thông tin cá nhân nằm ngoài phạm vi cần thiết để đạt được các mục đích mà không có sự cho phép từ trước của cá nhân; và (ii) không được thay đổi mục đích sử dụng ngoài phạm vi có mối quan hệ thay thế một cách chính đáng với mục đích sử dụng ban đầu.
2.2.4. Thu thập thông tin
Thông tin được thu thập phải hợp pháp và nhà quản lý doanh nghiệp không được thu thập các thông tin cá nhân bằng cách lừa dối hay các phương pháp sai trái khác. Một khi nhà quản lý doanh nghiệp thu thập thông tin, cá nhân bị thu thập thông tin phải được thông báo hay tuyên bố công khai về mục đích sử dụng trừ một số ngoại lệ sau: i) việc thông báo hay tuyên bố công khai có khả năng gây hại đến đời sống, thân thể, tài sản, quyền hay lợi ích của cá nhân hay bên thứ ba; ii) những thông báo này có khả năng gây hại đối với quyền cũng như lợi ích chính đáng của nhà quản lý; (iii) sự phối hợp với một cơ quan nhà nước, chính quyền địa phương hay bên thứ ba là cần thiết để tiến hành các vấn đề được quy định bởi luật pháp mà sự thông báo hay tuyên bố công khai có khả năng cản trở việc thực hiện.
Thông tin nhạy cảm (sensitive information) cũng được quy định trong APPI và đây là loại thông tin mà nhà quản lý doanh nghiệp không được thu thập từ các cá nhân mà không có sự cho phép từ trước. Thuật ngữ này được sử dụng trong APPI là “thông tin cá nhân được yêu cầu đặc biệt” ( Special care-required personal information) bao gồm trạng thái xã hội, hồ sơ bệnh án, hồ sơ phạm tội hay lịch sử về việc đã từng là nạn nhân của tội phạm. Ngoài việc phải có sự đồng ý từ trước của cá nhân khi thu thập, nhà quản lý doanh nghiệp sẽ không được phép chuyển các thông tin nhạy cảm này cho bất kỳ bên thứ ba nào khác.
2.2.5. Quyền yêu cầu xóa đối với dữ liệu cá nhân
Nếu một cá nhân yêu cầu nhà quản lý doanh nghiệp xử lý thông tin chỉnh sửa, mở rộng hay xóa dữ liệu cá nhân của chính mình bởi vì sự không chính xác, các nhà quản lý phải ngay lập tức điều tra. Dựa vào kết quả điều tra, nhà quản lý sẽ phải có những hành động cụ thể đối với dữ liệu cá nhân và phản hồi tới yêu cầu của cá nhân. Hơn nữa, nếu một cá nhân yêu cầu nhà quản lý doanh nghiệp ngưng sử dụng hay tiết lộ các dữ liệu cá nhân đã được lưu trữ bởi vì vi phạm APPI, nhà quản lý phải dừng việc sử dụng hay tiết lộ nếu lý do được đưa ra là xác đáng.
2.2.6. Bên thứ ba
Cũng như các quy định khác về bảo vệ dữ liệu trong văn bản quốc tế cũng như pháp luật quốc gia, nhà quản lý doanh nghiệp không được cung cấp thông tin cá nhân cho bên thứ ba mà không có sự đồng ý từ cá nhân. Tại đây, “bên thứ ba” có thể bao gồm các thể nhân, pháp nhân khác hay bao gồm cả các công ty con của nhà quản lý doanh nghiệp. Chính vì vậy, việc nhà quản lý doanh nghiệp cung cấp thông tin cho các công ty con của mình cũng phải tuân theo những quy định về bên thứ ba trong APPI. Đối với bên thứ ba ngoài phạm vi lãnh thổ của Nhật Bản, nhà quản lý doanh nghiệp cũng cần sự đồng ý từ chủ dữ liệu trước khi cung cấp.
2.2.7. Thi hành và hình phạt vi phạm
PPC ( Personal Information Protection Commission- Ủy ban bảo vệ dữ liệu thông tin) là cơ quan bảo vệ dữ liệu cấp trung ương được thành lập theo bản sửa đổi gần đây của APPI và chịu trách nhiệm cho việc thi hành, điều tra. Ngoài ra, PPC[18] còn chịu trách nhiệm cho việc ban hành hướng dẫn tuân thủ APPI. Trước khi PPC được thành lập, có nhiều cơ quan của Chính phủ có quyền lực thi hành đối với các nhà quản lý doanh nghiệp theo thẩm quyền tương ứng, và tại mỗi một cơ quan lại có hướng dẫn riêng (theo thống kê là hơn 40 hướng dẫn cho 27 ngành công nghiệp). Sự ra đời của bộ hướng dẫn từ PPC đã tạo ra sự thống nhất cao, tránh tình trạng hướng dẫn nằm phân tán, rải rác trong quy định tại các cơ quan khác nhau.
PPC có thể yêu cầu các báo cáo về việc xử lý thông tin cá nhân và ban hành các khuyến nghị hay lệnh sửa đổi trong trường hợp nhà quản lý doanh nghiệp vi phạm quyền riêng tư của cá nhân và vi phạm những quy định của APPI. Trước khi ban hành lệnh sửa đổi thì các khuyến nghị, hướng dẫn sẽ được gửi tới nhà quản lý doanh nghiệp. Việc vi phạm lệnh sửa đổi là tội phạm hình sự và cá nhân chịu trách nhiệm có thể bị phạt tù tối đa lên tới 6 tháng, khoản tiền phạt cũng lên đến 300.000 Yên Nhật (xấp xỉ 2.400 Euro)[19]. Đây cũng là mức phạt tiền tối đa với nhà quản lý doanh nghiệp.
3. Bảo vệ dữ liệu cá nhân trong pháp luật Việt Nam hiện hành và một số khuyến nghị
Kế thừa và phát triển từ các bản Hiến pháp trước, Hiến pháp năm 2013 đã có những quy định về quyền riêng tư và cụ thể hơn về bí mật dữ liệu cá nhân tại Điều 21:
1. Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn.
2. Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác.Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác”.
Bảo vệ quyền riêng tư và bảo vệ dữ liệu cá nhân cũng đã được quy định và điều chỉnh tại một số luật chuyên ngành với nhiều lĩnh vực khác nhau. Điều 38 Bộ luật Dân sự năm 2015 đã cụ thể hóa quy định tại khoản 1 Điều 21 Hiến pháp năm 2013 như sau:
1. Đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ.;
2. Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến bí mật gia đình phải được các thành viên gia đình đồng ý, trừ trường hợp luật có quy định khác;
3. Thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của cá nhân được bảo đảm an toàn và bí mật. Việc bóc mở, kiểm soát, thu giữ thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của người khác chỉ được thực hiện trong trường hợp luật quy định.
4. Các bên trong hợp đồng không được tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình của nhau mà mình đã biết được trong quá trình xác lập, thực hiện hợp đồng, trừ trường hợp có thỏa thuận khác”.
Đối với các vấn đề về tín dụng, Điều 14 Luật Các tổ chức tín dụng năm 2010, sửa đổi, bổ sung năm 2017 nghiêm cấm việc tiết lộ bí mật kinh doanh của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài và bảo đảm nghĩa vụ bảo mật thông tin liên quan đến tài khoản tiền gửi, tài sản gửi và các giao dịch của khách hàng tại tổ chức tín dụng, chi nhánh ngân hàng nước ngoài. Đối với các giao dịch điện tử, Điều 46 Luật Giao dịch điện tử năm 2005 quy định về bảo mật thông tin trong giao dịch điện tử: “Cơ quan, tổ chức, cá nhân có quyền lựa chọn các biện pháp bảo mật phù hợp với quy định của pháp luật khi tiến hành giao dịch điện tử. Cơ quan, tổ chức, cá nhân không được sử dụng, cung cấp hoặc tiết lộ thông tin về bí mật đời tư hoặc thông tin tổ chức, cá nhân khác mà mình tiếp cận hoặc kiểm soát được trong giao dịch điện tử nếu không được sự đồng ý của họ, trừ trường hợp pháp luật quy định khác”. Quan trọng hơn, đối với các chủ thể tham gia Internet, Luật An toàn thông tin mạng năm 2015 đã dành mục 2 để quy định về bảo vệ thông tin cá nhân[20]. Một điểm rất tiến bộ của Luật này so với APPI là đã có những quy định về quyền của chủ thể thông tin. Cụ thể, theo Điều 18 Luật An toàn thông tin mạng năm 2015, chủ thể thông tin có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ hoặc ngừng cung cấp thông tin cá nhân cho bên thứ ba. Tuy nhiên, Luật cũng như các văn bản dưới luật hiện hành lại chưa có những hướng dẫn cụ thể về bên thứ ba như quy định trong APPI.
Thuật ngữ “thông tin cá nhân” cũng đã được quy định và hướng dẫn tại Nghị định số 72/2013/NĐ-CP (sửa đổi, bổ sung bởi Nghị định số 27/2018 ngày 01 tháng 03 năm 2018 của Chính Phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng) : “Thông tin cá nhân là thông tin gắn liền với việc xác định danh tính, nhân thân của cá nhân bao gồm tên, tuổi, địa chỉ, số chứng minh nhân dân, số điện thoại, địa chỉ thư điện tử và thông tin khác theo quy định của pháp Luật” (khoản 16 Điều 3). So sánh với quy định về thông tin cá nhân trong APPI được đề cập ở trên thì phạm vi của Việt Nam hẹp hơn và chưa làm rõ được nội hàm cũng như các quy định về thông tin khác.
Từ bài học kinh nghiệm của Nhật Bản, tác giả đưa ra một số khuyến nghị cụ thể như sau:
Thứ nhất, các luật chuyên ngành đã phần nào giải quyết được bài toán về bảo vệ dữ liệu cá nhân, nhưng tính khái quát chưa cao, còn thiếu các quy định cụ thể về chế tài. Chính vì vậy,  việc xây dựng một khung pháp lý, cụ thể là Luật Bảo vệ dữ liệu (hay Luật Bảo vệ thông tin cá nhân), là hết sức cần thiết trong thời điểm hiện tại. Trong Luật này, những khái niệm về “thông tin cá nhân”, bí mật dữ liệu cá nhân, “thông tin được yêu cầu cung cấp” cần được làm rõ đồng thời với các quy định về quyền của chủ thể, các bên thứ ba cũng như việc khai thác, sử dụng dữ liệu cá nhân.
Thứ hai, các văn bản pháp luật chuyên ngành liên quan đến bảo vệ dữ liệu cá nhân cần được rà soát và hệ thống hóa với mục đích củng cố cơ chế bảo vệ quyền riêng tư nói chung và quyền bảo vệ dữ liệu cá nhân nói riêng theo ngành, lĩnh vực cụ thể, đồng thời đáp ứng được những yêu cầu của tiêu chuẩn quốc tế hiện hành.
Thứ ba, việc nhận dạng cá nhân cần được quy định cụ thể hơn và có những hướng dẫn chi tiết, cụ thể hóa “quy định về thông tin khác” tại Nghị định số 72/2013/NĐ-CP (sửa đổi, bổ sung bởi Nghị định số 27/2018 ngày 01 tháng 03 năm 2018 của Chính Phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng). Những “thông tin khác” này có thể học hỏi theo như APPI, bao gồm: dữ liệu nhận dạng khuôn mặt, dữ liệu giọng nói, dữ liệu mẫu dáng đi, dữ liệu lòng bàn tay/ ngón tay/ dấu vân tay, mô hình tĩnh mạch.
Thứ tư, một cơ quan đầu mối chuyên trách về bảo vệ quyền riêng tư cũng như bảo vệ dữ liệu cá nhân như Ủy ban bảo vệ dữ liệu thông tin tại Nhật Bảnsẽ đóng vai trò vô cùng quan trọng. Cơ quan này sẽ có thẩm quyền xem xét các khiếu nại, giám sát, nghiên cứu hoàn thiện chính sách, pháp luật về bảo vệ dữ liệu cá nhân.
Có thể thấy, với sự bùng nổ của cách mạng 4.0 cùng yêu cầu thu thập, lưu trữ, truyền tải thông tin ngày một tăng cao giữa các công ty, cơ quan và người dùng, công tác hoàn thiện pháp luật về bảo vệ dữ liệu cần sự quan tâm đặc biệt từ các cơ quan chức năng. Các quốc gia trong và ngoài khu vực đã có đạo luật riêng về bảo vệ dữ liệu cá nhân và đã chứng minh tính hiệu quả, ứng dụng cao. Điều này cũng sẽ thôi thúc pháp luật Việt Nam có những bước tiến mới, phù hợp với những yêu cầu của quốc tế cũng như thúc đẩy sự phát triển, hội nhập của quốc gia./
 

 


[1] Xem tại: http://www.japaneselawtranslation.go.jp/law/detail/?id=2781&vm=2&re=02.
[2] Tổ chức hợp tác và phát triển kinh tế.
[5] Xem OECD: Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 1980.
[7]Xem The Office of the Privacy Commissioner for Personal Data, Hong Kong website at: http://www.pcpd.org.hk/engindex.html; Warren B. Chik, The Lion, the Dragon and the Wardrobe Guarding the Doorway to Information and Communications Privacy on the Internet: A Comparative Case Study of Hong Kong and Singapore e Two Differing Asian Approaches, International Journal of Law and Information Technology, 2005 Vol. 14 No. 1, p. 47.
[8] Nguyễn Văn Quang, Văn hóa pháp luật Nhật Bản - Sự kết hợp truyền thống và hiện đại, Tạp chí Luật học, số 8/2014.
[9] Hoàng Văn Đoàn và Mai Văn Thắng, Ảnh hưởng của pháp luật phương Tây đến pháp luật Nhật Bản trong lịch sử và những giá trị tham khảo đối với Việt Nam trong bối cảnh hiện nay, Tạp chí Khoa học ĐHQGHN: Luật học, Tập 34, Số 3 (2018) 60-70.
[10] De George, R.T. (2003), The ethics of information technology and business, Blackwell.
[11] Murata, K. (2004), Is global information ethics possible? Opinions on the technologically-dependent society, Journal of Information, Communication and Ethics in Society, 2(5): 518-519.
[12] Xem Act for Protection of Personal Information (APPI)trên http://www.japaneselawtranslation.go.jp/law/ detail/?id=2781&vm=2&re=02.
[14] Khoản 4 Điều 2 Đạo luật về bảo vệ thông tin cá nhân Nhật Bản.  
[16] Noriko Higashizawa and Yuri Aihara, “Data Privacy Protection of Personal Information versus Usage of Big Data: Introduction of the Recent Amendment to the Act on the Protection of Personal Information (Japan)” (2017) 84 Def Counsel J 1.
[17] Nghị định của Chính phủ quy định về việc thực hiện Luật sửa đổi, bổ sung ban hành tháng 12 năm 2016.
[20]   Vũ Công Giao, Pháp luật bảo vệ quyền bí mật dữ liệu cá nhân trên thế giới và Việt Nam, Tạp chí Nhà nước và Pháp luật, 2017, Số 2 (346) , tr. 67-73.
 

(Nguồn tin: Bài viết được đăng tải trên Ấn phẩm Tạp chí Nghiên cứu Lập pháp số 13 (413), tháng 7/2020.)


Ý kiến bạn đọc