Ngày 9 tháng 2 năm 2021, Bộ Công An đã ban hành dự thảo Nghị định về bảo vệ dữ liệu cá nhân (Dự Thảo Nghị Định). Nghị định này sau khi được ban hành sẽ là đạo luật toàn diện đầu tiên của Việt Nam về dữ liệu cá nhân. Bài viết này sẽ phân tích một số điểm chính của Dự Thảo Nghị Định và so sánh chúng với các điều khoản liên quan theo Quy Định Chung về Bảo Vệ Dữ Liệu (GDPR).
1. Phạm vi áp dụng
Trong khi GDPR liệt kê các trường hợp không thuộc phạm vi điều chỉnh của GDPR, Dự Thảo Nghị Định có xu hướng điều chỉnh toàn diện mọi loại hoạt động liên quan đến dữ liệu cá nhân ở Việt Nam, cả về mặt nội dung và lãnh thổ.
Phạm vi nội dung
Không giống như GDPR, Dự Thảo Nghị Định không quy định các trường hợp nào có thể được miễn trừ khỏi các yêu cầu bảo vệ dữ liệu cá nhân. Ví dụ: GDPR miễn trừ các trường hợp sau khỏi phạm vi điều chỉnh của mình:
(i) việc xử lý dữ liệu cá nhân của một cá nhân trong quá trình hoạt động của cá nhân hoặc hộ gia đình thuần túy; và
(ii) việc xử lý dữ liệu cá nhân của các cơ quan có thẩm quyền cho các mục đích công cộng như để phòng ngừa, điều tra, phát hiện hoặc truy tố tội phạm hình sự.
Do sự không rõ ràng này, một cá nhân duy trì một danh sách liên lạc, bao gồm tên, số điện thoại di động, email, trong điện thoại của mình hoàn toàn cho mục đích cá nhân, vẫn có thể phải tuân theo Dự Thảo Nghị Định.
Phạm vi lãnh thổ
Dự Thảo Nghị Định cũng không đề cập về phạm vi lãnh thổ. Ngược lại, GDPR quy định rõ ràng rằng, về phạm vi lãnh thổ, GDPR có thể áp dụng cho những điều sau:
(i) việc xử lý dữ liệu cá nhân trong bối cảnh của các hoạt động của cơ sở của bên kiểm soát hoặc bên xử lý trong Liên Minh, bất kể việc xử lý có diễn ra trong Liên Minh hay không (tiêu chí thành lập);
(ii) việc xử lý dữ liệu cá nhân của các chủ thể dữ liệu ở trong Liên Minh bởi một bên kiểm soát hoặc bên xử lý không được thành lập trong Liên Minh, nơi các hoạt động xử lý có liên quan đến mục đích cung cấp hàng hóa và dịch vụ hoặc theo dõi hành vi của các chủ thể dữ liệu ở Liên Minh Châu Âu (tiêu chí mục tiêu ); và
(iii) việc xử lý dữ liệu cá nhân bởi một bên kiểm soát không được thành lập trong Liên Minh nhưng GDPR vẫn được áp dụng theo công pháp quốc tế.
Mặc dù rõ ràng rằng các tổ chức và cá nhân có cơ sở trên lãnh thổ Việt Nam là đối tượng của Dự Thảo Nghị Định, nhưng vẫn chưa rõ là các tổ chức và cá nhân ở nước ngoài sẽ bị đối xử như thực thể có cơ sở trên lãnh thổ Việt Nam ở mức độ nào. Trước khi có Dự thảo Nghị định, đã có nhiều văn bản khác đề cập đến vấn đề này. Cụ thể là:
(i) Theo Điều 26.3 Luật An Ninh Mạng 2018, nhà cung cấp dịch vụ nước ngoài cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam; và phải đặt chi nhánh và văn phòng đại diện tại Việt Nam; và
(ii) Theo Điều 22.1 Nghị Định 72/2013/NĐ-CP, các nhà cung cấp thông tin công cộng qua biên giới có người sử dụng tại Việt Nam hoặc có truy cập từ Việt Nam, phải tuân thủ các quy định của pháp luật Việt Nam có liên quan. Cung cấp thông tin công cộng qua biên giới là việc tổ chức, cá nhân tại nước ngoài sử dụng trang thông tin điện tử, mạng xã hội, ứng dụng trên mạng, dịch vụ tìm kiếm và các loại hình tương tự khác trên mạng để cung cấp thông tin công cộng mà người sử dụng tại Việt Nam có truy cập hoặc sử dụng dịch vụ (bao gồm cả tổ chức và cá nhân).
Có vẻ như các điều khoản trên không tính đến "tiêu chí mục tiêu" của việc xử lý dữ liệu. Điều đó để nói rằng, không rõ liệu quá trình xử lý của các tổ chức và cá nhân ở nước ngoài, những người không có ý định để cung cấp hàng hóa và dịch vụ cho chủ thể dữ liệu tại Việt Nam có phải tuân theo Dự Thảo Nghị Định hay không Ví dụ, một công ty Nhật Bản bán hàng trên trang web của họ. Công ty này không có ý định bán hàng cho người cư trú tại Việt Nam, bằng chứng là trang web của họ chỉ có tiếng Nhật, đơn vị tiền tệ thanh toán khả dụng không bao gồm Việt Nam Đồng và không nêu rõ phương thức vận chuyển hàng từ Nhật Bản về Việt Nam. trên trang web của mình. Đáng chú ý là GDPR không điều chỉnh trường hợp việc cung cấp hàng hóa hoặc dịch vụ không hướng đến một người trong Liên Minh.
2. Khái niệm về dữ liệu cá nhân
Nhìn chung, cả Dự Thảo Nghị Định và GDPR đều ban hành rằng thông tin được coi là dữ liệu cá nhân nếu nó liên quan đến một thể nhân được xác định hoặc có thể được sử dụng để xác định một thể nhân. Việc định nghĩa về dữ liệu cá nhân thường được soạn thảo một cách rộng rãi để bảo vệ quyền riêng tư của một cá nhân là một điều hợp lý. Tuy nhiên, vì Việt Nam là một quốc gia theo Luật Châu Âu lục địa (Civil Law), một định nghĩa rộng mà không có hướng dẫn chính thức nào từ các cơ quan có thẩm quyền có thể gây ra sự mơ hồ cho người áp dụng.
Những điểm sau có thể được rút ra từ các hướng dẫn về GDPR:
(i) Liệu thông tin được đề cập có thể xác định được hay không nên được đánh giá từ quan điểm của bên thứ ba, thay vì chỉ dựa trên quan điểm của bên xử lý thông tin cá nhân (phương pháp tiếp cận khách quan);
(ii) Để quyết định xem một thể nhân có thể được xác định hay không, cần tính đến tất cả các phương thức có thể được sử dụng một cách hợp lý, chẳng hạn như phương thức chỉ ra một người [từ một nhóm] (slinging out), để xác định thể nhân một cách trực tiếp hoặc gián tiếp. Để xác định chắc chắn liệu các phương thức có khả năng được sử dụng một cách hợp lý để xác định thể nhân hay không, cần tính đến tất cả các yếu tố khách quan, chẳng hạn như chi phí và lượng thời gian cần thiết để xác định, xem xét đến công nghệ hiện có tại thời điểm xử lý và sự phát triển công nghệ; và
GDPR sử dụng cách tiếp cận dựa trên rủi ro, điều này có nghĩa là khi có rủi ro một cách hợp lý về việc xác định, dữ liệu phải được coi như dữ liệu cá nhân.