Quyền bí mật thông tin cá nhân trong pháp luật quốc tế và pháp luật của một số quốc gia: Hoa Kỳ và Liên minh châu, Singapore.
Mục lục bài viết
1. Quyền bí mật thông tin cá nhân trong pháp luật quốc tế:
Theo thống kê chưa đầy đủ, trên thế giới, có khoảng 40-50 quốc gia đã ban hành văn bản pháp luật riêng về bảo vệ thông tin cá nhân. Một cách khái quát, có thể tạm chia pháp luật về bảo vệ thông tin cá nhân trên thế giới thành 3 mô hình chính như sau:
Mô hình Châu u (Mô hình tiếp cận thắt chặt): Mô hình này đặt cá nhân ở vị trí trung tâm và đề cao, ưu tiên bảo vệ quyền riêng tư đối với thông tin cá nhân. Vì vậy, cơ chế pháp lý được xây dựng theo hướng thắt chặt quản lý các hoạt động tiếp cận, thu thập, xử lý và sử dụng thông tin cá nhân. Các quốc gia theo mô hình này (chủ yếu là các nước thuộc Liên minh Châu) thường ban hành đạo luật riêng về bảo vệ thông tin cá nhân (hay dữ liệu thông tin) để quy định tập trung, toàn diện, cụ thể và chi tiết các vấn đề có liên quan; đồng thời, mở rộng tối đa phạm vi thông tin cá nhân được pháp luật điều chỉnh – là tất cả những thông tin liên quan, thuộc về một cá nhân mà từ đó có thể xác định được danh tính của cá nhân đó.
Mô hình Mỹ (Mô hình tiếp cận tối giản): Cũng tiếp cận bảo vệ thông tin cá nhân là một khía cạnh của quyền riêng tư nhưng ở mức độ hài hoà hơn giữa bảo vệ quyền, lợi ích của cá nhân là chủ thể thông tin cá nhân và của các chủ thể khác. Vì vậy, cơ chế pháp lý được xây dựng theo hướng quản lý tối giản – chỉ tập trung bảo vệ thông tin cá nhân nhạy cảm và “mở, lỏng” hơn đối với thông tin cá nhân thông thường. Pháp luật về bảo vệ thông tin cá nhân ở các quốc gia theo mô hình này (điển hình là Mỹ) thường không tập trung mà phân tán trong các văn bản pháp luật; đồng thời, thuật ngữ pháp lý được sử dụng phổ biến là Thông tin nhận dạng cá nhân (personally identifiable information – PII) với nội hàm hẹp hơn so với khái niệm dữ liệu cá nhân (DLCN) (Personal Data) ở Châu u. Ví dụ: Đối với số nhận dạng trực tuyến của cá nhân (như địa chỉ IP, MAC, cookie…), nếu theo quy định của Mỹ thì không phải là Thông tin nhận dạng cá nhân (PII) nhưng theo quy định của Châu u và Úc thì thuộc DLCN.
Mô hình hỗn hợp (Mô hình tiếp cận hài hoà): Là sự kết hợp 2 mô hình trên được áp dụng ở một số nước Châu Á như Nhật Bản, Hàn Quốc… Các quốc gia theo mô hình này thường ban hành một đạo luật riêng về quyền riêng tư hoặc về bảo vệ thông tin cá nhân để quy định tập trung, toàn diện các vấn đề có liên quan; đồng thời, phạm vi thông tin cá nhân được pháp luật điều chỉnh về cơ chế, mức độ quản lý cũng hợp lý, hài hoà hơn trên cơ sở kết hợp 2 mô hình Châu u, Mỹ.
Các quy định về bảo vệ quyền về sự riêng tư có thể được tìm thấy trong Tuyên ngôn Nhân quyền phổ quát năm 1948 (UDHR), trong đó có Điều 12 về bảo vệ quyền về sự riêng tư. Qua nội dung của Điều 12 UDHR, có thể thấy nội hàm của các giá trị riêng tư cần được bảo vệ không chỉ là cuộc sống riêng tư của mỗi cá nhân, mà còn bao gồm cả những khía cạnh đời sống có sự gắn kết mật thiết với cá nhân, cụ thể như gia đình, nơi ở, thư tín và cả những giá trị định tính như danh dự, uy tín cá nhân…
Bên cạnh đó, nhiều công ước quốc tế về quyền con người cũng công nhận quyền về sự riêng tư như một quyền cơ bản, cụ thể như: Công ước quốc tế về các quyền dân sự và chính trị (ICCPR) (Điều 17); Công ước về quyền của người lao động nhập cư (Điều 14); Công ước về quyền trẻ em (Điều 16); Công ước về quyền của người khuyết tật (Điều 22) …
Dù vậy, sự phát triển của công nghệ trong cuộc Cách mạng công nghiệp 4.0 mà đi kèm với nó là tiềm năng giám sát ngày càng tinh vi của các hệ thống máy tính đã đặt ra những yêu cầu mới với bảo vệ dữ liệu của cá nhân. Để đáp ứng yêu cầu này, có hai công cụ pháp lý quốc tế đã được phát triển, trong đó đặt ra một số quy tắc cụ thể chi phối việc thu thập và xử lý dữ liệu cá nhân, bao gồm: Công ước năm 1981 của Hội đồng châu u về bảo vệ cá nhân liên quan đến việc xử lý dữ liệu cá nhân tự động và Hướng dẫn của Tổ chức Hợp tác và Phát triển Kinh tế (OECD) điều chỉnh việc bảo vệ quyền về sự riêng tư và việc chuyển đổi dữ liệu cá nhân xuyên biên giới. Các văn kiện này mô tả thông tin cá nhân là dữ liệu được bảo vệ ở mọi bước, từ thu thập đến lưu trữ và phổ biến. Quyền của mọi người được truy cập và sửa đổi dữ liệu của mình cũng là một khía cạnh chính của các quy tắc này. Biểu hiện của sự bảo vệ dữ liệu trong hai văn kiện đã nêu cơ bản là tương đồng, chỉ khác nhau ở mức độ, theo đó tất cả đều yêu cầu đối với thông tin cá nhân thì: Chỉ có thể được thu thập một cách công bằng và hợp pháp; Chỉ được sử dụng cho mục đích ban đầu được biết rõ; Bảo đảm tính đầy đủ, phù hợp và không vượt quá mục đích; Bảo đảm tính chính xác và cập nhật; và phải được loại bỏ sau khi mục đích sử dụng đã hoàn thành. Hai văn kiện nêu trên đã có tác động sâu sắc đến việc xây dựng và áp dụng luật pháp về bảo vệ dữ liệu cá nhân trên toàn thế giới, không giới hạn ở các nước châu u và các quốc gia thành viên của OECD.
Tuy nhiên, có thể nói rằng, luật pháp quốc tế hiện nay vẫn còn tương đối tụt hậu so với sự phát triển như vũ bão của công nghệ. Điều này đã khiến cho việc bảo vệ quyền đối với thông tin/dữ liệu cá nhân của con người trong thực tế còn rất khó khăn. Tính đến thời điểm hiện nay, vẫn chưa có điều ước quốc tế toàn cầu nào về bảo vệ quyền đối với dữ liệu cá nhân. Hai văn kiện về bảo vệ dữ liệu cá nhân đã nêu trên (Công ước của Hội đồng châu u năm 1981 và Hướng dẫn của OECD) về nguyên tắc chỉ có tác động trong khu vực châu u và với các nước thành viên của OECD. Không chỉ vậy, Bản hướng dẫn của OECD chỉ có tính chất khuyến nghị, không có hiệu lực pháp lý ràng buộc.
2. Quy định về quyền bảo vệ thông tin cá nhân trong pháp luật của Hoa Kỳ và Liên minh châu:
Hoa Kỳ và Liên minh châu u đều có quy định về bảo vệ thông tin cá nhân từ khá sớm, nhưng cách tiếp cận không giống nhau: Hoa Kỳ không ghi nhận trong Hiến pháp về quyền riêng tư, nhưng Tòa án tối cao Hoa Kỳ nhận thấy Hiến pháp nước này đã gián tiếp công nhận quyền này trong các Tu chính án Hiến pháp của Hoa Kỳ. Theo đó, quyền riêng tư được hiểu là quyền được tự chủ, quyền được lựa chọn tham gia hoặc không tham gia vào một hành vi nào đó hoặc một trải nghiệm nào đó. Án lệ của Hoa Kỳ cũng công nhận quyền riêng tư của cá nhân. Quyền riêng tư cũng được ghi nhận trong một số đạo luật chuyên ngành, trong luật của các tiểu bang.
Ví dụ, Đạo luật về quyền riêng tư năm 1974 nhằm giới hạn quyền thu thập, lưu trữ, sử dụng và phát tán các thông tin cá nhân trong hệ thống lưu trữ của các cơ quan liên bang. Luật này cấm việc cung cấp thông tin của một cá nhân từ hệ thống lưu trữ nếu không có sự đồng ý của cá nhân chủ thông tin, trừ trường hợp thuộc một trong số 12 ngoại lệ được quy định. Bên cạnh đó, các đạo luật về an ninh mạng như Luật về trách nhiệm giải trình và trách nhiệm bảo hiểm y tế (HIPAA) năm 1996 có các quy định về quyền riêng tư trong lĩnh vực y tế nhằm đảm bảo tính bí mật của các dữ liệu liên quan đến chăm sóc sức khỏe của bệnh nhân. Các Đạo luật Gramm-Leach-Bliley trong lĩnh vực tài chính năm 1999, Đạo luật An ninh nội địa năm 1992 và đạo luật Quản trị An ninh thông tin liên bang (FISMA) yêu cầu các tổ chức y tế, thiết chế tài chính và các cơ quan liên bang phải bảo vệ hệ thống và thông tin của họ.
Ngoài ra, Hoa Kỳ còn có Luật bảo vệ quyền riêng tư trực tuyến của trẻ em (COPPA) năm 1998 trong đó cấm thu thập thông tin cá nhân trực tuyến từ trẻ em dưới 13 tuổi. Đạo luật này cũng cho phép các phụ huynh được quyền kiểm soát đối với những thông tin mà các trang web có thể thu thập từ con cái họ.
Liên minh châu u đề cập đến quyển về bảo vệ thông tin cá nhân dưới góc độ là thông tin ở dạng dữ liệu, còn gọi là dữ liệu cá nhân. Quyền đối với dữ liệu cá nhân được Liên minh châu u ghi nhận, bên cạnh quyền riêng tư, trong Hiến chương của Liên minh châu u về các quyền cơ bản của công dân năm 2009. Theo đó, công dân có quyền bảo vệ dữ liệu cá nhân của mình, được quy định trong Điều 8 của Hiến chương và trong Hiến pháp của các quốc gia thành viên. Khi có những xâm phạm đối với quyền, công dân của Liên minh có thể khiếu nại đến cơ quan thẩm quyền, Chính phủ, Tòa án quốc gia hoặc những tổ chức về nhân quyền để yêu cầu bảo vệ. Liên minh châu u cũng có cơ quan độc lập trong khuôn khổ các thiết chế của Liên minh châu u, có thẩm quyền trên khai việc áp dụng các quy định của Liên minh châu u về bảo vệ dữ liệu cá nhân và tiến hành xử lý các khiếu nại về xâm phạm quyền (Đây là cơ quan giám sát về bảo vệ dữ liệu của Liên minh châu u (European data protection supervior – EDPS).
Ngày 14/4/2016, Nghị viện châu u và Hội đồng châu u đã ban hành Quy định chung về bảo vệ dữ liệu cá nhân trong đó mục tiêu hướng tới là bảo vệ dữ liệu cá nhân và quyền riêng tư của cá nhân tại Liên minh châu u (General Data Protection Regulation, viết tắt là GDPR). Quy định này được áp dụng trực tiếp trên lãnh thổ các quốc gia thành viên. GDPR được đánh giá là tạo ra cơ chế bảo vệ thông tin cá nhân khắt khe nhất trên thế giới hiện nay.
3. Quy định về quyền bảo vệ thông tin cá nhân trong Pháp luật của Singapore:
Ngày 15/10/2012, Nghị viện Singapore thông qua Luật bảo vệ dữ liệu cá nhân. Luật này được ban hành nhằm điều chỉnh các hoạt động thu thập, sử dụng và tiết lộ dữ liệu cá nhân. Luật công nhận quyền của các cá nhân trong việc bảo vệ các dữ liệu cá nhân của chính họ, đồng thời thừa nhận sự cần thiết của việc các tổ chức tiến hành thu thập, sử dụng và tiết lộ thông tin cá nhân vì những mục đích phù hợp với những hoàn cảnh nhất định.
Luật bao gồm 68 điều đề cập đến các nội dung chính sau: Cơ cấu tổ chức, chức năng, nhiệm vụ, quyền hạn của Uỷ ban Bảo vệ dữ liệu cá nhân; quyền và nghĩa vụ của các chủ thể liên quan trong việc thu thập, sử dụng, tiết lộ, sửa chữa… dữ liệu cá nhân; bảo đảm bí mật dữ liệu cá nhân; chuyển giao dữ liệu cá nhân ra ngoài lãnh thổ Singapore; giải quyết tranh chấp, khiếu nại liên quan đến dữ liệu cá nhân…
Ngoài ra, một số văn bản pháp luật chuyên ngành của Singapore cũng có các quy định về vấn đề này như:
Luật bảo vệ dữ liệu cá nhân của Singapore bảo vệ dữ liệu cá nhân áp dụng đối với tất cả các cá nhân, tổ chức được thành lập hoặc được công nhận theo pháp luật
Singapore; hoặc có nơi cư trú hoặc văn phòng đại diện hoặc khu vực kinh doanh tại Singapore. Đặc biệt, Luật chỉ áp dụng nếu các dữ liệu cá nhân được thu thập, sử dụng hoặc tiết lộ tại Singapore. Tuy nhiên, Luật cũng xác lập nguyên tắc bảo vệ các dữ liệu cá nhân được chuyển giao qua biên giới; theo đó các tổ chức, cá nhân có trách nhiệm bảo đảm rằng các dữ liệu cá nhân được chuyển ra khỏi Singapore cũng sẽ có được sự bảo vệ tương đương như sự bảo vệ theo quy định của Luật này.
Theo Luật bảo vệ dữ liệu cá nhân của Singapore, chủ dữ liệu cá nhân có những quyền và nghĩa vụ chính sau:
(1) Quyền được truy cập vào dữ liệu cá nhân của mình. Tuy nhiên, quyền này của chủ dữ liệu cá nhân có một số ngoại lệ được quy định tại Điều 21, Luật bảo vệ dữ liệu cá nhân, như: việc truy cập đe dọa sự an toàn hoặc sức khỏe thể chất, tinh thần của chính chủ dữ liệu cá nhân hoặc cá nhân khác; tiết lộ dữ liệu về một cá nhân khác; đi ngược lại lợi ích quốc gia…;
(2) Quyền yêu cầu sửa chữa những sai sót liên quan đến dữ liệu cá nhân của mình. Ngoại lệ của quyền này được quy định tại Điều 22.6 và 22.7 Luật bảo vệ dữ liệu cá nhân: không sửa chữa các ý kiến của các chuyên gia hoặc ý kiến mang tính chuyên môn…
(3) Quyền được biết về mục đích thu thập, lưu giữ và sử dụng dữ liệu trước khi các hoạt động này diễn ra;
(4) Quyền được yêu cầu cung cấp các thông tin về chính sách, thực tiễn và quy trình giải quyết khiếu nại của chủ thể thu thập, lưu giữ và sử dụng dữ liệu cá nhân.
Chủ thể thu thập, lưu giữ, sử dụng dữ liệu cá nhân có những quyền và nghĩa vụ chính sau:
(1) Chỉ được thu thập, lưu giữ, sử dụng và tiết lộ dữ liệu cá nhân nếu được sự đồng ý của chủ dữ liệu cá nhân. Sự đồng ý này có thể được thể hiện một cách rõ ràng hoặc thông qua ngầm định. Sự đồng ý ngầm định thường trong trường hợp cá nhân tự nguyện (hoặc có căn cứ hợp lý để cho rằng cá nhân tự nguyện) cung cấp dữ liệu cá nhân vì mục đích nhất định (tuy nhiên, Điều 14.2 Luật bảo vệ dữ liệu cá nhân quy định những trường hợp, mặc dù được thể hiện một cách rõ ràng, nhưng sự đồng ý của chủ dữ liệu cá nhân lại không có giá trị: Sự đồng ý như là một điều kiện để được cung cấp một sản phẩm hoặc dịch vụ mà sự đồng ý này vượt xa những gì là hợp lý để được cung cấp sản phẩm hoặc dịch vụ đó; Sự đồng ý có được thông qua việc đưa ra thông tin sai lệch hoặc gây hiểu nhầm hoặc sử dụng các hành vi lừa đảo). Chủ dữ liệu cá nhân có thể rút sự đồng ý của mình vào bất kỳ thời gian nào.
Trong một số trường hợp, các hành vi thu thập, lưu giữ, sử dụng hoặc tiết lộ dữ liệu cá nhân không cần sự đồng ý của chủ dữ liệu: Trường hợp rõ ràng là vì lợi ích của chủ dữ liệu cá nhân và sự đồng ý không thể có được một cách kịp thời; trường hợp khẩn cấp, hoặc thực sự cần thiết vì lợi ích quốc gia; trường hợp thu hồi nợ; trường hợp cung cấp các dịch vụ pháp lý; trường hợp vì mục đích nghiên cứu, bao gồm các nghiên cứu mang tính lịch sử hoặc thống kê; trong trường hợp vì mục đích đánh giá.
(2) Chỉ được thu thập, sử dụng và tiết lộ dữ liệu cá nhân vì những mục đích nhất định như đã
(3) Đảm bảo tính chính xác, toàn diện và cập nhật của dữ liệu được thu thập, lưu giữ, sử dụng.
(4) Áp dụng các biện pháp an ninh phù hợp để bảo vệ dữ liệu cá nhân trước các hành động truy cập, thu thập, sử dụng, tiết lộ, sao chép… trái phép hoặc các rủi ro tương tự. Tính phù hợp của các biện pháp an ninh phụ thuộc vào tính chất của dữ liệu, hình thức thu thập dữ liệu, các ảnh hưởng tới cá nhân có liên quan nếu như dữ liệu về họ được thu thập, sửa đổi hoặc loại bỏ một cách trái phép…
(5) Phải ngừng ngay việc lưu giữ dữ liệu cá nhân nếu như: mục đích ban đầu của việc thu thập dữ liệu cá nhân không còn; hoặc việc lưu giữ dữ liệu cá nhân không còn cần thiết cho các mục đích kinh doanh hoặc pháp lý.
(6) Được chuyển giao dữ liệu cá nhân cho bên thứ ba trên cơ sở Hợp đồng chuyển giao. Hợp đồng chuyển giao này phải tuân thủ các quy định về nội dung và hình thức theo pháp luật Singapore. Không được chuyển giao bất kỳ dữ liệu cá nhân nào ra khỏi Singapore trừ khi người nhận chuyển giao đảm bảo các tiêu chuẩn bảo vệ tương tự đối với dữ liệu cá nhân như Luật này;
(7) Khi có yêu cầu, phải cung cấp cho công chúng những thông tin về thực tiễn bảo vệ dữ liệu cá nhân, thủ tục và quy trình giải quyết khiếu nại.
Về cơ chế bảo vệ quyền, theo Chương II, Luật bảo vệ dữ liệu cá nhân, Ủy ban Bảo vệ dữ liệu cá nhân được thành lập với các chức năng chính sau: Nâng cao nhận thức về bảo vệ dữ liệu cá nhân; cung cấp dịch vụ tư vấn, hỗ trợ kỹ thuật, quản lý hoặc các dịch vụ đặc biệt khác liên quan đến bảo vệ dữ liệu cá nhân; tham mưu cho Chính phủ về tất cả các vấn đề liên quan đến bảo vệ dữ liệu cá nhân; đại diện cho Chính phủ trong các quan hệ quốc tế liên quan đến bảo vệ dữ liệu cá nhân; triển khai các nghiên cứu và thúc đẩy các hoạt động giáo dục liên quan đến bảo vệ dữ liệu cá nhân; bao gồm tổ chức và thực hiện các cuộc hội thảo, tọa đàm, gặp gỡ; quản lý các hoạt động hợp tác và trao đổi kỹ thuật liên quan tới bảo vệ dữ liệu cá nhân với các tổ chức khác, bao gồm cả các tổ chức quốc tế liên chính phủ; điều hành và triển khai thực hiện Luật bảo vệ dữ liệu cá nhân; thực hiện các chức năng theo quy định của các văn bản pháp luật khác.
Để triển khai thực hiện các quy định của Luật, Ủy ban Bảo vệ dữ liệu cá nhân có quyền: xem xét khiếu nại liên quan đến Điều 21 (truy cập dữ liệu cá nhân) và Điều 22 (sửa chữa dữ liệu cá nhân) của Luật bảo vệ dữ liệu cá nhân; tiến hành một cuộc điều tra theo quy định tại Điều 50 Luật bảo vệ dữ liệu cá nhân để xác định hành vi vi phạm Luật bảo vệ dữ liệu cá nhân. Khi thực hiện hoạt động này, Ủy ban có quyền yêu cầu chủ thể liên quan cung cấp tài liệu hoặc thông tin.
Về chế tài xử lý đối với các hành vi vi phạm, theo pháp luật của Singapore, cá nhân bị thiệt hại bởi hành vi vi phạm bí mật dữ liệu cá nhân theo quy định của Luật bảo vệ dữ liệu cá nhân có thể khởi kiện theo trình tự tố tụng dân sự để được yêu cầu bồi thường.
Cá nhân vi phạm sẽ bị áp dụng hình thức phạt tiền hoặc tù giam hoặc cả hai. Mức hình phạt tuỳ thuộc vào hành vi vi phạm (phạt tiền từ S$2.000 tới S$100.000 hoặc/và phạt tù không quá 12 tháng, trong một số trường hợp vi phạm nghiêm trọng hình thức phạt tù có thể lên tới 3 năm). Hành vi không thực hiện các quyết định của Uỷ ban Bảo vệ dữ liệu cá nhân có thể bị phạt tiền lên tới S$1.000.000.