1. Những vấn đề chung
Dữ liệu cá nhân là các dấu hiệu cơ bản, rõ ràng để định danh một con người cụ thể, độc lập phản ánh hoặc kết hợp các thông tin liên quan khác minh chứng sự hiện diện của cá nhân trong đời sống xã hội và trên nền tảng số. Qua đó, những thông tin mang tính chất riêng tư ảnh hưởng không chỉ đối với từng công dân mà phạm vi, hệ quả tác động sâu rộng đến trật tự, ổn định kinh tế, chính trị, văn hoá, xã hội và an ninh quốc gia. Nổi bật bởi đặc điểm gắn liền với mỗi cá nhân, không thể chuyển giao có thể thấy quyền với dữ liệu cá nhân được bao hàm trong phạm trù quyền nhân thân, trở thành một khía cạnh, bộ phận cấu thành quan trọng. Nhằm đưa quyền tự nhiên, vốn có, khách quan vào ghi nhận và bảo vệ bởi luật pháp quốc gia, Việt Nam đã pháp điển hóa thành nguyên tắc Hiến định. Điều 21, Hiến pháp năm 2013 khẳng định: “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn”. Kế thừa tinh thần Hiến pháp, Điều 38, Bộ luật Dân sự năm 2015 quy định: “Đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ. Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến bí mật gia đình phải được các thành viên gia đình đồng ý, trừ trường hợp luật có quy định khác”.
Thời gian gần đây, hành vi xâm phạm dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Thực trạng này bắt nguồn từ nhiều nguyên nhân như lỗ hổng bảo mật, chủ quan bất cẩn, thiếu sót, chia sẻ thông tin không chủ đích từ chính cơ quan, tổ chức, cá nhân hoặc bị tấn công mạng. Qua đó, thông tin bị truy cập, thu thập, lưu trữ, khai thác, sử dụng, chuyển giao, mua, bán, hủy hoại trái với ý chí chủ thể dữ liệu và quy định pháp luật.
Nhóm hành vi xâm phạm dữ liệu cá nhân đa phần hướng đến lợi ích vật chất thông qua tống tiền, rao bán dữ liệu, mạo danh lừa đảo trực tuyến, sử dụng phương tiện điện tử chiếm đoạt tài sản nhưng cũng không loại trừ phục vụ cho một số mục đích cá biệt như gián điệp thương mại, cạnh tranh không lành mạnh, quấy rối, xúc phạm danh dự, nhân phẩm, uy tín cá nhân, đánh cắp danh tính thực hiện hoạt động phi pháp.
Trường hợp quyền, lợi ích hợp pháp liên quan đến dữ liệu cá nhân bị tổn hại, chủ thể dữ liệu được phép tự bảo vệ bằng hành động trong khuôn khổ luật định hoặc đề nghị cơ quan có thẩm quyền can thiệp giải quyết. Đặc biệt hơn, Nghị định số 13/2023/NĐ-CP ra đời làm sáng rõ quyền khởi kiện, đánh dấu nỗ lực thiết lập, thích ứng tình hình mới, hoàn thiện cơ chế bảo vệ bằng con đường tố tụng: “Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật”1.
2. Một số hạn chế pháp lý khi khởi kiện vụ án xâm phạm dữ liệu cá nhân trên không gian mạng
Dữ liệu cá nhân trên không gian mạng là vấn đề không mới, hiện diện phổ biến trong tiến trình phát triển công nghệ nhưng còn xa lạ với lịch sử tố tụng ở các quốc gia. Việt Nam cũng không ngoại lệ, hiện thực hóa quyền khởi kiện vụ án xâm phạm dữ liệu cá nhân tồn tại khoảng cách do vướng nhiều rào cản, trở ngại.
Thứ nhất, chưa thống nhất thuật ngữ, luật hóa và nhận diện dữ liệu cá nhân. Căn cứ tính chất, mức độ, yếu tố cấu thành mà hành vi xâm phạm dữ liệu cá nhân có thể bị xử lý kỷ luật, xử phạt hành chính, thậm chí truy cứu trách nhiệm hình sự. Tuy nhiên, trước khi áp dụng chế tài, hình phạt thì các chủ thể cần nhận thức vấn đề một cách đúng đắn, đầy đủ và nhất quán. Tính đến thời điểm hiện tại, khi đang thiếu vắng một đạo luật chuyên ngành, Nghị định số 13/2023/NĐ-CP được xem là văn bản quy phạm pháp luật tương đối toàn diện điều chỉnh về bảo vệ dữ liệu cá nhân. Trong đó đưa ra định nghĩa: “Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm hai loại là: Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm”.
Nhìn lại lịch sử hình thành từ góc độ luật so sánh, thuật ngữ trong Nghị định số 13/2023/NĐ-CP mang nhiều nét tương đồng với Nghị định số 64/2007/NĐ-CP. Dù vậy, dưới tên gọi khác, Nghị định số 64/2007/NĐ-CP đề cập khái niệm “thông tin cá nhân” và “thông tin thuộc bí mật cá nhân” đi kèm mô tả: “Thông tin cá nhân là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất một trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác”. Song song đó, Luật An toàn thông tin mạng năm 2015 nhận định: “Thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể. Mở rộng phạm vi tra cứu, Bộ luật Dân sự năm 2015, Luật An ninh mạng năm 2018 không trực diện ghi nhận, diễn giải nhưng có các điều khoản quy định về “bí mật cá nhân”, “bí mật gia đình”, “đời sống riêng tư”.
Tổng quan dễ thấy rằng sự kết nối bản chất dần hiện diện, tuy vậy, việc có nhiều văn bản quy phạm pháp luật khác nhau, chồng chéo giải nghĩa cho một cùng đối tượng nhưng manh mún, rời rạc, điểm nhìn pháp lý đặt trên nhiều lăng kính không thống nhất sẽ khó nắm bắt nội dung một cách trọn vẹn. Khác biệt ngữ nghĩa, kỹ thuật lập pháp nguy cơ dẫn đến khác biệt trong quan điểm tiếp cận. Rõ ràng việc thiếu vắng một đạo luật chuyên ngành chứa đựng nguyên tắc, toàn diện cả giá trị và hiệu lực đã gây vướng mắc, lúng túng cho các chủ thể trong quá trình áp dụng pháp luật.
Thứ hai, pháp luật hình sự chưa tồn tại điều khoản quy định tội xâm phạm dữ liệu cá nhân. Xâm phạm dữ liệu cá nhân không chỉ đặc trưng cho nhóm tội xâm phạm quyền tự do của con người, quyền tự do, dân chủ của công dân mà đồng thời mang dấu hiệu nhóm tội xâm phạm an toàn công cộng, trật tự công cộng. Trên nền tảng pháp lý hiện hành khi tiếp cận vụ án, người phạm tội có khả năng bị truy cứu về tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác theo Điều 159 hay một trong các tội thuộc Mục 2, Chương XXI, Bộ luật Hình sự năm 2015 sửa đổi, bổ sung năm 2017 (nhóm tội phạm trong lĩnh vực công nghệ thông tin, mạng viễn thông). Dù vậy qua thực tiễn định tội, khai thác dấu hiệu tội phạm cho thấy nhiều tội danh có hành vi khách quan tương đồng nên dễ gây nhầm lẫn, khó tách bạch, phân biệt. Mặt khác, pháp luật hình sự chưa tồn tại bất kỳ điều khoản nào quy định trực tiếp đến dữ liệu cá nhân, tội xâm phạm dữ liệu cá nhân trên không gian mạng. Đồng thời, đối tượng “thông tin”, “thông tin riêng hợp pháp”, một số hành vi xâm phạm thông tin được Bộ luật Hình sự đề cập nhưng thiếu lý giải cùng hướng dẫn thi hành.
Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông có cấu thành tội phạm vật chất, bên cạnh nhìn nhận hậu quả qua số tiền thu lợi bất chính cùng thiệt hại thì “gây dư luận xấu làm giảm uy tín của cơ quan, tổ chức, cá nhân” cũng được gợi nhắc. Nhưng dừng lại đó, pháp luật hình sự chưa tập trung, sâu sát cơ sở đánh giá liệu mức độ, hiệu ứng nào là gây dư luận, tác động “xấu” đo lường ra sao. Ngoài ra, Bộ luật Hình sự đang bỏ ngỏ ràng buộc trách nhiệm đối với bên kiểm soát, xử lý dữ liệu khi mà việc lộ lọt thông tin không loại trừ nguyên nhân do lỗi từ các chủ thể này như buông lỏng quản lý, không thiết lập hay tuân thủ biện pháp bảo mật, cấu kết, tạo điều kiện khiến dữ liệu bị mất cắp. Thiết nghĩ với tính chất đặc thù, độc lập, đối phó phương thức lẫn thủ đoạn vi phạm đều tăng tiến tinh vi thì xâm phạm dữ liệu cá nhân trên không gian mạng cần được nhận diện, phản ánh đầy đủ, sáng rõ hơn phục vụ công tác đấu tranh phòng, chống tội phạm.
Thứ ba, hạn chế trách nhiệm thông tin về vi phạm, khó khăn trong xác định yếu tố lỗi và người phạm tội. Can thiệp công nghệ tạo ra hàng rào kỹ thuật làm cản trở công tác truy vết hành vi, xác định yếu tố lỗi và người phạm tội. Đặc biệt hơn, không gian mạng nổi bật với yếu tố ẩn danh, xuyên biên giới, mọi thời điểm và dễ giả mạo. Để quy kết một vụ lộ, mất dữ liệu cá nhân xuất phát từ nguồn gốc bên ngoài hay chính trong nội bộ, vô tình hay cố ý cần bằng chứng cụ thể, đó là kết quả quá trình xử lý đòi hỏi năng lực chuyên môn. Trường hợp hành vi vi phạm thoả mãn cấu thành tội phạm, vụ án lúc này nhận được hỗ trợ tích cực, giải quyết từ phía cơ quan điều tra, cơ quan quản lý nhà nước về ngành, lĩnh vực theo cơ chế luật công. Nhưng dưới góc độ vụ án dân sự, chưa bàn tính đến thỏa thuận bồi thường thì trước hết chủ thể dữ liệu với tư cách nguyên đơn phải tự mình tìm hiểu quy trình, cách thức xâm nhập, chứng minh yêu cầu khởi kiện là có cơ sở. Đồng nghĩa, nguyên đơn phải thu thập, đưa ra bằng chứng đủ sức thuyết phục, cáo buộc rằng bị đơn – bên kiểm soát, xử lý dữ liệu, cá nhân, tổ chức đã thực hiện hành vi xâm phạm, sử dụng trái phép thông tin, không đáp ứng tiêu chuẩn bảo mật, mối quan hệ nhân quả giữa hành vi và hậu quả. Khách quan nhìn nhận, điều này tương đối khó nếu đặt vị ở khả năng của người dùng phổ thông, ít hiểu biết công nghệ lẫn pháp luật.
Đi kèm với đó, trách nhiệm thông báo khi xảy ra vụ việc xâm phạm dữ liệu cá nhân còn nằm ngoài phạm vi điều chỉnh của các văn bản luật, gián tiếp tạo ra tình trạng bất cân xứng thông tin. Bên kiểm soát, xử lý dữ liệu toàn quyền quyết định mức độ nguy hại, hành động và cân nhắc cần thiết hay không việc thông báo cho chủ thể dữ liệu biết tình trạng dữ liệu bị rò rỉ, đánh cắp. Vô hình trung, điều này hạn chế khả năng đưa ra quyết định nhanh chóng, kịp thời từ phía chủ thể dữ liệu. Dù cho đó đơn giản chỉ là thực hiện một vài thao tác thủ công như khóa tài khoản, thay đổi mật khẩu, sao lưu dữ liệu hay xa hơn là truy xét đối tượng để kiện đòi quyền lợi. Đối chiếu khu vực Liên minh Châu Âu (EU), Quy định chung về Bảo vệ dữ liệu ban hành năm 2016 (General Data Protection Regulation - GDPR) yêu cầu bên kiểm soát dữ liệu có trách nhiệm thông báo cho cả hai nơi: Cơ quan giám sát và chủ thể dữ liệu. Cụ thể, trường hợp xảy ra vi phạm dữ liệu cá nhân, bên kiểm soát phải báo cáo sự cố cho cơ quan giám sát trong vòng 72 giờ, mô tả bản chất, đánh giá tác động vi phạm cùng các biện pháp đã tiến hành. Trường hợp rủi ro cao đối với quyền và tự do cá nhân, bên kiểm soát phải thông báo cho chủ thể dữ liệu mà không được chậm trễ. Thực tế tranh chấp trong một vụ việc liên quan đến dữ liệu cá nhân sẽ phức tạp, kéo dài, không chỉ đòi hỏi thời gian mà còn gánh nặng chi phí, dù cho ưu thế không phải luôn thường trực ở phía người dùng cá nhân. Vì lý đó, việc hoàn thiện cơ chế kiểm tra, báo cáo, minh bạch thông tin tỏ rõ tầm quan trọng, trực tiếp ảnh hưởng đến hiệu quả thực thi quyền tự bảo vệ của công dân và công tác quản lý của Nhà nước.
Thứ tư, chưa rõ ràng yêu cầu trách nhiệm bồi thường dân sự và biện pháp khắc phục hậu quả. Một số quốc gia tiên phong trong lĩnh vực công nghệ ngay từ rất sớm đã bộc lộ quan điểm, nhìn nhận an toàn dữ liệu và bảo vệ cá nhân bị xâm phạm bằng chế định bồi thường dân sự là nội dung cần thiết lưu tâm xuyên suốt tiến trình phát triển. Thái độ của nhà làm luật được lồng ghép trong các văn bản. Thông qua Đạo luật Công nghệ thông tin năm 2000, Ấn Độ quy định: “Trường hợp một pháp nhân sở hữu, giao dịch hoặc xử lý bất kỳ dữ liệu, thông tin cá nhân nhạy cảm nào trong tài nguyên máy tính mà pháp nhân đó sở hữu, kiểm soát hoặc vận hành, bất cẩn trong việc thực hiện, duy trì các biện pháp, thủ tục bảo mật hợp lý dẫn đến gây ra mất mát, tổn hại lợi ích hợp pháp cho bất cứ ai thì pháp nhân đó phải chịu trách nhiệm bồi thường thiệt hại đối với người bị ảnh hưởng”. Chiều hướng khác, EU cho phép cá nhân bị thiệt hại vật chất hoặc phi vật chất bởi hành vi vi phạm quy định bảo vệ dữ liệu có quyền yêu cầu bồi thường. Cốt lõi những cơ sở, căn cứ nêu trên cung cấp cho công dân “công cụ pháp lý” để phòng vệ, đồng thời gia tăng ý thức trách nhiệm, thúc đẩy hành động thiết thực từ phía tổ chức, đơn vị kiểm soát, xử lý dữ liệu.
So sánh pháp luật Việt Nam, Bộ luật Dân sự năm 2015 dừng lại ở quy định chung nhất, rằng: “Cá nhân, pháp nhân có quyền dân sự bị xâm phạm được bồi thường toàn bộ thiệt hại, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác” mà chưa khẳng định quyền công dân với dữ liệu cá nhân một cách tường minh. Dù rằng có cơ sở lập luận, khẳng định về mặt nguyên tắc quyền với dữ liệu cá nhân là một bộ phận của quyền nhân thân, quyền dân sự, khi dữ liệu cá nhân bị sử dụng vào các hoạt động trái cam kết, thỏa thuận, vi phạm pháp luật gây phương hại lợi ích thì chủ thể dữ liệu có quyền yêu cầu bồi thường nhưng thiếu căn cứ pháp lý viện dẫn chuẩn xác tạo ra cách hiểu và áp dụng tuỳ nghi. Chấp thuận hay không chấp thuận, xem xét tính phù hợp phụ thuộc vào quan điểm mỗi cơ quan tài phán.
Bên cạnh chế định bồi thường thiệt hại, tổng thể biện pháp khắc phục hậu quả không thể bỏ qua quyền được lãng quên và quyền yêu cầu khôi phục. Đây là hai trong số các quyền cơ bản, thiết thực của chủ thể dữ liệu, đối lập tính chất nhưng mật thiết liên hệ trong từng vụ án xâm phạm dữ liệu cá nhân. Nghiên cứu thực trạng điều chỉnh, mặc dù Nghị định số 13/2023/NĐ-CP đã có điều khoản đề cập quyền xoá dữ liệu nhưng chưa quy định quyền được khôi phục. Những cơ sở nắm giữ vai trò khai mở nguyên tắc, trình tự, thủ tục vắng bóng trong các văn bản luật. Chủ thể dữ liệu với tư cách nguyên đơn, bị hại trong vụ án áp dụng quyền lãng quên ở mức độ nào, có thể chọn lựa xoá triệt để, mã hoá hay ẩn dữ liệu khỏi phạm vi tìm kiếm hay không. Ngược lại, dữ liệu bị lộ, mất, bị xoá liệu có khả năng khôi phục? Trách nhiệm sao lưu và xử lý bản sao lưu. Nhiều câu hỏi tiếp nối phát sinh khi không ít nội dung nằm ngoài “biên giới”, nơi pháp luật chưa “chạm tay” thì quyền, lợi ích hợp pháp của chủ thể dữ liệu vẫn đứng trước rủi ro.
Ngoài ra, pháp luật tố tụng dân sự đến thời điểm này chưa thừa nhận quyền khởi kiện tập thể, nguy cơ phát sinh bất cập, hạn chế trong thụ lý, giải quyết vụ án. Nghiên cứu thống kê, số lượng người sử dụng Internet của Việt Nam đã đạt hơn 79 triệu người, tương đương gần 80% tổng dân số. Dữ liệu cá nhân của hơn hai phần ba dân số Việt Nam đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ chi tiết khác nhau. Suy rộng khía cạnh hậu quả, phạm vi, số lượng người bị thiệt hại từ các vụ xâm phạm dữ liệu không chỉ thu gọn ở một hoặc một vài cá nhân đơn lẻ mà con số thậm chí lên đến hàng trăm, hàng triệu người. Mặc nhiên, không thể phủ nhận rằng hệ thống văn bản quy phạm pháp luật hiện nay góp phần định hướng, xác lập quyền khởi kiện vụ án xâm phạm dữ liệu cá nhân trên không gian mạng nhưng bước tiến như vậy vẫn còn chậm chân, chưa toàn diện đáp ứng, thúc đẩy quyền khởi kiện phát huy hết hiệu quả thực chất.
Thứ năm, khoảng trống về tiêu chí đánh giá mức độ thiệt hại và cơ sở định giá dữ liệu cá nhân. Dữ liệu cá nhân có tính liên kế hệ thống, một loại thông tin bị đánh cắp kéo theo nhiều hệ luỵ khó lường. Nếu chỉ đơn giản, thiên kiến tập trung vào yếu tố nhân thân mà bỏ qua lượng hóa giá trị sẽ không nhận diện hết vai trò, tiệm cận bản chất thực. Khảo sát của Hiệp hội An ninh mạng Quốc gia thực hiện vào năm 2024 ở khu vực người dùng cá nhân thống kê cứ 220 người dùng điện thoại thông minh thì có 01 người trở thành nạn nhân lừa đảo, thiệt hại ước tính do lừa đảo trực tuyến gây ra trong năm 2024 lên đến 18.900 tỷ VNĐ. Dữ liệu cá nhân hoàn toàn có thể khai thác nhằm mục đích kinh tế như một loại tài sản hoặc phục vụ động cơ kinh tế. Hậu quả hành vi xâm phạm gây tổn thất tài chính đối với người dùng - chủ thể dữ liệu và các doanh nghiệp, niềm tin giảm sút trong trường hợp xảy ra các vụ lộ, mất dữ liệu. Ở góc độ luật tố tụng, việc áp dụng cơ chế cũ điều chỉnh quan hệ mới, chậm bắt nhịp tiến độ phát triển công nghệ để thích ứng, xây dựng chuẩn mực, tiêu chí và định mức bồi thường không tránh khỏi tác động tiêu cực đến hiệu quả, hiệu lực phán quyết.
Bên cạnh đó, dữ liệu cá nhân trên không gian mạng tồn tại dưới dạng thông tin, đặc trưng bởi tính vô hình, dù nhận biết được nhưng không có hình thái vật chất nhất định. Thực tế hiện nay chưa tồn tại bất cứ cơ sở pháp lý hay tiền lệ định giá dữ liệu cá nhân nào phục vụ mục đích bồi thường trong các vụ kiện tại Việt Nam. Nhận thức giá trị thông tin trên môi trường điện tử còn hạn chế. Tổng hợp nhiều nguyên nhân, cấp thiết làm nảy sinh thách thức phải sớm tìm ra phương pháp định giá lẫn cơ sở tham chiếu phù hợp. Quá trình này thực chất không dễ dàng, phân tách mỗi loại dữ liệu bị xâm phạm cho thấy tác động khác nhau, mức độ nghiêm trọng của hành vi cũng không đồng đều.
Tổn hại từ xâm phạm dữ liệu cá nhân biểu hiện ở yếu tố vật chất và phi vật chất. Trong đó, các thiệt hại vật chất cơ bản gây ra bởi hành vi chiếm đoạt, tống tiền, lừa đảo, gian lận tài chính có khả năng thống kê qua lịch sử giao dịch và dòng tiền thì ngược lại, yếu tố phi vật chất - tổn hại tinh thần, danh dự, uy tín, nhân phẩm, sức khoẻ tâm lý không kém phần quan trọng nhưng khó xác định hơn. Tất yếu khi pháp luật chưa hoàn thiện, ý thức người dùng buông nhẹ, giá trị tài nguyên dữ liệu trên môi trường kỹ thuật số thiếu sự quan tâm đúng mức sẽ hạ giảm động lực đầu tư cho biện pháp bảo mật. Những đòi hỏi nảy sinh trong hiện thực khách quan trực tiếp đặt ra yêu cầu thay đổi để thích nghi, cải thiện nhận thức, gỡ rối và lấp đầy khoảng trống pháp lý, nổi bật trong đó có giải quyết vụ án xâm phạm dữ liệu cá nhân bằng con đường tố tụng.
3. Kiến nghị hoàn thiện pháp luật
Thứ nhất, sớm hoàn thiện, ban hành đạo luật chuyên ngành và ưu tiên, chú trọng nhất quán thuật ngữ
Bên cạnh tiến bộ tích cực thì công nghệ cùng nhiều nhân tố xuất hiện đã làm gia tăng, phức tạp thêm quan hệ xã hội, vượt ra ngoài “biên giới” điều chỉnh của các văn bản luật. Sớm xây dựng, ban hành Luật Bảo vệ dữ liệu cá nhân là vấn đề cấp bách, trên cơ sở đó, sự thống nhất giữa Luật An ninh mạng, Bộ luật Hình sự, Bộ luật Dân sự và Luật Bảo vệ dữ liệu cá nhân sẽ hợp lực trở thành trụ cột vững chắc bảo vệ an toàn dữ liệu cá nhân trước hành vi xâm phạm.
Đi vào nội dung, thuật ngữ “dữ liệu cá nhân” cần được quy định tổng quan, đáp ứng yêu cầu tình hình xã hội và tương thích luật pháp quốc tế. Cân nhắc tiếp cận ở góc nhìn chung, bao quát nhất: “Dữ liệu cá nhân là bất kỳ loại thông tin nào gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể”. Tương lai nền tảng số có tiềm năng năng phát sinh thêm nhiều dạng thức chứa đựng thông tin nên nghiên cứu lược giản diễn giải hình thái “dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ số, chữ viết, âm thanh hoặc dạng tương tự trên môi trường điện tử”, điều này vẫn sẽ đáp ứng chức năng điều chỉnh chung của một văn bản luật. Thay vào đó, chi tiết nhận dạng dữ liệu cá nhân mang tính chất mô tả, liệt kê thông tin đưa vào văn bản hướng dẫn thi hành, tạo điều kiện thuận lợi cho quá trình thay thế, sửa đổi, bổ sung sau này.
Thứ hai, bổ sung quy định về tội xâm phạm dữ liệu cá nhân trên không gian mạng trong pháp luật hình sự
Thiết lập điều khoản định tội xâm phạm dữ liệu cá nhân trên không gian mạng, thể hiện rõ yếu tố cấu thành làm cơ sở phân biệt các tội phạm khác có tính chất tương đồng. Hướng sự chú ý đến mặt khách quan của tội phạm thông qua nhận diện hành vi phổ biến và chủ yếu: sử dụng công cụ, thiết bị, phần mềm có tính năng tấn công mạng máy tính, mạng viễn thông, phương tiện điện tử nhằm truy cập, thu thập, lưu trữ, chiếm đoạt dữ liệu cá nhân; Khai thác, sử dụng, chuyển giao, mua, bán, hủy hoại dữ liệu cá nhân trái quy định pháp luật; Pháp nhân, cá nhân có vai trò kiểm soát, xử lý dữ liệu không tuân thủ, không đáp ứng biện pháp, tiêu chuẩn bảo mật dẫn đến hậu quả làm lộ, mất dữ liệu cá nhân. Đồng thời, bổ sung hướng dẫn thi hành, diễn giải hành vi phạm tội, xác định rõ bản chất và nội hàm “dữ liệu cá nhân trên không gian mạng”, qua đó góp phần gia tăng hiệu quả áp dụng pháp luật, đảm bảo tính nhất quán, đồng bộ trong giải quyết vụ án.
Thứ ba, quy định nghĩa vụ thông báo khi xảy ra các vụ việc vi phạm dữ liệu, khắc phục tình trạng bất cân xứng thông tin
Nghị định số 13/2023/NĐ-CP, dự thảo Luật Bảo vệ an toàn dữ liệu cá nhân đưa ra lấy góp ý đều đồng tình “chủ thể dữ liệu có quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình” thì thiết nghĩ, quy định nên mở rộng thêm quyền tiếp cận, quyền được thông báo cả trong trường hợp xảy ra tình trạng dữ liệu cá nhân bị lộ, mất, bị xâm phạm. Từ kinh nghiệm các quốc gia, nghĩa vụ của bên kiểm soát, xử lý dữ liệu không chỉ là thông báo cho cơ quan có thẩm quyền chuyên trách quản lý mà đồng thời phải tiến hành đánh giá tác động, nếu đạt ngưỡng nguy cơ cao phải gửi thông báo bằng phương thức phù hợp, diễn tả đơn giản, rõ ràng đến từng cá nhân danh mục, tác động, hành động và giải pháp.
Song song đó, nhà làm luật cũng cần nghiên cứu xây dựng “thang đo” mức độ nguy ngại gây ra bởi hành vi xâm phạm dữ liệu làm tiêu chuẩn tham chiếu, định hướng hành vi, cân đối, không bị lệ thuộc vào quyết định của bên kiểm soát, xử lý dữ liệu. Quy định phù hợp về trách nhiệm, nội dung, thời hạn, chế tài sẽ khắc phục tình trạng bất cân xứng thông tin, thúc đẩy cơ chế bảo vệ hoạt động một cách hữu dụng, hiệu quả.
Thứ tư, chi tiết, cụ thể hoá trách nhiệm bồi thường dân sự và các biện pháp khắc phục hậu quả
Hệ thống pháp luật thật sự vững chắc khi các văn bản quy phạm pháp luật thống nhất, bổ trợ mà không xung đột lẫn nhau. Bên cạnh bổ sung quy định: “Bên kiểm soát, xử lý dữ liệu do lỗi của mình, gây lộ, mất, tổn hại lợi ích hợp pháp cho bất kỳ chủ thể dữ liệu nào phải chịu trách nhiệm bồi thường thiệt hại” và rằng “chủ thể dữ liệu có quyền yêu cầu bồi thường và được bồi thường thiệt hại do các hành vi vi phạm pháp luật” trong văn bản luật chuyên ngành thì cũng cần thiết đưa dữ liệu cá nhân vào Bộ luật Dân sự như một đối tượng, một bộ phận của quyền nhân thân. Hiện thực hóa nội dung này bằng một trong hai cách: xem dữ liệu cá nhân là thông tin thuộc bí mật cá nhân, đời sống riêng tư bằng mở rộng mô tả hoặc độc lập hình thành điều khoản riêng. Dù bằng cách nào cũng sẽ góp phần định vị lại vai trò pháp lý của dữ liệu cá nhân, hỗ trợ giải quyết tranh chấp bằng thủ tục tố tụng.
Tiệm cận gần hơn, đáp ứng đầy đủ quyền được tôn trọng, công nhận và bảo vệ thông qua biện pháp khắc phục hậu quả. Đã đến lúc nhà làm luật cần chi tiết về căn cứ pháp lý, quy định nguyên tắc, trình tự, thủ tục thực hiện quyền được lãng quên và quyền yêu cầu khôi phục dữ liệu. Ngoài ra, Bộ luật Tố tụng Dân sự thời gian tới có thể cân nhắc triển khai cơ chế khởi kiện tập thể vụ án xâm phạm dữ liệu cá nhân trên không gian mạng, tạo động lực đơn giản hoá, tiết giảm thủ tục và thuận lợi cho các chủ thể tố tụng.
Thứ năm, xây dựng quy chế pháp lý về định giá dữ liệu cá nhân
Định vị dữ liệu cá nhân dưới vị thế một loại tài sản vô hình, tiếp cận giá trị mà dữ liệu tạo ra, đánh giá thiệt hại và “con số” thị trường sẵn sàng chi trả cho thấy không ít khả năng định giá khả dụng. Tuy nhiên, hoàn chỉnh phương pháp định giá chuẩn xác tương lai gần vẫn là vấn đề nan giải. Nguyên nhân bắt nguồn từ đặc điểm, tính chất vô hình của dữ liệu kết hợp điều kiện, năng lực còn hạn chế, thiếu tiền lệ định giá, mọi giao dịch dữ liệu tiến hành bất hợp pháp. Giá trị dữ liệu cá nhân bị chi phối bởi nhiều yếu tố, phương pháp định giá do vậy đòi hỏi phải thiết lập linh hoạt, hài hòa, từng bước xây dựng hệ thống tiêu chí cùng cơ sở tham chiếu phù hợp, chuyên sâu nghiên cứu phương pháp định giá từng đối tượng, từng loại thông tin.
Bối cảnh xã hội có nhiều thay đổi, xu hướng tài sản số, lưu trữ thông tin trực tuyến ngày càng phổ biến, công dân số và Chính phủ điện tử trở thành mục tiêu quốc gia, bước vào kỷ nguyên vươn của cả dân tộc thì lại phát sinh những bài toán khó, phức tạp. Một trong số đó bắt nguồn từ hành vi xâm phạm dữ liệu cá nhân trên không gian mạng. Việt Nam với nền tảng pháp lý hiện có chưa thật sự đầy đủ, toàn diện để quyền khởi kiện những vụ án như vậy mang tính khả dụng cao, tất cả hạn chế, vướng mắc thúc đẩy việc khởi động lộ trình nghiên cứu bài bản, cải tiến và hoàn thiện.
