Bảo vệ dữ liệu cá nhân: Hai vấn đề lớn trong dự thảo nghị định của Bộ Công an

Dự thảo Nghị định về bảo vệ dữ liệu cá nhân trên không gian mạng của Việt Nam vẫn đang và sẽ là một đề tài cần nhiều sự quan tâm của bạn đọc và các nhà nghiên cứu.

Luật Khoa gần đây đã có bài viết “9 điều cần biết về dự thảo nghị định bảo vệ dữ liệu cá nhân” giới thiệu đầy đủ và rõ ràng những điểm pháp lý cần lưu ý trong dự thảo. Ngoài ra, bài viết “Nhìn đáp án, đoán đề bài – Phân tích quy định kiểm soát “xuất khẩu” dữ liệu của Bộ Công an” cũng cho chúng ta một cái nhìn sâu sắc hơn về chế định kiểm soát thông tin xuyên biên giới.

Trong bài viết này, người viết mong bạn đọc chú ý đến hai vấn đề riêng biệt, đặc biệt quan trọng trong việc bảo vệ quyền riêng tư của công dân Việt Nam trước… chính quyền Việt Nam.

Về mặt tư duy pháp lý, dự thảo nghị định bảo vệ dữ liệu cá nhân dường như chỉ bảo vệ quyền riêng tư của người tiêu dùng khỏi các công ty công nghệ, chứ không cho phép người tiêu dùng được riêng tư trước mặt chính quyền. Điều này giống y khuôn từ Luật An ninh mạng.

Vấn đề đầu tiên mà chúng ta có thể thấy là việc hy sinh quyền riêng tư công dân khi so sánh với “lợi ích quốc gia”, được thể hiện rõ nhất trong Điều 6 (Tiết lộ dữ liệu cá nhân) và Điều 10 (Xử lý dữ liệu cá nhân).

Theo đó, dữ liệu cá nhân dù có nhạy cảm hay không cũng có thể bị tiết lộ, bị công bố, bị thông báo trên truyền thông, miễn là có quy định của pháp luật; hoặc được cho là cần thiết vì lợi ích, an ninh quốc gia, trật tự an toàn xã hội; hoặc vì mục đích quốc phòng, an ninh, đạo đức xã hội; hoặc theo Luật Báo chí…

Tương tự, dữ liệu cá nhân sẽ được xử lý (khai thác, trích xuất, tổng hợp…) dù không cần có sự đồng ý của chủ sở hữu của dữ liệu, miễn là có quy định của pháp luật; vì lợi ích an ninh và trật tự; hoặc trong trường hợp khẩn cấp hay khi phục vụ điều tra.

Vấn đề thứ hai là sự tồn tại của Ủy ban Bảo vệ Dữ liệu cá nhân. Dù được gọi là trực thuộc chính phủ, cơ quan này một lần nữa lại nằm trong biên chế của Bộ Công an. Dường như bộ máy nhà nước Việt Nam đã đi đến điểm mà họ không thể thực hành bất kỳ chức năng gì mà không có sự can thiệp của các tướng lĩnh công an. Điều này trên thực tế sẽ ảnh hưởng nghiêm trọng tới tính khách quan và việc kiểm soát quyền lực của các cơ quan điều tra trong nhiều vụ án liên quan đến tự do ngôn luận.

Hiển nhiên, những nhận định trên chỉ mới phản ánh quan điểm pháp lý của người viết. Và sẽ là không khách quan nếu cho rằng chỉ có Việt Nam mới nghĩ ra những “ngoại lệ” kiểu thế này. Một so sánh ngắn về cách tiếp cận của các quốc gia trong hai vấn đề nói trên hy vọng sẽ giúp chúng ta hiểu liệu Việt Nam có đi xa hơn các quốc gia khác hay không.

Các ngoại lệ trong bảo vệ dữ liệu cá nhân trên mạng

Về mặt lý thuyết, các ngoại lệ pháp lý (legal exemption) trong bảo vệ dữ liệu cá nhân không phải là điều hiếm thấy trong pháp luật về không gian mạng trên thế giới.

Châu Âu là khu vực có hệ thống pháp luật bảo vệ dữ liệu cá nhân và quyền riêng tư hoàn thiện nhất trên thế giới. Bộ quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (European General Data Protection Regulation – GDPR), có hiệu lực từ năm 2018, cho chúng ta một cái nhìn tương đối toàn diện về những ngoại lệ trong nguyên tắc chủ đạo là tôn trọng quyền tự do cá nhân.

Trong đó, GDPR có đặt ra một số ngoại lệ về xử lý thông tin cá nhân cho hoạt động của báo chí, xử lý và tiết lộ dữ liệu cá nhân theo yêu cầu của nhà nước và cơ quan cảnh sát. Trên cơ sở này, pháp luật của quốc gia thành viên cũng có thể tạo ra các khung pháp lý liên quan để can thiệp vào dữ liệu cá nhân.

Ví dụ, Đạo luật Bảo vệ Dữ liệu của Anh (Data Protection Act – DPA, ban hành vào thời điểm Anh còn là thành viên của EU) ghi nhận quyền can thiệp vào dữ liệu của các cơ quan có thẩm quyền, dựa trên cơ sở bảo vệ an ninh quốc gia (safeguarding national security), cũng như điều tra hay ngăn chặn tội phạm (prevention or detection of crime) hoặc đánh giá thu nhập tính thuế và thu thuế (assessment or collection of any tax or duty).

Như vậy, về lý thuyết, không thể nói rằng Việt Nam đi chệch với tiêu chuẩn quốc tế, hay tự thân các quy định ngoại lệ có bản chất “ám muội” gì.

Vấn đề ở chỗ, căn cứ vào triết lý và kỹ thuật lập pháp, cách tiếp cận của chính quyền Việt Nam qua dự thảo nghị định thể hiện xu hướng lạm quyền hơn châu Âu rất nhiều.

Một trong những khác biệt rõ ràng là hệ thống pháp luật bảo vệ dữ liệu của châu Âu hướng tới xây dựng một danh sách các ngoại lệ mang tính giới hạn, toàn diện (exhaustive list); trong khi nghị định của Việt Nam lại có mục tiêu mở rộng thẩm quyền can thiệp dữ liệu hết mức có thể.

Có thể xem xét ví dụ từ bản hướng dẫn thực hiện GDPR và DPA của Văn phòng Ủy viên Thông tin Vương quốc Anh (Information Commissioner’s Office – ICO). ICO chỉ ra có bảy trường hợp mà chính quyền lẫn người nắm giữ và xử lý thông tin có thể bỏ qua quyền riêng tư của một cá nhân.

Chúng bao gồm:

(1) Tội phạm, các vấn đề pháp lý và bảo vệ công cộng (Crime, law and public protection),

(2) Quản lý, thẩm quyền của nghị viện và cơ quan tư pháp (Regulation, parliament and the judiciary),

(3) Báo chí, nghiên cứu và lưu trữ thông tin công cộng (Journalism, research and archiving),

(4) Y tế, công tác xã hội, giáo dục và vấn đề lạm dụng trẻ em (Health, social work, education and child abuse),

(5) Tài chính và thuế vụ nói chung (Finance, management and negotiations),

(6) Giới thiệu điện tử và các bài kiểm tra (References and exams),

(7) Yêu cầu truy cập thông tin của chủ thể – thông tin có liên quan đến các cá nhân khác (Subject access requests – information about other people).

Người viết biết bạn đọc có thể khá mệt mỏi chỉ với việc lướt qua hết bảy trường hợp trên, chưa cần biết là bên trong họ ghi nhận như thế nào và quy trình ra sao.

Nhưng có một điều rõ ràng rằng người tiêu dùng, chủ thể sở hữu thông tin, hoàn toàn có thể nắm bắt được các cơ quan chức năng và bên cung cấp dịch vụ sẽ can thiệp trong những trường hợp nào, can thiệp vào những loại thông tin gì, và quy trình can thiệp ra sao. Từ đó, họ sẽ có quyết định cung cấp thông tin và xử lý thông tin phù hợp khi bắt đầu sử dụng một dịch vụ nhất định.

Điều 6 và Điều 10 của dự thảo nghị định tại Việt Nam hoàn toàn không có mục đích nói trên.

Những người soạn thảo nghị định phân biệt các trường hợp tiết lộ hoặc xử lý thông tin ngoài ý muốn chủ thể thành nhóm “theo pháp luật quy định”, tách riêng với nhóm “an ninh quốc gia/ trật tự xã hội” hay “tình huống khẩn cấp”. Chỉ riêng điều này đã đủ cho thấy cơ quan nhà nước sẵn sàng vượt ngoài thẩm quyền luật định để với tay tới các thông tin cá nhân bằng những lá cờ an ninh không được pháp luật trao quyền sẵn.

Không chỉ vậy, chúng ta còn cần chú ý đến một điểm rất quan trọng khác. Quyền của chủ sở hữu thông tin là tập hợp rất nhiều nhóm quyền, và các ngoại lệ sẽ chỉ được phép vượt qua một số nhóm quyền trong số đó chứ không phải toàn bộ.

Ví dụ, cá nhân chủ sở hữu dữ liệu sẽ có các quyền tự do cá nhân (individual rights), quyền truy cập (right to access), quyền được thông báo về việc tiết lộ thông tin (right to be informed) và thậm chí là quyền được lãng quên (right to erasure)… trong gói các quyền của mình.

Trong trường hợp điều tra hay công tố tội phạm, cơ quan nhà nước có quyền yêu cầu nhà cung cấp dịch vụ cung cấp thông tin cho mình, dựa trên cơ sở rằng quyền tự do cá nhân và quyền được thông báo về việc tiết lộ thông tin của cá nhân sở hữu thông tin đã không còn hiệu lực. Tuy nhiên, quyền được lãng quên thì vẫn được bảo vệ.

Điều này đồng nghĩa với việc các dịch vụ liên lạc có chức năng chủ động xóa thông tin định kỳ (như các dòng chat, ảnh chat), hoặc các dữ liệu mà người dùng đã chủ động xóa bỏ trên hệ thống dữ liệu cloud… không được phép khôi phục, lưu trữ hay cung cấp cho bên thứ ba dưới bất kỳ hình thức nào, dù họ là cơ quan có thẩm quyền.

Danh sách thẩm quyền có giới hạn dành cho nhà nước hay phân biệt chi tiết các nhóm quyền cá nhân đều là những kỹ thuật lập pháp mà người viết cho rằng Việt Nam chưa học nổi, cũng như không muốn học từ phương Tây.

Đó là chưa kể các quy định liên quan đến trình tự tư pháp và quyền từ chối cung cấp thông tin của bên cung cấp dịch vụ, trong trường hợp họ cho rằng phía cơ quan nhà nước không thể cung cấp lý do thuyết phục cho việc trích xuất dữ liệu. Đây là một vấn đề rất riêng và nên được phân tích trong một bài viết khác.

Cơ quan “độc lập” bảo vệ dữ liệu nên là ai?

Theo quy định của dự thảo nghị định, Ủy ban Bảo vệ Dữ liệu cá nhân về cơ bản là một cơ quan công an. Ủy ban theo biên chế công an, chủ tịch ủy ban là cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, thuộc Bộ Công an. Trụ sở Ủy ban cũng được đặt tại cục nói trên.

Về mặt này thì không có gì là “học tập” từ hệ thống quy định pháp lý tiến bộ từ châu Âu lẫn các quốc gia khác.

Theo GDPR, các cơ quan giám sát bảo vệ dữ liệu cá nhân cấp quốc gia (“national supervisory authority” hay “data protection authority” – DPAs) sẽ được mỗi nhà nước thành lập với mô hình và phương pháp hoạt động do nhà nước đó tự chọn, song họ phải tuân thủ các nguyên tắc cơ bản.

Nguyên tắc trước tiên là nguyên tắc độc lập. Tại Điều 52 GDPR, Liên minh Châu Âu ghi nhận rõ cơ quan giám sát là những tổ chức độc lập vận hành dựa trên khung pháp luật cơ bản của GDPR và pháp luật quốc gia. Họ không có trách nhiệm nhận chỉ thị hay chịu ảnh hưởng từ bất kỳ yếu tố bên ngoài nào khác.

Để bảo đảm tính chất này, các quốc gia châu Âu thường đặt các DPAs vào nhóm cơ quan nhà nước dân sự có chức năng tư pháp, chứ không phải là một cơ quan có tính cưỡng chế bạo lực.

Ví dụ, Swedish Authority for Privacy Protection thì thuộc Bộ Tư pháp Thụy Điển. Đây là một cơ chế hợp lý bởi các bộ tư pháp đồng thời sẽ là cơ quan giám sát hoạt động điều tra của cảnh sát, quyết định cấp lệnh khám xét, công tố hay các hoạt động kiểm sát tư pháp nói chung.

Vương quốc Anh đi xa hơn trong việc bảo toàn tính độc lập của DPAs nước mình. Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) mà chúng ta nhắc đến ở trên là một cơ quan độc lập trực thuộc Nghị viện Anh, không có trách nhiệm giải trình hay nhận bổ nhiệm từ chính phủ Anh. Khả năng can thiệp của các cơ quan tư pháp nói riêng và bất kỳ cơ quan nhà nước nào nói chung vào quyết định của ICO là gần như bằng không.

So sánh cấu trúc thể chế này với việc đẩy thẳng trách nhiệm bảo vệ thông tin cá nhân cho Bộ Công an – cơ quan kiểm soát luôn hộ khẩu, chứng minh nhân dân, nhà tù, lực lượng công an điều tra, lực lượng an ninh…, ta có thể thấy một tương lai không mấy sáng sủa về việc bảo vệ quyền riêng tư tại Việt Nam.

Bài phản ánh quan điểm riêng của tác giả. Mọi bài bình luận xin gửi cho Luật Khoa tại đây.