Tiếng Anh pháp lý: Học thuật ngữ để hiểu rõ luật bảo vệ dữ liệu cá nhân

Bài viết này nằm trong số báo tháng Chín năm 2022 của Luật Khoa tạp chí, được phát hành trên ấn bản PDF đề ngày 1/9/2022.

Dự thảo nghị định bảo vệ dữ liệu cá nhân vẫn đang tiếp tục trong quá trình hoàn thiện. Chúng có khả năng ảnh hưởng đến hàng loạt các chủ thể thương mại lớn. Trong hoàn cảnh đó, người viết tin chắc rằng nhiều nhóm luật sư tập sự hay các chuyên viên pháp lý đang đau đầu với việc lý giải, báo cáo và đánh giá rủi ro của cả một ngành luật mới cho các khách hàng của mình.

Với mục tiêu hỗ trợ cho các hoạt động nghề nghiệp nói trên, đồng thời tạo nền tảng cho quá trình đồng bộ hóa việc dịch thuật cũng như nghiên cứu ngành pháp luật, vốn có tuổi đời còn non trẻ ở Việt Nam, bài viết kỳ này của mục tiếng Anh pháp lý sẽ cùng các bạn đọc của Luật khoa tìm hiểu những thuật ngữ liên quan đến dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.

Các ngành sẽ có nhiều thuật ngữ chồng lấn nhau. Việc điểm toàn bộ các thuật ngữ pháp lý liên quan đến vấn đề an ninh mạng và bảo vệ dữ liệu cá nhân chắc chắn sẽ không cần thiết. Chỉ những thuật ngữ, thảo luận đặc trưng nhất mới được đề cập đến.

Chủ thể

Như mọi ngành luật khác, các vấn đề liên quan đến các quy định về bảo vệ dữ liệu cá nhân bắt đầu với chủ thể. Xét đến cùng, chủ thể là những người mang các quy định pháp lý đi vào thực tiễn đời sống.

Chủ thể cũng thường là nhóm được các doanh nghiệp quan tâm nhiều nhất. Thông qua nhóm này, họ có thể nắm bắt được liệu ngành kinh doanh của mình sẽ đối mặt với những ảnh hưởng ra sao, và từ đâu.

Hiện nay, có vẻ pháp luật Việt Nam (mà cụ thể là dự thảo nghị định) chỉ mới thừa nhận hai chủ thể chủ yếu là chủ thể dữ liệu (“data subject”) và bên xử lý dữ liệu (“data processor”).

Hiểu đơn giản, data subject chính là chúng ta, những người sử dụng dịch vụ máy tính, dịch vụ internet và thông qua đó cung cấp dữ liệu cá nhân của mình (“personal data”) cho các bên liên quan. Bảo vệ quyền của các data subject là mục tiêu chủ yếu, quan trọng nhất của hệ thống pháp luật an ninh mạng và dữ liệu cá nhân.

Một đối tượng khác mà pháp luật Việt Nam có định nghĩa và ghi nhận là bên xử lý dữ liệu, tức data processor. Khác với data subject, data processor lại là đối tượng mà ngành luật mới mong muốn kiểm soát chặt chẽ (dù luật Việt Nam mong muốn kiểm soát cả hai). Họ là bên thực hiện các hoạt động xử lý dữ liệu cá nhân và từ đó trích xuất, tạo lập các kết quả theo mong muốn của người dùng. Ngoài ra, còn có thể có bên xử lý dữ liệu phụ, còn được gọi là “sub-data processor”.

“Data controller”, hay bên kiểm soát dữ liệu, thì lại không tồn tại trong thuật ngữ Việt Nam tương ứng. Theo các quốc gia sử dụng thuật ngữ này, data controller sẽ là bên nắm giữ dữ liệu cá nhân chính yếu, được trao quyền quản lý và phân cấp lại cho bên thứ ba để xử lý dữ liệu.

Giả dụ, data subject là khách hàng của một trang thương mại điện tử, đặt mua sản phẩm thông qua trang này. Trang thương mại điện tử là data controller, vì họ nắm giữ và kiểm soát dữ liệu liên quan đến tên gọi và địa chỉ của data subject. Tuy nhiên, bản thân trang thương mại điện tử sẽ không trực tiếp xử lý dữ liệu nói trên, mà trao quyền lại cho bên thứ ba (tức bên bán và bên giao hàng) để họ sắp xếp, đặt lịch, vận hành khâu chọn hàng và vận chuyển. Như vậy, bên bán và bên giao hàng mới là data processor chính của giao dịch.

Về mặt lập pháp, người viết cho rằng việc ghi nhận thêm data controller là rất quan trọng. Đối tượng này có khả năng tập trung lượng thông tin lớn, có quyền nắm giữ thông tin trong thời gian dài, đồng thời có thẩm quyền chia sẻ thông tin không giới hạn cho bên thứ ba. Các quy định đặc biệt hơn về nghĩa vụ hợp đồng và nghĩa vụ chia sẻ thông tin mà mình nắm giữ cho các bên khác do đó sẽ được chú trọng đối với data controller.

Ví dụ, trong hợp đồng trao quyền xử lý thông tin, pháp luật Anh yêu cầu phải có các thông tin cơ bản như:

(1) Nội dung của quá trình xử lý (“subject matter of the processing”)

(2) Thời hạn được xử lý (“duration of the processing”)

(3) Bản chất và mục tiêu xử lý (“nature of purpose of the processing”)

Tuy nhiên, có thể những người biên soạn dự thảo của Việt Nam cho rằng việc chia ra là không cần thiết. Có thể theo quan điểm của họ, bản thân data controller chắc chắn cũng đã là một data processor.

Ngoài ra, chúng ta còn có các chủ thể khác là cơ quan bảo vệ dữ liệu cá nhân (“data protection authorities”) và bên thứ ba có liên quan (“third parties”).

Mỗi quốc gia sẽ có một cơ quan bảo vệ dữ liệu cá nhân với tên gọi riêng. Tại Việt Nam, cơ quan này là Ủy ban bảo vệ dữ liệu cá nhân (“Personal Data Protection Committee – PDPC”), thuộc biên chế của Bộ Công an (“Ministry of Public Security”).

Đối tượng được điều chỉnh và các nguyên tắc điều chỉnh

Đối tượng được điều chỉnh chắc chắn là các thông tin, dữ liệu cá nhân. Việc hiểu đúng các tầng, lớp của dữ liệu cá nhân có vai trò quan trọng trong việc xem xét thực thi các nguyên tắc của quá trình kiểm soát và xử lý dữ liệu.

Hiện nay, dự thảo của Việt Nam đưa ra tám nguyên tắc cơ bản. Hầu hết các nguyên tắc này đều học tập từ nước ngoài. Bạn có thể dễ dàng tìm thấy các thông tin tham khảo để phân tích nếu dùng đúng từ khóa.

Tám nguyên tắc bao gồm: nguyên tắc hợp pháp (“lawfulness principle”), nguyên tắc mục đích (“purpose limitation principle”), nguyên tắc tối giản (“data minimisation”), nguyên tắc sử dụng hạn chế (“usage limitation”), nguyên tắc về chất lượng dữ liệu (“accuracy principle”), nguyên tắc an ninh (“data protection principles”), nguyên tắc cá nhân (“personal principle”), và cuối cùng là nguyên tắc bảo mật (“integrity and confidentiality principle”).

Tất cả các nguyên tắc đều được hiểu khá tương đồng giữa pháp luật Việt Nam và pháp luật các nước.

Có một nguyên tắc được ghi nhận trong pháp luật các quốc gia châu Âu nhưng người viết không thấy xuất hiện trong dự thảo: “storage limitation” hay giới hạn lưu trữ.

Hiểu đơn giản là việc lưu trữ thông tin, nguyên tắc này yêu cầu dữ liệu cá nhân phải được giới hạn trong một khoảng thời gian nhất định, phù hợp với việc xử lý dữ liệu và thực hiện trách nhiệm với người dùng đã thỏa thuận.

Dự thảo về bảo vệ dữ liệu cá nhân cũng không có những quy định rõ ràng về việc giới hạn thời gian nắm giữ và xử lý dữ liệu.

Đáng lo ngại hơn, Khoản 6 Điều 8 của dự thảo cho rằng “sự đồng ý của chủ thể dữ liệu có hiệu lực trong suốt thời gian tồn tại của chủ thể dữ liệu và trong hai mươi năm sau khi chủ thể dữ liệu chết đối với các hoạt động của cơ quan nhà nước được pháp luật quy định, trừ khi chủ thể dữ liệu có quyết định khác”. Điều này có thể tạo nên lỗ hổng khá lớn về thời gian tiếp cận, nắm giữ và thu thập thông tin cá nhân của chủ thể dữ liệu trong tương lai.

Trở lại với đối tượng điều chỉnh của các quy định về bảo vệ dữ liệu cá nhân, pháp luật Việt Nam chia thông tin cá nhân thành nhóm cơ bản và nhóm nhạy cảm, cùng triết lý với “normal personal data” và “special category data”.

Normal personal data đều được hiểu chung gồm tên gọi, giới tính, địa chỉ liên hệ, số điện thoại, trình độ học vấn…

Special category data có tính nhạy cảm cao, bao gồm các thông tin như định hướng tính dục (“sexual orientation”), dữ liệu cá nhân sinh trắc học (“biometric”), dữ liệu di truyền (“genetic data”), kể cả án tích, dữ liệu phạm tội (“criminal offense data”)… Ngoài ra, dữ liệu thể hiện quan điểm chính trị của data subject (“political and philosophical opinions”) cũng được nhắc đến. Đây là điều khá lạ lùng, khi trước nay chính quyền Việt Nam không thừa nhận hay cho phép sự tồn tại của bất kỳ một quan điểm chính trị nào khác với của đảng cầm quyền.

Một điểm khá thú vị khác là dữ liệu phản ánh hoạt động hoặc lịch sử hoạt động trên không gian mạng (“activities data”) lại được pháp luật Việt Nam xem là dữ liệu… cơ bản, và vì vậy mất đi các lớp bảo vệ bổ sung. Trên thực tế, loại dữ liệu này gần như có khả năng phản ánh tất cả các thông tin nhạy cảm mà chúng ta vừa nhắc đến ở trên.

Một số hành vi pháp lý đáng chú ý

Điểm cần chú ý nhất nhưng không được ghi nhận rõ trong pháp luật Việt Nam là sự khác biệt giữa mã hóa dữ liệu (“data pseudonymization”) và ẩn danh dữ liệu (“data anonymization”).

Pháp luật một số quốc gia, như Anh, khuyến khích việc ẩn danh hoàn toàn thông tin nếu có thể. Điều này đồng nghĩa với việc các công ty, doanh nghiệp có thể loại bỏ hoàn toàn các yếu tố có khả năng định danh một cá nhân nhất định. Làm được như vậy, bên kiểm soát dữ liệu sẽ không cần phải tuân thủ các quy chuẩn của luật bảo vệ dữ liệu cá nhân nữa.

Tuy nhiên, nếu vẫn còn có bất kỳ thủ thuật kỹ thuật nào có thể tái tạo và định danh cá nhân dựa trên các thông tin mã hóa, quá trình này chỉ được gọi là pseudonymization, và tiếp tục phải chịu ảnh hưởng của luật.

Việc khuyến khích anonymization là một bước đi cho thấy chính phủ Anh thật sự quan tâm đến quyền riêng tư cá nhân của công dân, chứ không phải tạo điều kiện để kiểm soát chúng.

Xử lý dữ liệu cá nhân tự động (“the processing of personal data that is wholly or partly by automated means”, hoặc ngắn gọn là “automated processing”) cũng là một hành vi pháp lý đặc trưng của pháp luật về an ninh mạng. Trong trường hợp dữ liệu cá nhân được các công cụ tự động xử lý, controller và processor sẽ phải thông báo cụ thể cho data subject.

“Data retention” là một nhóm thuật ngữ khác không được tìm thấy trong pháp luật Việt Nam. Hiểu đơn giản, đây là hoạt động lưu giữ thông tin của controller mà chúng ta đã nhắc đến ở trên. Đi kèm với data retention là các thuật ngữ đặc trưng như thời hạn lưu giữ (“retention periods”).

Nếu thời hạn lưu giữ thông tin không khả thi, controller sẽ có nghĩa vụ loại bỏ thông tin khỏi hệ thống, hay “disposal of records”.

Việc xóa bỏ dữ liệu số hóa, disposal of records, không đơn giản là “delete” chúng trên server.

Pháp luật một số nước có thể yêu cầu động tác xử lý khiến dữ liệu không thể được phục hồi (“beyond any possibility of recovery”). Các quốc gia thường khuyến nghị thực hiện chép đè các đoạn mã số hóa lên hệ thống dữ liệu cho đến khi dữ liệu cũ hoàn toàn bị triệt tiêu khỏi hệ thống.