Tổng hợp các bài viết về dự thảo Nghị định bảo vệ dữ liệu cá nhân

Theo lịch được công bố, dự thảo Nghị định về bảo vệ dữ liệu cá nhân sẽ còn nhận đóng góp ý kiến đến ngày 9/4/2021.

Chỉ còn hơn 3 tuần để người dân tìm hiểu về một trong những vấn đề quan trọng nhất của thời đại số.

Vì sao việc này lại quan trọng?

Thời chúng ta đang sống ngày nay là thời đại tri thức. Tri thức được tạo ra từ thông tin. Thông tin là những dữ liệu đã được xử lý.

Dữ liệu trong thời đại này có vai trò như hạt gạo, làm nên bữa ăn chính của mỗi người, mỗi nhà, và cả quốc gia.

Mỗi hạt gạo cần được bảo vệ như thế nào, dữ liệu cá nhân của bạn cũng cần được quan tâm bảo vệ theo cùng cách đó.

Luật Khoa sẽ tiếp tục giới thiệu các bài viết mới phân tích những khía cạnh khác nhau của vấn đề này.

Dưới đây là tổng hợp các bài đã đăng bàn về dự thảo Nghị định bảo vệ dữ liệu cá nhân.

Bạn đọc có thể truy cập đến từng bài bằng cách bấm vào đường link nhúng trong các tiêu đề. Cuối bài viết này có mục hướng dẫn cách thức vượt tường lửa để đọc trực tiếp từ trang web của Luật Khoa.

***

“9 điều cần biết về dự thảo Nghị định bảo vệ dữ liệu cá nhân”

Như tên gọi, bài viết tổng hợp 9 điều quan trọng bạn cần nắm về dự thảo.

Nếu là cá nhân, bạn sẽ muốn biết dự thảo quy định mình có những quyền gì với dữ liệu cá nhân. Bạn cũng sẽ cần biết về những trường hợp ngoại lệ, hay có thể nói là “lỗ hổng” trong luật, khiến dữ liệu của bạn có thể bị thu thập, xử lý mà không cần đến sự đồng ý của chính bạn, và bạn cũng không được thông báo.

Nếu là doanh nghiệp, bạn sẽ quan tâm đến các yêu cầu đặt ra với việc xử lý dữ liệu, cơ quan nào nắm quyền sinh sát trong việc quyết định các thủ tục yêu cầu đó, và mức phạt cùng các chế tài dành cho những trường hợp bị xác định là vi phạm.

***

“Nhìn đáp án, đoán đề bài – Phân tích quy định kiểm soát ‘xuất khẩu’ dữ liệu của Bộ Công an”

Bài viết phân tích tìm hiểu mục đích thật sự của Bộ Công an khi biên soạn dự thảo.

Khi so sánh Bộ quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (GDPR) – quy định được xem là hoàn chỉnh nhất thời điểm hiện tại về dữ liệu cá nhân – với dự thảo nghị định của Việt Nam, tác giả chỉ ra hai điểm khác biệt quan trọng.

Một bên giao quyền quản lý cho các cơ quan bảo vệ dữ liệu độc lập, một bên lại đặt mọi thứ nằm trong tay Bộ Công an. Một bên quy định theo kiểu quản lý sau (ex post) – tự chịu trách nhiệm, làm sai sẽ bị phạt nặng. Một bên thì tiếp cận theo kiểu quản lý trước (ex ante) – mọi thứ đều phải xin phép trước khi muốn làm.

Từ các điểm khác biệt, tác giả nhận định hai bộ luật đang nhắm đến hai bài toán khác nhau. Một bên là làm thế nào để bảo vệ dữ liệu cá nhân vì lợi ích dân sự của cá nhân. Một bên dường như là để bảo vệ chủ quyền dữ liệu vì mục tiêu an ninh quốc phòng.

Tác giả phân tích trong hoàn cảnh thực tế và về mặt kỹ thuật, yêu cầu bảo vệ chủ quyền dữ liệu vừa khó khả thi, lại vừa có khả năng xung đột với yêu cầu phát triển kinh tế.

***

“Bảo vệ dữ liệu cá nhân: Hai vấn đề lớn trong dự thảo nghị định của Bộ Công an”

Cũng dùng GDPR làm cơ sở đánh giá, tác giả bài viết chỉ ra vấn đề quan trọng bị bỏ qua trong dự thảo nghị định của Việt Nam: quyền riêng tư của cá nhân trước chính quyền.

Khi so sánh triết lý và kỹ thuật lập pháp giữa hai bộ luật, tác giả cho rằng cách tiếp cận của chính quyền Việt Nam thể hiện xu hướng lạm quyền hơn châu Âu rất nhiều.

Trong khi các nước châu Âu đặt ra danh sách thẩm quyền có giới hạn một cách cụ thể, đồng thời phân biệt chi tiết các nhóm quyền cá nhân, thì đạo luật của Việt Nam gom vào một quy định mập mờ và mở rộng dưới thuật ngữ “theo pháp luật quy định”. Bằng cách này, cơ quan nhà nước tại Việt Nam có thể chủ động mở rộng quyền kiểm soát thông tin cá nhân bất kỳ lúc nào.

Tác giả đồng thời phân tích vai trò và ý nghĩa của nguyên tắc độc lập đối với các cơ quan quản lý dữ liệu cá nhân. Nguyên tắc này hoàn toàn thiếu vắng trong dự luật của Việt Nam.

***

“6 vấn đề nghiêm trọng về dữ liệu cá nhân trong thẻ căn cước gắn chip”

Có 6 vấn đề về việc bảo vệ dữ liệu cá nhân trong thẻ căn cước được tác giả nêu ra trong bài viết.

1. Công nghệ thẻ căn cước mà Việt Nam đang áp dụng: Bộ Công an cho là hiện đại, nhưng thực tế thì đã lỗi thời.

2. Thông tin thu thập trên diện rộng: Quy định trong Luật căn cước 2014 cho phép chính quyền thu thập thông tin không giới hạn về mỗi cá nhân.

3. Quyền của mỗi người trong việc kiểm soát thông tin cá nhân: Công dân Việt Nam chưa có quyền chủ động quản lý, kiểm soát và yêu cầu một đơn vị nào đó, kể cả cơ quan nhà nước, dừng việc sử dụng các dữ liệu cá nhân của mình.

4. Kẽ hở quản lý dữ liệu: Theo các quy định của dự thảo Nghị định bảo vệ dữ liệu cá nhân, chính quyền có thể truy cập, xử lý, tiết lộ dữ liệu cá nhân mà không cần sự đồng ý của người dân.

5. Các dữ liệu nhạy cảm: Trong dự thảo nghị định, các dữ liệu về tình trạng tài chính, sức khỏe, tình dục… của mỗi cá nhân hoàn toàn có thể bị chính quyền thu thập và xử lý “theo quy định của pháp luật”.

6. Mức độ độc lập của cơ quan quản lý dữ liệu cá nhân: Không có. Mọi thứ đều quy về một đầu mối là Bộ Công an. Công an thu thập, công an xử lý, và công an sẽ giải quyết khiếu nại (về công an).

***

“Tiếng Anh pháp lý: Học thuật ngữ để hiểu rõ luật bảo vệ dữ liệu cá nhân”

Thông qua các thuật ngữ quan trọng trong tiếng Anh, người đọc có thể hiểu rõ bản chất vấn đề trong việc bảo vệ dữ liệu cá nhân.

Tác giả giới thiệu và phân tích các thuật ngữ quan trọng nhất trong các bộ luật của nước ngoài, đồng thời chỉ ra những điểm còn thiếu vắng trong dự thảo nghị định của Việt Nam.

Một trong số đó là “data controller” – bên kiểm soát dữ liệu. Luật của Việt Nam chỉ đề cập đến “data processor” – bên xử lý dữ liệu mà không nhắc đến “data controller”. Tác giả phân tích lý do vì sao trên thực tế, cần phân biệt “data controller” và “data processor” và có những quy định riêng biệt cho mỗi chủ thể này.

Trong các nguyên tắc về bảo vệ dữ liệu, một thuật ngữ khác cũng không thấy xuất hiện trong dự luật của Việt Nam là “storage limitation” – giới hạn lưu trữ. Nguyên tắc này quy định giới hạn thời gian nhất định, phù hợp với việc xử lý dữ liệu và theo đúng trách nhiệm đã cam kết với người dùng.

Một điểm quan trọng không được ghi nhận rõ trong pháp luật Việt Nam là sự khác biệt giữa “data pseudonymization” (mã hóa dữ liệu) và “data anonymization” (ẩn danh dữ liệu). Hai cách xử lý dữ liệu này dẫn đến các quy định quản lý khác nhau, đồng thời thể hiện động cơ khác nhau của những người làm luật – muốn thật sự bảo vệ dữ liệu riêng tư của cá nhân hay là tạo điều kiện để kiểm soát chúng.

Hướng dẫn truy cập các trang web bị chặn tại Việt Nam

Để truy cập các đường link ở trên, bạn đọc tại Việt Nam cần cài đặt phần mềm VPN, có khả năng vượt qua tường lửa của nhà mạng.

Một trong các phần mềm VPN miễn phí thông dụng là 1.1.1.1. Bạn có thể vào tải app tại địa chỉ sau:  https://1.1.1.1/.

Một lựa chọn khác là ProtonVPN, từ đơn vị tạo ra nền tảng email bảo mật nổi tiếng ProtonMail. Địa chỉ: https://protonvpn.com/.

Các phần mềm trên đều có phiên bản dành cho máy tính Windows, Mac, điện thoại Android và iPhone.

Trên điện thoại, bạn có thể mở Google Play (với máy Android) hoặc App Store (với iPhone), gõ vào thanh tìm kiếm “1.1.1.1” hoặc “ProtonVPN” để tải trực tiếp các app về.

Phần mềm 1.1.1.1 có thể sử dụng ngay sau khi cài đặt. Riêng ProtonVPN cần thêm thao tác đăng ký tài khoản miễn phí để sử dụng.

Bạn đọc cũng có thể truy cập mọi trang web bị chặn thông qua trình duyệt “Tor Browser”.

Tải trình duyệt này từ địa chỉ https://www.torproject.org/download/.

Cách sử dụng tương tự như với các trình duyệt thông thường (Chrome, Firefox, Opera…).