Các bài viết về Quyền Riêng Tư trên mạng


Quyền riêng tư trên mạng

Nhân dịp Bộ Công an lấy ý kiến cho Dự thảo Nghị định quy định một số điều chi tiết của Luật An ninh mạng, Giáo sư ngành mật mã học, Đại học Limoges, Pháp, Phan Dương Hiệu đã có cuộc trao đổi với Tia Sáng về việc cân bằng giữa an ninh quốc gia và quyền riêng tư.   

Việc theo dõi hay truy cập dữ liệu của bất kì cá nhân nào, kể cả của đối tượng nghi phạm nguy hiểm nhất định phải được thông qua một quá trình tường minh, chặt chẽ ở mức rất cao. Nguồn: Reflex.cz

Trong một thế giới nhiều biến động, thì “lòng tin” là một yếu tố vô cùng quan trọng, là cơ sở thiết yếu cho sự phát triển. Việc trợ giúp bảo vệ thông tin cá nhân, yêu cầu các nhà cung cấp dịch vụ phải đạt chuẩn bảo mật cao, cho phép người dùng được quyền quyết định xử lý dữ liệu liên quan đến cá nhân (như truy vết những nơi lưu trữ, hay yêu cầu xóa vĩnh viễn dữ liệu cá nhân) là những biện pháp Chính phủ có thể làm để  gây lòng tin cho người dân, cho doanh nghiệp, cho các đối tác nước ngoài để tạo một môi trường phát triển lành mạnh.

An ninh quốc gia (public safety) và quyền riêng tư (privacy) 

Việc đảm bảo đồng thời an ninh quốc gia và quyền riêng tư cho công dân và cho các tổ chức, doanh nghiệp luôn là một thách thức không nhỏ đối với các chính phủ.


Trong những hoàn cảnh đặc biệt nguy cấp, như sau một cuộc khủng bố, các chính phủ thường có xu hướng đưa ra các biện pháp nhằm bảo đảm an ninh (public safety) bằng cách cho phép can thiệp phần nào quyền riêng tư (privacy) của công dân. Đó là khi dân chúng đang hoang mang nên một bộ phận không nhỏ có thể có xu hướng nhượng bộ giảm quyền riêng tư để đổi lấy sự an toàn. Tuy nhiên, ngay cả trong những tình huống đặc biệt nguy cấp như vậy, sự đối thoại vẫn rất cần thiết để có những dự luật hợp lý, mức độ can thiệp quyền riêng tư ở mức tối thiểu, chấp nhận được và với một quy trình tường minh, chặt chẽ.
Tại Mỹ, nơi nguy cơ khủng bố rình rập, điều này cũng được thực hiện một cách có quy trình nghiêm ngặt. Sau vụ khủng bố năm 2001, cơ quan an ninh quốc gia Mỹ (NSA) đã có quyền thu thập dữ liệu các cuộc điện đàm. Tuy nhiên, đến năm 2015, luật này đã bị bãi bỏ nhằm trả lại quyền riêng tư cho người dân, và mọi sự theo dõi cần được thực hiện dựa trên quyết định của toà án1.


Thực tế, NSA và các cơ quan phản gián của Mỹ cũng chẳng xa lạ gì với việc truy cập, theo dõi thông tin cá nhân với lý do nhằm bảo đảm an toàn an ninh quốc gia. Nếu không có sự giám sát của các chuyên gia và phản biện của công dân thì sự theo dõi này rất dễ bị lạm dụng.  Những phát giác về sự lạm dụng theo dõi diện rộng và cài những backdoor để phá các chuẩn bảo mật2 đã có tác dụng hạn chế đáng kể sự tuỳ tiện đó. Sự phản đối cũng đến từ các nhà chuyên môn khi các nhà khoa học về mật mã và an toàn thông tin ở Mỹ đã có thư ngỏ lên án những sự theo dõi diện rộng3. Tháng 3 năm nay, đạo luật Cloud Act (clarifying lawful overseas use of data act) của Mỹ cho phép chính phủ nước này tiếp cận dữ liệu lưu trữ cả trong và ngoài nước, đồng thời, các công ty từ những quốc gia đồng minh cũng được tiếp cận dữ liệu của các công ty Mỹ.  

Đạo luật này ngay lập tức gây ra rất nhiều tranh cãi và phản đối ở Mỹ, cho rằng nó vi phạm tu chính án thứ Tư của Hiến Pháp Hoa Kỳ và bị phê phán ở nhiều quốc gia khác, đặc biệt là các nước châu Âu. Sự lạm dụng theo dõi cần bị lên án và từ đó trả lại quyền riêng tư cho người dân. Tháng 6 năm nay, bang California, nơi tập trung trụ sở của hầu hết các công ty công nghệ lớn nhất thế giới,  đã có một  bước đi tiến bộ đáng kể trong việc bảo vệ quyền riêng tư cho người dân khi thông qua một luật cho phép người dùng được truy xuất dấu vết dữ liệu của họ4.  Theo đó người dùng có quyền được biết những công ty nào thu thập thông tin về họ, lý do tại sao và những thông tin đó được chia sẻ với ai. Họ cũng có quyền yêu cầu xóa thông tin cá nhân.


Ở Châu Âu, chúng ta hãy xem xét trường hợp nước Pháp, nơi cũng thường xuyên bị đe doạ bởi nguy cơ khủng bố. Sau vụ khủng bố tháng 1/2015, một dự luật cho phép an ninh tình báo can thiệp dữ liệu cá nhân đã được đề nghị. Nhưng sự can thiệp phải qua những thủ tục chính như sau:


i) Khi có tình huống nghi ngờ xảy ra, an ninh tình báo cần gửi cho Thủ tướng. Thủ tướng sau đó bắt buộc cần lấy ý kiến đồng ý của một Hội đồng quốc gia (Commission nationale de contrôle des techniques de renseignement – CNCTR) – gồm 13 thành viên: ba nghị sỹ hạ viện, ba nghị sỹ thượng viện, ba thành viên của hội đồng nhà nước (Conseil d’Etat), ba thành viên tư pháp và một chuyên gia về thông tin. Chỉ sau khi Hội đồng đồng ý thì Thủ tướng mới có thể quyết định cho phép dùng các biện pháp để theo dõi mạng với đối tượng nghi ngờ. Trong trường hợp tối khẩn (urgence absolue) thì Thủ tướng có thể quyết định trước khi trình bày cho Hội đồng.


ii) Trường hợp thực thi khẩn cấp: Trong trường hợp có đe doạ an ninh khẩn cấp (urgence opérationelle), Chính phủ đề nghị trong dự luật là an ninh có thể “tiền trảm hậu tấu” bằng cách can thiệp theo dõi gấp, vì nếu trì hoãn thì cơ hội sẽ qua đi, rồi sau đó trong 24h sẽ giải trình cho Thủ tướng và Hội đồng. Đây là trường hợp gây tranh cãi nhiều, vì quy trình không tường minh.


Sự can thiệp với quy trình như trên bị các hội đoàn, và dân phản đối, ngay trong hoàn cảnh bị khủng bố đe doạ. Nhiều ý kiến chuyên gia, ý kiến các hội đoàn đã được đưa ra, cùng các cuộc biểu tình phản đối đã diễn ra để bảo vệ quyền riêng tư.


Kết cục cuối cùng là Hội đồng Bảo Hiến đã bác bỏ việc thực hiện mục ii) “trường hợp thực thi khẩn cấp” vì cho rằng nó vi hiến, trái với luật về quyền riêng tư cá nhân. Như vậy, sẽ không có thể có bất cứ trường hợp nào, dù trong bất cứ hoàn cảnh nguy cấp nào, mà sự theo dõi lại không cần thông qua sự phê chuẩn của Thủ tướng.


Tóm lại, trong một số trường hợp tối cần thiết, việc theo dõi hay truy cập dữ liệu của bất kì cá nhân nào, kể cả của đối tượng nghi phạm nguy hiểm nhất định phải được thông qua một quá trình tường minh, chặt chẽ ở mức rất cao như phải có quyết định của toà án hoặc có sự phê chuẩn của thủ tướng.

Các chuẩn bảo mật giúp bảo vệ quyền riêng tư

Tại châu Âu, đã có những chuẩn bảo mật mới được ban hành để đảm bảo tốt hơn quyền riêng tư của dân, thậm chí các công ty còn phải cam kết xoá bỏ mọi thông tin về người dùng nếu người dùng yêu cầu. Những quy định này nghiêm ngặt hơn Mỹ. Trong quan hệ xuyên lục địa Âu – Mỹ, uỷ ban Châu Âu từng đánh giá là “US Privacy Act” của Mỹ không đủ điều kiện để bảo vệ dữ liệu riêng của công dân châu Âu. Do đó, châu Âu và Mỹ đã thống nhất đưa ra “Privacy Shield”5 yêu cầu tất cả các doanh nghiệp cần tuân thủ các yêu cầu bảo mật ở mức độ rất cao để bảo vệ dữ liệu riêng tư của người dùng. Mới đây châu Âu cũng đưa ra các quy định bảo mật dữ liệu (GDPR)6 nhằm bảo vệ dữ liệu cho công dân. Quy định này thực sự nhằm hướng đến bảo vệ dữ liệu công dân, không yêu cầu dữ liệu phải đặt trên đất châu Âu mà có thể đặt tại bất kỳ quốc gia nào đạt chuẩn đảm bảo an toàn dữ liệu của họ. Đó là những bước đi mà các chính phủ châu Âu làm để bảo vệ dữ liệu riêng tư cho công dân, và từ đó tạo lòng tin cho dân.


Như vậy xu hướng của thế giới là cố gắng phát triển các biện pháp kỹ thuật, các chuẩn bảo mật để đảm bảo quyền riêng tư cá nhân cho công dân mình.


Các biện pháp đưa ra cần đồng bộ và phù hợp với chuẩn quốc tế


Điều cần chú trọng là các biện pháp chúng ta đưa ra cần phải đồng bộ, phù hợp với các quy chuẩn thế giới mà chúng ta đã cam kết, tránh việc làm doanh nghiệp trong nước và quốc tế gặp khó khăn và mâu thuẫn trong việc tuân thủ đồng thời các thủ tục trong nước và cam kết quốc tế.  


Về mặt kỹ thuật, việc yêu cầu dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải được lưu trữ tại Việt Nam không có tính khả thi cao và cũng không có hiệu quả thật sự. Thường các công ty quốc tế lưu trữ nhiều bản sao dữ liệu tại nhiều địa điểm khác nhau nhằm đảm bảo an toàn. Để tránh bị mất dữ liệu khi một địa điểm bị tấn công thì dữ liệu có thể được lưu một cách phân tán sao cho chỉ khi tất cả các địa điểm bị tấn công thì dữ liệu mới bị mất. Việc yêu cầu tập trung dữ liệu về mặt kỹ thuật là đi ngược lại với việc đảm bảo an toàn dữ liệu. Ngoài ra, các công ty đạt chuẩn bảo mật đều chỉ lưu dữ liệu dạng mã hoá. Do vậy ngay cả khi chúng ta có dữ liệu thì cũng chỉ có dữ liệu dạng mã hoá, muốn giải mã cần phải có chìa khoá giải mã. Mật mã phân tán đang được áp dụng rộng rãi cho phép khoá giải mã được phân tán làm nhiều phần và có thể lưu tại nhiều địa điểm, chỉ khi tập hợp đủ các phần này thì mỡi giải mã được. Nếu tại các nước lưu các phần khoá mà luật không cho phép công ty làm lộ thông tin (khi không có yêu cầu của toà án) thì dù có ép dữ liệu lưu trữ tại Việt Nam cũng không giải mã được.  

Về mặt thực tế vận hành các hệ thống, nhân bài viết này, tôi đã hỏi ý kiến và được anh Nguyễn Quốc Khánh đồng ý góp ý kiến. Anh hoàn thành tiến sỹ mật mã ở Úc, đã có kinh nghiệm làm bảo mật trong các tập đoàn lớn của thế giới như Gemalto, và nay về công tác trong nước tại trung tâm công nghệ thông tin của ngân hàng Vietcombank. Với những kinh nghiệm thực tế, anh chia sẻ : “Luật An ninh mạng quy định không gian mạng là mạng lưới kết nối con người sử dụng CNTT mọi lúc mọi nơi. Phạm vi điều chỉnh của luật như vậy là rất rộng. Đối với dịch vụ liên quan tới ngành ngân hàng, có 2 lĩnh vực luật sẽ ảnh hưởng trực tiếp là dịch vụ thanh toán và thương mại điện tử. Với dịch vụ thanh toán, các tổ chức tín dụng tại Việt Nam và trên thế giới đều sử dụng SWIFT, VISA và Mastercard là trung gian thanh toán cho các giao dịch quốc tế và thẻ quốc tế. Các trung gian thanh toán này hoạt động rất tập trung. Swift chỉ có 3 trung tâm dữ liệu trên thế giới (tại Mỹ, Thuỵ Sỹ và tại 1 địa điểm bí mật).

Trường hợp các tổ chức trung gian thanh toán này không thể đáp ứng yêu cầu tại Điều 24 (lưu trữ dữ liệu tại Việt Nam) của dự thảo nghị định có thể ảnh hưởng tới khả năng cung cấp dịch vụ thanh toán quốc tế của các tổ chức tín dụng tại Việt Nam. Đối với thương mại điện tử, hiện tại rất nhiều đơn vị trên thế giới cung cấp các dịch vụ trực tuyến trong nhiều lĩnh vực (giáo dục, y tế, sức khoẻ , khoa học, công nghệ, bán lẻ… ) trên không gian mạng. Rất nhiều các đơn vị sẽ không thể đặt văn phòng tại Việt Nam (do quy mô kinh doanh và các lý do khác), trường hợp áp dụng Luật với các đơn vị này sẽ ảnh hưởng to lớn tới khả năng tiếp cận các dịch vụ này với người sử dụng tại Việt Nam.”  

Xử lý khối lượng dữ liệu lớn nhưng không truy xuất đến thông tin cá nhân

Chúng ta biết rằng, sự phát triển của điện toán đám mây cho phép việc các phương pháp học máy, trí tuệ nhân tạo được áp dụng rộng rãi nhằm đưa đến nhiều ứng dụng tiện lợi cho người dùng. Tuy nhiên, việc thực hiện phương pháp này hiện nay đang nằm trong tay của những nhà cung cấp dịch vụ điện toán đám mây lớn và sở hữu chủ yếu dữ liệu của chúng ta, và họ hoàn toàn có thể khai thác dữ liệu riêng của ta hoặc làm lộ nó dù là theo cách bị động hay chủ động. Trong bài phát biểu mới tại hội nghị CRYPTO 2018 vừa qua, Shafi Goldwasser – người đoạt giải Turing (được coi như giải Nobel của Tin học) và hai giải Godel (giải thưởng cho bài báo xuất sắc nhất trong lĩnh vực lý thuyết khoa học máy tính) – cho rằng: “thách thức lớn nhất tiếp theo của mật mã là đảm bảo tính bảo mật thông tin trong việc thực hiện các phương pháp học máy”. Nhiệm vụ của mật mã trong tương lai là làm sao vẫn sử dụng công nghệ điện toán đám mây nhưng vẫn đảm bảo được dữ liệu, mà không phụ thuộc vào đạo đức của những nhà cung cấp dịch vụ. Rất nhiều nghiên cứu nằm trong hướng đi này, và một trong các nghiên cứu mà tác giả tham gia, trong một dự án của châu Âu, là nhằm đảm bảo quyền bảo mật dữ liệu riêng trong những ứng dụng liên kết giữa nhiều người mà không cần đặt sự tin tưởng vào bất cứ nhà cung cấp trung gian nào sao cho ngay cả khi nhà cung cấp bị lộ dữ liệu thì người dùng vẫn có thể đảm bảo thông tin riêng7. Đảm bảo an toàn dữ liệu ngay cả khi các nhà cung cấp dịch vụ bị tấn công hay tự ý lộ thông tin là yêu cầu tương lai của bảo mật.

Lời kết

Trong thời đại kỹ thuật số với dữ liệu cá nhân được lưu trữ và khai thác khắp nơi, chúng ta cần tập trung nghiên cứu các biện pháp kỹ thuật và các chuẩn bảo mật phù hợp với các chuẩn quốc tế nhằm bảo vệ dữ liệu cho người dân.

Quyền riêng tư là một trong các quyền con người cơ bản và ta cần nhất thiết bảo vệ nó. Trong thời đại kỹ thuật số với dữ liệu cá nhân được lưu trữ và khai thác khắp nơi, chúng ta cần tập trung nghiên cứu các biện pháp kỹ thuật và các chuẩn bảo mật phù hợp với các chuẩn quốc tế nhằm bảo vệ dữ liệu cho người dân. Trong những trường hợp đặc biệt nghiêm trọng, các cơ quan điều tra có thể được truy xuất dữ liệu cá nhân của nghi phạm, nhưng rất cần tránh sự lạm dụng và sự truy xuất đó cần phải được phê chuẩn bởi toà án hoặc bởi Thủ tướng theo một quy trình chặt chẽ, minh bạch. 


Tuyên bố sau đây tại cuộc họp Eurocrypt 2014 ở Copenhagen (Đan Mạch) được toàn thể các thành viên của IACR (International Asscociation for Cryptologic Research – Hiệp hội nghiên cứu mật mã quốc tế) ủng hộ8:
“Các thành viên của IACR phản đối việc theo dõi trên bình diện rộng và các quyết định làm suy yếu các giải pháp, tiêu chuẩn mật mã. Việc theo dõi người dân trên diện rộng đe dọa dân chủ và nhân phẩm con người. Chúng tôi kêu gọi đẩy mạnh nghiên cứu và triển khai các kỹ thuật hiệu quả để bảo vệ quyền riêng tư cá nhân trước những hành động thái quá của các chính phủ và doanh nghiệp.”


Việt Nam đã hội nhập cùng thế giới và tổ chức rất thành công hội nghị mật mã lớn nhất  tại châu Á của IACR (Asiacrypt 2016), chúng ta cần tiếp tục đi theo các xu hướng phát triển tiến bộ của thế giới.

Nguồn dẫn:

1 https://eu.usatoday.com/story/news/politics/2015/06/02/patriot-act-usa-freedom-act-senate-vote/28345747/

2 https://en.wikipedia.org/wiki/PRISM_(surveillance_program

3 http://masssurveillance.info/)

4 https://www.nytimes.com/2018/06/28/technology/california-online-privacy-law.html

5 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield_en

6 https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en 

7 http://www.fentec.eu/content/paper-decentralized-multi-client-functional-encryption-inner-product 

8 https://www.iacr.org/misc/statement-May2014.html

Nguồn: Phan Dương Hiệu – Tạp Chí Tia Sáng.


Chúng ta có quyền đòi hỏi gì từ Facebook, Google, Apple…?

Quyền được lãng quên, quyền sở hữu dữ liệu lưu động, quyền được giải trình là ba khái niệm mang tính cột mốc trong cách EU kết nối triết lý về chủ nghĩa quyền con người với những công cụ pháp lý thực tế trong thế giới số.


 Việc người dùng internet có quyền tự do di chuyển dữ liệu của mình đặc biệt mang ý nghĩa lớn trong bối cảnh mạng xã hội.

Quyền được lãng quên (Điều 17)

Quyền được lãng quên (right to be forgotten) là một trong những quyền đặc thù cho môi trường internet gây tranh cãi nhiều nhất, và cũng là quyền có lịch sử pháp lý phức tạp nhất. Tuy một số quốc gia thành viên như Đức và Tây Ban Nha đã có lịch sử kinh nghiệm thực thi việc bảo vệ quyền được lãng quên theo tinh thần bảo vệ dữ liệu của Chỉ thị 95/46/EC (xem Tia Sáng số 13 -5.7.2018), việc công nhận, định nghĩa, và bảo vệ quyền được lãng quên trong khối EU trước Luật Bảo vệ Dữ liệu châu Âu (GDPR) vẫn mang tính rời rạc và lệ thuộc vào diễn giải của từng quốc gia thành viên.

Một ví dụ có tầm ảnh hưởng và gây tranh cãi nhất về quyền triệt thoái dữ liệu cá nhân trước khi quyền được lãng quên xuất hiện tại GDPR là vụ kiện rầm rộ xảy ra năm 2014 giữa Google Tây Ban Nha và Cơ quan Bảo vệ Dữ liệu Tây Ban Nha (AEPD). Bên nguyên đơn, AEPD, đại diện cho ông Mario Costeja Gonzalez, đưa đơn khiếu nại lên Toà án Công lý châu Âu (CJEU) và yêu cầu toà ra lệnh cho Google xoá đường dẫn đến bản tin quảng cáo phát mãi hai sở hữu nhà đất của ông Gonzalez trước đó 16 năm, khi ông đang mắc nợ an sinh xã hội.

Ông Gonzalez lập luận rằng, vụ việc đã xảy ra trước đó rất lâu, nhưng lại ảnh hưởng trực tiếp đến chất lượng cuộc sống và thanh danh của ông trong hiện tại: khi tên ông được nhập vào Google, kết quả đầu tiên Google dẫn đến là những điều đã xảy trong quá khứ mà ông muốn quên đi. Điều đáng nói ở đây là, khi nhận được đơn khiếu nại của Gonzalez, AEPD đã bác bỏ yêu cầu từ ông rằng trang web La Vanguardia, một tờ báo điện tử địa phương, phải xoá bỏ thông tin quảng cáo phát mãi sở hữu nhà đất của ông. AEPD xác định rằng việc La Vanguardia vẫn giữ nguyên thông tin đăng tải nói trên là hoàn toàn hợp pháp; tuy nhiên, việc những công cụ tìm kiếm trang web như Google lập mục lục và dẫn đến thông tin này lại có thể vi phạm quyền bảo vệ dữ liệu của công dân. Google đưa đơn kháng án lên Toà án Tối cao Tây Ban Nha; tuy nhiên, Toà án Tối cao xem vấn đề bảo vệ dữ liệu là vấn đề trực thuộc Luật châu Âu và giao quyền xử lý đơn kiện cho CJEU.

Vụ kiện này gây tranh cãi và có tầm ảnh hưởng lớn dựa trên ba lý do chính. Thứ nhất, CJEU xác định rằng Google, dù là công ty được thành lập bên ngoài khuôn khổ địa lý của châu Âu, vẫn phải chịu ràng buộc pháp lý chung của khối EU do Google có sở hữu công ty con, giao dịch thương mại và điều phối giao dịch tại các quốc gia thành viên EU, và phối hợp cộng tác chặt chẽ với công ty mẹ tại Mỹ. Thứ hai, CJEU định nghĩa các hành vi tra cứu, lập mục lục, lưu trữ dữ liệu tạm thời, và thể hiện thông tin trên công cụ Google dưới hạng mục “xử lý dữ liệu”, đồng thời định nghĩa Google và các công cụ tìm kiếm tương tự là đơn vị kiểm soát dữ liệu (xem Tia Sáng số 13 -5.7.2018).

Đây là quyết định gây tranh cãi nhiều nhất, vì các công cụ tìm kiếm như Google không đăng tải hoặc tạo ra dữ liệu như các trang tin hoặc blog điện tử, mà chỉ tra cứu và thể hiện thông tin mà công cụ này tìm được. CJEU lập luận rằng, trên tinh thần bảo vệ quyền cơ bản của con người, và nhằm đảm bảo sự bảo vệ quyền một cách “hiệu quả và hoàn chỉnh”, toà có lý do chính đáng để nới rộng định nghĩa đơn vị kiểm soát dữ liệu và bao gồm cả các công cụ như Google. Thứ ba, CJEU ra quyết định rằng công dân có quyền liên lạc trực tiếp các công cụ tra cứu trang web như Google và yêu cầu các công ty này loại bỏ kết quả liên quan đến dữ liệu cá nhân mà họ không còn muốn ai có cơ hội tìm thấy. Dưới Chỉ thị của châu Âu, Google và các công ty có chức năng tương tự buộc phải giải quyết những yêu cầu của công dân châu Âu một cách thoả đáng.

Tuy con người thường có xu hướng tin tưởng vào toán học và những thuật toán phức tạp được tạo nên từ nguyên lý toán học cao cấp, thuật toán được sử dụng hiện nay thường chứa những thành kiến ẩn vì chúng được rèn luyện từ những kho dữ liệu chứa sẵn thành kiến.


Ví dụ nêu trên có thể đã phần nào giải thích được sự phức tạp và mức độ bao quát của quyền được lãng quên dưới góc nhìn bảo vệ dữ liệu của EU. Công bằng mà nói, quyết định của CJEU đã phần nào tạo nên “tiếng xấu” cho quyền được lãng quên, bởi đây được xem là quyết định có phần cực đoan, và không thể hiện được sự điều hoà giữa việc bảo vệ dữ liệu cá nhân với việc bảo vệ các quyền liên quan, như quyền tự do ngôn luận và quyền tự do thông tin. Tuy nhiên, Điều 17 của GDPR đã khắc phục được điểm yếu này bởi nó quy định rõ quyền được lãng quên của công dân EU sẽ không được áp dụng nếu trường hợp thẩm định vi phạm đi ngược lại với các quyền tự do ngôn luận và tự do thông tin, cũng như các cơ sở pháp lý cơ bản khác như yêu cầu quy định pháp luật, lợi ích công, và công tác lưu trữ nói chung. Đặc biệt, Điều 17a quy định quyền chủ thể dữ liệu được giới hạn khả năng xử lý dữ liệu của đơn vị kiểm soát dữ liệu.

Trên lý thuyết, dưới điều luật này, chủ thể dữ liệu có thể yêu cầu một đơn vị kiểm soát dữ liệu như Facebook không xử lý các thông tin mà chủ thể đã cung cấp cho công ty này khi tham gia sử dụng dịch vụ của họ. Chi tiết hơn, chủ thể dữ liệu có thể yêu cầu Facebook chỉ xử lý một số thông tin mà chủ thể đã cung cấp và không xử lý bất kỳ thông tin nào khác. Tuy khó có thể nói được tính khả thi của quy định này trên thực tế, các chuyên gia luật pháp cho rằng đây là một công cụ pháp lý mạnh mẽ giúp các chủ thể dữ liệu tìm ra các phương pháp khắc phục vi phạm và giúp các tổ chức bảo vệ dữ liệu trên toàn châu Âu có cơ sở cưỡng chế các hành vi vi phạm. Một điểm đáng lưu ý khác liên quan đến việc bảo vệ quyền được lãng quên là khái niệm xây dựng hồ sơ (profiling), định nghĩa bởi Điều 4 tại GDPR. Theo quy định hiện tại của GDPR, việc xây dựng hồ sơ về chủ thể dữ liệu là hợp pháp, ngay cả khi việc xây dựng hồ sơ này sử dụng thông tin cá nhân nhạy cảm. Tuy nhiên, trong trường hợp sử dụng thông tin cá nhân nhạy cảm, các đơn vị kiểm soát và xử lý dữ liệu cần phải thực thi các biện pháp bảo vệ dữ liệu người dùng đặc biệt. 

Quyền sở hữu dữ liệu lưu động (Điều 20)

Quyền sở hữu dữ liệu lưu động (right to data portability) là một quyền mới, lần đầu tiên được giới thiệu trong khuôn khổ luật bảo vệ dữ liệu tại châu Âu. Nói một cách đơn giản, luật sở hữu dữ liệu lưu động là quyền một người được tự do di chuyển dữ liệu của mình từ đơn vị kiểm soát dữ liệu này sang đơn vị kiểm soát khác. Việc người dùng internet có quyền tự do di chuyển dữ liệu của mình đặc biệt mang ý nghĩa lớn trong bối cảnh mạng xã hội. Những bê bối xung quanh Cambridge Analytica và Facebook đã khiến mạng xã hội này ngày càng trở nên mất uy tín một cách nghiêm trọng trong mắt người dùng, và ngày càng thể hiện rõ sự bất cẩn và tắc trách trong cách Facebook quản lý thông tin và dữ liệu. Một trong những lý do khiến người dùng vẫn sử dụng Facebook sau hàng loạt các vụ bê bối tương tự là việc khó khăn trong cách người dùng di chuyển toàn bộ dữ liệu mà họ đã cung cấp sang một mạng xã hội mới, và ngưng sử dụng dịch vụ của Facebook. Trên lý thuyết, sau khi GDPR có hiệu lực, tất cả các mạng xã hội và đơn vị kiểm soát thông tin có nghĩa vụ cung cấp toàn bộ dữ liệu mà chủ thể dữ liệu đã cung cấp cho họ bất kỳ lúc nào chủ thể có yêu cầu; đặc biệt, dữ liệu này phải được cung cấp dưới hình thức mở, giúp người dùng có thể mang toàn bộ dữ liệu này đăng tải lên một dịch vụ khác một cách dễ dàng và nhanh chóng. Ngoài việc tạo điều kiện lý tưởng cho chủ thể dữ liệu được tự do lựa chọn dịch vụ dữ liệu mà họ muốn, quyền sở hữu dữ liệu lưu động còn có khả năng tăng tính cạnh tranh và giúp gỡ bỏ sự độc quyền các dịch vụ internet toàn cầu như hiện nay, điển hình là vị trí độc tôn của hai công ty Mỹ là Google và Facebook.

Tuy nhiên, quyền sở hữu dữ liệu lưu động không tránh khỏi những bất cập trong thực thi. Cụ thể, Điều 20 quy định “chủ thể dữ liệu có quyền lưu nhận dữ liệu liên quan đến chủ thể, dữ liệu này phải được cung cấp bởi chủ thể cho đơn vị kiểm soát dữ liệu, và dữ liệu này phải được cung cấp ngược lại cho chủ thể dưới dạng có cấu trúc rõ ràng, với định dạng được sử dụng rộng rãi và có thể đọc được bởi máy tính, và chủ thể có quyền vận chuyển dữ liệu này sang một đơn vị kiểm soát dữ liệu khác mà không chịu bất kỳ sự ngăn cản nào từ đơn vị kiểm soát dữ liệu đã cung cấp dữ liệu cho chủ thể.” Ngoài ra, Điều 20 còn quy định dữ liệu phải được “vận chuyển trực tiếp từ đơn vị kiểm soát dữ liệu này sang đơn vị kiểm soát dữ liệu khác, nếu khả năng kỹ thuật của đơn vị kiểm soát dữ liệu cho phép.” Có hai điểm bất cập mấu chốt trong cách quyền sở hữu dữ liệu lưu động được quy định nêu trên. Bất cập thứ nhất liên quan đến cách định nghĩa dữ liệu mà chủ thể có quyền truy vấn nhằm mục đích lưu nhận. GDPR quy định loại dữ liệu này là dữ liệu “do chủ thể cung cấp.” Trên thực tế, không phải dữ liệu nào do chủ thể cung cấp cũng có thể được hoàn trả ngược trở lại cho chủ thể một cách tự động và dễ dàng. Thử lấy ví dụ một tấm hình nhóm do bạn đăng tải lên Facebook nhân dịp sinh nhật của một đồng nghiệp cùng cơ quan. Nhân dịp sinh nhật đồng nghiệp này, cơ quan bạn tổ chức tiệc mừng, và toàn bộ đội ngũ nhân viên trong cơ quan bạn chụp một tấm hình kỷ niệm. Theo Điều 20, bạn có quyền yêu cầu Facebook cung cấp toàn bộ dữ liệu bạn đã đăng tải trên dịch vụ của họ trước khi bạn xoá tài khoản và chuyển sang sử dụng một dịch vụ khác, như Zing chẳng hạn. Tuy nhiên, Điều 20 cũng quy định rằng việc di chuyển dữ liệu của bạn không được phép xâm hại quyền riêng tư của một chủ thể dữ liệu khác. Trong tình huống bạn di chuyển tấm hình tiệc sinh nhật cơ quan sang Zing, bạn có thể đã xâm hại quyền riêng tư của tất cả những ai xuất hiện trong tấm hình, đặc biệt là trong trường hợp họ không thích hoặc không sử dụng Zing.

Trong một tình huống khác, việc chỉ di chuyển dữ liệu mà người dùng đã cung cấp sang một dịch vụ khác có thể giảm đi giá trị của dữ liệu, và khiến việc thay đổi dịch vụ trở nên kém hấp dẫn. Ví dụ, bạn là một đơn vị tiểu thương kinh doanh mỹ phẩm trên một trang web chợ trực tuyến, và bạn nhận được đánh giá phản hồi rất tốt từ người tiêu dùng: hầu hết các đánh giá bạn nhận được trên trang web này đều giới thiệu dịch vụ và sản phẩm của bạn cho những người tiêu dùng khác, điểm đánh giá của bạn là 4.9/5, và bạn được trang web đặc biệt trao cúp vàng dành riêng cho những đơn vị mua bán thuộc top 100. Sau hơn ba năm sử dụng dịch vụ của trang web, bạn phát hiện trang web này đã bí mật bán dữ liệu cá nhân của bạn cho một chính phủ nước ngoài với mục đích chính trị. Tức giận, bạn muốn đóng tài khoản và chuyển sang sử dụng một trang web khác. Điều 20 chỉ cho phép bạn truy vấn và di chuyển những dữ liệu bạn đã đăng tải; trong trường hợp này, tất cả những dữ liệu mang tính mấu chốt cho việc kinh doanh của bạn như điểm số, đánh giá người dùng, và danh tiếng của bạn trên trang web đều không phải do bạn đăng tải và do đó, không được bảo vệ bởi GDPR. Tình huống này khiến việc chuyển đổi dịch vụ kinh doanh trực tuyến vô cùng khó khăn.

Bất cập thứ hai trong quyền sở hữu dữ liệu lưu động liên quan đến sự mập mờ trong quy định “khả năng kỹ thuật cho phép” của đơn vị kiểm soát dữ liệu. GDPR không (và khó) quy định rõ khả năng kỹ thuật của các doanh nghiệp vừa và nhỏ, và đánh giá sơ bộ cho thấy các doanh nghiệp nhỏ lẻ có thể lợi dụng sự mập mờ này để lập luận cho việc từ chối cung cấp dữ liệu người dùng theo quy định.

Quyền được giải trình (Điều 21 – 22)

Quyền được giải trình (right to explanation) không được quy định thành điều luật cố định trong GDPR mà là một lập luận pháp lý liên quan đến Điều 21 (Quyền được phản đối) và Điều 22 (Những quyết định cá nhân tự động hoá, bao gồm cả hành vi lập hồ sơ). Nói chính xác hơn, đây là quyền được cung cấp một lời giải trình, là mà quyền công dân được đòi hỏi các đơn vị kiểm soát và xử lý thông tin cung cấp một lời giải thích thoả đáng về cách thức, lý do, bối cảnh, yều cầu, và các kết cấu phân loại mà đơn vị này đã sử dụng trong quá trình đưa ra quyết định liên quan đến chủ thể dữ liệu một cách tự động hoá. Hãy cùng tham khảo một ví dụ để có thể hiểu rõ hơn về quyền được giải trình. Tại châu Âu, việc tự động hoá nhiều quy trình tư duy bằng cách sử dụng trí thuệ nhân tạo và thuật toán máy tính đang ngày càng trở nên phổ biến. Nhiều tổ chức đã và đang sử dụng thuật toán để thực hiện công tác tuyển dụng; nhiều ngân hàng đã và đang sử dụng thuật toán để đưa ra quyết định bác bỏ hoặc phê duyệt hồ sơ xin vay nợ. Quyền được giải trình cho phép chủ thể dữ liệu, sau khi cung cấp dữ liệu về chủ thể cho một công ty trong quá trình xin việc, hoặc cho một ngân hàng trong quá trình xin vay nợ, được phản đối và yêu cầu giải trình quyết định mà công ty và ngân hàng này đưa ra.

Điểm mấu chốt trong lập luận về quyền nêu trên là cái nhìn nhân văn và toàn diện trong cách EU tiếp cận xu hướng tự động hoá: tuy thuật toán và trí tuệ nhân tạo được tạo ra nhằm mục đích loại bỏ những thành kiến mà con người hay mắc phải, nghiên cứu đã liên tục cho thấy thuật toán máy tính cũng thường xuyên đưa ra những quyết định mang tính thành kiến hệt như con người. Tuy con người thường có xu hướng tin tưởng vào toán học và những thuật toán phức tạp được tạo nên từ nguyên lý toán học cao cấp, thuật toán được sử dụng hiện nay thường chứa những thành kiến ẩn vì chúng được rèn luyện từ những kho dữ liệu chứa sẵn thành kiến. Nói một cách đơn giản, độ hữu ích của một thuật toán chỉ có ý nghĩa bằng độ “sạch” và chính xác của kho dữ liệu mà chúng xử lý. Nhiều ví dụ thực tiễn đã cho thấy, thuật toán máy tính có thể đưa ra những quyết định tuyển dụng ưu tiên cho ứng viên nam, phân biệt các ứng viên da màu, và đặc biệt ưu tiên cho ứng viên da trắng. Tất cả những định kiến và phân biệt này đã được ghi nhận và lưu tâm từ những năm đầu của thập niên 2000.

Một điều đáng lưu ý ở đây là điểm giới hạn đáng kể của GDPR về các quyết định tự động hoá: Chủ thể dữ liệu có quyền phản đối và đòi hỏi giải trình một quyết định đưa ra sau khi quá trình tự động hoá đã xảy ra, nhưng không có quyền phản đối việc tự động hóa các quyết định của đơn vị kiểm soát dữ liệu.

Ý nghĩa của GDPR trong bối cảnh toàn cầu

Việc GDPR chính thức có hiệu lực có ba ý nghĩa chính trong bối cảnh quản lý dữ liệu cá nhân toàn cầu. Thứ nhất, tiêu chuẩn nghiêm ngặt đưa ra bởi GDPR góp phần đồng bộ hoá cơ sở pháp lý trên toàn thể các quốc gia thành viên trong khối EU, đem lại sự bình đẳng trong xử lý vi phạm trên lãnh thổ châu Âu. Sự đồng bộ hoá này sẽ góp phần cắt giảm chi phí về thời gian và tiền bạc cho các tổ chức hoạt động tại nhiều quốc gia khác nhau trong khuôn khổ châu Âu. Thứ hai, tiêu chuẩn nghiêm ngặt của GDPR rất có thể sẽ dần trở thành tiêu chuẩn vàng trong quản lý dữ liệu, và có thể được xem là mô hình đi đầu cho các quốc gia các trên thế giới tham khảo và học hỏi. Tuy không hoàn hảo, GDPR đã đặt ra những định nghĩa và quy định về quyền cũng như về những cá nhân và tổ chức liên quan đến quản lý và xử lý dữ liệu vô cùng quan trọng. Thứ ba, GDPR, tuy không hẳn là một bước ngoặt lớn trong quản lý dữ liệu cá nhân, đã nâng cao tiêu chuẩn bảo vệ dữ liệu bằng cách thắt chặt các quy định liên quan đến những đơn vị kiểm soát, xử lý, nhận, cũng như những đơn vị thứ ba trong toàn bộ vòng đời của dữ liệu. Khi mà người sử dụng internet ngày càng hiểu rõ hơn cách các công ty tư nhân thu lợi nhuận từ dữ liệu của họ, song song với cách mà dữ liệu của họ bị sử dụng với những mục đích chính trị mà họ không cho phép, GDPR đóng vai trò mấu chốt trong việc giúp người sử dụng internet (và tất cả các chủ thể dữ liệu nói chung) yêu cầu dữ liệu cá nhân của họ được quản lý một cách cẩn trọng và có trách nhiệm.

Nguồn: Nguyễn Hồng Hải Đăng – Tạp Chí Tia Sáng


Cuộc cách mạng về quyền riêng tư?

Tuy chưa hẳn là một bước ngoặt chuyển đổi lớn từ góc nhìn làm luật, Luật Bảo vệ Dữ liệu châu Âu (General Data Protection Regulation, viết tắt GDPR) vẫn là thành quả cải cách rất quan trọng trong việc bảo vệ dữ liệu cá nhân, đặc biệt là trên môi trường internet.

Lịch sử 20 năm của GDPR

GDPR không phải là nỗ lực làm luật bảo vệ dữ liệu đầu tiên của Liên minh châu Âu. Tiền thân của GDPR, Chỉ thị 95/46/EC về việc Bảo vệ Dữ liệu của Liên minh châu Âu, ra đời vào năm 1995 và là nền tảng pháp lý quan trọng cho việc thiết lập mô hình bảo vệ quyền riêng tư đi đầu xu hướng toàn cầu.

Có ba điểm đáng lưu ý về lịch sử hình thành của GDPR.

Thứ nhất, việc hình thành Luật áp dụng cho toàn thể các quốc gia trong khối Liên minh châu Âu là một sự lựa chọn công cụ luật pháp mang tính đồng bộ hoá. Khác với Chỉ thị năm 1995, Luật Bảo vệ Dữ liệu châu Âu năm 2018 hạn chế tối đa tính “mềm dẻo” trong việc thi hành luật, vốn đã trở thành điểm yếu của Chỉ thị năm 1995. Do bản chất pháp lý của văn bản chỉ thị, các quốc gia thành viên Liên minh châu Âu tiến hành việc xử phạt vi phạm xử lý dữ liệu một cách rời rạc: Tây Ban Nha xử lý phạt nặng và thường xuyên, trong khi Pháp hầu như không đưa ra hình thức xử lý phạt nào đáng kể. GDPR áp dụng các hình thức xử phạt vi phạm doanh nghiệp đồng bộ cho toàn thể Liên minh châu Âu, cụ thể là tối đa 2% doanh thu hoặc 10 triệu euro cho những vi phạm nhỏ, và 4% doanh thu hoặc 20 triệu euro cho những vi phạm lớn.

Thứ hai, việc cập nhật cơ sở pháp lý cho công tác quản lý dữ liệu đã trở nên vô cùng cấp bách vào thời điểm GDPR được soạn thảo. Chỉ thị năm 1995, soạn thảo vào những năm đầu thập niên 90, được hình thành vào thời điểm mà internet chỉ được sử dụng bởi 1% dân số thế giới. Các khái niệm và thiết bị đã trở nên quen thuộc trong môi trường internet hiện nay như mạng xã hội, điện toán đám mây, hay máy tính bảng và điện thoại thông minh, hoàn toàn không tồn tại vào năm 1995.

Thứ ba, tốc độ phát triển chóng mặt của công nghệ thông tin trong hơn 20 năm vừa qua đã làm thay đổi hoàn toàn cách con người định nghĩa và bảo vệ quyền riêng tư của mình. Quyền riêng tư là yếu tố cốt lõi của các chế độ pháp lý bảo vệ dữ liệu cá nhân: bảo vệ dữ liệu là công cụ hỗ trợ bảo vệ quyền. Cơ sở hạ tầng công nghệ của internet và các thiết bị thông minh khiến việc thu thập dữ liệu cá nhân trở nên ngày càng dễ dàng, nhanh chóng, hiệu quả, và đặc biệt là ít tốn kém. Vụ bê bối xung quanh Facebook, Cambridge Analytica, và ban vận động tranh cử của Tổng thống Mỹ Donald Trump là một ví dụ điển hình cho xu hướng này. Hơn bao giờ hết, việc soạn ra một hệ thống pháp lý nghiêm ngặt “tiêu chuẩn vàng” nhằm bảo vệ dữ liệu cá nhân là vô cùng cần thiết. Có hiệu lực từ ngày 25/5/2018, GDPR là kết quả của quá trình làm luật kéo dài gần 10 năm. Bắt đầu từ năm 2009, thành hình vào năm 2012, trải qua quá trình đàm phán đa phương giữa Ủy ban châu Âu (European Commission), Hội đồng châu Âu (European Council) và Nghị viện châu Âu (European Parliament) đến năm 2015, GDPR được công bố vào ngày 25/5/2016, hai năm trước khi chính thức có hiệu lực.

Bước tiến về xác định dữ liệu cá nhân

Dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm (Điều 4 và Điều 9)

Hai khái niệm nền tảng cho GDPR là dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm. GDPR được thiết kế nhằm bảo vệ dữ liệu cá nhân; tất cả các dữ liệu nằm ngoài định nghĩa dữ liệu cá nhân đều không được bảo vệ bởi luật này.

Dữ liệu cá nhân được định nghĩa là “bất kỳ thông tin nào liên quan đến một cá thể dữ liệu (‘data subject’) đã được nhận định danh tính, hoặc có thể được nhận định danh tính, dù trực tiếp hay gián tiếp, cụ thể là bằng cách chỉ ra một định danh như tên, số định danh, dữ liệu vị trí, định danh trên mạng, hay một hoặc nhiều yếu tố chỉ định danh tính của một cá nhân mang tính vật lý, sinh lý, sinh thực, tâm lý, kinh tế, văn hoá, hoặc xã hội.” Khái niệm khá dông dài này thực chất không có gì khác với định nghĩa được đưa ra ở Chỉ định năm 1995; điều đáng lưu ý nhất về định nghĩa dữ liệu cá nhân trong GDPR là khái niệm “giả danh tính” (pseudonymisation). Một ví dụ điển hình cho khái niệm này là việc xử lý dữ liệu bằng cách đặt tên giả cho các nhân vật hoặc cá nhân có thật: một phương pháp bảo vệ danh tính thường được dùng trong giới báo chí và các nhà làm phim tài liệu. Theo GDPR, dữ liệu đã được xử lý theo phương pháp giả danh tính vẫn có thể được hiểu là dữ liệu cá nhân nếu dữ liệu này có thể được dùng để suy ngược lại danh tính thật của cá thể dữ liệu bằng cách thu thập thêm thông tin. Rõ ràng, khái niệm này nới rộng phạm vi định nghĩa dữ liệu cá nhân một cách đáng kể, giúp củng cố quyền lợi công dân các quốc gia thành viên và đặt ra tiêu chuẩn xử lý dữ liệu rất cao cho các đơn vị xử lý dữ liệu.

Dữ liệu cá nhân nhạy cảm được quy định dưới dạng hạng mục dữ liệu cá nhân đặc biệt trong GDPR. Ở khía cạnh này, GDPR một lần nữa giữ nguyên tinh thần được đề ra ở Chỉ định năm 1995, định nghĩa dữ liệu cá nhân nhạy cảm là bất kì dữ liệu nào tiết lộ “chủng tộc hoặc sắc tộc, tư tưởng chính trị, đức tin tôn giáo, quan niệm triết lý, thành viên công đoàn, và việc xử lý dữ liệu sinh thực và sinh trắc nhằm mục đích định danh, hoặc dữ liệu liên quan đến sức khoẻ, tình trạng sinh dục, và xu hướng tính dục.”Việc xử lý và phân tích các dữ liệu nhạy cảm được liệt kê bên trên là hoàn toàn bị cấm bởi GDPR. Một số trường hợp ngoại lệ cho việc xử lý dữ liệu cá nhân nhạy cảm bao gồm sự đồng thuận từ chủ thể dữ liệu (cắt nghĩa bên dưới), bảo vệ quyền lợi cá nhân, công tác y tế dự phòng và y tế nghiệp vụ, hoặc lợi ích chung. Xét trên những định nghĩa nêu trên, việc Facebook hoặc Google cùng các đối tác kinh doanh thu thập và xử lý các dữ liệu cá nhân nhạy cảm nói trên có khả năng vi phạm GDPR rất cao. Trong những tình huống vi phạm, GDPR cho phép các cá nhân có quyền nộp đơn khiếu nại đến Cơ quan Quản lý Dữ liệu đặt tại các quốc gia thành viên nơi cá nhân đang công tác hoặc sinh sống, hoặc nơi việc vi phạm đã diễn ra. Các cá nhân sau khi được thẩm định quyền bị xâm hại sẽ được xử lý đền bù theo quyết định của Cơ quan Quản lý Dữ liệu, theo tinh thần của những quyết định đưa ra bởi Hội đồng Bảo vệ Dữ liệu châu Âu (EDPB).

Đồng thuận cá nhân (Điều 7)

Đồng thuận cá nhân (individual consent) là cơ sở pháp lý quan trọng nhất trong việc hợp pháp hoá xử lý dữ liệu tự động, đặc biệt là trong môi trường internet. GDPR định nghĩa đồng thuận cá nhân là những “biểu lộ mong muốn của chủ thể dữ liệu được cung cấp một cách tự nguyện, cụ thể, và sau khi chủ thể đã được thông tin đầy đủ, được trình bày dưới dạng hành động khẳng định rõ ràng, thể hiện sự đồng ý cho phép xử lý dữ liệu cá nhân liên quan đến chủ thể.”Trên thực tế, đặc biệt là trên môi trường internet, định nghĩa này được thể hiện theo một số cách thực tiễn như sau. Hãy nhớ lại lần gần đây nhất bạn ghé thăm một trang web mua sắm trực tuyến, và trang web này yêu cầu bạn tạo tài khoản trước khi thanh toán và hoàn tất đơn mua hàng của bạn. Trước khi bạn hoàn tất các thủ tục đăng ký, trang web sẽ đòi hỏi bạn nhấn chọn đồng ý các điều khoản và quy định của trang web.

Thủ tục này được gọi là ‘opt-in’–tạm dịch là ‘chọn tham gia’ – phù hợp với quy định của GDPR, vì thủ tục này đã cho bạn cơ hội cho phép trang web sử dụng dữ liệu cá nhân của bạn (tất nhiên, tình huống này giả sử bạn đã dành thời gian đọc những điều khoản của trang web). Nhưng trong đa số các trường hợp, trang web mà bạn sử dụng không chỉ đưa ra một ô chọn lựa; ngoài ô chọn lựa đồng ý điều khoản, các trang web còn cài cắm sẵn các phát biểu khác mà bạn thường là không để ý, như “Tôi đồng ý nhận thông tin khuyến mãi”, hay “Tôi đồng ý nhận bản tin”. Nếu bạn không đồng ý với những phát biểu này, bạn phải thực hiện hành động bỏ chọn những lựa chọn đã được chọn sẵn cho bạn; thủ tục này gọi là ‘opt-out’ – tạm dịch là ‘huỷ chọn tham gia’. Dưới quy định của GDPR, việc người dùng buộc phải trải qua thủ tục huỷ chọn tham gia này vi phạm quyền bảo vệ dữ liệu cá nhân họ, và những trang web được xây dựng theo cách này có thể sẽ phải chịu phạt.

Điều đáng lưu ý là đề xuất ban đầu của Ủy ban châu Âu, đòi hỏi đồng thuận cá nhân được quy định là ‘đồng thuận cá nhân minh bạch’ (explicit consent), đã không được thông qua bởi Hội đồng và Nghị viện. Đồng thuận minh bạch được đề xuất với những yêu cầu như việc đòi hỏi chủ thể dữ liệu phải trả lời một câu hỏi dưới dạng điền thông tin, hoặc điền vào bảng mẫu khảo sát, thay vì đơn thuần đánh chọn hoặc bỏ chọn ô trống. Yêu cầu này có thể đã được xem là khó khả thi, nhất là khi xem xét hiện trạng cơ sở hạ tầng và văn hoá sử dụng internet trên toàn cầu.

Sự hạn chế của GDPR trong thời kì internet vạn vật

Các đơn vị xử lý dữ liệu cá nhân (Điều 4)

Như vậy, các đơn vị xử lý dữ liệu cá nhân cần phải hết sức cẩn trọng trong việc quản lý dữ liệu để tránh vi phạm các điều khoản được đề ra bởi GDPR. Các đơn vị này là ai? Một lần nữa, những định nghĩa được đưa ra trong GDPR không khác mấy so với những định nghĩa ở Chỉ thị 1995. Một điều đáng lưu ý là những định nghĩa dưới đây về đơn vị xử lý dữ liệu không phải lần đầu tiên xuất hiện vào năm 1995; thực chất, những định nghĩa này có lịch sử từ những dự luật đầu tiên về bảo vệ dữ liệu được soạn thảo từ những năm 1970. Điều này một lần nữa nhấn mạnh bản chất cải cách của GDPR: dù là một cải cách quan trọng, GDPR không phải là một bước ngoặt về đặc tính, nếu xét từ góc độ làm luật.

Các đơn vị xử lý dữ liệu bao gồm:
Đơn vị kiểm soát dữ liệu (data controller)
Đơn vị tiến hành xử lý dữ liệu (data processor)
Đơn vị nhận dữ liệu (recipient)
Đơn vị thứ ba (third parties)

Có nhiều chỉ trích đã được đưa ra, hầu hết xoay quanh những bất cập mà các Cơ quan Quản lý Dữ liệu sẽ mắc phải khi điều tra vi phạm dựa trên những định nghĩa lỗi thời này. Trong thời đại điện toán phổ biến hiện nay, bất cứ thiết bị thông minh nào cũng có khả năng xử lý dữ liệu, và liên tục xử lý dữ liệu. Quy trình này khiến việc xác định và phân biệt các đơn vị kiểm soát, tiến hành xử lý, nhận dữ liệu, hoặc các đơn vị thứ ba trở nên phức tạp và tốn kém. Hãy suy nghĩ về một ví dụ đơn giản. Trong bối cảnh internet của vạn vật (internet of things), một chiếc máy pha cafe thông minh có thể được kết nối với mạng internet và trở thành một thiết bị kiểm soát, xử lý, và nhận dữ liệu.

Trong trường hợp này, đơn vị nào sẽ được xem là đơn vị kiểm soát dữ liệu? Công ty chế tạo và sản xuất máy pha cafe thông minh hay căn hộ mua và lắp đặt sử dụng nó? Công ty sản xuất phần mềm tự động hoá một số tính năng của chiếc máy này hay công ty phân phối sử dụng dữ liệu thu từ chiếc máy để tự động cho thêm cafe vào máy ?

GDPR được hình thành với 10 mục đích chính, tóm gọn sau đây:
-Sửa đổi một số vấn đề nảy sinh do việc thi hành chỉ thị rời rạc và thiếu nhất quán của các quốc gia thành viên, bằng cách thiết lập các quy tắc đồng bộ
-Củng cố các quyền công dân sẵn có của công dân các quốc gia Liên minh châu Âu
-Giới thiệu các quyền công dân và ràng buộc mới cho môi trường internet
-Giảm thiểu gánh nặng hành chính cho các doanh nghiệp và tổ chức hoạt động tại nhiều quốc gia thành viên.

-Xem xét chi phí mà các doanh nghiệp và tổ chức vi mô, vừa, và nhỏ phải gánh chịu để chấp hành luật
-Củng cố các quy tắc minh bạch, trách nhiệm giải trình, và tự điều chỉnh
-Củng cố chức năng giám sát của các Cơ quan Quản lý Dữ liệu (DPAs) và tăng cường sự hợp tác đa phương, nhất là trong các trường hợp vi phạm tại nhiều quốc gia thành viên cùng một lúc
-Quản lý gắt gao trách nhiệm của các tổ chức kiểm soát và xử lý dữ liệu; đặc biệt ban hành các điều luật xử phạt và cưỡng chế nghiêm khắc
-Quản lý việc chuyển đổi và lưu hành dữ liệu cá nhân đến các quốc gia nằm ngoài khối Liên minh châu Âu
-Thúc đẩy nghiên cứu và phát triển công nghệ và đồng thời đảm bảo tôn trọng quyền riêng tư và bảo vệ dữ liệu cá nhân

——–
* Đại học Melbourne, Úc

Nguyễn Hồng Hải Đăng – Tạp Chí Tia Sáng

2 thoughts on “Các bài viết về Quyền Riêng Tư trên mạng

Thank you so much

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s