Bảo vệ dữ liệu cá nhân theo pháp luật Nhật Bản và đề xuất đối với Việt Nam

1. Lịch sử hình thành và phát triển Luật Bảo vệ dữ liệu cá nhân của Nhật Bản

Lịch sử pháp luật Nhật Bản cận đại, hiện đại đã chứng kiến những nỗ lực, quyết tâm đặc biệt nhằm kiến thiết hệ thống pháp luật để có được sự kết hợp hài hòa giữa truyền thống, đạo đức Nhật Bản và những tiến bộ của pháp luật phương Tây. Quyết tâm và nỗ lực xây dựng hệ thống pháp luật theo mô hình phương Tây làm nền tảng hướng tới mục tiêu “khoa học phương Tây, đạo đức phương Đông”, tạo hành lang pháp lý thuận lợi, động lực cho công cuộc hội nhập, tiến bước[1]. Dù là một đất nước không có truyền thống pháp lý lâu đời về quyền riêng tư nhưng với sức ép của khoa học - công nghệ và yêu cầu giao lưu pháp luật về quyền riêng tư và bảo vệ dữ liệu cá nhân của các quốc gia khu vực đã thúc đẩy Nhật Bản quan tâm hơn tới nội dung này.

Có thể nói, sự kiện đánh dấu cho sự phát triển quy định về quyền riêng tư ở Nhật Bản là vụ án tại Tòa án Quận Tokyo vào năm 1964[2]. Từ vụ án này, Tòa án Quận Tokyo đã nhận định rằng, quyền riêng tư được công nhận là một quyền hợp pháp hoặc được bảo vệ hoặc không bị tiết lộ về đời tư dựa trên mục 709 của Bộ luật Dân sự Nhật Bản lúc bấy giờ[3]. Thế hệ khung pháp lý về quyền riêng tư thứ hai ra đời vào những năm 1970 ở Nhật Bản. Bắt đầu bởi sự kiện năm 1970, Giáo sư Koji Sato[4] chỉ ra rằng, đã đến lúc cố gắng phân tích cái được gọi là quyền riêng tư từ các khía cạnh hiến pháp. Giáo sư Sato định nghĩa quyền riêng tư là quyền kiểm soát thông tin của một người[5]. Những quan điểm của giáo sư Sato đã thay đổi ý nghĩa của quyền riêng tư từ tiêu cực sang tích cực trong xã hội Nhật Bản hiện đại.

Đến cuối thế kỷ XX, đầu thế kỷ XXI, chất xúc tác lớn nhất thúc đẩy yêu cầu ra đời một đạo luật về bảo vệ dữ liệu cá nhân ở Nhật Bản bắt nguồn từ những phản ứng dữ dội của chính trị và công chúng về việc ban hành Đạo luật Đăng ký thường trú cơ bản năm 1999[6]. Đây là một nỗ lực nhằm chuyển đổi hệ thống dựa trên cơ sở giấy tờ của Hệ thống đăng ký cơ bản thường trú thành mạng lưới điện tử quốc gia. Đi kèm với đó là một cơ sở dữ liệu quốc gia mới và hệ thống thẻ thông minh để quản lý tích hợp thông tin cá nhân đăng ký cư trú, được gọi là Juki Net[7] ở Nhật Bản. Tuy nhiên, đạo luật về Juki Net làm dấy lên một mối lo ngại về việc liệu các công dân Nhật Bản có thể bị đặt dưới một sự giám sát toàn xã hội hay không? Trước năm 2003, Đảng Tự do Dân chủ Nhật Bản đã không thể thông qua Đạo luật về Juki Net do chưa đưa ra một đạo luật nào về bảo vệ dữ liệu cá nhân cho khu vực tư nhân. Do đó, để xoa dịu sự lo lắng của người dân về việc thông tin cá nhân của mọi công dân có thể bị xâm phạm, một nhóm nghiên cứu lập pháp đã hướng tới đề xuất một đạo luật về bảo vệ dữ liệu cá nhân tự điều chỉnh độc lập và không có điều khoản hình sự nào. Tuy nhiên, sau đó Chính phủ đã yêu cầu các điều khoản về hình sự, vì vậy, một Ủy ban khác đã được thành lập để soạn thảo lại Dự thảo Luật sửa đổi. Các yêu cầu bổ sung này của Chính phủ Nhật Bản đã vấp phải sự phản đối mạnh mẽ đến từ các cơ quan báo chí, truyền thông, đặc biệt, vấp phải sự phản đối từ Keideran - Cơ quan đại diện thương mại lớn nhất Nhật Bản. Họ muốn pháp luật về bảo vệ dữ liệu cá nhân tiếp tục đi theo con đường tự điều chỉnh độc lập, theo mô hình của Hoa Kỳ, như Dự thảo ban đầu của đạo luật[8]. Tuy nhiên, sau những tranh luận chính trị căng thẳng, Dự thảo Luật ban đầu vẫn bị rút lại và một Đạo luật về bảo vệ dữ liệu cá nhân hoàn toàn mới chính thức được thông qua vào ngày 30/5/2003, có hiệu lực kể từ ngày 01/4/2005[9].

2. Những bất cập trong Luật Bảo vệ dữ liệu cá nhân năm 2003 của Nhật Bản

Luật Bảo vệ dữ liệu cá nhân năm 2003 của Nhật Bản (APPI 2003) bao gồm 06 chương, được chia làm hai phần: Từ Chương 1 đến Chương 3 quy định các nguyên tắc cơ bản bao gồm cả khu vực công và tư nhân; từ Chương 4 đến Chương 6 bao gồm các nghĩa vụ chung về bảo vệ thông tin cá nhân trong khu vực tư nhân. Bên cạnh những giá trị to lớn mà APPI 2003 mang lại trong việc bảo vệ dữ liệu cá nhân, thì Luật này còn có những điểm bất cập cụ thể như sau:

Một là, định nghĩa về dữ liệu cá nhân theo APPI 2003: Trong APPI 2003, đối tượng được bảo vệ chính là “thông tin cá nhân”. Theo đó, khái niệm “thông tin cá nhân” trong pháp luật Nhật Bản có ý nghĩa bao hàm rộng hơn, khái quát hơn so với một số quốc gia khác trên thế giới. Cụ thể, “thông tin cá nhân” là thông tin về cá nhân còn sống có thể giúp xác định cụ thể cá nhân đó bằng tên, ngày sinh hoặc hình thức mô tả khác có trong thông tin đó (bao gồm thông tin tương tự cho phép dễ dàng tham khảo thông tin khác và do đó sẽ cho phép xác định cá nhân cụ thể) (Điều 2). Trong khi đó, khái niệm “dữ liệu cá nhân” được đề cập đến tại khoản 4 Điều 2 APPI 2003 lại bị giới hạn ở “thông tin cá nhân cấu thành cơ sở dữ liệu về thông tin cá nhân” và do đó, bị giới hạn đối với các dữ liệu có thể được truy xuất bằng một hệ thống máy tính và các dữ liệu khác được cho phép truy xuất. Khái niệm này cho thấy, phạm trù của “dữ liệu cá nhân” nhỏ hơn nhiều so với “thông tin cá nhân”, bởi lẽ nó chỉ bao hàm các dữ liệu đã được mã hóa, chuyển hóa thành những dữ liệu số và được lưu trữ trên một hệ thống cơ sở dữ liệu.

Có thể thấy, trong phiên bản luật đầu tiên về bảo vệ dữ liệu cá nhân của Nhật Bản - APPI 2003 đã đưa ra một khái niệm tương đối hoàn chỉnh về thuật ngữ “thông tin cá nhân” và “dữ liệu cá nhân”. Việc lựa chọn bảo vệ đối tượng là “thông tin cá nhân” của APPI 2003 giúp đặt ra một hệ thống pháp lý bao trùm lên mọi nội dung, thông tin liên quan đến việc định danh một cá nhân nhất định. Điều này tạo ra một nền tảng vững chắc để các nhà làm luật phát triển các quy định pháp lý xoay quanh đối tượng này. Tuy vậy, APPI 2003 mới chỉ áp dụng cho thông tin của cá nhân còn sống và do đó, mặc nhiên APPI 2003 sẽ không được áp dụng cho pháp nhân hay những cá nhân đã qua đời. Không chỉ vậy, APPI 2003 vẫn chưa có sự phân loại cụ thể, rõ ràng đối với các loại dữ liệu cá nhân, đặc biệt, dữ liệu cá nhân nhạy cảm cũng là đối tượng chưa nhận được sự quan tâm của APPI 2003.

Hai là, các chủ thể có liên quan: Trong APPI 2003, có hai chủ thể được coi là trung tâm của đạo luật này, đó là chủ thể xử lý dữ liệu và chủ thể dữ liệu.

- Chủ thể xử lý dữ liệu: APPI 2003 quy định chủ thể này là các nhà điều hành doanh nghiệp xử lý sử dụng một cơ sở dữ liệu về thông tin cá nhân cho hoạt động kinh doanh của họ. Cụ thể hơn, các chủ thể này có thể là thể nhân hay pháp nhân sử dụng dữ liệu thông tin cá nhân nhằm mục đích kinh doanh, ngoại trừ các cơ quan nhà nước, chính quyền địa phương, những cơ quan hành chính được sáp nhập và những tổ chức hành chính độc lập ở địa phương. Tuy nhiên, APPI không đề cập đến các điều kiện hay quy trình thủ tục đăng ký để trở thành một chủ thể xử lý dữ liệu. Đây là một thiếu sót tương đối lớn, bởi lẽ, việc đặt ra những quy chuẩn nhất định cho những chủ thể xử lý dữ liệu là cực kỳ cần thiết, tránh việc có những tổ chức núp bóng dưới vai trò là chủ thể xử lý dữ liệu nhằm trục lợi bất chính từ những dữ liệu mà họ thu thập được.

- Chủ thể dữ liệu: Mặc dù APPI 2003 chưa đưa ra định nghĩa một cách cụ thể về chủ thể dữ liệu, tuy nhiên, từ những quy định của APPI 2003, có thể hiểu, chủ thể dữ liệu là những cá nhân còn sống, là chủ sở hữu của những dữ liệu, thông tin cá nhân phản ánh chính mình. Quyền của chủ thể dữ liệu được đề cập đến trong APPI 2003 bao gồm quyền được thông báo về việc thu thập thông tin cá nhân, quyền được tiếp cận và chỉnh sửa và trong một số trường hợp nhất định, được phản đối việc xử lý dữ liệu.

Bên cạnh đó, một vấn đề đáng quan tâm mà APPI 2003 chưa đề cập đến là việc thực hiện quyền của những người chưa thành niên hoặc những người không đầy đủ năng lực hành vi dân sự. Đây là những đối tượng yếu thế trong xã hội, họ thường chưa (hoặc không) có đầy đủ nhận thức về các quyền cũng như nghĩa vụ về dữ liệu cá nhân của mình, do đó, rất dễ trở thành đối tượng bị lạm dụng dữ liệu cá nhân cho các mưu đồ trục lợi. Việc thiếu quy định liên quan đến các đối tượng yếu thế này là một hạn chế không nhỏ của APPI 2003, bởi lẽ, pháp luật chưa thể tạo ra một cơ chế bảo vệ hay hỗ trợ cụ thể nào giúp các đối tượng này có thể thực hiện đầy đủ quyền và nghĩa vụ của mình.

Ba là, trách nhiệm của cơ quan quản lý dữ liệu cá nhân: Trong APPI 2003, một nguyên tắc cơ bản được đặt ra đó là, trên góc độ thực tiễn, thông tin cá nhân cần được xử lý một cách thận trọng theo triết lý tôn trọng các cá nhân, đồng thời thúc đẩy việc xử lý thông tin cá nhân một cách hợp lý (Điều 2). Điều này đã đặt ra những trách nhiệm nhất định dành cho Nhà nước ở cấp trung ương và chính quyền địa phương ở cấp cơ sở để hướng tới có biện pháp nhất định nhằm bảo vệ thông tin cá nhân của công dân. Tuy nhiên, pháp luật mới chỉ đề ra cho các cơ quan ở cấp độ trung ương cũng như cơ sở “trách nhiệm xây dựng và thực hiện các biện pháp cần thiết để bảo đảm xử lý dữ liệu phù hợp với mục đích của Đạo luật”. Mặc dù, APPI 2003 đặt ra những trách nhiệm cho Nhà nước cũng như chính quyền địa phương, tuy nhiên lại không đưa ra những biện pháp cụ thể mà dựa trên quan điểm của từng cơ quan. Điều này dẫn đến sự bất đồng trong quan điểm của các cơ quan có thẩm quyền và sự lúng túng trong thực thi quy định của pháp luật.

Về quy trình giải quyết khiếu nại: Việc khiếu nại về xử lý thông tin cá nhân chống lại một doanh nghiệp sẽ được gửi tới một trong bốn cơ quan được quy định trong APPI 2003[10]. Tuy vậy, việc thiếu quy định trong quy trình về giải quyết khiếu nại đã ảnh hưởng không nhỏ đến việc bảo đảm quyền và lợi ích hợp pháp của các cá nhân có liên quan, khiến họ gặp rắc rối trong việc yêu cầu một cơ quan đứng ra bảo vệ mình khi xảy ra việc bị xâm phạm về thông tin cá nhân.

Theo APPI 2003, các cơ quan có thẩm quyền có thể yêu cầu chủ thể xử lý dữ liệu báo cáo về việc xử lý thông tin cá nhân (Điều 32), sau đó, các cơ quan này có thể đưa ra những khuyến nghị cho các nhà điều hành doanh nghiệp (Điều 33). Trong năm tài chính 2006, các cơ quan có thẩm quyền liên quan đã nhận được 63 trường hợp vi phạm, tuy nhiên chỉ đưa ra 4 khuyến nghị[11]. Trong năm tài chính 2007, các cơ quan này nhận được 83 trường hợp vi phạm, tuy nhiên không đưa ra bất kỳ một khuyến nghị nào[12]. Có thể thấy, trong những năm đầu thực hiện APPI 2003, việc áp dụng pháp luật từ các cơ quan có thẩm quyền hầu như không đáng kể.

Bốn là, về điều khoản phạt: APPI 2003 cũng đã đề cập đến một số điều khoản phạt, trong đó mức phạt tối đa lên tới 300.000 Yên hoặc bị phạt tù lao động không quá 06 tháng. Nhìn chung, mức phạt này còn tương đối nhẹ, bởi lẽ nó chưa tương thích so với những thiệt hại có thể xảy ra, do đó không có đủ sức răn đe đối với các đối tượng phạm tội. Bên cạnh đó, phạm vi các chủ thể chịu hình phạt trong APPI 2003 còn rất bó hẹp khi chỉ hướng tới các chủ thể xử lý dữ liệu. Điều này tạo ra một lỗ hổng lớn, bởi lẽ, mọi cá nhân đều có thể thực hiện các hành vi xâm phạm đến thông tin, dữ liệu cá nhân. Việc chỉ áp đặt những điều khoản phạt dành cho chủ thể xử lý dữ liệu có thể tạo điều kiện cho những cá nhân không nằm trong phạm vi các chủ thể này có thể lợi dụng kẽ hở pháp luật để thực hiện các hành vi xâm phạm đến quyền và lợi ích của chủ thể dữ liệu.

Ngoài ra, APPI 2003 cũng chưa đề cập đến vấn đề bồi thường thiệt hại đối với chủ thể dữ liệu. Trên thực tế, đối với việc xâm phạm đến dữ liệu cá nhân, chủ thể chịu thiệt hại lớn nhất chính là chủ thể của dữ liệu. Khi hành vi vi phạm xảy ra, các quyền và lợi ích của chủ thể dữ liệu có thể bị ảnh hưởng một cách nghiêm trọng. Do đó, sự thiếu sót trong các quy định về bồi thường thiệt hại sẽ gây bất lợi cho các chủ thể dữ liệu trong việc khắc phục những thiệt hại do hành vi xâm phạm gây ra.

3. Sự thay đổi của pháp luật Nhật Bản về bảo vệ dữ liệu cá nhân

Tháng 5/2017, Luật về Bảo vệ dữ liệu cá nhân sửa đổi của Nhật Bản (APPI 2017) chính thức có hiệu lực. Bên cạnh việc bổ sung một chương riêng để quy định về cơ quan bảo vệ dữ liệu cá nhân, APPI 2017 cũng có một số quy định mới cụ thể như sau:

Một là, APPI 2017 đã có cái nhìn cụ thể hơn về dữ liệu nhạy cảm. APPI 2003 chưa đưa ra định nghĩa cụ thể về “thông tin cá nhân nhạy cảm”. Tuy nhiên, APPI 2017 đã xác định cụ thể hơn khi coi những thông tin liên quan đến chủng tộc, tín ngưỡng, tôn giáo, địa vị xã hội, hồ sơ tội phạm và quá khứ của một cá nhân là “thông tin cá nhân yêu cầu được quan tâm đặc biệt” (thông tin nhạy cảm).

Hai là, đã có hướng dẫn chi tiết hơn về phương thức bảo vệ dữ liệu cá nhân. Mặc dù, APPI 2017 vẫn hướng tới việc để các cơ quan có thẩm quyền tự đặt ra các biện pháp thích hợp, tuy nhiên, Điều 7 Luật này đặt ra một số chính sách cơ bản do Chính phủ quy định, đòi hỏi một số tiêu chí nhất định. Điều này giúp cho các cơ quan có thẩm quyền từ trung ương đến địa phương có thể thống nhất những tiêu chí chung trong việc đưa ra các biện pháp bảo vệ dữ liệu cá nhân. Quy định này của APPI 2017 giúp hạn chế sự mâu thuẫn trong các phương thức bảo vệ dữ liệu cá nhân của các cơ quan công quyền Nhật Bản từ trung ương tới địa phương.

Ba là, thành lập một cơ quan độc lập để thực thi pháp luật về bảo vệ dữ liệu cá nhân. Theo APPI 2017, Ủy ban Bảo vệ thông tin cá nhân (Personal Information Protection Commission - PPC) được thành lập. PPC là cơ quan bảo vệ dữ liệu cấp trung ương chịu trách nhiệm cho việc thi hành, điều tra xử lý các vấn đề liên quan đến dữ liệu cá nhân. Ngoài ra, PPC còn chịu trách nhiệm cho việc ban hành hướng dẫn tuân thủ APPI. Sự ra đời của bộ hướng dẫn từ PPC đã tạo ra sự thống nhất cao, tránh tình trạng hướng dẫn nằm phân tán, rải rác trong quy định tại các cơ quan khác nhau. Đây được xem là bước tiến đáng chú ý nhất của Nhật Bản khi thành lập một cơ quan chuyên trách, độc lập, chuyên điều tra, xử lý các vấn đề liên quan đến dữ liệu cá nhân.

Bốn là, APPI 2017 đã tạo ra khuôn khổ pháp lý để thúc đẩy việc sử dụng dữ liệu cá nhân. Khuôn khổ pháp lý mà APPI 2003 tạo dựng trước đây yêu cầu sự đồng ý của chủ thể dữ liệu để có thể sử dụng dữ liệu cá nhân của họ cho mục đích khác với mục đích ban đầu được chỉ định. Theo đó, việc cung cấp dữ liệu cá nhân cho bên thứ ba gây khó khăn cho các doanh nghiệp, tạo ra rào cản trong việc sử dụng dữ liệu cá nhân, đặc biệt là trong việc vận hành của các doanh nghiệp mới khi sử dụng dữ liệu lớn (big data). Theo APPI 2017, một doanh nghiệp xử lý dữ liệu cá nhân có thể tạo ra thông tin được xử lý ẩn danh (được giới hạn đối với thông tin cấu thành cơ sở dữ liệu được xử lý ẩn danh) và xử lý dữ liệu cá nhân theo các tiêu chuẩn được quy định bởi PPC khi điều đó là cần thiết để xác định một cá nhân cụ thể và khôi phục thông tin được sử dụng cho việc sản xuất[13]. Sửa đổi này cho phép các doanh nghiệp khác nhau chia sẻ dữ liệu cá nhân do họ duy trì và từ đó phát triển hoặc thúc đẩy hoạt động kinh doanh hoặc đổi mới.

Năm là, đã có sự mở rộng các điều khoản phạt. Theo quy định của APPI 2017, các điều khoản phạt đã được mở rộng, hướng tới nhiều đối tượng chủ thể hơn, hình phạt cũng nghiêm khắc hơn. Theo đó, APPI 2017 hướng tới mọi cá nhân, cơ quan, tổ chức, nếu các đối tượng này thực hiện hành vi xâm phạm đến thông tin cá nhân của các chủ thể dữ liệu. Mức phạt tối đa cho các hành vi xâm phạm này có thể lên tới 1.000.000 Yên hoặc phạt từ lao động tới 02 năm. Sự điều chỉnh này là cực kỳ cần thiết, giúp đặt ra chế tài nghiêm khắc đối với các hành vi xâm phạm, tăng sức răn đe đối với các hành vi trục lợi bất chính từ thông tin, dữ liệu cá nhân. Mặc dù đã có những sự thay đổi trong quy định về chế tài xử phạt, vấn đề về bồi thường thiệt hại cho chủ thể dữ liệu vẫn chưa được đề cập đến trong APPI 2017.

4. Một số đề xuất hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân

Mặc dù Nhật Bản là quốc gia ở Đông Á, còn Việt Nam thuộc khu vực Đông Nam Á, nhưng cả hai có một điểm chung đó là hai nước đều chịu ảnh hưởng của nền văn minh Trung Hoa từ những thế kỷ trước, do đó có những nét tương đồng nhất định. Từ những tương đồng trong văn hóa và tư tưởng, có thể thấy, cách tiếp nhận, xây dựng pháp luật về bảo vệ dữ liệu cá nhân ở Việt Nam và Nhật Bản sẽ có những điểm chung nhất định. Hiện nay, pháp luật Việt Nam về bảo vệ dữ liệu cá nhân - cũng giống như Nhật Bản trước đây - chưa có sự quan tâm đúng mức, hệ thống pháp luật chưa thực sự hoàn chỉnh dẫn đến việc thực thi pháp luật về bảo vệ dữ liệu cá nhân trên thực tế gặp khó khăn, vướng mắc nhất định. Nhưng sự chuyển mình mạnh mẽ của pháp luật Nhật Bản trong lĩnh vực bảo vệ dữ liệu cá nhân chính là kinh nghiệm quý giá mà Việt Nam có thể tham khảo để hướng tới xây dựng, hoàn thiện pháp luật về lĩnh vực này.

Thứ nhất, Việt Nam cần xây dựng một văn bản pháp luật riêng về lĩnh vực bảo vệ dữ liệu cá nhân. Hiện nay, pháp luật Việt Nam về bảo vệ dữ liệu cá nhân đang được xây dựng trên mô hình quy định phân tán rải rác trong các văn bản quy phạm pháp luật khác nhau. Việc quy định như vậy có thể gây ra sự chồng chéo, thậm chí là “vênh” nhau trong các quy định của pháp luật. Trước bối cảnh Cuộc cách mạng công nghiệp 4.0 đang bùng nổ mạnh mẽ, giá trị của dữ liệu nói chung và dữ liệu cá nhân nói riêng đang dần được thể hiện rõ rệt, do đó, Việt Nam cần ban hành một văn bản pháp luật hoàn toàn mới, chuyên biệt để quy định một cách rộng rãi và toàn diện tất cả các vấn đề pháp lý liên quan đến dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.

Thứ hai, cần thành lập một cơ quan chuyên biệt, độc lập để giám sát và thực thi pháp luật về bảo vệ dữ liệu cá nhân. Tại Nhật Bản, với sự ra đời của PPC, việc thực thi pháp luật đã có những chuyển biến tích cực. Chính vì thế, việc Việt Nam xây dựng một mô hình cơ quan như thế là cần thiết, giúp bảo đảm thực thi pháp luật một cách hiệu quả trên thực tiễn, đồng thời, cơ quan này sẽ liên tục thực hiện nghiên cứu các quy định của pháp luật để có thể đưa ra những định hướng sửa đổi, bổ sung nhằm từng bước hoàn thiện pháp luật Việt Nam phù hợp với xu hướng chung của thế giới, tương thích với văn hóa, truyền thống, quan niệm của người Việt Nam.

Thứ ba, cần thiết lập một cơ chế bảo hộ cụ thể, riêng biệt đối với các đối tượng yếu thế trong xã hội. Pháp luật Nhật Bản về bảo vệ dữ liệu cá nhân qua lần sửa đổi năm 2017 đã có những thay đổi lớn, nhưng cũng có những khía cạnh đạo luật này chưa thể giải quyết, trong đó có việc tạo ra một “khiên bảo hộ” dành cho những người chưa thành niên hoặc người không có đầy đủ năng lực hành vi dân sự. Đây là những đối tượng yếu thế, rất dễ trở thành đối tượng của các hành vi trục lợi từ việc xâm phạm đến thông tin cá nhân. Do đó, pháp luật Việt Nam nên đánh giá, xem xét và xây dựng các quy tắc cụ thể trong việc bảo vệ thông tin, dữ liệu cá nhân đối với những cá nhân yếu thế để họ không trở thành nạn nhân của những hành vi trục lợi bất chính.

Thứ tư, cần ban hành các quy định liên quan đến trách nhiệm bồi thường thiệt hại. Như đã phân tích ở trên, vấn đề trách nhiệm bồi thường thiệt hại cũng là một vấn đề mà APPI 2017 vẫn chưa thể giải quyết tới. Dẫu vậy, là một quốc gia có tốc độ số hóa tương đối nhanh như Việt Nam, các vấn đề về xâm phạm thông tin, dữ liệu cá nhân đang có xu hướng ngày càng gia tăng, gây thiệt hại đến lợi ích của chủ thể dữ liệu. Chính vì vậy, bên cạnh việc quy định các chế tài nghiêm khắc, pháp luật bảo vệ dữ liệu cá nhân Việt Nam cũng cần quan tâm đến vấn đề bồi thường thiệt hại như một công cụ để khắc phục hậu quả mà hành vi xâm phạm đến thông tin, dữ liệu cá nhân gây ra. Tuy nhiên, cũng cần nghiên cứu và xác định rõ khi dữ liệu cá nhân bị xâm phạm trái pháp luật, thiệt hại được bồi thường là những thiệt hại nào, công cụ xác định thiệt hại, nguyên tắc xác định thiệt hại, từ đó, củng cố khung pháp lý để bảo vệ dữ liệu cá nhân, bảo vệ chủ thể có quyền, lợi ích hợp pháp liên quan đến dữ liệu cá nhân bị xâm phạm./.