Kinh nghiệm của châu Âu và Hoa Kỳ về bảo vệ quyền nhân thân dưới tác động của Cách mạng 4.0 và một số bài học cho Việt Nam

1. Đạo luật bảo vệ dữ liệu và kinh nghiệm của châu Âu

1.1. Sự ra đời của Đạo luật bảo vệ dữ liệu (General Data Protection Regulation - GDPR)

Quan điểm của EU về xác định quyền riêng tư là quyền nhân thân cơ bản nảy sinh từ trước Thế chiến thứ 2. Những vi phạm nghiêm trọng về nhân quyền đặc biệt là quyền riêng tư trong chiến tranh đã trở thành động lực cho quyền riêng tư được chính thức hóa trong Công ước của châu Âu về nhân quyền (European Convention on Human Rights - ECHR) và Hiến chương về quyền cơ bản (Charter on Fundamental Rights). Sau khi EU được thành lập vào năm 1993, Chỉ thị về bảo vệ dữ liệu 95/46/EC (The Data Protection Directive of 1995 - Chỉ thị 95), tiền thân của GDPR, tiếp tục tạo ra một khung pháp lý mới đối với thị trường kỹ thuật số. Cụ thể, các mục tiêu bao trùm mà EU và các quốc gia thành viên đặt ra có thể có những thay đổi khi áp dụng nhưng vẫn phải đảm bảo tiêu chuẩn tối thiểu của Chỉ thị 95. GDPR thay thế Chỉ thị 95, là một quy định có tính ràng buộc trực tiếp đối với các quốc gia thành viên mà trong đó nó không chỉ tập trung vào quyền nhân thân mà còn đơn giản hóa chế độ bảo vệ dữ liệu cho các doanh nghiệp ở châu Âu trong thời đại kỹ thuật số. Chỉ thị 95 không đề cập đến quyền con người đối với việc bảo vệ dữ liệu mà tập trung vào nghĩa vụ của những nhà kiểm soát dữ liệu. Trong GDPR, những vấn đề về quyền đã được cụ thể hóa, Điều 1 GDPR đã nhấn mạnh: “Bảo vệ các quyền và sự tự do cơ bản của thể nhân và cụ thể là quyền của họ đối với sự bảo vệ dữ liệu cá nhân”.

1.2. Phạm vi áp dụng và những nội dung cơ bản của Đạo luật bảo vệ dữ liệu

Các quy định của GDPR sẽ được áp dụng cho công dân của 28 quốc gia EU, bao gồm cả Vương quốc Anh. Quan trọng hơn, GDPR áp dụng cho các công ty, tổ chức trong EU, cũng như các công ty đặt bên ngoài EU. Về cơ bản, bất kỳ tổ chức nào cung cấp hàng hóa hoặc các dịch vụ cho hoặc giám sát các hành vi của đối tượng dữ liệu EU, đều bị ảnh hưởng bởi GDPR.

GDPR sẽ mang lại cho công dân châu Âu, kể cả các công dân của Vương quốc Anh - những ai có dữ liệu cá nhân bị thu thập và sử dụng, 08 quyền cơ bản sau đây[1]:

(i) Quyền được thông báo: Người dùng được quyền biết thông tin cá nhân của mình được thu thập bằng cách nào, mục đích sử dụng các loại thông tin, lý do thông tin được thu thập, thời gian lưu trữ dữ liệu và các phương pháp xử lý dữ liệu cá nhân sau đó. Để đáp ứng quyền này của người dùng, các công ty ở châu Âu buộc phải có văn bản trình bày mọi thứ liên quan một cách cụ thể. GDPR còn yêu cầu văn bản này phải được trình bày bằng ngôn ngữ dễ hiểu để người dùng có thể nắm rõ. Mỗi khi các công ty muốn sử dụng thông tin cá nhân của người dùng cho bất kỳ mục đích nào, cũng phải gửi thông báo cụ thể và phải nhận được sự đồng thuận của người dùng thì mới có quyền thực hiện.

(ii) Quyền được truy cập: Nếu được yêu cầu, mọi tổ chức đang lưu trữ dữ liệu liên quan đến một chủ thể bắt buộc phải cung cấp dữ liệu cho chủ thể yêu cầu trong thời hạn 30 ngày.

(iii) Quyền được cải chính: Nếu một chủ thể có dữ liệu được thu thập phát hiện ra một công ty sở hữu dữ liệu của họ nhưng dữ liệu này không chính xác thì chủ thể có thể yêu cầu cập nhật dữ liệu. Các công ty cũng sẽ có thời hạn 30 ngày để thực hiện.

(iv) Quyền được lãng quên: Một chủ thể có dữ liệu được thu thập có thể yêu cầu một công ty xóa mọi dữ liệu mà họ đang nắm giữ trong một số tình huống nhất định. Chẳng hạn như nếu dữ liệu này không cần dùng đến nữa hoặc chủ thể không bằng lòng cho công ty sử dụng dữ liệu của mình.

(v) Quyền được giới hạn xử lý: Nếu một tổ chức không thể xóa dữ liệu của một chủ thể, chẳng hạn như họ cần dữ liệu này để sử dụng cho một vụ việc pháp lý thì chủ thể có quyền yêu cầu công ty đó hạn chế xử lý dữ liệu.

(vi) Quyền được luân chuyển dữ liệu: Hiểu một cách đơn giản, quyền sở hữu dữ liệu lưu động là quyền một người được tự do di chuyển dữ liệu của mình từ đơn vị kiểm soát dữ liệu này sang đơn vị kiểm soát khác. Trên lý thuyết, sau khi GDPR có hiệu lực, tất cả các mạng xã hội và đơn vị kiểm soát thông tin có nghĩa vụ cung cấp toàn bộ dữ liệu mà chủ thể dữ liệu đã cung cấp cho họ bất kỳ lúc nào chủ thể có yêu cầu; đặc biệt, dữ liệu này phải được cung cấp dưới hình thức mở, giúp người dùng có thể mang toàn bộ dữ liệu này đăng tải lên một dịch vụ khác một cách dễ dàng và nhanh chóng.

(vii) Quyền được phản đối: Nếu dữ liệu được thu thập mà không có sự đồng ý của chủ thể nhưng vì lợi ích kinh doanh hợp pháp, vì lợi ích công cộng hoặc theo yêu cầu của một cơ quan có thẩm quyền thì chủ thể có quyền phản đối. Tổ chức nào thu thập dữ liệu bắt buộc phải ngưng xử lý dữ liệu của chủ thể cho đến khi có thể chứng minh những lý do chính đáng để thực hiện điều này.

(viii) Các quyền liên quan đến việc tự ra quyết định: GDPR sẽ đưa ra các biện pháp bảo vệ để cá nhân có dữ liệu được thu thập có thể phản đối hoặc được giải thích về những quyết định tự động (do những tổ chức/công ty thu thập dữ liệu) đưa ra ảnh hưởng thế nào đến họ và dữ liệu của họ.

Một số tổ chức coi GDPR là một cơ hội tốt để khẳng định sức mạnh thương hiệu trong việc bảo vệ dữ liệu người dùng và giúp tăng trưởng kinh doanh nói chung. Do GDPR không phải là chỉ thị nhất thời mà là luật bắt buộc nên mọi công ty, tổ chức hoạt động tại châu Âu đều phải tuân thủ nghiêm túc. Bất kỳ công ty, tổ chức nào vi phạm các điều luật của GDPR đều có nguy cơ phải đối mặt với án phạt lên đến 4% tổng doanh thu toàn cầu hàng năm của năm tài chính trước đó hoặc 20 triệu Euro, tùy theo con số nào lớn hơn. Điều 83 GDPR quy định công ty có thể bị phạt 2% nếu không có hồ sơ hợp lệ, không thông báo với cơ quan giám sát và chủ thể dữ liệu về một sự cố xâm phạm hoặc không thực hiện đánh giá tác động.

1.3. Một số đánh giá về Đạo luật bảo vệ dữ liệu

GDPR là một bước tiến lớn của EU trong việc bảo vệ quyền riêng tư của người sử dụng cũng như thắt chặt việc thu thập dữ liệu của các nhà cung cấp dịch vụ, đặc biệt là các công ty công nghệ. Lợi ích của người sử dụng được đặt lên hàng đầu khi GDPR trao cho người sử dụng các quyền liên quan trực tiếp đến việc bảo vệ dữ liệu của họ.

Hiện nay, có rất nhiều website cũng như các ứng dụng yêu cầu người sử dụng đăng ký để có thể truy cập. Quá trình đăng ký sẽ bao gồm thông tin cá nhân như họ tên, email, số điện thoại... và các nhà cung cấp dịch vụ internet (service provider) sẽ lưu giữ những dữ liệu thông tin này để quản lý, kiểm soát, đánh giá thông tin người dùng. Không thể phủ nhận là người dùng có thể đạt được rất nhiều lợi ích từ công nghệ nhưng đổi lại, một điều tất yếu để tham gia không gian công nghệ này, đó là họ phải cung cấp thông tin về chính mình. Khi người dùng tham gia các mạng xã hội, chẳng hạn như Facebook, Instagram hay Twitter, để có một tài khoản (account) tưởng chừng như là miễn phí, họ sẽ phải cung cấp những thông tin bản thân cho nhà cung cấp dịch vụ.

Đối với vấn đề này, trước khi đăng ký, các nhà cung cấp dịch vụ sẽ sử dụng một thủ thuật nhỏ đó là để chính sách về quyền riêng tư, các điều khoản và điều kiện với font chữ nhỏ, khó đọc cùng rất nhiều thuật ngữ luật. Theo nghiên cứu của McDonal và Cranor[2], nếu người dùng đọc chính sách về quyền riêng tư của mỗi dịch vụ trên internet, người dùng đấy sẽ phải dành 244 giờ mỗi năm. Chính vì vậy, thông thường, người dùng sẽ lướt thật nhanh đến ô tickbox và chấp thuận những chính sách đã được đưa ra. Thông tin này thường bị “chôn vùi” trong những văn bản điều khoản dịch vụ mà hiếm ai đọc, thì giờ đây, các văn bản đầy chữ này buộc phải được cô đọng lại và giải thích bằng ngôn ngữ đơn giản theo quy định của GDPR.

Sự minh bạch (transparency) và sự đồng ý (user consent) của người dùng được xem là những thành phần cốt lõi khi quy đến trách nhiệm của nhà kiểm soát dữ liệu cũng như người dùng. Điều 13 GDPR nhấn mạnh, thông tin phải được cung cấp đến chủ dữ liệu vào thời điểm thông tin cá nhân của họ được thu thập. Thêm vào đó, Điều 12 GDPR quy định thông tin phải được cung cấp “theo hình thức ngắn gọn, minh bạch, dễ hiểu và dễ tiếp cận, sử dụng ngôn ngữ rõ ràng và đơn giản, đặc biệt là các thông tin gửi riêng cho trẻ em”.

Chúng ta đều biết rằng, kể từ thời đại internet bùng nổ thì nhiều công ty, đặc biệt là các công ty công nghệ vẫn đang hoạt động theo kiểu phải lấy càng nhiều dữ liệu người dùng càng tốt. Vấn đề này hoàn toàn không phức tạp và vì vậy, các công ty này chẳng có lý do gì mà từ chối một lượng dữ liệu khổng lồ, nhiều tiềm năng khai thác đến vậy từ chính người dùng sản phẩm/dịch vụ của họ. Sự ra đời của GDPR nhằm giải quyết một vấn đề tồn tại lâu nay đó là nhiều công ty đang thu thập và lạm dụng thông tin của người dùng. Quan trọng hơn, các thông tin này có thể được chuyển sang một bên thứ ba khác cho những mục đích thương mại. Điều này đã dẫn tới sự vi phạm nghiêm trọng đến quyền riêng tư cá nhân và tạo nên sự hoang mang, lo sợ của người dùng mỗi khi phải cung cấp thông tin của mình trong quá trình đăng ký.

Việc GDPR chính thức có hiệu lực đem lại ý nghĩa rất lớn trong bối cảnh quyền riêng tư trở thành mối quan tâm trong phạm vi toàn cầu, cụ thể:

 Thứ nhất, những quy định và tiêu chuẩn nghiêm ngặt đặt ra bởi GDPR đã góp phần đồng bộ hóa cơ sở pháp lý trên toàn thể các quốc gia thành viên trong Liên minh châu Âu, mang lại sự bình đẳng trong xử lý vi phạm trên lãnh thổ châu Âu. Sự đồng bộ hóa này sẽ góp phần cắt giảm chi phí về thời gian cũng như tiền bạc cho các tổ chức hoạt động tại nhiều quốc gia khác nhau trong khuôn khổ châu Âu.

 Thứ hai, tiêu chuẩn của GDPR rất có thể sẽ dần trở thành tiêu chuẩn trong quản lý dữ liệu và bảo vệ quyền riêng tư và có thể được xem là mô hình đi đầu cho các quốc gia khác trên thế giới tham khảo và học hỏi, bao gồm cả các quốc gia đang phát triển như Việt Nam. Tuy không toàn diện, GDPR đã đặt ra những định nghĩa và quy định về quyền cũng như về những cá nhân và tổ chức liên quan đến quản lý và xử lý dữ liệu.

Thứ ba, GDPR tuy không hẳn là một bước ngoặt lớn trong quản lý dữ liệu cá nhân, nhưng cũng đã nâng cao tiêu chuẩn bảo vệ dữ liệu bằng cách thắt chặt các quy định liên quan đến những đơn vị kiểm soát, xử lý, nhận, cũng như những đơn vị thứ ba. Khi mà người sử dụng internet ngày càng hiểu rõ hơn cách các công ty tư nhân thu lợi nhuận từ dữ liệu của họ, song song với cách mà dữ liệu của họ bị sử dụng với những mục đích mà họ không cho phép, GDPR đóng vai trò mấu chốt trong việc giúp người sử dụng internet (và tất cả chủ thể dữ liệu nói chung) bảo đảm quyền riêng tư của họ được thực thi bởi một cơ chế bền vững. 

2. Kinh nghiệm của Hoa Kỳ

2.1. Quy định pháp luật Hoa Kỳ về vấn đề bảo vệ quyền nhân thân hiện nay

Tu Chính Án Hoa Kỳ sửa đổi lần thứ tư quy định: “Quyền cơ bản của con người được đảm bảo về thân thể, nhà cửa, thông tin giấy tờ và những ảnh hưởng tác động khác”. Như vậy, Hiến pháp Hoa Kỳ cũng đã đề cập đến quyền được bảo vệ về thông tin giấy tờ cá nhân. Với thời kỳ bùng nổ công nghệ như hiện nay, định nghĩa về “giấy tờ” còn được hiểu là những văn bản số được viết trên internet. Tuy nhiên, hiện nay pháp luật Hoa Kỳ chưa thực sự có một nguyên tắc thống nhất trong lĩnh vực lập pháp về bảo vệ quyền nhân thân nói chung cũng như bảo vệ quyền về dữ liệu cá nhân của công dân nói riêng. Trong bài viết, tác giả tập trung nghiên cứu các quy định về bảo vệ quyền thông tin cá nhân của công dân.

Hoa Kỳ là quốc gia đã ban hành rất nhiều đạo luật liên quan đến bảo vệ quyền dữ liệu thông tin cá nhân của công dân ở cả cấp độ liên bang lẫn tiểu bang. Vấn đề bảo vệ quyền giữ bí mật thông tin và thu thập thông tin của công dân nước này được điều chỉnh trên cơ sở áp dụng các đạo luật của từng lĩnh vực, từng ngành mang tính định hướng, chứ không quy định rõ ràng và chi tiết.

Tại cấp độ liên bang, Đạo luật của Ủy ban Thương mại Liên bang Hoa Kỳ (the Federal Trade Commission Act) điều chỉnh định hướng về vấn đề này với cơ quan thực thi là Ủy ban Thương mại Liên bang Hoa Kỳ (gọi tắt là FTC). Đây sẽ là cơ quan thực thi hành động nhằm bảo vệ người tiêu dùng khỏi những cơ quan, tổ chức, doanh nghiệp, cá nhân thực hiện hành vi sử dụng thông tin cá nhân của họ một cách trái phép, không đúng mục đích ban đầu đã cam kết. Cơ quan này cũng thực thi các quy định của Hoa Kỳ về bảo vệ dữ liệu và quyền nhân thân của công dân. Hiện nay, với sự bùng nổ của công nghệ thông tin, có rất nhiều công ty có hành vi thu thập thông tin người dùng nhằm mục đích thương mại và sử dụng chúng không đúng với những cam kết, điều khoản ban đầu, dẫn tới những thông tin này bị lạm dụng và không được bảo vệ, giữ bí mật. FTC sẽ tiến hành áp dụng các quy định trong từng lĩnh vực cụ thể và thực hiện các biện pháp trừng phạt nhằm bảo vệ thông tin cá nhân của người dùng, đặc biệt là trong lĩnh vực quảng cáo, marketing số hiện nay. Tuy nhiên, Đạo luật của Ủy ban Thương mại Liên bang Hoa Kỳ thực sự quy định quá chung, chỉ nội hàm trong lĩnh vực thương mại và chưa có một khung pháp lý thực sự vững chắc về việc bảo vệ quyền nhân thân, đặc biệt là quyền bảo vệ đời tư.

Mặc dù không có đạo luật cụ thể về bảo vệ quyền nhân thân nhưng Hoa Kỳ lại có rất nhiều luật chuyên ngành quy định về việc bảo vệ quyền nhân thân trong từng lĩnh vực cụ thể. Các đạo luật chuyên ngành này chủ yếu thuộc các lĩnh vực như: Dịch vụ tài chính - ngân hàng, sức khỏe, phương tiện thông tin và giáo dục. Một số đạo luật tiêu biểu về quyền bảo vệ thông tin đời tư, ví dụ như:

Đạo luật bảo vệ quyền riêng tư của lái xe năm 1994 (the Diver’s Privacy Protection Act of 1994 - DPPA) quy định về quyền bảo vệ đời tư và thông tin cá nhân của các tài xế được thu thập và lưu trữ bởi các Phòng giao thông vận tải (bao gồm các thông tin: Hình ảnh, số bảo hiểm xã hội, số chứng minh thư nhân dân, tên, tuổi, địa chỉ, số điện thoại, tiểu sử bệnh lý và thông tin về khuyết tật).

Vấn đề bảo vệ thông tin của trẻ em được quy định bởi Quy tắc bảo vệ quyền riêng tư trên các phương tiện số của trẻ em (the Children’s Online Privacy Protection Rule), trong đó, Điều số 312.1 về phạm vi điều chỉnh của quy tắc đã quy định: “Cấm tất cả mọi hành vi trong việc thu thập, sử dụng và tiết lộ các thông tin cá nhân của/về trẻ em trên mạng internet”. Theo định nghĩa tại Điều 312.2, “trẻ em là những cá nhân dưới 13 tuổi”, việc thu thập thông tin cũng được giải thích là “thu thập bất kỳ thông tin cá nhân nào từ một đứa trẻ dù hiểu theo bất kỳ cách nào, không loại trừ việc: (i) Yêu cầu, ép buộc, thúc đẩy, khuyến khích một đứa trẻ nộp các thông tin cá nhân online; (ii) Cho phép một đứa trẻ được điền các thông tin cá nhân của mình trên một mẫu có sẵn. Các nhà mạng, các nhà vận hành sẽ không chịu sự điều chỉnh của điều luật này khi đã thực hiện các biện pháp kịp thời, hợp lý để xóa tất cả các dữ liệu liên quan đến thông tin cá nhân của trẻ em hoặc tất cả các thông tin mà trẻ em đăng lên trên mạng trước khi thông tin này được hiển thị công khai và cũng như phải chắc chắn là xóa hết tất cả, không được lưu trữ bất kỳ thông tin nào ở trong các hệ thống lưu trữ của các nhà mạng này”. Hơn nữa, luật này cũng quy định về việc công khai thu thập và sử dụng các thông tin liên quan đến quyền riêng tư của trẻ em đến với bố mẹ của trẻ và phải được đồng ý của bố mẹ khi các thông tin cá nhân của trẻ em được thu thập.

Đạo luật năm 1984 về chính sách hệ thống thông tin liên lạc bằng dây cáp bao gồm các quy phạm điều chỉnh việc quyền bảo vệ thông tin đời tư của những người đăng ký sử dụng dịch vụ (Điều 551). Chính phủ liên bang và hầu hết các bang tại Hoa Kỳ đều hình sự hóa việc nghe lén mà không có sự đồng ý của các bên.

Đạo luật Gramm Leach Bliley quy định về bảo vệ thông tin cá nhân trong lĩnh vực tài chính, ngân hàng, bảo hiểm. Đạo luật này cũng định nghĩa rõ về thuật ngữ “Thông tin cá nhân không được công khai (Non-Public Persoal Information - NPI)”, cụ thể: Bất kỳ thông tin nào mà các công ty, tổ chức tài chính thu thập được từ khách hàng theo như những điều khoản mà công ty và khách hàng cùng nhau đồng thuận nhằm mục đích cung cấp các gói giải pháp tài chính cho khách hàng thì đều phải tuân thủ quy định về các thông tin cá nhân không được công khai NPI. Quy định này cũng giới hạn lại việc tiết lộ và sử dụng thông tin NPI, bắt buộc các công ty tài chính phải thông báo đến khách hàng ngay khi có dấu hiệu về việc mất thông tin hoặc bị lấy cắp bởi một bên thứ ba không được ủy quyền.

Đạo luật về báo cáo tín dụng công bằng (the Fair Credit Reporting Act - FCRA) được ban hành thay thế cho Đạo luật về các giao dịch tín dụng chính xác và công bằng (the Fair and Accurate Credit Transactions Act - FACTA). Đạo luật giới hạn việc sử dụng thông tin liên quan đến các khoản tín dụng cá nhân, năng lực tín dụng, uy tín tín dụng, đặc điểm nhân thân nhằm đánh giá khả năng tài chính, các chi phí sinh hoạt quyết định khả năng tín dụng, tình trạng việc làm, các khoản bảo hiểm đang nắm giữ. Đạo luật cũng cấm việc thu thập các thông tin trái phép như số thẻ tín dụng, hóa đơn tiêu dùng. Đạo luật cũng điều chỉnh về thông tin sẽ được hủy trong trường hợp nhất định, quy định thêm về việc sử dụng thông tin này cho mục đích thúc đẩy bán hàng, marketing (gọi điện, gửi email, gửi tin nhắn…). Cuối cùng đạo luật quy định về nghĩa vụ của các tổ chức tài chính, tổ chức tín dụng khi gặp tình huống bị lấy cắp giữ liệu, lấy cắp thông tin tài khoản ngân hàng.

Các tiểu bang tại Hoa Kỳ cũng ban hành các đạo luật riêng quy định các hạn chế và nghĩa vụ đối với các doanh nghiệp liên quan đến việc thu thập, sử dụng, công bố thông tin cá nhân của người dùng internet, quy định về việc bảo mật hoặc lưu giữ các thông tin cá nhân, như: Thông tin sinh trắc (vân tay), hồ sơ y tế, bệnh án, thông tin về bảo hiểm xã hội, thông tin giấy phép lái xe, địa chỉ email, các lịch sử xem - truy cập, hồ sơ tài chính, hồ sơ thuế, thông tin bảo hiểm, lý lịch tư pháp, lịch sử cuộc gọi điện thoại, học bạ... Bên cạnh đó, các tiểu bang này cũng ban hành các đạo luật chuyên ngành về theo dõi trái phép bao gồm thông qua định vị, hình ảnh vệ tinh, truyền hình kỹ thuật số...

Một số tiểu bang có những quy định “cứng rắn” hơn nữa về vấn đề quyền bảo vệ đời tư cá nhân trong hệ thống pháp luật của họ, điển hình như bang Massachusetts có hẳn một quy tắc riêng về bảo vệ dữ liệu (trong Quy tắc liên bang 17.00 - 201 CMR 17.00), yêu cầu tất cả các tổ chức nắm giữ, truyền tin hoặc thu thập dữ liệu thông tin cá nhân của công dân Massachusetts, thì sẽ phải chịu sự điều chỉnh của kế hoạch an toàn dữ liệu thông tin với 12 hành động cụ thể trong bộ quy tắc này của bang. New York cũng là một tiểu bang hết sức quan tâm và đề ra những chính sách cụ thể về an toàn công nghệ thông tin với Quy tắc riêng về vấn đề này - NYCCR 500 điều chỉnh chủ yếu cho các tổ chức tài chính hoạt động tại tiểu bang này, đưa ra yêu cầu chung về việc đảm bảo quyền riêng tư của cá nhân và quyền bảo vệ bí mật thông tin của công dân New York không thể bị xâm phạm nếu như không được sự cho phép của họ và hàng năm cơ quan hành pháp sẽ thực hiện những bài kiểm tra đánh giá đối với các tổ chức, doanh nghiệp này có đáp ứng được những yêu cầu đề ra này hay không, để được cấp giấy chứng nhận tuân thủ quy định hàng năm.

2.2. Đánh giá thực tiễn thực thi các quy định về bảo vệ quyền nhân thân của Hoa Kỳ

2.2.1. Những kết quả đạt được

Có thể thấy, Hoa Kỳ đã có những thành tựu đáng kể trong việc bảo vệ quyền nhân thân cũng như là quyền riêng tư của công dân trong các lĩnh vực trọng yếu như: Dịch vụ tài chính ngân hàng, bảo hiểm, chăm sóc sức khỏe và giáo dục… được cụ thể hóa trong các đạo luật như GLBA, FCRA, TCPA, FERPA. Các lĩnh vực chuyên ngành được pháp luật Hoa Kỳ quy định hết sức đầy đủ liên quan đến các thuật ngữ, phạm vi điều chỉnh, đối tượng điều chỉnh, các quy trình thực thi pháp luật, quyền và nghĩa vụ của các bên có liên quan.

Pháp luật Hoa Kỳ cũng đã có những nguyên tắc cơ bản bảo vệ quyền nhân thân và quyền riêng tư của công dân. Có thể kể đến một vài nguyên tắc quan trọng như:

Thứ nhất, nguyên tắc dẫn chiếu, FTC đã ban hành một hướng dẫn về áp dụng nguyên tắc này, theo đó: (i) Các tổ chức, cơ quan thương mại phải chỉ rõ các chú thích liên quan đến quyền riêng tư theo những quy chuẩn tại các đạo luật, ngắn gọn, dễ đọc, dễ hiểu cho người dùng nhằm tạo ra một cơ chế bảo vệ quyền nhân thân một cách hiệu quả; (ii) Không thực hiện việc yêu cầu khách hàng cung cấp những thông tin nhạy cảm không cần thiết; (iii) Tuyên truyền, giáo dục người dùng về bảo vệ quyền bí mật đời tư trong thương mại.

Thứ hai, nguyên tắc giới hạn mục đích thu thập dữ liệu, FTC khuyến khích các tổ chức đề ra các hành động cụ thể bảo vệ quyền riêng tư trong đó giới hạn việc thu thập dữ liệu trong những giao dịch đặc thù.

Ngoài ra, cũng có một số nguyên tắc khác như nguyên tắc tương xứng, nguyên tắc về lưu trữ dữ liệu…

Hoa Kỳ cũng đã thực hiện những báo cáo nhằm kiểm soát việc bảo vệ quyền nhân thân, quyền riêng tư của cá nhân; thống kê số lượng vi phạm được báo cáo lên cơ quan thi thành. Một số tiểu bang cũng yêu cầu phải báo cáo lên các cục của bang hoặc Hội đồng Luật sư về việc xâm phạm đến quyền riêng tư và quyền nhân thân. Chế độ báo cáo này cũng đòi hỏi quy mô rộng các thông tin cần cung cấp như: Các tình tiết có liên quan, các cá nhân bị phương hại trực tiếp, các loại thông tin bị xâm hại, thời gian cụ thể của việc xâm hại đến thông tin cá nhân này, những hành động được tiến hành đề ngăn chặn những hậu quả xấu trong tương lai, các bản thông báo gửi đến các cá nhân có thông tin bị phương hại, các phương án giải quyết cho các cá nhân…

Ngoài ra, Hoa Kỳ cũng quy định về hình phạt đối với tổ chức, doanh nghiệp, cơ quan có hành vi xâm phạm đến quyền bảo vệ đời tư, quyền riêng tư, các quyền nhân thân khác. Đơn cử năm 2018, có một công ty đã phải trả một khoản tiền phạt là 148 triệu đô la Mỹ trong việc đánh cắp và sử dụng trái mục đích ban đầu với những thông tin cá nhân của công dân tại 50 bang và Quận Columbia của Hoa Kỳ.

2.2.2. Những vướng mắc còn tồn tại

Có thể thấy, bên cạnh những thành tựu đã đạt được, pháp luật của Hoa kỳ còn tồn tại không ít các vướng mắc liên quan việc bảo vệ quyền riêng tư, quyền nhân thân của công dân nước này.

Thứ nhất, các quy định tại Đạo luật của Ủy ban Thương mại Liên bang Hoa Kỳ chỉ mang tính định hướng, không quy định chi tiết, cụ thể về vấn đề bảo vệ quyền nhân thân, quyền riêng tư của công dân Hoa Kỳ. Hầu hết các quy định này chỉ mang tính định hướng liên quan đến bảo vệ quyền lợi của người tiêu dùng, không làm tổn hại đến những quyền cơ bản của họ, mà chưa có quy định cụ thể nào chỉ ra rằng công dân cần được bảo đảm những bí mật đời tư, những thông tin cá nhân mà họ cung cấp cho các tổ chức, cá nhân, doanh nghiệp hoạt động thương mại phải được sử dụng đúng với cam kết ban đầu, mọi hành vi trái phép liên quan đến thu thập, sử dụng, lưu trữ, mua bán thông tin cá nhân trái mục đích cam kết ban đầu đều bị cấm tuyệt đối.

Thứ hai, việc quy định bảo vệ quyền nhân thân, quyền riêng tư tại một số luật chuyên ngành trong một số lĩnh vực là thiếu tính đồng bộ, bởi sẽ có trường hợp một số lĩnh vực mà Hoa Kỳ có luật điều chỉnh riêng nhưng luật đó lại không đề cập đến bảo vệ quyền nhân thân, quyền riêng tư của cá nhân. Từ đó sẽ tạo ra việc lúng túng trong giải quyết những trường hợp bị xâm hại quyền nhân thân mà chưa có luật chuyên ngành trong lĩnh vực đó điều chỉnh, trong khi Đạo luật về Ủy ban Thương mại Liên bang Hoa Kỳ lại quy định quá chung.

Thứ ba, cơ quan chịu trách nhiệm chính về bảo vệ quyền nhân thân, quyền riêng tư của cá nhân tại Hoa Kỳ là Ủy ban Thương mại Liên bang Hoa Kỳ lại thực thi rất nhiều quy định liên quan đến thương mại và giải quyết các thủ tục, vướng mắc của công dân trong lĩnh vực thương mại, chứ không chỉ gói gọn về bảo vệ quyền nhân thân, nên khối lượng công việc mà FTC cần giải quyết là rất nhiều, do đó, không thể tránh khỏi việc chậm trễ, không đúng với khoảng thời gian xử lý yêu cầu như luật định.

Thứ tư, liên quan đến cơ quan thực thi quyền nhân thân, quyền riêng tư, bên cạnh Ủy ban Thương mại Liên bang Hoa Kỳ thì đối với mỗi một đạo luật chuyên ngành sẽ lại có những cơ quan thực thi khác nhau như: Văn phòng Quản lý tiền tệ, Phòng Dịch vụ chăm sóc sức khỏe và y tế, Ủy ban Phương tiện thông tin truyền thông liên bang, Ủy ban Ngoại giao và An ninh quốc gia, Phòng Thương mại Hoa Kỷ, Cục Bảo vệ tài chính người tiêu dùng… Do đó, việc nhầm lẫn, chồng chéo là không thể tránh khỏi trong thực tế áp dụng các quy định để bảo vệ thông tin cá nhân, bí mật đời tư của người dùng hay khách hàng.

Thứ năm, việc hình sự hóa những hành vi xâm phạm đến quyền nhân thân, quyền riêng tư của cá nhân không được đề cập đến trong pháp luật liên bang. Do vậy, một câu hỏi đặt ra là liệu chế tài phạt tiền có đủ cứng rắn hay chưa để trừng trị những tổ chức thu thập, sử dụng, lưu trữ trái phép những thông tin của người dùng? Thực tế có rất nhiều trường hợp những nhà cung cấp dịch vụ thu thập và bán cho bên thứ ba những thông tin nhạy cảm liên quan đến lịch sử bệnh án, hồ sơ tài chính… nhằm các mục đích phi thương mại để lại nhiều hậu quả nghiêm trọng.

3. Kiến nghị một số giải pháp cho hệ thống quy phạm pháp luật Việt Nam

Qua kinh nghiệm của các nước phát triển như Hoa Kỳ và Liên minh châu Âu về vấn đề bảo vệ quyền nhân thân dưới tác động của cuộc Cách mạng công nghiệp 4.0, tác giả nhận thấy, cần phải đề ra một phương án hành động cụ thể nhằm tạo ra khung pháp lý vững chắc, tránh những hậu quả pháp lý về sau, nhất là trong bối cảnh việc quản lý phát triển công nghệ thông tin, trí tuệ nhân tạo tại Việt Nam còn nhiều lỗ hổng, cụ thể như sau:

Thứ nhất, về hệ thống quy phạm pháp luật điều chỉnh vấn đề quyền nhân thân trong thời kỳ công nghệ số 4.0 sẽ chịu sự điều chỉnh của Luật An ninh mạng năm 2018, trong khi Luật này còn nhiều hạn chế, bất cập khi quy định về vấn đề này. Vì vậy, tác giả kiến nghị sửa đổi, bổ sung Luật này theo hướng quy định rõ hơn về việc bảo vệ dữ liệu thông tin cá nhân của người sử dụng. Trong trường hợp sửa đổi Luật mất nhiều thời gian, có thể ban hành một Nghị định riêng quy định chi tiết về việc bảo vệ quyền nhân thân và dữ liệu số về thông tin cá nhân.

Thứ hai, cơ quan đầu mối giải quyết các vấn đề khiếu nại liên quan đến hành vi xâm phạm, thu thập, sử dụng và lưu trữ trái phép thông tin cá nhân của người dùng cần được giao cho Bộ Khoa học và Công nghệ chủ trì, phối hợp với Bộ Tư pháp và Bộ Công an.

Thứ ba, nên bổ sung quy định về tội phạm an ninh mạng trong Bộ luật Hình sự năm 2015 (sửa đổi, bổ sung năm 2017) nhằm có một chế tài răn đe đối với các hành vi xấu xâm phạm đến quyền được giữ bí mật thông tin cá nhân - quyền cơ bản của công dân đã được quy định tại Điều 21 Hiến pháp năm 2013.

Thứ tư, hàng năm cũng cần thực hiện báo cáo đánh giá cụ thể về việc thực thi các quy định về bảo vệ quyền nhân thân dưới tác động của cuộc Cách mạng công nghệ 4.0, thống kê việc giải quyết những khiếu nại trong việc xâm phạm đến quyền nhân thân, quyền riêng tư cũng như các quyền về bảo vệ bí mật đời tư của công dân, từ đó đề ra những giải pháp khắc phục những tồn tại nhằm hoàn thiện thêm các quy phạm pháp luật điều chỉnh vấn đề này.