Pháp luật dân sự Nhật Bản về bảo vệ dữ liệu cá nhân trong hoạt động giao dịch thương mại điện tử và kinh nghiệm cho Việt Nam

1. Quy định pháp luật dân sự Nhật Bản về bảo vệ dữ liệu cá nhân trong hoạt động giao dịch thương mại điện tử

Nhật Bản là một quốc gia có nền văn hóa Á Đông lâu đời song song với sự hiện đại đi đầu đối với những đổi mới của nhân loại^[1]. Năm 2003, Nhật Bản đã ban hành một đạo luật riêng áp dụng cho các vấn đề riêng tư trực tuyến: Luật Bảo vệ thông tin cá nhân (The Act on the Protection of Personal Information - APPI), có hiệu lực từ ngày 01/4/2004.

Kể từ khi được phê duyệt vào tháng 5/2003, APPI đã trải qua 2 đợt sửa đổi vào năm 2015 và năm 2020. Sự sửa đổi, bổ sung này đã đưa ra định nghĩa rõ ràng hơn về thông tin cá nhân (TTCN), TTCN nhạy cảm, Quy tắc sử dụng dữ liệu cá nhân (DLCN) và thiết lập Ủy ban bảo vệ TTCN (Personal Information Protection Commission - PPC), đề ra các nguyên tắc khi xử lý TTCN và chuyển giao dữ liệu cho bên thứ ba.

Thứ nhất, về thông tin cá nhân và dữ liệu thông tin cá nhân

Đạo luật Bảo vệ thông tin cá nhân của Nhật Bản phân biệt giữa hai loại dữ liệu được bảo vệ: TTCN và TTCN nhạy cảm. Trong đó, loại thông tin thứ nhất là “Thông tin cá nhân” bao gồm: (i) Thông tin về một cá nhân đang sống và có thể nhận dạng người đó bằng tên, ngày sinh, các mô tả khác; (ii) Thông tin về một người còn sống có chứa mã nhận dạng cá nhân, nghĩa là bất kỳ ký tự, chữ cái, số, ký hiệu hoặc các mã khác^[2].

Các mã nhận dạng cá nhân thuộc một trong hai trường hợp sau: Một là, thông tin giúp xác định một cá nhân cụ thể, dưới dạng một ký tự, chữ số, ký hiệu hoặc các mã khác chứa thông tin về toàn bộ hoặc một phần đặc điểm của cá nhân cụ thể để cung cấp cho hệ thống dữ liệu máy tính, bao gồm dữ liệu DNA, dữ liệu nhận dạng khuôn mặt, dữ liệu giọng nói, dữ liệu mẫu dáng đi, dữ liệu lòng bàn tay/ngón tay/dấu vân tay, mô hình tĩnh mạch; Hai là, những ký tự, chữ cái, số, ký hiệu hoặc các mã khác được gán liên quan đến việc sử dụng dịch vụ, mua bán hàng hóa cung cấp cho một cá nhân, hoặc được cấp, ghi lại bằng điện tử trong thẻ, những dữ liệu khác được cấp cho một cá nhân nhằm xác định một người dùng hoặc người mua cụ thể, ví dụ như số hộ chiếu, số lương hưu, giấy phép lái xe và số bảo hiểm y tế.

Thông tin được thu thập phải hợp pháp và nhà quản lý doanh nghiệp không được thu thập các TTCN bằng cách lừa dối hay các phương thức sai trái khác. Một khi nhà quản lý doanh nghiệp thu thập thông tin, cá nhân bị thu thập thông tin phải được thông báo hay tuyên bố công khai về mục đích sử dụng trừ một số ngoại lệ sau: Việc thông báo hay tuyên bố công khai có khả năng gây hại đến đời sống, thân thể, tài sản, quyền hay lợi ích của cá nhân hay bên thứ ba; những thông báo này có khả năng gây hại đối với quyền cũng như lợi ích chính đáng của nhà quản lý; sự phối hợp với một cơ quan nhà nước, chính quyền địa phương hay bên thứ ba là cần thiết để tiến hành các vấn đề được quy định bởi luật pháp mà sự thông báo hay tuyên bố công khai có khả năng cản trở việc thực hiện.

Loại thông tin thứ hai là thông tin nhạy cảm, mới được đưa vào APPI sửa đổi. Thuật ngữ này được sử dụng trong APPI là “thông tin cá nhân yêu cầu được quan tâm đặc biệt” (Special care-required personal information) bao gồm chủng tộc, giống nòi, địa vị xã hội, y bạ, tiền án tiền sự, thực tế chịu tổn thất do tội trạng hoặc bất kỳ miêu tả nào khác… theo lệnh của Chính phủ là các vấn đề mà việc giải quyết đòi hỏi phải có mối quan tâm đặc biệt để không gây ra sự phân biệt đối xử bất công, gây tổn hại hoặc bất kỳ bất lợi nào cho chủ thể (Điều 1 APPI năm 2017).

APPI năm 2017 đã có cái nhìn cụ thể hơn về dữ liệu nhạy cảm, đã xác định cụ thể hơn khi coi những thông tin liên quan đến chủng tộc, tín ngưỡng, tôn giáo, địa vị xã hội, hồ sơ tội phạm và quá khứ của một cá nhân là “thông tin cá nhân yêu cầu được quan tâm đặc biệt” (thông tin nhạy cảm).

Thứ hai, về phạm vi áp dụng

APPI được áp dụng đối với “Những nhà quản lý doanh nghiệp xử lý thông tin cá nhân”^[3] (Business operator handling personal information). Điều này đề cập đến cả những công ty cung cấp hàng hóa và dịch vụ tại Nhật Bản và có trụ sở tại quốc gia này cũng như những công ty có văn phòng bên ngoài Nhật Bản. Do đó, tương tự như GDPR, luật về quyền riêng tư của Nhật Bản có phạm vi áp dụng ngoài lãnh thổ.

Mặc dù phiên bản trước của APPI chỉ áp dụng cho các nhà điều hành doanh nghiệp có 5.000 cá nhân có thể nhận dạng cơ sở dữ liệu của họ vào ít nhất một ngày trong sáu tháng đó, APPI sửa đổi năm 2015 đã loại bỏ hạn chế này, mở rộng phạm vi bao gồm tất cả các nhà điều hành doanh nghiệp xử lý TTCN, thông tin phục vụ mục đích công việc, kể cả những thông tin có cơ sở dữ liệu nhỏ của một vài cá nhân. Các cơ quan nhà nước, chính quyền địa phương, những cơ quan hành chính được sáp nhập, những tổ chức hành chính độc lập ở địa phương được miễn áp dụng APPI.

Thứ ba, về nghĩa vụ đối với người xử lý dữ liệu

Khi xử lý TTCN khi xử lý thông tin, DLCN, nhà quản lý doanh nghiệp có nghĩa vụ phải giải thích một cách cụ thể mục đích sử dụng dữ liệu đó (Điều 15 APPI năm 2017), đồng thời phải tuân thủ những quy định sau: (i) Nhà quản lý không được sử dụng TTCN nằm ngoài phạm vi cần thiết để đạt được các mục đích mà không có sự cho phép từ trước của cá nhân; (ii) Không được thay đổi mục đích sử dụng ngoài phạm vi có mối quan hệ thay thế một cách chính đáng với mục đích sử dụng ban đầu.

Theo APPI, bên xử lý dữ liệu được yêu cầu thực hiện biện pháp cần thiết và thích hợp nhằm bảo đảm an toàn TTCN. Việc lựa chọn biện pháp thích hợp sẽ tùy thuộc vào bản chất, phạm vi, bối cảnh cũng như mục đích của việc sử dụng hoặc xử lý những DLCN có liên quan cũng như các rủi ro đối với quyền và tự do của cá nhân.

APPI năm 2017 đã tạo ra khuôn khổ pháp lý để thúc đẩy việc sử dụng DLCN, một doanh nghiệp xử lý DLCN có thể tạo ra thông tin được xử lý ẩn danh và xử lý DLCN theo các tiêu chuẩn được quy định bởi PPC khi điều đó là cần thiết để xác định một cá nhân cụ thể và khôi phục thông tin được sử dụng cho việc sản xuất, từ đó phát triển hoặc thúc đẩy hoạt động kinh doanh hoặc đổi mới.

Thứ tư, về quyền của chủ thể dữ liệu

Quyền được thông báo về việc thu thập TTCN: Người xử lý thông tin khi đã có được TTCN cũng phải nhanh chóng thông báo cho chủ thể dữ liệu mục đích sử dụng TTCN của mình, trừ trường hợp mục đích sử dụng đã được tiết lộ công khai. Trường hợp khi một người xử lý dữ liệu đã chuyển đổi mục đích sử dụng thì được yêu cầu phải thông báo đến các chủ thể dữ liệu mục đích thay đổi hoặc công bố công khai mục đích đó^[4].

Quyền được tiếp cận và chỉnh sửa: Chủ thể dữ liệu có quyền sửa đổi, chỉnh sửa, sửa đổi hoặc xóa dữ liệu của họ. Nếu yêu cầu sửa đổi không được giải quyết trong vòng hai tuần kể từ khi được đưa ra, chủ thể dữ liệu có thể buộc thực hiện việc này thông qua hành động dân sự (khởi kiện).

Phản đối việc xử lý dữ liệu: Truy cập có thể bị từ chối nếu nó: (i) Rủi ro về an toàn hoặc thương tích cho chủ thể dữ liệu hoặc bất kỳ bên thứ ba nào hoặc tài sản của họ; (ii) Sẽ gây cản trở đáng kể đến hoạt động kinh doanh của PIC (Person in charge – người chịu trách nhiệm, người kiểm soát thông tin cá nhân); (iii) Sẽ vi phạm bất kỳ luật nào khác của Nhật Bản cấm tiết lộ thông tin; (iv) Gây nguy hiểm cho an ninh quốc gia hoặc quan hệ đối ngoại; (v) Cản trở điều tra tội phạm.

Chủ thể dữ liệu có quyền yêu cầu PIC ngừng sử dụng DLCN của họ hoặc chuyển dữ liệu đó cho bên thứ ba nếu PIC đang sử dụng dữ liệu cho mục đích khác với mục đích đã nêu hoặc nếu dữ liệu được lấy một cách gian lận. PIC phải thông báo ngay cho chủ thể dữ liệu nếu yêu cầu của họ đã được giải quyết, hoặc nếu không, lý do tại sao, trong khả năng tốt nhất của họ.

Thứ năm, về truyền dữ liệu theo APPI

Đối với việc chuyển dữ liệu cho bên thứ ba bên trong Nhật Bản, các công ty phải được sự đồng ý trước chủ thể dữ liệu cho việc chuyển giao hoặc thông báo trước cho cá nhân về khả năng từ chối. Nếu việc chuyển giao TTCN là vì lợi ích chung, thì không cần phải có sự đồng ý trước (bao gồm các trường hợp liên quan đến an ninh quốc gia, các vấn đề pháp lý hoặc các vấn đề sức khỏe cộng đồng). “Bên thứ ba” có thể bao gồm các thể nhân, pháp nhân khác hay bao gồm cả các công ty con của nhà quản lý doanh nghiệp. Vì vậy, việc nhà quản lý doanh nghiệp cung cấp thông tin cho các công ty con của mình cũng phải tuân theo quy định này.

Bản sửa đổi APPI đã đưa ra các hạn chế đối với việc truyền dữ liệu ra bên ngoài Nhật Bản. Chúng chỉ có thể diễn ra nếu người nhận ở nước ngoài sống ở các quốc gia có mức độ bảo vệ dữ liệu phù hợp ngang với Nhật Bản, các thỏa thuận hợp đồng đảm bảo tuân thủ các tiêu chuẩn bảo vệ dữ liệu ở Nhật Bản đã được ký với người nhận ở nước ngoài hoặc chủ thể dữ liệu có TTCN sẽ được chuyển giao đã đồng ý trước cho việc chuyển giao đó.

Thứ sáu, quy định về cơ quan có trách nhiệm bảo vệ TTCN

PPC là cơ quan bảo vệ dữ liệu cấp trung ương được thành lập theo bản sửa đổi gần đây của APPI và chịu trách nhiệm cho việc thi hành, điều tra. Ngoài ra, PPC còn chịu trách nhiệm cho việc ban hành hướng dẫn tuân thủ APPI. Trước khi PPC được thành lập, có nhiều cơ quan của Chính phủ có quyền lực thi hành đối với các nhà quản lý doanh nghiệp theo thẩm quyền tương ứng và tại mỗi một cơ quan lại có hướng dẫn riêng (theo thống kê là hơn 40 hướng dẫn cho 27 ngành công nghiệp). Sự ra đời của bộ hướng dẫn từ PPC đã tạo ra sự thống nhất cao, tránh tình trạng hướng dẫn nằm phân tán, rải rác trong quy định tại các cơ quan khác nhau.

PPC có thể yêu cầu các báo cáo về việc xử lý TTCN và ban hành các khuyến nghị hay lệnh sửa đổi trong trường hợp nhà quản lý doanh nghiệp vi phạm quyền riêng tư của cá nhân và vi phạm những quy định của APPI. Nếu doanh nghiệp không tuân thủ yêu cầu, PPC sẽ ban hành một lệnh hành chính là một yêu cầu chính thức đến công ty có hành động liên quan đến vi phạm dữ liệu. Nếu các lệnh hành chính cũng bị phớt lờ, nhà điều hành doanh nghiệp có thể bị khép vào tội hình sự và cá nhân chịu trách nhiệm có thể phải đối mặt với khoản tiền phạt lên đến 500.000 yên (tương đương 4.600 USD) hoặc phạt tù lên đến một năm. Sự ra đời của bộ hướng dẫn từ PPC đã tạo ra sự thống nhất cao, tránh tình trạng hướng dẫn nằm phân tán, rải rác trong các quy định tại các cơ quan khác nhau. Đây được xem là bước tiến đáng chú ý nhất của Nhật Bản khi thành lập một cơ quan chuyên trách, độc lập, chuyên điều tra, xử lý các vấn đề liên quan đến DLCN.

APPI năm 2017 vẫn hướng tới việc để các cơ quan có thẩm quyền tự đặt ra các biện pháp thích hợp nhưng đặt ra một số chính sách cơ bản do Chính phủ quy định, đòi hỏi một số tiêu chí nhất định tại Điều 7, hạn chế sự mâu thuẫn trong các phương thức bảo vệ DLCN.

Theo APPI sửa đổi, khung pháp lý đã được thay đổi mạnh và Cơ quan quản lý nhà nước cấp tỉnh có trách nhiệm chính về chính sách bảo vệ TTCN tại Nhật Bản. Luật quy định rõ chức năng, quyền hạn của cơ quan này tại Điều 61 bao gồm: (i) Xây dựng và thúc đẩy chính sách cơ bản về bảo vệ TTCN; (ii) Giám sát việc xử lý TTCN và thông tin xử lý nặc danh cùng các vấn đề liên quan đến việc dàn xếp cần thiết đối với khiếu nại và hợp tác cùng người điều hành giải quyết khiếu nại; tổ chức bảo vệ thông tin được công nhận; điều phối và giám sát xử lý thông tin; (iii) Hòa giải và hợp tác giải quyết khiếu nại; (iv) Đánh giá bảo vệ TTCN cụ thể; (v) Khảo sát và nghiên cứu cần thiết để quản trị các vấn đề bảo vệ TTCN; (vi) Các vấn đề liên quan đến hợp tác quốc tế về quyền tài phán; (vii) Hợp tác với cơ quan bảo vệ dữ liệu ở nước ngoài.

Thứ bảy, quy định về các chế tài

Pháp luật bảo vệ TTCN của Nhật Bản đưa ra một số chế tài như bắt buộc thực hiện các khuyến nghị của PPC, phạt tiền, phạt tù … Vi phạm pháp luật về bảo vệ TTCN được xử lý theo quy định tại Khoản 2 hoặc 3 Điều 42. Khi nhận thấy có vi phạm nghiêm trọng các quyền và lợi ích cá nhân một cách rõ rệt trong các vụ án mà người xử lý giải quyết TTCN đã nhận được khuyến nghị tuân thủ các điều khoản quy định nhưng vẫn không hành động tuân theo khuyến nghị mà không có cơ sở hợp lý, thì PPC có thể yêu cầu người xử lý TTCN phải hành động tuân thủ theo khuyến nghị đã đưa ra.

Các điều khoản phạt đã được mở rộng, hướng tới nhiều đối tượng chủ thể hơn, hình phạt cũng nghiêm khắc hơn. APPI năm 2017 hướng tới mọi cá nhân, cơ quan, tổ chức, nếu các đối tượng này thực hiện hành vi xâm phạm đến TTCN của các chủ thể dữ liệu. Tuy nhiên, vấn đề về bồi thường thiệt hại cho chủ thể dữ liệu vẫn chưa được đề cập đến trong APPI năm 2017.

2. Thực tiễn áp dụng pháp luật dân sự Nhật Bản về bảo vệ dữ liệu cá nhân trong hoạt động giao dịch thương mại điện tử

2.1. Trước khi Luật Bảo vệ TTCN (APPI) ra đời

Chính phủ Nhật Bản đã chủ trương xây dựng một xã hội thông tin có mạng lưới cao với cơ sở hạ tầng tối tân. Tuy nhiên, sự phát triển của công nghệ thông tin trong quản lý dữ liệu cũng đồng thời tạo ra những lỗ hổng trong bảo mật TTCN. Trong lịch sử của 20 năm gần đây, Nhật Bản đã phải chứng kiến một số vụ rò rỉ TTCN đình đám, thúc đẩy quốc gia này phải ban hành một đạo luật để điều chỉnh lĩnh vực này.

Vào tháng 2/2004, Nhật Bản chứng kiến một vụ rò rỉ thông tin trên mạng lớn nhất từ cho đến thời điểm đó. Công ty cung cấp dịch vụ internet tốc độ cao lớn nhất Nhật Bản - Softbank thừa nhận 4,52 triệu thuê bao Yahoo BB (là công ty liên doanh dịch vụ Internet ADSL giữa chi nhánh Yahoo ở Nhật và Softbank) của hãng bị rò rỉ thông tin. Softbank sau đó đã phải chuẩn bị 4 tỷ yên để bồi thường cho khách hàng bị ảnh hưởng. Trong số 4,52 triệu khách hàng bị lộ thông tin có 2,4 triệu thuê bao đang sử dụng, nhiều khách hàng đang dùng thử và cả những người đã từ bỏ dịch vụ. Giới truyền thông Nhật Bản cho rằng đây là vụ rò rỉ thông tin lớn nhất từ trước tới nay. Những thông tin bị lộ bao gồm tên người dùng, số điện thoại, địa chỉ nhà riêng, địa chỉ thư điện tử, tên người dùng tài khoản. Tuy nhiên, các thông tin về thẻ tín dụng, tài khoản ngân hàng và các mật khẩu không bị ảnh hưởng do được lưu giữ ở hệ thống khác.

Trước đó, vào năm 2003, một vụ rò rỉ dữ liệu khác cũng làm chấn động Nhật Bản khi TTCN gồm tên, địa chỉ, số điện thoại của gần 4 triệu khách hàng của nhà cung cấp dịch vụ viễn thông KDDI bị lọt ra ngoài. KDDI cho biết, tất cả dữ liệu của 3.996.789 thuê bao của họ từ ngày 18/12/2003 bị kẻ gian ăn cắp. Ngoài ra còn có thông tin về giới tính, ngày sinh nhật và địa chỉ email của những khách hàng này. KDDI chỉ biết đến vụ rò rỉ dữ liệu khi nhận được cú điện thoại từ một người lạ mặt nói rằng anh ta đang có một chiếc đĩa CD chứa toàn bộ dữ liệu khách hàng của hãng. KDDI là nhà cung cấp dịch vụ truyền thông lớn thứ hai Nhật Bản. Các lĩnh vực hoạt động của hãng này bao gồm: Điện thoại cố định, internet quay số, dịch vụ băng rộng và dịch vụ di động.

Vụ rò rỉ DLCN tại KDDI chỉ là một trong số những chuỗi vụ việc đáng báo động vào giai đoạn đó. Những kẻ lấy trộm dữ liệu đã giả mạo các thông tin có được để thực hiện các vụ giao dịch bất hợp pháp trên mạng. Một số công ty bị mất DLCN rất nhiều lần vì virus đột nhập vào máy tính để chạy các chương trình chia sẻ file. Tin tặc giả danh một tổ chức nào đó gửi phiếu thanh toán và gọi điện yêu cầu người dùng trả phí cho những dịch vụ mà họ không dùng. Người dùng thường bị lừa gửi tiền rồi mới phát hiện ra trò gian lận tinh vi này.

Cuối năm 2014, dư luận thế giới xôn xao về một vụ tấn công mạng vào đơn vị sản xuất nội dung giải trí của hãng Sony, nghi ngờ có sự nhúng tay can thiệp của Triều Tiên. Thế nhưng, hãng này từng đối mặt với vụ tin tặc tấn công nghiêm trọng nhất từ 3 năm trước đó. Theo OSF, vào năm 2011, nhóm tin tặc có tên LulzSec đã đột nhập vào mạng lưới người chơi PlayStation và dịch vụ Qriocity để “chôm” gần 80 triệu thông tin tài khoản trực tuyến ở 59 quốc gia. Đây trở thành vụ rò rỉ thông tin lớn nhất trong lịch sử đối với các doanh nghiệp Nhật Bản, kéo theo sự vào cuộc điều tra quy mô lớn của nhiều nước. Theo thông báo của Sony vào thời điểm đó, các hệ thống dịch vụ qua mạng bị xâm nhập trái phép gồm dịch vụ cung cấp trò chơi qua internet “Playstation 3”, dịch vụ cung cấp phim và âm nhạc “Qriocity”. Các hệ thống dịch vụ này đã bị tin tặc tấn công từ ngày 17/4/2011 đến ngày 19/4/2011 khiến Sony phải ngừng cung cấp các dịch vụ này. TTCN bị rò rỉ bao gồm tên, địa chỉ, địa chỉ thư điện tử, ngày sinh, từ khóa. Ngoài ra, Sony cũng không loại trừ khả năng thông tin về số thẻ tín dụng và thời hạn sử dụng cũng đã bị rò rỉ. Sony cho biết tội phạm máy tính có thể sử dụng những thông tin này để làm giả thẻ tín dụng và rút tiền của khách hàng.

Trên web của mình, hãng Sony đã gửi lời xin lỗi đến khách hàng và kêu gọi khách hàng kiểm tra định kỳ, xác định số lần sử dụng thẻ tín dụng của mình. Theo Sony, số khách hàng đăng ký tại Nhật Bản là 9 triệu người và tại Mỹ là hơn 100 triệu người^[5].

2.2. Sau khi Luật Bảo vệ TTCN (APPI) ra đời

Quốc hội Nhật Bản đã thông qua Luật Bảo vệ TTCN (APPI) năm 2003 (chính thức có hiệu lực vào năm 2004) trở thành một trong những quy định bảo vệ DLCN đầu tiên ở châu Á. Văn bản này đã trải qua một sự sửa đổi, bổ sung lớn vào tháng 9/2015 sau khi một loạt các vi phạm dữ liệu cấp cao làm rung chuyển Nhật Bản vào thời điểm đó, cho thấy những quy định của APPI không còn đáp ứng được nhu cầu hiện tại. APPI sửa đổi có hiệu lực vào 30/5/2017, trước một năm so với Quy định chung về bảo vệ DLCN của Liên minh châu Âu (General Data Protection Regulation - GDPR) ra đời, việc sửa đổi phản ánh xu hướng toàn cầu về quy định bảo mật dữ liệu, cụ thể là GDPR của EU. Chính phủ Nhật Bản và Ủy ban châu Âu đã đạt được thỏa thuận chung rằng họ sẽ làm việc cùng nhau để cung cấp cho công dân của họ mức độ riêng tư dữ liệu cao hơn. Vào tháng 7/2017, hai bên cũng đã đồng ý rằng họ sẽ làm việc để đưa ra danh sách trắng vào đầu năm 2018^[6].

Những sửa đổi gần đây đối với Đạo luật Bảo vệ TTCN (APPI): Năm 2017 những thay đổi đáng chú ý là việc thành lập Ủy ban bảo vệ TTCN (PPC) và đưa ra yêu cầu rằng APPI phải được xem xét ba năm một lần. Ứng dụng ngoài lãnh thổ của APPI cũng được mở rộng. Năm 2020 bổ sung làm rõ thêm về đặc quyền ngoại giao và đưa ra yêu cầu về sự đồng ý của người dùng trước khi chuyển TTCN cho bên thứ ba, đồng thời mở rộng các chức năng của PPC, cũng như đưa ra các hình phạt nghiêm khắc hơn đối với các vi phạm.

APPI cải tiến mới và các quy tắc bổ sung có nghĩa là các doanh nghiệp Nhật Bản thu thập và xử lý TTCN cũng như các doanh nghiệp trên khắp thế giới cung cấp dịch vụ và sản phẩm cho các đối tượng dữ liệu của Nhật Bản phải thực hiện các biện pháp an ninh mạng và biện pháp bảo vệ vật lý để đảm bảo tính bảo mật của TTCN mà họ xử lý. Và trong khi các giải pháp an ninh mạng truyền thống như tường lửa và phần mềm chống vi-rút là một phần không thể thiếu trong chiến lược bảo vệ dữ liệu toàn diện, thì việc tập trung vào các mối đe dọa bên ngoài có thể khiến các công ty dễ bị tổn thương trước mối đe dọa thực tế lớn nhất đối với TTCN, đó là chính nhân viên của họ. Năm ngoái, công ty du lịch lớn nhất Nhật Bản, JTB, đã vi phạm dữ liệu, dẫn đến việc đánh cắp dữ liệu của 7,93 triệu người dùng, bao gồm cả số hộ chiếu, là do một nhân viên.

Do đó, điều cần thiết là các tổ chức phải xem xét các lỗ hổng và mối đe dọa đến từ cả bên trong lẫn bên ngoài. Các giải pháp ngăn ngừa mất mát dữ liệu của các chiến lược bảo vệ dữ liệu truyền thống tập trung vào các tác nhân độc hại bên ngoài và cung cấp các công cụ cần thiết để bảo đảm dữ liệu nhạy cảm được bảo vệ khỏi những rủi ro do bất cẩn cả trong và ngoài văn phòng.

3. Kinh nghiệm cho Việt Nam về bảo vệ dữ liệu cá nhân trong hoạt động giao dịch thương mại điện tử

Mặc dù có sự cách biệt về địa lý, nhưng Việt Nam và Nhật Bản đều chịu ảnh hưởng của nền văn minh Trung Hoa từ nhiều thế kỷ trước, do đó có những nét tương đồng nhất định. Từ những tương đồng trong văn hóa và tư tưởng, dẫn đến cách tiếp nhận và xây dựng pháp luật về bảo vệ DLCN ở Việt Nam và Nhật Bản có những điểm chung nhất định. Hiện nay, việc bảo vệ DLCN chưa có sự quan tâm đúng mức, hệ thống pháp luật chưa thực sự hoàn chỉnh tại Việt Nam. Sự chuyển mình mạnh mẽ của pháp luật Nhật Bản trong lĩnh vực bảo vệ DLCN chính là kinh nghiệm quý giá mà Việt Nam có thể tham khảo để hướng tới xây dựng, hoàn thiện pháp luật về lĩnh vực này. Việt Nam cần học tập các điểm tiến bộ của pháp luật Nhật Bản đồng thời rút kinh nghiệm những vấn đề mà pháp luật Nhật Bản chưa giải quyết được.

Thứ nhất, cách định nghĩa “thông tin cá nhân” trong pháp luật Nhật Bản có ý nghĩa bao hàm rộng hơn, khái quát hơn so với một số quốc gia khác trên thế giới. Cụ thể, “thông tin cá nhân” là thông tin về cá nhân còn sống có thể giúp xác định cụ thể cá nhân đó. Trong khi đó, khái niệm “dữ liệu cá nhân” được đề cập đến tại khoản 4 Điều 2 APPI năm 2003 lại bị giới hạn ở dạng TTCN được mã hóa và được phép truy xuất. Khái niệm này cho thấy, phạm trù của DLCN nhỏ hơn nhiều so với “thông tin cá nhân”.

Thứ hai, Việt Nam cần ban hành luật về bảo vệ DLCN như APPI của Nhật Bản hơn là các văn bản quy phạm pháp luật dưới luật. Văn bản pháp luật cần bảo đảm tính chuyên biệt để quy định một cách rộng rãi và toàn diện tất cả các vấn đề pháp lý liên quan đến DLCN và bảo vệ DLCN nhằm tránh sự chồng chéo nhau trong các quy định của pháp luật. Văn bản này cần ghi nhận các quy định cụ thể về bảo vệ DLCN trong giao dịch thương mại điện tử, tránh tình trạng kìm hãm sự phát triển của thương mại điện tử.

Thứ ba, tại Nhật Bản, với sự ra đời của PPC, việc thực thi pháp luật đã có những chuyển biến tích cực, giúp bảo đảm thực thi pháp luật một cách hiệu quả trên thực tiễn. Bên cạnh đó, PPC liên tục thực hiện nghiên cứu các quy định của pháp luật để có thể đưa ra những định hướng sửa đổi, bổ sung nhằm từng bước hoàn thiện pháp luật đáp ứng nhu cầu thực tế và phù hợp với xu hướng chung của thế giới. Việt Nam cần học tập kinh nghiệm thành lập một cơ quan chuyên biệt, độc lập để giám sát và thực thi pháp luật về bảo vệ DLCN.

Thứ tư, APPI năm 2017 đã có những thay đổi lớn, nhưng cũng có những khía cạnh đạo luật này chưa thể giải quyết, trong đó có việc tạo ra một màn chắn bảo vệ dành cho những người chưa thành niên hoặc người không có đầy đủ năng lực hành vi dân sự. Do đó, Việt Nam cần nghiên cứu thiết lập một cơ chế bảo hộ cụ thể, riêng biệt đối với các đối tượng yếu thế trong xã hội vì nhóm đối tượng này dễ trở thành nạn nhân của hành vi xâm phạm DLCN trong giao dịch thương mại điện tử.

Thứ năm, APPI năm 2017 vẫn chưa ghi nhận trách nhiệm bồi thường thiệt hại khi DLCN trong giao dịch thương mại điện tử bị xâm hại. Bên cạnh việc quy định các chế tài nghiêm khắc, pháp luật bảo vệ DLCN Việt Nam cũng cần quan tâm đến vấn đề bồi thường thiệt hại như một công cụ để khắc phục hậu quả mà hành vi xâm phạm đến thông tin, dữ liệu cá nhân gây ra./.

ThS. Nguyễn Ngọc Ánh

Giảng viên Khoa Đào tạo Thẩm tra viên, Thư ký Tòa án, Học viện Tòa án

Dương Lan Phương & Bùi Lê Hiếu

Sinh viên, Học viện Tòa án