1. Khái niệm dữ liệu cá nhân và chủ thể cung cấp dịch vụ trên internet

1.1. Khái niệm dữ liệu cá nhân

Khoản 3 Điều 38 Bộ luật Dân sự năm 2015 quy định: “Thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của cá nhân được bảo đảm an toàn và bí mật”. Tuy không đề cập trực tiếp thuật ngữ “dữ liệu cá nhân” nhưng Bộ luật Dân sự năm 2015 đề cập đến các nội dung “thông tin”, “dữ liệu” cá nhân thuộc quyền về đời sống riêng. Do đó, theo pháp luật Việt Nam, “dữ liệu cá nhân” có thể được xem là một phần thuộc quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình.

Trong khoa học pháp lý, định nghĩa về dữ liệu cá nhân cũng hết sức đa dạng, nhưng phần lớn đều thể hiện phạm vi khái quát và bao hàm cả “thông tin”. Đạo luật về bảo vệ dữ liệu cá nhân (Data Protection Act 2018) của Vương Quốc Anh quy định: “Dữ liệu cá nhân (Personal Data) có nghĩa là bất kỳ thông tin nào liên quan đến một cá nhân sống đã được xác định hoặc có thể xác định được”. Theo quy định bảo vệ dữ liệu chung (General Data Protection Regulation (GDPR), có hiệu lực vào tháng 5 năm 2018) của Liên minh châu Âu EU[1] thì dữ liệu cá nhân được hiểu là bất kỳ thông tin nào liên quan đến một cá nhân có thể được xác định trực tiếp hoặc gián tiếp. Có thể thấy, sử dụng cụm từ “thông tin” ở Hoa Kỳ hẹp hơn so với các quốc gia châu Âu, tuy nhiên, xu hướng mở rộng phạm vi “dữ liệu cá nhân” đang được thực hiện bởi các bang của Hoa Kỳ.

Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân (Nghị định số 13/2023/NĐ-CP) quy định: “Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm”. Như vậy, khái niệm dữ liệu cá nhân của pháp luật Việt Nam tiệm cận so với các quy định của các nền pháp lý trên thế giới. Dữ liệu cá nhân không đề cập đến dữ liệu tổ chức, tức là các thông tin về một pháp nhân, một tổ chức thì không được áp dụng quy chế về bảo vệ dữ liệu cá nhân nhưng thành viên của tổ chức đó là các cá nhân thì được áp dụng quy chế này.

1.2. Khái niệm chủ thể cung cấp dịch vụ trên internet

Theo từ điển, “nhà cung cấp dịch vụ” là một doanh nghiệp kinh doanh cung cấp dịch vụ cho khách hàng, đặc biệt là dịch vụ kết nối khách hàng với internet[2]. Ở đây còn có khái niệm về “nhà cung cấp dịch vụ trung gian”. “Người trung gian” (intermediary) là một người hoặc một tổ chức giúp những người hoặc tổ chức khác đạt được thỏa thuận bằng cách trở thành phương tiện liên lạc giữa họ[3]. Như vậy, “nhà cung cấp dịch vụ trung gian” là chủ thể (người hoặc tổ chức) cung cấp các dịch vụ (thường là internet) để các chủ thể khác trong xã hội đạt được các lợi ích nhất định, dịch vụ này là nền tảng kết nối để làm được điều đó.

Nhóm chủ thể này thực hiện chức năng là cung cấp nền tảng trên môi trường kỹ thuật số cho người dùng thực hiện các thao tác như trao đổi thông tin, hàng hoá, đáp ứng các nhu cầu nhất định. Chẳng hạn, chủ thể cung cấp internet như các nhà mạng viễn thông, các chủ thể cung cấp ứng dụng để kết nối như Facebook, Zalo…, các chủ thể cung cấp nền tảng trao đổi hàng hoá như Shoppee, Lazada…, các chủ thể cung cấp nền tảng thực hiện tác vụ nhất định như dịch thuật, tìm kiếm dữ liệu, chỉnh sửa thông tin yêu cầu… hay nói đúng hơn là nhóm chủ thể cung cấp các dịch vụ trên môi trường internet.

Các chủ thể nêu trên được phân thành hai nhóm chủ thể: Chủ thể cung cấp môi trường internet và chủ thể cung cấp các dịch vụ trên môi trường internet[4]. Tác giả cho rằng, thuật ngữ chung nhất và phù hợp nhất khi xác định khái niệm bao quát là “chủ thể cung cấp dịch vụ trên internet”, bao gồm cả hai nhóm chủ thể trên. Việc làm rõ nội hàm này góp phần xác định phạm vi chủ thể chịu trách nhiệm trong vấn đề bảo vệ dữ liệu cá nhân của người sử dụng internet.

2. Vai trò và trách nhiệm pháp lý của chủ thể cung cấp dịch vụ trên internet trong bảo vệ dữ liệu cá nhân

2.1. Vai trò của chủ thể cung cấp dịch vụ trên internet trong bảo vệ dữ liệu cá nhân

Nhà cung cấp dịch vụ trung gian hay tổ chức cung cấp dịch vụ mạng đã trở thành “trụ cột” khi họ cung cấp cơ sở hạ tầng kết nối. Họ cấp quyền truy cập, lưu trữ, truyền và đưa nội dung, sản phẩm và dịch vụ do bên thứ ba tạo ra trên internet hoặc cung cấp dịch vụ dựa trên internet cho bên thứ ba[5]. Vai trò quan trọng của nhóm chủ thể này là tạo nền tảng, môi trường, cơ sở hạ tầng cho các chủ thể tiến hành các giao dịch trên môi trường internet. Để cung cấp cho các chủ thể các điều kiện trên, việc được truy cập internet và sử dụng các tiện ích của nó, người dùng phải thực hiện việc cung cấp các thông tin định danh để phục vụ cho vấn đề trả phí và quản lý thông tin cần thiết như họ tên, số căn cước công dân (giấy tờ tùy thân), hình ảnh, số điện thoại, địa chỉ email, nơi làm việc, mức lương… đây là những yếu tố được xem là gắn liền với mỗi cá nhân góp phần xác định cá nhân đó mà được xác định là “dữ liệu cá nhân” như đã phân tích ở phần 1. Nhà cung cấp dịch vụ trung gian hay tổ chức cung cấp dịch vụ mạng sẽ có được thông tin của người dùng, lưu trữ và quản lý nó.

Tuy nhiên, vấn đề rò rỉ, mua bán, trao đổi, xâm phạm dữ liệu cá nhân ngày càng phức tạp, cho thấy phần trách nhiệm của chủ thể cung cấp dịch vụ trên internet chưa được thực hiện đầy đủ, thiện chí và tự giác. Chẳng hạn, năm 2019, Ngân hàng MSB bị lộ dữ liệu khách hàng[6]; năm 2021, khoảng 535 triệu tài khoản người dùng Facebook bị rò rỉ dữ liệu[7]… Thực trạng này đặt ra tính cấp thiết trong việc ban hành các giải pháp khắc phục, một trong số đó phải kể đến là việc nâng cao trách nhiệm của các chủ thể cung cấp dịch vụ trên internet trong quản lý nguồn dữ liệu cá nhân của người dùng mà mình có được.

2.2. Trách nhiệm pháp lý của chủ thể cung cấp dịch vụ internet trong bảo vệ dữ liệu cá nhân

Vì thu thập, quản lý một lượng lớn dữ liệu cá nhân nên trách nhiệm của chủ thể cung cấp dịch vụ internet được đặt ra để bảo vệ dữ liệu cá nhân người dùng. Đây được xem là trách nhiệm của doanh nghiệp đối với xã hội (CSR - Corporate Social Responsibility) mà học thuyết về trách nhiệm xã hội của doanh nghiệp hướng đến[8].

Trong hệ thống pháp luật của Liên minh châu Âu (EU), trách nhiệm của các nhà cung cấp dịch vụ trên internet (ISP) được áp dụng theo hai hệ thống tùy thuộc vào loại hành vi: Hệ thống trách nhiệm pháp lý nghiêm ngặt hay hệ thống trách nhiệm pháp lý nhẹ hơn. Với một hệ thống trách nhiệm pháp lý nghiêm ngặt, một ISP sẽ phải chịu trách nhiệm pháp lý, bất kể họ có biết và kiểm soát tài liệu được phổ biến thông qua các nền tảng mình cung cấp hay không[9]. Tuân thủ nghĩa vụ này là một nhiệm vụ kỹ thuật phức tạp, phần lớn các ISP nhỏ, những người không có đủ phương tiện để đáp ứng yêu cầu như thế này, sẽ phải đối mặt với mối đe dọa rất lớn về trách nhiệm pháp lý tiềm ẩn[10]. Trong một hệ thống khác dựa trên lỗi, một ISP sẽ phải chịu trách nhiệm nếu cố ý vi phạm các quyền của người khác.

Như vậy, có thể thấy, trách nhiệm của các chủ thể cung cấp dịch vụ internet thể hiện ở hai khía cạnh: (i) Áp dụng biện pháp bảo vệ dữ liệu cá nhân trong quá trình quản lý; (ii) Chịu trách nhiệm trước người dùng khi dữ liệu cá nhân bị xâm phạm.

3. Thực trạng pháp luật Việt Nam về trách nhiệm của chủ thể cung cấp dịch vụ internet và một số kiến nghị hoàn thiện pháp luật

Nhận thấy tính cấp thiết của việc bảo vệ dữ liệu cá nhân, đặc biệt là trên nền tảng kỹ thuật số, Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân (Nghị định số 13/2023/NĐ-CP) ra đời như là một văn bản pháp lý ghi nhận chung nhất về vấn đề dữ liệu cá nhân[11]. Tuy nhiên, dưới góc độ pháp luật dân sự, chưa có quy định nào đề cập trách nhiệm của chủ thể cung cấp dịch vụ trên internet.

Đề cập khái niệm này, trong Luật Giao dịch điện tử năm 2005 ghi nhận đó là “tổ chức cung cấp dịch vụ mạng” cung cấp hạ tầng đường truyền và các dịch vụ khác có liên quan để thực hiện giao dịch điện tử. Điều 198b Luật sửa đổi, bổ sung một số điều của Luật Sở hữu trí tuệ năm 2022 (Luật Sở hữu trí tuệ) quy định về trách nhiệm của doanh nghiệp cung cấp dịch vụ trung gian: “Doanh nghiệp cung cấp dịch vụ trung gian là doanh nghiệp cung cấp phương tiện, kỹ thuật để tổ chức, cá nhân sử dụng dịch vụ đưa nội dung thông tin số lên môi trường mạng viễn thông và mạng internet; cung cấp kết nối trực tuyến cho công chúng tiếp cận, sử dụng nội dung thông tin số trên môi trường mạng viễn thông và mạng internet”.

Theo tác giả, thuật ngữ trên được sử dụng không có sự thống nhất. Bởi vì, hiên nay, trên nền tảng internet, các chủ thể cung cấp phương tiện hỗ trợ cho người sử dụng gồm: Chủ thể cung cấp môi trường internet như các nhà mạng, bưu chính viễn thông và các chủ thể cung cấp các nền tảng trao đổi thông tin, thực hiện các tác vụ phục vụ người dùng như: Facebook, Tiktok, Lazada, Small PDF… Vì vậy, tác giả cho rằng, cần có sự thống nhất trong cách định nghĩa tại Việt Nam, bởi các chủ thể này đều có vai trò quan trọng trong quản lý thông tin của người sử dụng gọi là dữ liệu cá nhân. Dựa vào các nghiên cứu trên, tác giả kiến nghị, các chủ thể trên nên được gọi là “chủ thể cung cấp dịch vụ trên internet”, bởi nếu gọi là “chủ thể cung cấp dịch vụ trung gian” như tại Điều 198b Luật Sở hữu trí tuệ chưa bao quát đủ nhóm chủ thể cung cấp dịch vụ trực tiếp như Small PDF, dịch vụ chuyển đổi ngôn ngữ,… hay “tổ chức cung cấp dịch vụ mạng” như Luật Giao dịch điện tử năm 2005 chỉ bao gồm nhà cung cấp mạng internet, trong khi cả hai nhóm chủ thể này đều có vai trò, trách nhiệm trong bảo vệ dữ liệu cá nhân của người tiêu dùng đã được phân tích ở phần 2.

Đề cập đến trách nhiệm của chủ thể cung cấp dịch vụ internet trong bảo vệ dữ liệu cá nhân, hiện nay pháp luật Việt Nam chưa quy định cụ thể. Điều 198b Luật Sở hữu trí tuệ chỉ mới đề cập đến trách nhiệm của doanh nghiệp cung cấp dịch vụ trung gian trong bảo vệ quyền tác giả, quyền liên quan. Doanh nghiệp này cũng được miễn trừ trách nhiệm nếu rơi vào các trường hợp mà luật quy định khi đã thực hiện hết các nghĩa vụ bảo mật của mình. Đây cũng là nội dung cần tham khảo khi quy định trách nhiệm nhóm chủ thể này trong bảo vệ dữ liệu cá nhân.

Nghị định số 13/2023/NĐ-CP ghi nhận trách nhiệm của bên kiểm soát dữ liệu và bên xử lý dữ liệu, tuy nhiên, các nội dung chỉ đề cập vấn đề trao đổi, quản lý dữ liệu cá nhân, chưa có các “chế tài” được áp dụng nếu nhóm chủ thể này thực hiện không đúng, không đầy đủ hoặc không thực hiện các nội dung mà Nghị định yêu cầu.

Bộ luật Dân sự năm 2015 cũng chưa có sự ghi nhận về nội dung này. Điều 11 Bộ luật Dân sự năm 2015 quy định các phương thức bảo vệ quyền dân sự trong đó có buộc bồi thường thiệt hại, khoản 11 Điều 9 Nghị định số 13/2023/NĐ-CP dẫn chiếu đến nội dung tại Điều 11 Bộ luật Dân sự năm 2015. Vậy chủ thể bị xâm phạm dữ liệu cá nhân được quyền yêu cầu chủ thể cung cấp dịch vụ trên internet liên đới bồi thường thiệt hại cho mình hay không? Triết lý bồi thường thiệt hại của pháp luật Việt Nam là thiệt hại phải được bồi thường toàn bộ[12]. Như vậy, áp dụng với vấn đề đang xem xét, có thể thấy rõ như sau:

Một là, có thiệt hại xảy ra trên thực tế: Thiệt hại này có thể là thiệt hại vật chất hoặc tinh thần do chủ thể quyền chứng minh.

Hai là, có hành vi gây ra thiệt hại: Chủ thể cung cấp dịch vụ trung gian đã không thực hiện đúng, đầy đủ trách nhiệm mà luật quy định khi bảo vệ dữ liệu cá nhân (chưa xét đến chủ thể cung cấp dịch vụ trung gian trực tiếp thực hiện hành vi xâm phạm).

Ba là, có mối quan hệ nhân quả giữa hành vi gây thiệt hại và thiệt hại: Chính vì hành vi thực hiện không đúng trách nhiệm mà luật quy định mà đã gián tiếp gây nên thiệt hại cho người tiêu dùng. Yếu tố lỗi cũng cần được xem xét để xác định mức độ bồi thường thiệt hại. Thiệt hại ở đây là toàn bộ thiệt hại vật chất và tinh thần mà chủ thể dữ liệu bị xâm phạm và thiệt hại này sẽ không xảy ra nếu chủ thể cung cấp dịch vụ trên internet thực hiện đúng trách nhiệm của mình trên môi trường số. Do đó, xuất phát từ học thuyết trách nhiệm gián tiếp (Vicarious liability theory[13]), tác giả cho rằng, cần ghi nhận trách nhiệm của chủ thể cung cấp dịch vụ trên internet, gồm trách nhiệm về mặt kỹ thuật và bồi thường thiệt hại bên cạnh chủ thể trực tiếp gây thiệt hại cho chủ thể dữ liệu, tức hai khoản thiệt hại này là khác nhau (một thiệt hại gián tiếp và một thiệt hại trực tiếp).

Tác giả đề xuất, bên cạnh quy định thống nhất khái niệm chủ thể cung cấp dịch vụ trên internet nêu trên, cần bổ sung quy định về trách nhiệm của nhóm chủ thể này vào Nghị định số 13/2023/NĐ-CP nếu có điều kiện sửa đổi, bổ sung, theo hướng:

Thứ nhất, trách nhiệm trong bảo mật dữ liệu cá nhân: Chủ thể phải thực hiện các biện pháp kỹ thuật cần thiết trong khả năng của mình để bảo vệ tối đa dữ liệu cá nhân mà mình quản lý, lưu trữ hoặc cho phép lưu trữ, thể hiện trên nền tảng. Nếu không trang bị được, chủ thể đó không được thực hiện cung cấp dịch vụ trên internet tại Việt Nam.

Thứ hai, bổ sung quy định về bồi thường thiệt hại ngoài hợp đồng đối với chủ thể cung cấp dịch vụ trên internet trong trường hợp không thực hiện đúng, đầy đủ trách nhiệm của mình trong bảo vệ dữ liệu cá nhân. Thiệt hại ở đây là thiệt hại về vật chất, tinh thần cho chủ thể dữ liệu đáng ra họ sẽ không phải gánh chịu nếu không có hành vi gián tiếp này.

Thứ ba, bổ sung quy định về loại trừ trách nhiệm cho chủ thể này nếu họ đã thực hiện đầy đủ nghĩa vụ bảo mật nêu trên.

TS. Nguyễn Xuân Quang

ThS. Lê Nhật Hồng

Khoa Luật Dân sự, Trường Đại học Luật TP. Hồ Chí Minh

ThS. Đặng Thị Thúy Thành

Đại học Công nghiệp Dệt May Hà Nội

[1]. Xem thêm: What is GDPR, the EU’s new data protection, https://gdpr.eu/what-is-gdpr/, truy cập ngày 26/02/2023.

[2]. Xem: https://www.oxfordlearnersdictionaries.com/definition/american_english/service-provider#:~:text=service%20 provider-,noun,Internet%20an%20Internet%20service%20provider, truy cập ngày 26/02/2023.

[3]. Xem: https://www.oxfordlearnersdictionaries.com/definition/english/intermediary_1?q=intermediary, truy cập ngày 26/02/2023.

[4]. Một số tài liệu còn phân chia thành:

- Nhà điều hành mạng cung cấp các phương tiện kỹ thuật để truyền thông tin.

- Nhà cung cấp truy cập: Cung cấp cho người dùng quyền truy cập vào internet.

- Công cụ Tìm kiếm: Các công cụ trực tuyến được sử dụng để tìm các trang Web như Yahoo!, AltaVista, Google v.v...

- Nhà cung cấp dịch vụ lưu trữ: Các dịch vụ trong đó người dùng có thể thuê không gian trang Web, thiết lập các trang Web và tải nội dung lên, chẳng hạn như phần mềm, văn bản, đồ họa hoặc âm thanh.

Xem thêm: http://www.eclip.org/eclip_l.htm., truy cập ngày 27/02/2023.

[5]. Organisation for Economic Cooperation and Development (2010), The Economic and Social Role of Internet Intermediaries, pp.9.

[6]. Xem: https://antoanthongtin.vn/an-toan-thong-tin/ngan-hang-msb-bi-lo-2-trieu-du-lieu-khach-hang-105655, truy cập ngày 20/02/2023.

[7]. Xem: https://laodong.vn/kinh-doanh/hon-500-trieu-nguoi-dung-facebook-bi-ro-ri-du-lieu-lo-lot-tu-he-thong-895759.ldo, truy cập ngày 22/02/2023.

[8]. Xem mô hình trách nhiệm xã hội của doanh nghiệp gồm các thành tố: Kanji, G.K., & Chopra, P. (2007), “Poverty as system: Human contestability approach to poverty measurement”, Journal of Applied Statistics, 34, p. 1135 - 1158.

[9]. Rosa Julia-Barcelo, “Liability for Online Intennediaries:A European Perspective”, http://www.eclip.org/eclip_l.htm, truy cập ngày 27/02/2023.

[10]. Pablo Baistrocchi (2003), “Liability of Intermediary Service Providers in the EU Directive on Electronic Commerce”, Santa Clara High Technology Law Journal, Volume 19, Issue 1, pp. 114.

[11]. Ngoài ra còn có văn bản khác đề cập như Luật An ninh mạng năm 2018; Luật Dược năm 2016; Luật Công nghệ thông tin năm 2006; Luật Hàng không dân dụng Việt Nam năm 2006, sửa đổi, bổ sung năm 2013, 2014.

[12]. Điều 13 Bộ luật Dân sự năm 2015.

[13]. Học thuyết đề cập đến tính hợp lý của việc ghi nhận trách nhiệm chủ thể không trực tiếp thực hiện hành vi xâm phạm nhưng đóng vai trò chủ đạo dẫn đến thiệt hại xảy ra.

Xem thêm: WE Scott (1979), “The theory of risk liability and its application to vicarious liability”, The Comparative and International Law Journal of Southern Africa, Vol. 12, No. 1, pp.44 - 64.

(Nguồn: Tạp chí Dân chủ và Pháp luật Kỳ 1 (Số 384), tháng 7/2023)