(KTSG) - Bài viết này phân tích “xung đột” có thể xảy ra khi các chủ thể thực hiện quyền của mình trên dữ liệu số cùng lúc. Từ đó, đề xuất xây dựng nguyên tắc nhằm xác định phạm vi áp dụng và thứ tự ưu tiên áp dụng của các hệ thống pháp quy liên quan đến “dữ liệu số” và “dữ liệu cá nhân”.
- Khai thác và bảo vệ an toàn mỏ vàng dữ liệu số
- TPHCM cấp bản sao từ dữ liệu số hoá sổ hộ tịch từ ngày 15-6
Xác định “Dữ liệu là tài nguyên quốc gia, tài sản cá nhân”(1), nước ta đã và đang ban hành nhiều văn bản pháp lý mới để hiện thực hóa chính sách quản trị nguồn tài nguyên này. Tháng 7-2025, Luật Dữ liệu sẽ có hiệu lực thi hành, tạo dựng cơ chế tiếp cận, khai thác và sử dụng đối với dữ liệu số trong toàn bộ ngành, nghề, lĩnh vực của đời sống kinh tế - xã hội. Bên cạnh đó, Dự thảo Luật Bảo vệ dữ liệu cá nhân đang được gấp rút hoàn thiện, dự kiến trình Quốc hội vào tháng 6-2025.
Có thể nói, hai đạo luật này tạo nên “xương sống” của khung pháp lý điều chỉnh hoạt động tiếp cận, khai thác, xử lý, sử dụng dữ liệu ở Việt Nam. Áp dụng song song, hai đạo luật này vừa khơi thông nguồn lực để phát huy tối đa các lợi ích kinh tế, xã hội mà dữ liệu số mang lại, vừa bảo vệ quyền của cá nhân đối với dữ liệu cá nhân.
Mặt khác, nếu nhìn nhận trong tổng thể khung chính sách, hai đạo luật này có thể được ví như hai “đối trọng” được thiết kế để điều hòa quyền lợi của các chủ thể liên quan trong hoạt động xử lý dữ liệu. Cụ thể, nếu như Luật Dữ liệu ghi nhận, bảo vệ quyền có tính chất tài sản của chủ sở hữu dữ liệu và quyền của các chủ thể khác trên dữ liệu, thì Luật Bảo vệ dữ liệu cá nhân (sắp tới) là công cụ mạnh mẽ để bảo vệ quyền của cá nhân trên những dữ liệu có liên quan đến cá nhân, hạn chế quyền khai thác, sử dụng của các chủ thể khác xâm phạm đến lợi ích hợp pháp của cá nhân trong dữ liệu cá nhân.
Nhưng nếu cả hai chủ thể cùng yêu cầu thực hiện quyền trên một đối tượng dữ liệu số thì pháp luật nên ưu tiên việc thực hiện quyền gì, của bên nào và vì sao?
Quyền của các chủ thể trong lưu trình xử lý dữ liệu
Trước hết, dữ liệu cá nhân là những thông tin “gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể” (điều 1.2 Nghị định 13/2023/NĐ-CP). Trong xã hội số hóa, xuất phát từ nhu cầu giữ trọn sự toàn vẹn đời tư của cá nhân, quyền của cá nhân đối với thông tin liên quan tới chính họ phải được bảo vệ bằng các biện pháp pháp quy, nhằm đảm bảo các chủ thể kiểm soát, xử lý dữ liệu cá nhân chỉ thu thập, xử lý dữ liệu cá nhân khi chủ thể dữ liệu cá nhân biết, đồng ý và cho phép xử lý dữ liệu cá nhân đó.
Doanh nghiệp phải thận trọng hơn khi xử lý dữ liệu số, phải đảm bảo “làm sạch” mọi liên hệ đến cá nhân cụ thể trước khi đưa dữ liệu số vào khai thác, thu lợi.
Nguyên lý nói trên được cụ thể hóa thành các nghĩa vụ mà bên kiểm soát, xử lý dữ liệu cá nhân (nói chung) phải thực hiện đối với cá nhân, chẳng hạn như nghĩa vụ phải xin sự đồng ý của cá nhân khi thu thập, xử lý dữ liệu, phải thông báo rõ ràng mục đích thu thập, xử lý dữ liệu, phải có cơ chế để cá nhân thực hiện quyền sửa đổi, rút lại sự đồng ý hoặc xóa dữ liệu... Để đảm bảo tuân thủ, pháp luật còn đặt ra các trách nhiệm pháp lý tương ứng nếu các chủ thể này không tuân thủ hoặc tuân thủ không đầy đủ những nghĩa vụ này. Ở Việt Nam, cơ chế pháp lý này đã được ghi nhận tại Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, cũng như trong dự thảo Luật Bảo vệ dữ liệu cá nhân dự kiến sẽ được thông qua trong năm nay.
Nhưng dữ liệu cá nhân chỉ là một loại dữ liệu trong số rất nhiều loại dữ liệu số. Đối với những loại dữ liệu không phải là dữ liệu cá nhân, chẳng hạn như dữ liệu về quy cách hàng hóa, dữ liệu công nghiệp, dữ liệu về phát minh, sáng chế, sản phẩm trí tuệ..., việc khai thác và hưởng lợi đúng mức từ chúng sẽ mang lại lợi ích to lớn không những cho chủ sở hữu dữ liệu đó mà còn cho người quản lý, hưởng dụng từ chúng (chẳng hạn như đại lý, nhà phân phối...).
Tuy nhiên, các doanh nghiệp, nhà nghiên cứu, tổ chức sở hữu công nghệ xử lý dữ liệu... sẽ cần cơ chế pháp lý phù hợp nhằm bảo đảm họ chiếm hữu, khai thác và hưởng lợi nhuận từ những hoạt động kinh doanh liên quan tới dữ liệu số một cách hợp pháp. Ngoài ra, Nhà nước cũng cần có cơ sở pháp lý phù hợp để xử lý các dữ liệu liên quan trong khu vực công, phục vụ hoạt động hành chính - công vụ.
Đáp ứng những nhu cầu này, Luật Dữ liệu ghi nhận những quyền mang tính chất tài sản của các chủ thể khác nhau đối với khối các dữ liệu số có thể khai thác, mang lại lợi ích cho người có quyền. Những chủ thể này lần đầu tiên được gọi tên trong Luật Dữ liệu: chủ sở hữu dữ liệu, chủ quản dữ liệu... Các chủ thể này hưởng những quyền mang tính chất tài sản, theo đó có quyền chiếm hữu, khai thác, dụng ích, hưởng lợi và định đoạt đối với những dữ liệu thuộc quyền kiểm soát, quản lý của mình (xem bảng 1).
Có thể xung đột khi thực hiện quyền
Như đã nói ở trên, thực tế dữ liệu số có thể bao gồm các thông tin gắn liền với cá nhân. Đối với việc xử lý các dữ liệu “hỗn hợp” như vậy, nếu nhu cầu của các chủ thể đồng thời phát sinh trên cùng một trường đơn vị dữ liệu thì “xung đột” sẽ xảy ra giữa một bên là việc thực hiện quyền có tính chất tài sản của chủ thể dữ liệu, chủ quản dữ liệu, chủ sở hữu dữ liệu hay người dùng dữ liệu, với bên còn lại là việc thực hiện quyền của chủ thể dữ liệu cá nhân.
Lấy ví dụ, cho một trường dữ liệu về hoạt động của doanh nghiệp C, bao gồm thông tin về nhân sự, thông tin về người đại diện theo pháp luật của doanh nghiệp mình (ông D), thông tin về sản phẩm do C sản xuất và thông tin về kết quả hoạt động sản xuất, kinh doanh của C. Giả sử C có nhu cầu chuyển giao trường dữ liệu này cho E, một chủ quản dữ liệu để họ xử lý. Trường hợp này, C có phải xin sự đồng ý từ D - là chủ thể dữ liệu cá nhân, có dữ liệu phản ánh về mình trong trường dữ liệu nói trên hay không?
Rõ ràng, trong ví dụ nêu trên, D hoàn toàn có quyền áp dụng pháp luật về bảo vệ dữ liệu cá nhân để từ chối không cho C chuyển giao dữ liệu liên quan đến mình cho E. Tuy nhiên, doanh nghiệp C cũng có thể áp dụng Luật Dữ liệu, lập luận rằng: trường dữ liệu nói trên là những thông tin phản ánh về doanh nghiệp C, trong đó gồm có dữ liệu do hoạt động lao động/sản xuất của doanh nghiệp C tạo ra, vì thế C là chủ thể dữ liệu/chủ sở hữu dữ liệu theo Luật Dữ liệu và có quyền định đoạt đối với trường dữ liệu này.
Vậy ở góc độ thi hành, diễn giải luật, cần ưu tiên việc thực hiện quyền của C hay của D?
Vấn đề này khó có thể được giải quyết chỉ bằng việc “tách” giữa dữ liệu cá nhân và dữ liệu phi cá nhân, vì trong nhiều trường hợp, dữ liệu sẽ tồn tại thành một khối. Chẳng hạn, đối với trường dữ liệu trong ví dụ vừa nêu, việc tách thông tin về “người đại diện theo pháp luật” khỏi thông tin về một doanh nghiệp gần như là không thể. Thực tiễn cho thấy ít có ai tách thông tin về người đại diện theo pháp luật của doanh nghiệp khỏi thông tin đăng ký của doanh nghiệp. Vậy trong cùng một đối tượng dữ liệu số, có thể có chủ sở hữu dữ liệu thực hiện quyền sở hữu, cũng có thể có chủ thể dữ liệu cá nhân thực hiện quyền nhân thân của mình. “Xung đột”này nên được giải quyết như thế nào?
Đề xuất nguyên tắc xác định phạm vi và thứ tự ưu tiên áp dụng
Với việc tách bạch hai hệ thống luật - một bên là “luật về bảo vệ dữ liệu cá nhân”, bên còn lại là “luật về dữ liệu”, nếu nhìn từ tư duy hệ thống, cần phải có một nguyên tắc chung mang tính chất điều hòa, xác lập thứ tự ưu tiên khi các chủ thể có yêu cầu thực hiện các quyền của họ trên cùng một đối tượng dữ liệu.
Hiện nay, các dự thảo Nghị định hướng dẫn Luật Dữ liệu đang được công bố để lấy ý kiến. Dự thảo Luật Bảo vệ dữ liệu cá nhân cũng tiến dần đến ngày thông qua. Để việc áp dụng sau này được mạch lạc, rõ ràng, các dự thảo này cần ghi nhận và đưa ra các nguyên tắc cụ thể để dẫn đường cho việc thực hiện quyền của các chủ thể khi thực hiện quyền của mình theo hai hệ thống văn bản này, đặc biệt khi phát sinh các trường hợp chồng chéo hoặc xung đột giữa các chủ thể khi họ thực hiện quyền.
Thử nhìn sang Liên minh châu Âu (EU): EU là khu vực đi đầu về xây dựng các quy định về bảo vệ dữ liệu cá nhân và quản trị dữ liệu số. Vừa qua, Luật về quản trị dữ liệu của châu Âu - Data Governance Act (DGA), một “Luật Dữ liệu” của EU, có quy định rõ ràng về thứ tự ưu tiên áp dụng luật và thực hiện quyền trong trường hợp có “xung đột” giữa các chủ thể hưởng quyền. Cụ thể, khoản 3, điều 1 của DGA, quy định trong trường hợp có xung đột giữa các văn bản pháp lý về bảo vệ dữ liệu cá nhân và luật quản trị dữ liệu thì luật bảo vệ dữ liệu cá nhân sẽ được ưu tiên áp dụng.
Bên cạnh đó, một nguyên tắc khác rất quan trọng là tách bạch rạch ròi giữa “luật về bảo vệ dữ liệu cá nhân” và “luật về quản trị dữ liệu” (hay luật về dữ liệu): khung pháp lý về quản trị dữ liệu không được áp dụng để điều chỉnh các vấn đề liên quan đến bảo vệ dữ liệu cá nhân, ngay cả khi áp dụng trong tình huống thực tiễn, khi dữ liệu cá nhân và dữ liệu phi cá nhân trong một tập dữ liệu có liên kết chặt chẽ với nhau (ví dụ được đưa ra trong bài viết này). Đặc biệt, để tránh gây chồng chéo, DGA còn quy định rạch ròi tại khoản 4 và khoản 15, phần “Lời nói đầu”, như sau: (1) pháp luật quản trị dữ liệu không được hiểu là tạo ra cơ sở pháp lý mới cho bất kì hoạt động xử lý dữ liệu cá nhân nào; (2) dữ liệu cá nhân chỉ được truyền đưa cho bên thứ ba xử lý trên cơ sở pháp luật bảo vệ dữ liệu cá nhân.
Bằng những điều khoản trên, nhà làm luật của EU đã xác lập nên nguyên tắc hệ thống khi cùng lúc có nhiều chủ thể cùng thực hiện các quyền khác nhau trên cùng đối tượng dữ liệu số. Theo đó, nếu có chủ thể dữ liệu cá nhân thực hiện quyền đối với dữ liệu cá nhân trong trường dữ liệu thì pháp luật về bảo vệ dữ liệu cá nhân sẽ được ưu tiên áp dụng; trong trường hợp này, việc thực hiện quyền giữa các bên sẽ được điều chỉnh bởi luật về bảo vệ dữ liệu cá nhân. Lúc này, các chủ thể kiểm soát, xử lý dữ liệu sẽ trở thành chủ thể chịu nghĩa vụ theo luật về bảo vệ dữ liệu cá nhân. Các chủ thể gần như không thể đặt vấn đề “sở hữu dữ liệu” hay “chuyển giao dữ liệu” theo cơ chế mà Luật Dữ liệu đặt ra nữa.
Nguyên tắc “phân định” này là tốt hay xấu? Việc xây dựng nguyên tắc này sẽ đòi hỏi doanh nghiệp phải thận trọng hơn khi xử lý dữ liệu số, phải đảm bảo “làm sạch” mọi liên hệ đến cá nhân cụ thể trước khi đưa dữ liệu số vào khai thác, thu lợi. Đứng từ góc độ chi phí - lợi ích, điều này có thể được ví như một “trở ngại” cho việc kinh doanh của các doanh nghiệp. Tuy nhiên, xét đến nguồn lợi ích to lớn mà việc khai thác dữ liệu có thể mang lại trong tương lai, việc bỏ ra thêm chi phí để bảo vệ quyền con người, quyền công dân hợp pháp của cá nhân là một điều nên làm. Việc quán triệt tuân thủ các nghĩa vụ theo Luật Bảo vệ dữ liệu cá nhân trước khi thực hiện quyền theo Luật Dữ liệu cũng chính là sự thể hiện trách nhiệm của doanh nghiệp đối với xã hội. Nhìn từ khía cạnh này, nguyên tắc ưu tiên quyền của chủ thể dữ liệu cá nhân hoàn toàn là một điều đúng đắn, nên làm.
Trên cơ sở phân tích trên đây, pháp luật về bảo vệ dữ liệu cá nhân và luật về dữ liệu có thể tham khảo hướng tiếp cận của EU để đảm bảo việc triển khai các quy định pháp luật về dữ liệu một cách mạch lạc, tránh sự chồng chéo không nên có và phù hợp với thông lệ quốc tế.
Góp ý cho dự thảo các văn bản hướng dẫn thi hành Luật Dữ liệu và dự thảo Luật Bảo vệ dữ liệu cá nhân, chúng tôi đề xuất nên bổ sung điều khoản tương tự nhằm phân biệt rõ phạm vi điều chỉnh, cũng như xác định thứ tự ưu tiên áp dụng giữa hai hệ thống: (1) Luật Bảo vệ dữ liệu cá nhân (và các văn bản hướng dẫn thi hành) và (2) Luật Dữ liệu (và các văn bản hướng dẫn thi hành).
(*) Giảng viên Khoa Luật, CELG-UEH, Nghiên cứu sinh Đại học Monash.
(**) Data Protectify VN.
(1) Theo Báo Chính phủ, https://baochinhphu.vn/du-an-luat-du-lieu-du-lieu-la-tai-nguyen-quoc-gia-tai-san-ca-nhan-102241008091110018.htm
