(KTSG) – Bản chất của loại tài nguyên dữ liệu là gì và nó nên được quản lý như thế nào?
- Khai thác và bảo vệ an toàn mỏ vàng dữ liệu số
- Bảo vệ dữ liệu cá nhân của người lao động như thế nào?
Thế kỷ 21 chứng kiến sự bùng nổ của “nền kinh tế thông tin” (information economy), nơi mà người có càng nhiều dữ liệu, thông tin hơn thì càng có nhiều quyền lực chi phối hơn. Dữ liệu là thứ có thể giúp đặt nền móng cho những đế chế công nghệ tỉ đô như Alphabet hay Meta, nhưng cũng có thể biến thành công cụ để thao túng kết quả bầu cử như trong vụ bê bối Cambridge Analytica.
Xét về góc độ kinh tế, càng nhiều tổ chức và cá nhân nắm bắt các công nghệ kỹ thuật số, việc sản xuất và xử lý dữ liệu cá nhân lại càng được đẩy nhanh với chi phí giảm dần. Song song, các cá nhân ngày càng quan tâm đến việc bảo mật dữ liệu để phòng tránh hành vi lạm dụng, nhưng đồng thời lại là đối tượng có thể được hưởng lợi từ việc những người khác chia sẻ dữ liệu, thông tin góp phần kiện toàn các dịch vụ và giải pháp công nghệ dựa trên đầu vào là dữ liệu lớn (big data). Điều này khiến chúng ta phải đặt ra câu hỏi: Bản chất của loại tài nguyên dữ liệu là gì và nó nên được quản lý như thế nào?
Sự trỗi dậy của công nghệ và kỷ nguyên giám sát dữ liệu
Kể từ thời điểm Google của Alphabet có được 86 triệu đô la Mỹ đầu tiên vào năm 2001 nhờ vào mô hình quảng cáo cá nhân hóa (personalized advertising) thông qua phân tích nhu cầu cá nhân từ dữ liệu cá nhân, các công ty công nghệ từ đó đã không ngừng săn lùng dữ liệu cá nhân. Thậm chí ngay cả khi người dùng không mong muốn hoặc không đồng ý chia sẻ dữ liệu cá nhân, những gã khổng lồ công nghệ như Google hoặc Meta luôn có khả năng thu thập được chúng. Điều này mở màn cho một kỷ nguyên mà con người quen dần với việc sống dưới sự giám sát thông qua dữ liệu (data surveillance).
Nhiều quan điểm cho rằng bảo vệ dữ liệu theo cách tiếp cận về quyền riêng tư hay quyền tài sản không giúp bảo vệ quyền riêng tư của cá nhân một cách tối ưu, và dữ liệu không phải chỉ của một mình chủ thể dữ liệu sở hữu để giành quyền kiểm soát đơn phương và cũng không phải một loại tài sản thuần túy.
Vào năm 2022, Google đã phải mất khoảng 391,5 triệu đô la Mỹ để dàn xếp cáo buộc liên quan việc lưu trữ, thu thập thông tin trái phép về địa điểm và hành trình của người dùng mà không có sự đồng ý của họ.
Gần đây nhất, vào đầu tháng 1-2023, Meta đã phải đối mặt với khoản phạt lên đến 390 triệu euro từ Liên minh châu Âu do có hành vi cưỡng ép, buộc người dùng đồng ý với việc cho phép công ty thu thập, sử dụng thông tin cá nhân để được tham gia vào các dịch vụ mạng xã hội mà công ty này cung cấp như Facebook, Instagram khi cố ý chèn điều kiện này vào Điều khoản sử dụng dịch vụ.
Thêm vào đó, công nghệ máy học (machine learning) có thể suy luận ra cả những dữ liệu nhạy cảm như điểm tín dụng cá nhân hay tình trạng sức khỏe chỉ từ những dữ liệu như hành vi sử dụng điện thoại hay sử dụng mạng xã hội của cá nhân. Cá nhân trong kỷ nguyên giám sát dữ liệu do đó liên tục phải đối mặt với sự xâm phạm về không gian riêng tư khi mà dữ liệu cá nhân chiếm tỷ trọng lớn trong cơ sở dữ liệu số và cung cấp một hàm lượng lớn thông tin nhạy cảm, riêng tư từ thói quen đến sở thích và tình trạng sức khỏe, khiến người đó có thể được nhận dạng bằng các công nghệ khác nhau nằm ngoài ý chí của mình.
Cách tiếp cận về quyền và tài sản đối với dữ liệu cá nhân
Xuất phát từ nguyên tắc “mọi cá nhân đều có quyền được tận hưởng cuộc sống”, quyền riêng tư là một trong những công cụ cơ bản (instrumental value) để cá nhân có được giá trị từ cuộc sống đó. Xét trong bối cảnh nền kinh tế thông tin, nếu thông tin chính là quyền lực mềm mới – thì quyền bảo vệ dữ liệu cá nhân thuộc phạm trù quyền riêng tư có thể được xem như bức tường thành cuối cùng giúp cá nhân giữ lại quyền tự chủ và quyền kiểm soát cuộc sống khỏi sự điều khiển, can thiệp của việc giám sát dữ liệu.
Nguyên tắc bảo vệ dữ liệu cá nhân ra đời dựa trên cơ sở của quyền riêng tư với tư cách là một trong các quyền con người cơ bản, vốn là cách tiếp cận đặc thù của Quy định chung về Bảo vệ dữ liệu cá nhân (GDPR) bởi Liên minh châu Âu. Cách tiếp cận này tuy giúp làm cân bằng sự bất cân đối quyền lực giữa chủ thể dữ liệu và bên xử lý, sử dụng dữ liệu, tuy vậy, lại đặt ra những hạn chế ở góc độ kinh doanh.
Thứ nhất, cách tiếp cận này tập trung vào việc ai sở hữu dữ liệu và trao thẩm quyền định đoạt rộng cho chủ thể dữ liệu. Một mặt, điều này tạo ra hiệu ứng rằng các doanh nghiệp nào có chính sách bảo vệ dữ liệu tốt sẽ được khách hàng tin tưởng hơn. Theo nghiên cứu về Quyền riêng tư dữ liệu của Cisco vào năm 2021, các công ty có chính sách bảo mật dữ liệu tốt đạt gần gấp đôi lợi nhuận.
Mặt khác, các quy định về bảo vệ dữ liệu cá nhân chặt chẽ cũng tạo nên gánh nặng chi phí tuân thủ cho doanh nghiệp, đặc biệt ở quy mô nhỏ và vừa. Tiêu biểu, tờ Forbes đưa tin Apple tăng gấp đôi ngân sách chi cho chính sách bảo vệ dữ liệu của người dùng, nhưng không phải doanh nghiệp nào cũng có đủ nguồn vốn lớn để thực hiện tương tự.
Thứ hai, liệu cá nhân có sở hữu hoàn toàn dữ liệu về mình? Trên thực tế, dữ liệu cá nhân của một người không chỉ bao gồm duy nhất một chủ thể dữ liệu, mà có thể liên đới nhiều chủ thể dữ liệu khác nhau. Ví dụ, với dữ liệu “Mark Zuckerberg là thành viên của dòng họ Zuckerberg”, liệu chúng ta có cần phải có sự đồng ý của Mark Zuckerberg và tất cả thành viên của gia tộc Zuckerberg để sử dụng dữ liệu, thông tin này không? Liệu những người thân thích với nhau thực hiện các quyền bảo vệ dữ liệu cá nhân liên quan đến các tập dữ liệu của nhau nhưng ở mức độ khác nhau sẽ được giải quyết như thế nào?
Vì vậy, nhiều học giả cho rằng việc xem xét bảo vệ dữ liệu dưới góc độ quyền riêng tư chỉ khiến cho việc giải quyết câu hỏi về phạm vi quyền và chủ thể sở hữu dữ liệu càng trở nên phức tạp, và việc một doanh nghiệp phải xử lý vấn đề này sẽ mang đến nhiều rắc rối pháp lý và chi phí tuân thủ.
Thứ ba, một số nhà phê bình cho rằng các yêu cầu bảo vệ dữ liệu nghiêm ngặt theo hướng tiếp cận quyền có thể kìm hãm sự đổi mới và cản trở sự phát triển của công nghệ. Các nghĩa vụ tuân thủ, chẳng hạn như quyền riêng tư theo thiết kế (privacy by design) và tối thiểu hóa việc sử dụng dữ liệu, có thể gây khó khăn cho các tổ chức trong việc sử dụng dữ liệu cho mục đích nghiên cứu và đổi mới.
Ngoài ra, lợi ích cá nhân trong việc bảo vệ quyền riêng tư không phải lúc nào cũng hài hòa với lợi ích xã hội. Theo học giả Richard Posner của trường phái kinh tế Chicago, việc bảo vệ quyền riêng tư cá nhân làm giảm hiệu quả thị trường, vì nó che giấu thông tin có khả năng liên quan đến các tác nhân kinh tế khác.
Nghị định 13/2023 chưa có hướng dẫn việc sử dụng, xử lý dữ liệu cá nhân như một loại hàng hóa công để phục vụ cho nghiên cứu khoa học, phát triển công nghệ hay kinh tế nói chung.
Ví dụ, nếu một ứng cử viên nói dối về hồ sơ chuyên môn của mình cho một công ty tuyển dụng, việc bảo vệ thông tin và dữ liệu cá nhân của người nộp đơn sẽ ảnh hưởng tiêu cực đến quyết định tuyển dụng của công ty khi không có bên tham chiếu. Nói cách khác, việc bảo vệ quyền riêng tư của người này có thể trả giá bằng lợi ích của người kia, chuyển gánh nặng chi phí của những hạn chế tiềm ẩn lên những người chơi khác trên thị trường.
Trong một trường hợp khác, cá nhân khi từ chối cho phép truy cập dữ liệu lại có thể làm ngăn cản sự tiến bộ xã hội khi dữ liệu này có thể được dùng vào mục đích nghiên cứu khoa học, y tế.
Thêm vào đó, ngay cả khi xem dữ liệu là một phạm trù thuộc quyền tài sản, quyền tài sản được sinh ra với mục đích để khuyến khích việc chuyển giao, tái phân phối của cải trong xã hội, khác với mục đích của quyền riêng tư là quyền có được không gian riêng của cá nhân (right to be left alone).
Do đó, nhiều quan điểm cho rằng bảo vệ dữ liệu theo cách tiếp cận về quyền riêng tư hay quyền tài sản không giúp bảo vệ quyền riêng tư của cá nhân một cách tối ưu, và dữ liệu không phải chỉ của một mình chủ thể dữ liệu sở hữu để giành quyền kiểm soát đơn phương và cũng không phải một loại tài sản thuần túy.
Cho đến nhìn nhận dữ liệu cá nhân như một loại hàng hóa công
Các tranh cãi về việc thực hiện cơ chế bảo vệ dữ liệu cá nhân dưới góc độ là quyền riêng tư hoặc tài sản dẫn đến đề xuất xem xét dữ liệu cá nhân như hàng hóa công vốn không có tính cạnh tranh và loại trừ lẫn nhau.
Lấy ví dụ về an ninh quốc phòng, đây là một hàng hóa không mang tính cạnh tranh vì việc một cá nhân được tận hưởng sự an toàn do an ninh quốc phòng mang lại không ảnh hưởng và cản trở những cá nhân khác được tận hưởng điều tương tự. Nó cũng không mang tính loại trừ bởi vì quân đội không thể bảo vệ một cách có chọn lọc những người có trả tiền nhưng loại trừ những người không trả tiền khỏi phạm vi bảo vệ.
Vậy dữ liệu có phải một loại hàng hóa công hay không?
Đầu tiên, có thể thấy rằng dữ liệu là một loại hàng hóa không có tính cạnh tranh. Việc một người sử dụng dữ liệu không hạn chế người khác được sử dụng dữ liệu đó. Hơn nữa, dữ liệu không có tính giảm dần (non-depletable), vì chúng có thể được sử dụng nhiều lần mà không bị giảm chất lượng.
Dù vậy, dưới góc nhìn của nguyên tắc bảo vệ dữ liệu, dữ liệu có thể mang tính loại trừ vì cá nhân có quyền ngăn cản một số bên khác tiếp cận dữ liệu của mình. Tuy vậy, cách tiếp cận này trên thực tế lại kém hiệu quả vì giữa một biển dữ liệu rộng lớn, cá nhân không có đủ nguồn lực và thông tin để biết được có bao nhiêu dữ liệu về bản thân trên không gian mạng, những dữ liệu này có thể nói lên thông tin gì, sự liên kết giữa những dữ liệu này là như thế nào hay xác định chính xác đủ các bên kiểm soát dữ liệu và chủ thể dữ liệu liên đới để thực hiện các quyền bảo vệ sự riêng tư. Do đó, tính loại trừ của dữ liệu cá nhân trên thực tiễn là khó có thể đạt được.
Ngoài ra, bảo vệ dữ liệu cá nhân hiệu quả cũng đòi hỏi sự phối hợp theo nhóm để tránh các ngoại tác tiêu cực làm giảm phúc lợi xã hội về quyền riêng tư nói chung.
Trong vụ việc Cambridge Analytica, khi 270.000 người tham gia tải ứng dụng “This Is Your Digital Life” và nhận được 1-2 đô la Mỹ khi hoàn thành khảo sát tính cách trên ứng dụng, hành vi này của họ đã đồng thời cho phép Cambridge Analytica truy cập vào toàn bộ dữ liệu của họ trên Facebook, bao gồm cả danh sách bạn bè, người tương tác. Việc chia sẻ dữ liệu này khiến cho hơn 86 triệu người còn lại tuy không hề tham gia nhưng có liên hệ với người tải ứng dụng bị ảnh hưởng. Chỉ với một lợi ích kinh tế rất nhỏ, cá nhân cũng có thể dễ dàng đánh đổi quyền riêng tư của bản thân và của cả cộng đồng. Xét trong bối cảnh an ninh mạng quốc gia, đây sẽ là vấn đề thực sự nghiêm trọng.
Vì thế, nếu tất cả các cá nhân có liên quan tối đa hóa lợi ích của quyền riêng tư và mong đợi tất cả các cá nhân có liên quan khác cũng làm như vậy, xã hội sẽ đạt được mức độ riêng tư tối ưu. Từ đó, nhiều quan điểm cho rằng nên nhìn nhận dữ liệu như một loại hàng hóa công, và điều này sẽ giúp tránh được tình trạng “cha chung không ai khóc” (tragedy of the commons) đối với dữ liệu cá nhân.
Các lợi ích của việc xem dữ liệu cá nhân là hàng hóa công sẽ tối ưu khi doanh nghiệp ứng dụng công nghệ theo dõi để cá nhân hóa hàng hóa, dịch vụ cho từng đối tượng hoặc nhóm người tiêu dùng, cũng như nhằm mục đích cải thiện để đáp ứng lợi ích xã hội như một ngoại tác tích cực.
Một trong số đó là nghiên cứu sử dụng bộ dữ liệu lớn từ gen người để huấn luyện mô hình trí tuệ nhân tạo cho việc chẩn đoán và điều trị các loại bệnh hiểm nghèo, khó phát hiện như ung thư ngay cả trước khi bệnh kịp bộc phát. Kết quả từ những mô hình này có thể cho phép các nhà nghiên cứu tìm ra những nhóm gen tiềm ẩn nguy cơ mắc bệnh nan y, từ đó giúp phát hiện kịp thời mầm bệnh và xây dựng chu trình chăm sóc sức khỏe phù hợp cho từng bệnh nhân.
Về mặt quản trị nhà nước, mô hình chủ quyền dữ liệu (data sovereignty) được áp dụng tại một số nước như Trung Quốc và Mỹ cho phép nhà nước như một bên thứ ba trung lập có thể can thiệp vào hoạt động của các công ty công nghệ sử dụng dữ liệu như TikTok hoặc Facebook để cân bằng giữa việc thúc đẩy tiến bộ công nghệ và bảo vệ quyền riêng tư của cá nhân cũng như bảo vệ an ninh, lợi ích xã hội.
Thêm vào đó, các quốc gia cũng liên tục có những sáng kiến để chia sẻ dữ liệu cho tiến bộ khoa học và nghiên cứu, điển hình là chính sách gần đây của Ấn Độ đề xuất chia sẻ dữ liệu giữa các bên kiểm soát dữ liệu nhằm tránh tình trạng độc quyền dữ liệu của các công ty công nghệ. Đề xuất nhắm đến dữ liệu không mang tính cá nhân (non-personal data), nhưng về bản chất chúng là những dữ liệu cá nhân đã được ẩn danh.
Chính quyền Ấn Độ cho rằng việc này sẽ nâng cao sự cạnh tranh trong những lĩnh vực ứng dụng big data và do đó, giúp người dùng có thể bảo vệ quyền riêng tư tốt hơn khi họ có thể lựa chọn một dịch vụ công nghệ khác để tham gia nếu dịch vụ hiện tại không còn bảo đảm quyền bảo mật riêng tư nữa.
Một ví dụ điển hình khác là việc thành lập Trung tâm trao đổi dữ liệu thương mại của Hồng Kông (Commercial Data Interchange) với mục đích tăng cường chia sẻ dữ liệu giữa hệ thống ngân hàng và các bên quản lý, xử lý dữ liệu để tránh bị định kiến trong chấm điểm tín dụng khi xử lý các bộ dữ liệu khách hàng không đủ phong phú hay bị thiên lệch (skewed), từ đó khuyến khích sự phát triển các sản phẩm công nghệ tài chính, đặc biệt là mảng cho vay cá nhân.
Lý do là các cá nhân có xu hướng tiết lộ thông tin cá nhân có lợi trong khi che giấu những đặc điểm tiêu cực dưới tấm khiên của quyền riêng tư (ví dụ như tiền sử bệnh tật, tiền sử phạm tội, nợ…). Trong trường hợp này, cách can thiệp bằng quy định giới hạn sự chia sẻ, chuyển giao thông tin hay dữ liệu cá nhân sẽ được xem là tái phân phối của cải trong xã hội một cách không hiệu quả, làm ảnh hưởng đến phúc lợi chung.
Dù vậy, việc xem dữ liệu cá nhân với tư cách là hàng hóa công để quản lý, bảo vệ không có nghĩa là loại trừ hoàn toàn quyền riêng tư đối với dữ liệu. Với sự hiện diện của các công nghệ theo dõi cho phép nhà cung cấp suy ra sở thích, xu hướng của người tiêu dùng nhằm mục tiêu phân biệt giá cả, việc thiếu vắng sự hiện diện của khung pháp lý quy định về quyền riêng tư dữ liệu sẽ khiến các cá nhân chỉ còn có thể dựa vào sự hiểu biết và tinh tế của bản thân để bảo vệ lợi ích chính mình, cũng như trông chờ vào cách thực thi đạo đức của tổ chức và cơ quan nhà nước.
Hơn nữa, các dữ liệu cá nhân mang tính nhạy cảm như quan điểm chính trị, tôn giáo, sức khỏe, đời tư, thông tin khách hàng của tổ chức tín dụng,… cần có một cơ chế quản lý chặt chẽ để tránh hành vi lạm dụng, trục lợi hay áp đặt định kiến xã hội.
Vì thế, cách tiếp cận dữ liệu cá nhân là hàng hóa công cần thận trọng và tuân thủ các khuôn khổ đạo đức và pháp lý nghiêm ngặt để tránh các ngoại tác tiêu cực không mong muốn.
Quản trị dữ liệu và một số khuyến nghị cho Việt Nam
Việc nghiên cứu về tính riêng tư hay hàng hóa công của dữ liệu cá nhân từ góc độ pháp luật về quyền con người và kinh tế có thể giúp tìm ra sự cân bằng giữa việc chia sẻ và bảo mật dữ liệu, vì lợi ích không chỉ của chủ thể dữ liệu mà còn cho toàn xã hội.
Tại Việt Nam, Nghị định 13/2023 được xây dựng dựa trên GDPR nên có rất nhiều điểm tương đồng, đặc biệt là cách tiếp cận dựa trên cơ sở quyền. Từ đó, Nghị định 13 đưa ra yêu cầu các bên tham gia và/hoặc có liên quan tới quá trình xử lý dữ liệu cá nhân phải áp dụng các biện pháp cần thiết và phù hợp với quy định pháp luật để bảo vệ dữ liệu cá nhân, cũng như ghi nhận rõ quyền được thông báo và đồng ý của chủ thể dữ liệu bên cạnh các quyền khác như yêu cầu chỉnh sửa, bổ sung, xóa dữ liệu hoặc giải trình cách thức xử lý dữ liệu.
Bên cạnh đó, nghị định này cũng có cơ chế bảo vệ và xử lý dữ liệu cá nhân như hàng hóa công trong các trường hợp vì lợi ích công cộng và quản trị nhà nước theo điều 17, như nhằm bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác, tình trạng khẩn cấp về quốc phòng hay an ninh quốc gia, phục vụ hoạt động của nhà nước, và quản lý việc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài.
Tuy nhiên, Nghị định 13 chưa có hướng dẫn việc sử dụng, xử lý dữ liệu cá nhân như một loại hàng hóa công để phục vụ cho nghiên cứu khoa học, phát triển công nghệ hay kinh tế nói chung. Điều 16 khoản 2 điểm d của nghị định này chỉ quy định việc xóa dữ liệu sẽ không áp dụng dù chủ thể dữ liệu có yêu cầu khi “dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật”. Nghị định chưa mở rộng ra đối với các hoạt động tác động đến dữ liệu khác ngoài việc xóa, cũng như chỉ quy định các lĩnh vực hạn hữu theo liệt kê.
Bằng cách cho phép tận dụng, chia sẻ dữ liệu tổng hợp và khử nhận dạng hoặc ẩn danh, các nhà nghiên cứu, nhà hoạch định chính sách và doanh nghiệp có thể có được những hiểu biết có giá trị, đưa ra quyết định sáng suốt và thúc đẩy kết quả kinh tế và xã hội tích cực. Điều cần thiết là phải cân bằng những lợi ích này với quyền riêng tư cá nhân, bảo mật dữ liệu và quản trị dữ liệu công bằng để đảm bảo rằng tiềm năng của dữ liệu cá nhân như hàng hóa công được thực hiện một cách có trách nhiệm và đạo đức.
Bên cạnh đó, Nghị định 13 chỉ dừng lại ở việc xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu như an ninh quốc phòng và nghiêm cấm hành vi xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác theo điều 8. Nghị định này chưa hướng dẫn cụ thể cách thức can thiệp vào hoạt động của các tổ chức, công ty công nghệ sử dụng dữ liệu để bảo vệ an ninh, lợi ích xã hội.
Nghị định 13 và các văn bản hướng dẫn tiếp theo cần làm rõ thêm nội dung này và yêu cầu tất cả các bên phải cùng có trách nhiệm phối hợp để thực thi, từ đó tạo ra hành lang pháp lý rà soát, đánh giá, thanh tra, kiểm tra về việc tuân thủ các quy định bảo vệ dữ liệu cá nhân.
(*) Thạc sĩ Luật và Thạc sĩ Chính sách công, Giảng viên khoa Luật Quốc tế, trường Đại học Luật TPHCM.
(**) Thạc sĩ Luật, Singapore Management University.
TÀI LIỆU THAM KHẢO:
[1] Bygrave LA, “The Body as Data? Biobank Regulation via the “Back Door” of Data Protection Law”, Law, Innovation and Technology Journal, Số 2(1), (2010), tr. 11.
[2] Pedro, J. S., Proserpio, D., & Oliver, N. (2015). MobiScore: towards universal credit scoring from mobile phone data. In User Modeling, Adaptation and Personalization: 23rd International Conference, UMAP 2015, Dublin, Ireland, June 29–July 3, 2015. Proceedings 23 (pp. 195-207). Springer International Publishing.
[3] Kyung Sin Park, Data as Public or Private Properties?
[4] https://www.hkma.gov.hk/eng/key-functions/international-financial-centre/fintech/research-and-applications/commercial-data-interchange/
[5] Report by the Committee of Experts on Non-personal Data Governance Framework.
