LTS: Tiếp theo bài viết “Hài hòa quyền lợi giữa các bên liên quan” ở KTSG số 29-2024, phát hành ngày 18-7, chủ đề “Sự đồng ý” trong xử lý dữ liệu cá nhân kỳ này được tiếp nối với bài viết của LS. Nguyễn Long(*) và LS. Phương Đặng(**).
- Ra đời dịch vụ ngân hàng số đầu tiên dành riêng cho trẻ em
- Bảo vệ trẻ em trên mạng: Kinh nghiệm làm luật từ nước Pháp
Sự đồng ý “nhân đôi” khi xử lý dữ liệu cá nhân của trẻ em từ 7 tuổi trở lên
Trẻ em là chủ thể đặc biệt trong các quan hệ, giao dịch cần được sự quan tâm, bảo vệ đặc biệt hơn mà việc “công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em mà không có sự đồng ý của trẻ em từ 7 tuổi trở lên và của cha, mẹ, người giám hộ của trẻ em” là hành vi bị nghiêm cấm(1). Quy định tương đồng với Luật Trẻ em, Nghị định 13 cũng yêu cầu xử lý dữ liệu (DL) cá nhân của trẻ em từ đủ 7 tuổi trở lên cần có hai sự đồng ý, trừ trường hợp loại trừ(2), bởi đây là đối tượng chưa có sự phát triển đầy đủ về nhận thức cũng như dễ bị tổn thương. Tuy nhiên, khi thực thi trong thực tiễn điều này đặt ra trở ngại rất lớn cho các doanh nghiệp là bên kiểm soát DL cá nhân của trẻ em:
1. Khi giao kết giao dịch có liên quan đến trẻ em như đăng ký các chương trình đào tạo (ngoại ngữ, thể thao, các môn năng khiếu…) hay mua bảo hiểm nhân thọ thì hầu hết cha mẹ/người giám hộ sẽ là chủ thể thực hiện việc trao đổi, chia sẻ với đơn vị, doanh nghiệp có liên quan theo cơ chế đại diện được quy định tại Bộ luật Dân sự, Luật Hôn nhân và Gia đình, Luật Trẻ em… Để xin được sự đồng ý của cả cha mẹ/người giám hộ và trẻ em là điều rất khó khi doanh nghiệp, tổ chức thiếu đi sự giao tiếp trực tiếp với trẻ.
2. Trẻ em ở độ tuổi còn quá nhỏ thì việc đọc và hiểu được hết các quy định về bảo mật, tài liệu cần thiết cho việc xin sự đồng ý thường được thiết kế dài với nhiều thuật ngữ chuyên ngành là điều không đơn giản và dù trẻ “đồng ý” thì cũng rất khó cho bên kiểm soát chứng minh rằng đây là một sự tự nguyện, khẳng định và rõ ràng. Rất nhiều quốc gia trên thế giới không áp dụng cơ chế xin hai sự đồng ý.
3. Ở khía cạnh khác, mặc dù cần hai sự đồng ý để xử lý DL cá nhân của trẻ nhưng Nghị định 13 lại chỉ đặt ra quyền rút lại sự đồng ý khi có yêu cầu của cha mẹ/người giám hộ mà không đề cập đến trẻ em từ đủ 7 tuổi trở lên có quyền này hay không?(3) Như vậy, việc đặt ra cơ chế hai sự đồng ý có thực sự cần thiết hay đang làm phức tạp hơn quá trình xử lý DL cá nhân của doanh nghiệp, tổ chức?
4. Một vấn đề khác đặt ra là nếu đã xin sự đồng ý từ cha mẹ/người giám hộ để xử lý DL cá nhân của trẻ dưới 7 tuổi thì có phải xin bổ sung sự đồng ý của trẻ sau đó khi trẻ từ đủ 7 tuổi trở lên? Liệu rằng nguyên tắc bảo vệ tốt nhất quyền và lợi ích của trẻ em có được áp dụng để yêu cầu bên kiểm soát phải thực hiện hoạt động này.
Rút lại sự đồng ý – tuân thủ quá khó?
Là một quyền cơ bản của chủ thể DL(4) nên rút lại sự đồng ý cũng là một quyền hợp pháp của chủ thể DL được quy định tại Nghị định 13(5). Cụ thể hóa quyền này, pháp luật yêu cầu bên kiểm soát phải thông báo các hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý và quá trình xử lý DL cá nhân đã được sự đồng ý trước đó sẽ không bị ảnh hưởng(6). Đây là quy định phù hợp để chủ thể DL có thể cân nhắc và đưa ra quyết định về việc có tiếp tục rút lại sự đồng ý hay không.
Tuy vậy, nếu chủ thể DL quyết định rút lại sự đồng ý thì ở phía đối diện, bên kiểm soát sẽ thực sự “đau đầu”, bởi: i) DL cá nhân qua thời gian đã được xử lý và chuyển giao cho rất nhiều tổ chức và cá nhân khác; ii) tồn tại trong nhiều hệ thống, cơ sở DL và rất khó để bóc tách; iii) DL cá nhân có thể trở thành một phần DL hoạt động của tổ chức, doanh nghiệp nhưng bị xóa, hủy đi có thể ảnh hưởng đến tính đúng đắn, chính xác(7).
Thêm vào đó, mặc dù tại điều khoản về rút lại sự đồng ý không quy định cụ thể về thời hạn thực hiện yêu cầu này nhưng một quy định khác đã nêu thời hạn là “trong 72 giờ sau khi có yêu cầu của chủ thể DL”(8). Nếu không có yêu cầu xóa của chủ thể DL thì cũng bị xem là không còn phù hợp/đúng với mục đích đã được đồng ý nên cũng cần phải xóa để đảm bảo phù hợp với nguyên tắc mục đích và giới hạn lưu trữ(9).
Trên thực tế, thời hạn 72 giờ là quá ngắn để doanh nghiệp có thể xóa DL cá nhân hoàn toàn khỏi hệ thống của họ, chưa kể việc xóa dữ liệu ở hệ thống của các bên đã được chia sẻ DL cá nhân. Hơn nữa, 72 giờ theo quy định có nghĩa là 72 giờ thông thường, không phải giờ làm việc, sẽ bao gồm ngày nghỉ hàng tuần, nghỉ lễ. Điều này càng khiến cho việc tuân thủ quy định này của doanh nghiệp trở nên khó khăn. Vì vậy, việc phải ngừng xử lý DL cá nhân và tiến hành xóa DL có thể sẽ không khả thi hoặc nếu thực hiện sẽ gây ra tổn hại lớn đối với bên kiểm soát.
Một số kiến nghị
1. Như đã phân tích, việc xin sự đồng ý theo Nghị định 13 một mặt trao cho trẻ em quyền được thể hiện sự đồng ý nhưng mặt khác lại khiến cho quá trình xin sự đồng ý không khả thi trong nhiều trường hợp, vì vậy khi thiết kế các quy định về xử lý DL cá nhân của trẻ em, Luật Bảo vệ DL cá nhân cần giảm bớt gánh nặng xin sự đồng ý của trẻ em từ 7 tuổi trở lên. Tại nhiều quốc gia và khu vực tài phán thì tùy theo độ tuổi mà việc xin sự đồng ý xử lý DL cá nhân của trẻ em sẽ chỉ phải xin một sự đồng ý hoặc là của trẻ em hoặc là của cha mẹ/người giám hộ(10).
Tham khảo pháp luật các nước, Việt Nam có thể quy định việc xử lý DL cá nhân đối với trẻ dưới 16 tuổi chỉ cần sự xác nhận của cha mẹ/người giám hộ là đảm bảo được tính hợp pháp của sự đồng ý. Và như vậy nếu chủ thể DL trên độ tuổi này thì được quyền tự mình đưa ra sự đồng ý.
2. DL cá nhân được xử lý cho nhiều mục đích và được chuyển cho nhiều bên liên quan nên cần tăng thời hạn để bên kiểm soát thực hiện yêu cầu sau khi chủ thể DL rút lại sự đồng ý. Theo đó, sau khi tham khảo Quy định Chung về Bảo vệ Dữ liệu của Liên minh châu Âu (GDPR), nhóm tác giả đề xuất điều chỉnh theo hướng bên kiểm soát cần xóa dữ liệu trong thời gian sớm nhất có thể và phải hoàn tất trong thời hạn tối đa 30 ngày kể từ khi nhận được yêu cầu hợp lệ(11).
Quy định trên tạo điều kiện để bên kiểm soát có thể đánh giá được đầy đủ các hệ quả, thiệt hại có thể xảy ra với chủ thể DL cũng như xác định xem cần phải xóa/yêu cầu các bên có liên quan xóa, hủy DL cá nhân như thế nào, chuẩn bị đối với hệ thống cơ sở dữ liệu của mình như thế nào sau khi DL cá nhân được xóa.
Bên cạnh những bước tiến lớn mà Nghị định 13 mang lại trong việc bảo vệ DL cá nhân, bảo vệ quyền của chủ thể DL khỏi việc lạm dụng hay sử dụng trái pháp luật, việc xem xét giảm bớt các trách nhiệm không cần thiết cho doanh nghiệp, tổ chức và điều chỉnh các quy định chưa hợp lý nhằm đảm bảo hài hòa và cân bằng giữa mục tiêu bảo vệ DL cá nhân và tạo thuận lợi cho “dòng chảy” DL – động lực quan trọng cho sự phát triển kinh tế, khoa học và xã hội trong thời đại bùng nổ của cuộc cách mạng công nghiệp 4.0.
(*) ThS., LS., Trưởng phòng Pháp chế HCLTech (Vietnam)
(**) Trọng tài viên VTA
(1) Khoản 11 điều 6 Luật Trẻ em 2016.
(2) Khoản 2 điều 20 Nghị định 13.
(3) Điều 20 Nghị định 13.
(4) Chi tiết tại “Sự đồng ý trong xử lý dữ liệu cá nhân – Kỳ 1: Hài hòa quyền lợi giữa các bên liên quan”.
(5) Khoản 2, 4 điều 9 Nghị định 13.
(6) Điều 12 Nghị định 13.
(7) Điểm b khoản 1 điều 16 Nghị định 13.
(8) Khoản 5 điều 16 Nghị định 13.
(9) Điều 3 Nghị định 13.
(10) Theo Quy định Chung về Bảo vệ Dữ liệu (GDPR) của EU, người từ 16 tuổi trở lên có thể tự mình đồng ý với việc xử lý dữ liệu cá nhân khi sử dụng dịch vụ xã hội thông tin trực tuyến; quốc gia thành viên EU có thể thiết lập độ tuổi thấp hơn cho sự đồng ý, nhưng không được dưới 13 tuổi. Theo Luật Bảo vệ Thông tin Cá nhân (PIPL) của Trung Quốc thì dưới 14 tuổi phải có sự đồng ý của cha mẹ/người giám hộ, trên 14 tuổi thì không đòi hỏi sự đồng ý của cha mẹ/người giám hộ.
(11) Điều 12 GDPR.
