Giao dịch dữ liệu ‘đúng phép’?

(KTSG) – Chỉ trong hai tuần đầu tháng 8, đã có hơn hai vụ vi phạm dữ liệu cá nhân bị phanh phui…

• Phí sử dụng cơ sở dữ liệu dân cư: đã thu thì phải hiệu quả!
• Thu phí sử dụng thông tin trong cơ sở dữ liệu quốc gia về dân cư từ 17-9

Gần một ngàn rưỡi gigabyte dữ liệu cá nhân giờ đã trôi nổi đâu đó ngoài kia. Thông tin của hơn 66 triệu người Việt Nam hiện đang nằm trong sự kiểm soát của ai đó không rõ. Tất cả chỉ vì dữ liệu cá nhân của người Việt Nam đang bị “buôn lậu” – tức bị trao đổi mà không có sự kiểm soát của cơ quan nhà nước; và dĩ nhiên, là không được sự đồng ý của chủ thể dữ liệu.

Hiệu lực của giao dịch dữ liệu

Thực tế, những trao đổi kinh tế xoay quanh nguồn tài nguyên dữ liệu vẫn đang âm thầm diễn ra. Vô số ứng dụng đa dạng của dữ liệu đòi hỏi các chủ thể phải chia sẻ dữ liệu, khơi thông những dòng chảy dữ liệu và tạo đà cho sự phát triển của kinh tế số.

Vậy mà hiện nay, hệ thống quy định pháp luật về dữ liệu vẫn hoang vu. Ta đang gấp rút hoàn tất dự thảo và ban hành một đạo luật về bảo vệ dữ liệu cá nhân bên cạnh Luật Công nghiệp công nghệ số. Luật Giao dịch điện tử (2005) không cho “thực hiện bất kỳ hành vi nào gây phương hại đến sự toàn vẹn của thông điệp dữ liệu” của người khác: một quy định còn rất chung chung.

Luật An toàn thông tin mạng (2015) thì nghiêm cấm việc “thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân”. Dù quy định trên không phải là không đáng chú ý, nhưng thế nào mới là “kinh doanh đúng pháp luật thông tin cá nhân của người khác” thì từ năm 2015 đến nay không thấy luật lên tiếng gì thêm.

Nói ngắn gọn thì quan điểm phổ biến của giới luật gia hiện nay vẫn là không thể “mua đi bán lại” dữ liệu cá nhân, vì giá trị riêng tư là không mua bán được. Thiếu vắng những quy định liên quan đến dữ liệu, ngôn ngữ pháp lý lại càng tù mù hơn. Hiện tại, việc trao đổi dữ liệu cá nhân giữa các chủ thể tư, không khéo, rất dễ trở thành giao dịch trái phép. Nhà nước cũng chưa có cơ chế pháp lý để kiểm soát những giao dịch dạng này.

Giải pháp của Trung Quốc

Trung Quốc không cấm giao dịch dữ liệu; thực tế, Trung Quốc khuyến khích việc tiến hành trao đổi, giao dịch dữ liệu giữa các doanh nghiệp và các thiết chế tư. Thậm chí, Trung Quốc còn thể hiện rõ quyết tâm xây dựng thị trường giao dịch dữ liệu trong tương lai⁽¹⁾.

Việc tháo rời cơ chế bảo vệ quyền riêng tư và cơ chế quản lý giao dịch dữ liệu giúp giảm bớt chi phí của các doanh nghiệp trong việc xử lý dữ liệu, đồng thời giúp cơ quan quản lý nhà nước kiểm soát giao dịch dữ liệu…

Để làm được điều đó, trước hết pháp luật Trung Quốc phân biệt rõ ràng giữa thông tin cá nhân và dữ liệu. Theo Bộ luật Dân sự Trung Quốc và Luật Bảo vệ thông tin cá nhân Trung Quốc, thông tin cá nhân là những thông tin mà khi bị tiết lộ có thể sẽ ảnh hưởng đến uy tín, danh dự và sự riêng tư của cá nhân, trừ những thông tin đã được khử định danh.

Vì vậy, việc bảo vệ những thông tin này đòi hỏi các chủ thể xử lý thông tin cá nhân không được trao đổi chúng với người khác khi chưa có sự đồng ý của chủ thể thông tin cá nhân.

Tuy nhiên, dữ liệu thì lại có thể trở thành đối tượng của các giao dịch. Chẳng hạn, điều 19 Luật An toàn dữ liệu Trung Quốc quy định “Nhà nước (Trung Quốc) xây dựng chế độ quản lý giao dịch dữ liệu an toàn, lành mạnh, quy phạm hóa các hành vi giao dịch dữ liệu, ươm tạo thị trường giao dịch dữ liệu”. Cần nói thêm là luật này định nghĩa dữ liệu “…là bất kỳ thông tin được ghi bằng phương thức điện tử hoặc phương thức khác”⁽²⁾.

Như vậy, mấu chốt để pháp luật Trung Quốc vừa đảm bảo quyền riêng tư vừa quản lý được giao dịch dữ liệu là phân biệt rõ ràng giữa “thông tin cá nhân” và “dữ liệu”. Nếu thông tin cá nhân là nội dung, thì dữ liệu là hình thức thể hiện.

Trước khi được “ghi lại” dưới hình thức dữ liệu, chủ thể xử lý dữ liệu đã phải tiến hành các bước cần thiết nhằm “khử” đi những yếu tố định danh cá nhân trong thông tin cá nhân mà mình thu thập. Đến khi giao dịch dưới hình thức dữ liệu thì “thông tin cá nhân” đã không còn là thông tin cá nhân theo đúng định nghĩa của thuật ngữ này nữa, và không còn chịu sự điều chỉnh của Luật Bảo vệ thông tin cá nhân.

Đi xa hơn, luật Trung Quốc thậm chí còn không sử dụng thuật ngữ “dữ liệu cá nhân” trong các văn bản pháp luật! Nếu đối tượng bảo vệ của GDPR (Bộ quy định về bảo vệ dữ liệu cá nhân của Liên minh châu Âu) là các quyền đối với “dữ liệu cá nhân” (Personal Data), thì Trung Quốc chia ra làm hai đối tượng bảo vệ khác nhau là “thông tin cá nhân” và “dữ liệu”.

Theo điều 53 Luật An toàn dữ liệu Trung Quốc, chừng nào chủ thể tiến hành hoạt động giao dịch dữ liệu có liên quan đến thông tin cá nhân thì mới phải tuân thủ những quy định liên quan trong các đạo luật khác.

Như vậy, Trung Quốc áp dụng cơ chế bảo vệ hai bước đối với thông tin cá nhân – dữ liệu: khi thu thập, xử lý thông tin cá nhân “thô” thì chủ thể phải tuân thủ quy định của Luật Bảo vệ thông tin cá nhân; đến khi thông tin ấy đã trở thành “dữ liệu”, thì tuân thủ những quy định về an toàn trong Luật An toàn dữ liệu là đủ để có thể đưa chúng vào giao dịch.

Bên cạnh đó, hàng loạt quy định trong Luật An toàn dữ liệu cũng góp phần quan trọng trong việc bảo vệ an toàn cho dữ liệu được đưa vào giao dịch. Chẳng hạn, Nhà nước Trung Quốc thống nhất hệ thống đánh giá, báo cáo, chia sẻ và dự báo rủi ro đối với an toàn dữ liệu (điều 22), xây dựng cơ chế xử lý khẩn cấp (điều 23)…

Đặc biệt, điều 32 quy định bất cứ ai tiến hành thu thập dữ liệu đều phải sử dụng các phương thức “hợp pháp, chính đáng” theo quy định của luật, “không được trộm cắp hoặc sử dụng những phương thức bất hợp pháp để có được dữ liệu”. Bên cạnh đó, điều 33 cũng quy định các cơ quan cung ứng dịch vụ trung gian dữ liệu phải yêu cầu bên cung cấp dữ liệu xác minh danh tính, xác minh nguồn gốc dữ liệu, đồng thời lưu trữ thông tin về giao dịch và kiểm tra dữ liệu được giao dịch.

Công nhận hiệu lực pháp lý là cơ sở để quản lý giao dịch an toàn

Từ kinh nghiệm của Trung Quốc, ta thấy việc ngăn chặn các giao dịch dữ liệu cá nhân trái phép là khả thi. Một mặt, khi tồn tại dưới hình thức thông tin “thô”, thì thông tin cá nhân được bảo vệ qua quan hệ nhân thân không có giá trị tài sản.

Tuy nhiên, khi được xác lập dưới hình thức dữ liệu thì chúng có thể trở thành đối tượng của giao dịch, và khi giao dịch thì phải tuân thủ các quy định về an toàn, đặt dưới sự kiểm soát của nhà nước. Đối với thông tin cá nhân thì pháp luật bảo vệ quyền chủ thể bằng cơ chế riêng, còn đối với thông tin dưới dạng dữ liệu, đã khử định danh thì áp dụng thống nhất cơ chế xử lý, giao dịch an toàn chung cho tất cả mọi loại dữ liệu số.

Khi được nhìn nhận như đối tượng của giao dịch, cơ quan nhà nước sẽ có cơ chế can thiệp, quản lý các giao dịch liên quan đến dữ liệu cá nhân. Đây sẽ là tiền đề để dễ dàng phát hiện, xử lý các giao dịch “buôn lậu” về dữ liệu cá nhân, và là cơ sở để thúc đẩy các giao dịch trao đổi dữ liệu an toàn. Việc tháo rời cơ chế bảo vệ quyền riêng tư và cơ chế quản lý giao dịch dữ liệu giúp giảm bớt chi phí của các doanh nghiệp trong việc xử lý dữ liệu, đồng thời giúp cơ quan quản lý nhà nước kiểm soát giao dịch dữ liệu, là cách thức bảo vệ hiệu quả hơn so với việc để các bên tự thỏa thuận những điều khoản liên quan đến dữ liệu và quyền riêng tư.

(*) Khoa Luật, trường Kinh tế, Luật và Quản lý Nhà nước, UEH
(1) Điều 19 Luật An toàn dữ liệu Trung Quốc 2021
(2) Điều 3, Luật An toàn dữ liệu Trung Quốc 2021