Xử lý dữ liệu cá nhân có cần chủ thể đồng ý không?

(KTSG) – Ngày 7-3-2022, Phó thủ tướng Chính phủ đã ký ban hành Nghị quyết 27/NQ-CP thông qua hồ sơ xây dựng Nghị định về bảo vệ dữ liệu cá nhân. Có thể thấy cơ quan quản lý đã khẳng định vai trò quan trọng của chính sách dữ liệu trong chiến lược phát triển kinh tế – xã hội hiện nay.

Dữ liệu cá nhân có thể được xử lý mà không cần sự đồng ý của chủ thể dữ liệu

Nội dung trọng tâm của nghị quyết nêu rõ: dữ liệu cá nhân có thể được xử lý mà không cần sự đồng ý của chủ thể dữ liệu, trong trường hợp (i) việc xử lý là cần thiết để ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác; (ii) việc công khai dữ liệu cá nhân theo quy định của luật; (iii) việc xử lý là cần thiết vì yêu cầu quốc phòng, an ninh quốc gia, được thực hiện bởi các cơ quan có thẩm quyền theo quy định của luật khác (iv) cơ quan nhà nước có thẩm quyền điều tra, xử lý hành vi vi phạm pháp luật theo quy định của luật (v) xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của luật(1).

Liệu quy định nêu trên có đi ngược lại với một số nguyên tắc cơ bản của pháp luật, cũng như các cam kết quốc tế mà Việt Nam là thành viên hay không?

Sự đồng ý của chủ thể dữ liệu có giá trị đến đâu?

Bộ Quy định chung về Bảo vệ dữ liệu của Liên minh châu Âu (GDPR), “khuôn vàng thước ngọc” về pháp luật bảo vệ dữ liệu trên thế giới, đã quy định: sự đồng ý của chủ thể dữ liệu là điều kiện bắt buộc, nếu muốn “xớ rớ” vào thông tin cá nhân của chủ thể (điều 7 GDPR). Nhà làm luật châu Âu còn nói rõ thêm: sự đồng ý này phải được thể hiện rõ ràng, tự nguyện, càng cụ thể càng tốt, và không được lập lờ(2). Vì vậy mà thường thường, các sàn thương mại điện tử sẽ không đánh sẵn vào ô trống trước dòng “tôi đã đọc và đồng ý”, vì chủ thể dữ liệu đã không chủ động “bày tỏ rõ ý định đồng ý”.

Việt Nam cần xây dựng chính sách bảo vệ dữ liệu cá nhân theo hướng mở: một mặt, khẳng định quyền của chủ thể dữ liệu đối với các thông tin cá nhân có liên quan, nhưng mặt khác, cũng cần trao quyền tự chủ, tự quyết cho các doanh nghiệp, cơ quan, tổ chức thực hiện xử lý dữ liệu cá nhân; khuyến khích doanh nghiệp, tổ chức đổi mới sáng tạo chủ động xây dựng quy chuẩn, đẩy mạnh công tác kiểm định, đánh giá tín nhiệm.

Chưa hết, chủ thể dữ liệu còn có thể “rút lại sự đồng ý” (withdraw consent) nếu chủ thể cảm thấy… không thích! Điều 7(3) GDPR quy định: chủ thể dữ liệu có quyền rút lại sự đồng ý của mình vào “bất kỳ thời điểm nào”, và còn nói thêm: trao sự đồng ý dễ thế nào, thì rút lại sự đồng ý cũng phải dễ thế ấy. Nói cách khác, nhà cung cấp dịch vụ không được làm khó chủ thể dữ liệu khi họ “đổi ý”. Tóm lại, sự đồng ý của chủ thể đóng vai trò quan trọng, là cơ sở quyết định tính hợp pháp (lawfulness) của quy trình xử lý dữ liệu.

Còn những tiêu chí “hợp pháp” khác

Nhiều ý kiến cho rằng, việc thu thập, xử lý thông tin cá nhân tức là “đụng chạm” đến quyền riêng tư của cá nhân, vì vậy, sự đồng ý của chủ thể là yếu tố duy nhất. Thực ra không phải thế.

Trước hết, “quyền riêng tư” theo pháp luật dân sự là quyền được bảo vệ về “bí mật cá nhân, bí mật gia đình”, trong đó bao gồm “thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình”(3). Chủ thể có quyền thực hiện các phương thức bảo vệ quyền riêng tư theo điều 11 Bộ luật Dân sự vì đây là một quyền nhân thân hợp pháp. Nhưng thông tin định danh thì đâu phải bí mật cá nhân? Ta đâu thể từ chối ghi họ tên, giới tính, số căn cước trên hồ sơ đăng ký nhập học chỉ vì lý do ta “có quyền riêng tư” đối với chúng. Hay ta đâu thể yêu cầu cơ quan quản lý phải xin ý kiến ta trước khi điền tên vào hồ sơ hưởng trợ cấp thất nghiệp với lý do ta muốn “giữ bí mật” việc hưởng trợ cấp!? Luật pháp Trung Quốc còn đi xa hơn: quyền dữ liệu của chủ thể là một quyền khác, không phải là quyền riêng tư!(4)

Ngoài sự đồng ý của chủ thể, vẫn còn nhiều căn cứ khác tạo nên tính hợp pháp cho quy trình xử lý dữ liệu. Theo GDPR, những căn cứ ấy gồm “…một số cơ sở hợp pháp khác theo quy định của pháp luật, hoặc bao gồm trong Quy định này hoặc theo luật […] bao gồm sự cần thiết để tuân thủ nghĩa vụ pháp lý của người kiểm soát dữ liệu, hoặc sự cần thiết để thực hiện hợp đồng mà chủ thể dữ liệu là một bên, hoặc để thực hiện các bước theo yêu cầu của chủ thể dữ liệu trước giao kết hợp đồng”. Chỉ cần chủ thể xử lý đáp ứng được ít nhất một điều kiện tại điều 6 GDPR, thì việc xử lý dữ liệu sẽ hợp pháp.

Vậy là chính đạo luật “khuôn vàng thước ngọc” GDPR cũng để ngỏ khả năng bỏ qua bước xin ý kiến của chủ thể dữ liệu! Xin đơn cử trường hợp tại điều 6(1)(d) và điều 6(1)(e)(f): việc xử lý là cốt yếu vì lợi ích của chủ thể dữ liệu hoặc một cá nhân khác; việc xử lý là cần thiết để thực hiện một nhiệm vụ nhằm phục vụ lợi ích công cộng hoặc trong phạm vi thẩm quyền nhiệm vụ mà cơ quan chính phủ giao cho người kiểm soát dữ liệu; việc xử lý là cần thiết để phục vụ lợi ích hợp pháp mà người kiểm soát hoặc bên thứ ba theo đuổi, trừ trường hợp lợi ích đó nhỏ hơn lợi ích hoặc các quyền và tự do cơ bản của chủ thể dữ liệu, đặc biệt khi chủ thể dữ liệu là trẻ em.

Như vậy, trong các trường hợp vì lợi ích công cộng hoặc vì các trường hợp đặc biệt, theo yêu cầu của cơ quan có thẩm quyền, có thể tiến hành xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu.

Thực thi các cam kết quốc tế trong việc bảo vệ dữ liệu

Nhìn chung, quy định về bảo vệ dữ liệu cá nhân trong các hiệp định thương mại thế hệ mới như EVFTA và CPTPP đều khuyến khích các thành viên chủ động xây dựng chính sách bảo vệ dữ liệu cá nhân và quyền riêng tư của người dùng trong nước(5). Bên cạnh đó, các hiệp định trên cũng thúc đẩy việc chia sẻ dữ liệu cá nhân xuyên biên giới, giảm thiểu các hàng rào kỹ thuật phi thuế quan giữa các quốc gia thành viên.

Để thực thi các cam kết trong những hiệp định này, nhà làm luật Việt Nam cần xây dựng chính sách bảo vệ dữ liệu cá nhân theo hướng mở: một mặt, khẳng định quyền của chủ thể dữ liệu đối với các thông tin cá nhân có liên quan, nhưng mặt khác, cũng cần trao quyền tự chủ, tự quyết cho các doanh nghiệp, cơ quan, tổ chức thực hiện xử lý dữ liệu cá nhân; khuyến khích doanh nghiệp, tổ chức đổi mới sáng tạo chủ động xây dựng quy chuẩn, đẩy mạnh công tác kiểm định, đánh giá tín nhiệm.

Cơ quan quản lý nhà nước có thể can thiệp trong khâu đánh giá, kiểm định kỹ thuật, cấp phép và xử lý khi có vi phạm. Cơ quan quản lý cũng cần xây dựng chính sách an ninh quốc gia và an toàn mạng trong giới hạn phù hợp mà không cản trở việc thực thi các cam kết. Để làm được điều này, quy định xử lý dữ liệu cần quy định chặt chẽ các cơ sở hợp pháp của quy trình xử lý dữ liệu không có sự đồng ý chủ thể, đáp ứng các quy chuẩn tối thiểu về tính hợp pháp, hài hòa hóa với quy trình xử lý trong GDPR nói riêng và các cam kết quốc tế nói chung.

————-

(*) Khoa Luật, trường Kinh Tế, Luật và Quản lý nhà nước, trường Đại học Kinh Tế TPHCM
(1) Xem toàn văn Nghị quyết tại https://vanban.chinhphu.vn/?pageid=27160&docid=205430
(2) Recital 32, GDPR.
(3) Xem điều 38, Bộ luật Dân sự 2015.
(4) Xiaohui, L. (2020). INFORMATION PRIVACY PROTECTION IN THE NEW CHINESE CIVIL CODE: PRIORITY OR REPLACEMENT?. Frontiers of Law in China, 15(3), 313–339. https://go.gale.com/ps/i.do?p=AONE&sw=w&issn=16733428&v=2.1&it=r&id=GALE%7CA638901017&sid=googleScholar&linkaccess=abs
(5) Điều 8.45(1)(3) EVFTA, điều NN.8(2)(3)(5) CPTPP.