"Thông báo và đồng ý" trong thu thập, xử lý dữ liệu cá nhân

1. Pháp luật một số quốc gia trên thế giới về cơ chế “thông báo và đồng ý” trong thu thập, xử lý dữ liệu cá nhân

1.1. Khái niệm, lịch sử hình thành cơ chế “thông báo và đồng ý” trong thu thập, xử lý dữ liệu cá nhân

“Thông báo và đồng ý” (Notice & Consent) là một trong các cơ chế thu thập, xử lý dữ liệu cá nhân đã và đang được áp dụng phổ biến ở nhiều quốc gia trên thế giới. Đồng ý từ phía chủ thể dữ liệu là một trong sáu cơ sở pháp lý để thu thập, xử lý dữ liệu cá nhân được quy định tại Điều 6 Quy định bảo vệ dữ liệu chung 2016/679 của Liên minh Châu Âu (GDPR). Nguyên tắc đạt được sự đồng ý của chủ thể dữ liệu trước khi thu thập, xử lý dữ liệu cá nhân của họ được đặt ra lần đầu tiên tại các đạo luật bảo vệ dữ liệu của một số bang và Liên bang Đức giai đoạn 1970 - 1978. Muộn hơn sau đó là Mỹ, cơ chế thông báo và đồng ý là một trong những cấu thành chính của các nguyên tắc thực hành thông tin công bằng của Ủy ban thương mại Liên bang Hoa Kỳ (FIPs) năm 1980. Xu hướng này được lan dần sang châu Âu cùng với sự hình thành, phát triển về bảo vệ dữ liệu cá nhân, bắt đầu với Công ước bảo vệ các cá nhân liên quan đến xử lý tự động dữ liệu cá nhân, được ban hành năm 1981, tiếp đó là Chỉ thị số 95/46/EC về bảo vệ dữ liệu EU năm 1995 sau đó được thay thế bởi GDPR vào năm 2018. Hiện nay, hầu hết các nước trên thế giới, trong đó có Việt Nam đều có sự tham khảo từ GDPR trong quá trình xây dựng pháp luật về bảo vệ dữ liệu cá nhân, bao gồm việc ghi nhận về cơ chế “thông báo và đồng ý” trong thu thập, xử lý dữ liệu cá nhân.

“Thông báo” được hiểu là hoạt động trình bày các điều khoản giải thích về cách mà một doanh nghiệp hay bất kỳ chủ thể xử lý dữ liệu nào khác thông qua website thu thập, sử dụng, chia sẻ dữ liệu cá nhân. Thông thường nội dung của thông báo được đề cập trong chính sách bảo mật (privacy policy) hoặc thỏa thuận điều khoản sử dụng (terms of use). Chủ thể dữ liệu phải được thông báo về các hoạt động thu thập, xử lý, khai thác dữ liệu của chủ thể xử lý dữ liệu trước khi các thông tin cá nhân của họ được thu thập bởi chủ thể này. Trong khi đó, đồng ý là một hành động biểu thị sự chấp nhận các điều khoản, thường là nhấn vào nút “Tôi đồng ý”, hoặc đơn giản là sử dụng trang mạng (website) của chủ thể dữ liệu. Điều này được diễn ra ngay sau khi bên xử lý dữ liệu gửi thông báo về việc muốn thu thập và xử lý dữ liệu cá nhân.

Tóm lại, “thông báo và đồng ý” là cơ chế yêu cầu các tổ chức thông báo cho các cá nhân và xin phép họ trước khi thu thập và sử dụng dữ liệu cá nhân của họ. Nội dung thông báo, bao gồm: Các thông tin được thu thập, cách thức thu thập, mục đích sử dụng... Các cá nhân hoàn toàn có quyền chấp nhận hoặc từ chối hoạt động tiếp cận, xử lý dữ liệu của các chủ thể xử lý này.

1.2. Pháp luật của một số quốc gia về cơ chế “thông báo và đồng ý”

- Quy định chung về bảo vệ dữ liệu cá nhân của Liên minh Châu Âu:

Thông báo về chính sách bảo đảm quyền riêng tư là hoạt động công khai, trong đó giải thích cách tổ chức đó xử lý dữ liệu cá nhân cũng như áp dụng các nguyên tắc bảo vệ dữ liệu. Các điều 12, 13 và 14 GDPR cung cấp hướng dẫn chi tiết về cách tạo ra một thông báo về quyền riêng tư, nhấn mạnh vào việc làm cho chúng trở nên dễ hiểu và dễ tiếp cận. Thông báo này phải được cung cấp trước thời điểm thu thập dữ liệu cá nhân. Các yêu cầu cơ bản về hiệu lực của một sự đồng ý hợp pháp, có giá trị được định nghĩa trong Điều 7 và được quy định chi tiết hơn trong đoạn văn kiện (recital) 32 của GDPR: “Sự đồng ý phải được đưa ra một cách tự do, cụ thể, sau khi đã được giải thích và rõ ràng”. GDPR cho phép các nước thành viên tự xây dựng các mức chế tài đối với các hành vi vi phạm, tuy nhiên phải tuân thủ các điều kiện được quy định tại luật này. Việc vi phạm các quy định về nguyên tắc cơ bản trong xử lý dữ liệu, trong đó có điều kiện của “sự đồng ý” có thể bị phạt hành chính với mức phạt tối đa có thể lên tới 4% doanh thu một năm (điểm a khoản 8 Điều 5 GDPR).

- Pháp luật bảo vệ dữ liệu cá nhân của bang California, Hoa Kỳ:

Trái ngược với các quy định trong Luật bảo vệ dữ liệu cá nhân của Liên minh Châu Âu, cơ chế thông báo và đồng ý của Đạo luật bảo vệ quyền riêng tư của người tiêu dùng bang California (CCPA) lại được thực hiện hoàn toàn khác, đó là “thông báo” tách rời với “đồng ý” ở một mức độ nhất định, trong khi lẽ ra chúng phải được đi kèm với nhau trong hoạt động thu thập, xử lý dữ liệu cá nhân. CCPA yêu cầu 03 loại thông báo về việc thu thập dữ liệu, về quyền từ chối bán thông tin cá nhân và thông báo về các ưu đãi tài chính. Tuy nhiên, điểm mấu chốt ở đây là yếu tố “đồng ý” hoàn toàn không được đặt ra đối với việc thu thập dữ liệu cá nhân, có nghĩa là các doanh nghiệp hoàn toàn có thể tự thu thập dữ liệu cá nhân thông qua việc thông báo mà không cần sự đồng ý của chủ thể dữ liệu. Tuy nhiên, các chủ thể dữ liệu vẫn có quyền yêu doanh nghiệp ngừng sử dụng dữ liệu theo những cách nhất định và việc tuân thủ theo yêu cầu này là bắt buộc. Yêu cầu “đồng ý” chủ yếu được đặt ra khi một doanh nghiệp có ý định bán dữ liệu cá nhân, nhất là đối với việc bán dữ liệu của người tiêu dùng là người chưa thành niên. Trong CCPA, các hành vi vi phạm liên quan đến thông báo như không đưa ra thông báo đầy đủ khi thu thập dữ liệu cá nhân, bán dữ liệu cá nhân của người khác mà không cung cấp thông báo về “lựa chọn không tham gia” (opt – out)… đều sẽ bị phạt tiền lên tới 7.500 đô la, nhẹ hơn so với mức phạt hành chính được quy định trong GDPR.

- Pháp luật bảo vệ dữ liệu cá nhân của Việt Nam:

Khác với các nước đã có luật riêng quy định về vấn đề này, các vấn đề về bảo vệ dữ liệu cá nhân ở Việt Nam hiện nay vẫn đang được pháp luật điều chỉnh rải rác ở các luật, văn bản dưới luật khác nhau. Trong đó, việc Quốc hội ban hành Luật an toàn thông tin mạng năm 2015 đã đặt ra một khung pháp lý chung về bảo vệ dữ liệu cá nhân. Cơ chế thông báo và đồng ý trong thu thập và xử lý dữ liệu cá nhân được điều chỉnh trong các văn bản này vẫn còn khá sơ sài, chủ yếu tiếp cận dưới góc độ nghĩa vụ của cá nhân, tổ chức thu thập và xử lý dữ liệu mà chưa quan tâm đến hình thức, nội dung, cách lấy ý kiến đồng ý của chủ thể dữ liệu, hay hướng dẫn thế nào mới là sự “đồng ý” có giá trị pháp lý. Các hành vi thu thập, sử dụng sai mục đích, cung cấp hoặc chia sẻ hoặc phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi chưa có sự đồng ý của chủ dữ liệu cá nhân có thể bị phạt hành chính từ 10 đến 30 triệu đồng, đồng thời áp dụng biện pháp khắc phục hậu quả với hành vi sử dụng sai mục đích và chia sẻ khi chưa được sự đồng ý đó là buộc hủy thông tin cá nhân.

2. Một số hạn chế, bất cập của cơ chế “thông báo và đồng ý” và kiến nghị hoàn thiện pháp luật

2.1. Một số hạn chế, bất cập

Thứ nhất, “thông báo và đồng ý” không đưa ra sự lựa chọn đúng nghĩa (real option) cho chủ thể dữ liệu, cụ thể các lựa chọn thường là đồng ý với các điều khoản, điều kiện trong mục điều khoản sử dụng hoặc ngừng tiếp cận với sản phẩm, dịch vụ. Kể cả khi một số quốc gia quy định về việc cấm ngừng cung cấp, sản phẩm dịch vụ khi khách hàng từ chối cung cấp dữ liệu cá nhân thì lựa chọn vẫn chỉ là “đồng ý” hoặc “không đồng ý”. Các cá nhân thậm chí còn không thể thỏa thuận, đưa ra sự lựa chọn đối với những điều khoản mình mong muốn và loại bỏ những điều khoản có ý nghĩa ngược lại.

Thứ hai, nội dung thông báo trong một số trường hợp vượt quá phạm vi hiểu biết của chủ thể đồng ý. Kể cả khi các doanh nghiệp đã cung cấp cho chủ thể dữ liệu những sự lựa chọn “đúng nghĩa”, những người này thường không có đủ kiến thức chuyên môn để hiểu và đánh giá chúng. Hầu hết mọi người không đọc các thông báo về quyền riêng tư. Kể cả khi người đọc được trang bị các thuật ngữ về luật, họ vẫn cần phải có kiến thức nền về mặt kỹ thuật để có thể hiểu được toàn bộ nội dung của thông báo.

Thứ ba, cá nhân khó có thể tính toán được những rủi ro về quyền riêng tư phát sinh khi họ tiết lộ dữ liệu cho bên chủ thể xử lý. Trong trường hợp các giao dịch liên quan đến dữ liệu cá nhân được hợp pháp hóa như tại Việt Nam, với việc giữ nguyên cơ chế “thông báo và đồng ý” như hiện nay sẽ tiềm ẩn nhiều rủi ro cho chủ thể dữ liệu và bên thứ ba nhận chuyển giao dữ liệu. Các quy định về thu thập, xử lý dữ liệu cá nhân không tính đến giá trị trên thực tế của việc chia sẻ của dữ liệu cá nhân, phân tích dữ liệu, giao dịch trong tương lai giữa doanh nghiệp với doanh nghiệp và đặc biệt là các trường hợp sử dụng dữ liệu trong tương lai mà một người có thể đồng ý, nhưng không thể đồng ý vì đã quá muộn; việc xin sự đồng ý của chủ thể dữ liệu thường được diễn ra ngay tại thời điểm chủ thể này đăng nhập vào một trang web nào đó.

2.2. Kiến nghị hoàn thiện pháp luật Việt Nam

Một là, cơ chế “thông báo và đồng ý” về cơ bản phải được tái cấu trúc để có thể đáp ứng cho nhu cầu của con người hiện nay và trong tương lai. Ở mức tốt nhất, cơ chế này cần được thiết kế để hình dung hóa và hỗ trợ mối quan hệ giữa một người với dữ liệu của họ trong tương lai, bao gồm khả năng để thương lượng lại hoặc rút lại sự đồng ý, thay vì xử lý dữ liệu một lần rời rạc. Qua đó, nâng cao hiểu biết, nhận thức của mọi người về việc bảo vệ dữ liệu của mình, thay vì chỉ đơn thuần được áp dụng như những biển chỉ dẫn, qua đó cho phép các cá nhân tạo ra từng quyết định về dữ liệu của họ.

Hai là, cần mô hình hóa cụ thể các quyền về dữ liệu áp dụng chung cho tất cả các cá nhân; thay vì yêu cầu người xử lý dữ liệu sẽ phải xin phép cá nhân trước khi thu thập, xử lý dữ liệu của họ thì nên xây dựng, tiến hành một mô hình dựa trên các quyền về dữ liệu cho tất cả các cá nhân hơn là đi theo những điều cái điều khoản, điều kiện của từng trang trình duyệt mà chúng ta đăng nhập vào. Về cơ bản, chủ thể xử lý dữ liệu vẫn có thể điều chỉnh đối với các điều khoản được quy định mẫu trong luật sao cho phù hợp với lĩnh vực, ngành nghề, đối tượng mà họ hướng đến những thông báo bảo mật (privacy notice) cần phải được đăng ký với cơ quan có thẩm quyền (cơ quan bảo vệ dữ liệu quốc gia hoạt động chuyên trách) và phải đảm bảo được viết dễ hiểu, dễ tiếp cận nhất với người đọc.

Ba là, cần phải xây dựng điều khoản liệt kê các hành vi sử dụng dữ liệu bị nghiêm cấm. Cần xem xét nghiên cứu xây dựng một điều khoản bao gồm các trường hợp mà tại đó không yêu cầu “sự đồng ý” của chủ thể dữ liệu khi muốn thu thập, xử lý dữ liệu và ngay cả khi có “sự đồng ý” thì hoạt động này cũng không được phép thực hiện hay nói cách khác là các hoạt động thu thập, xử lý dữ liệu bị cấm.

Bốn là, cần có quy định yêu cầu chủ thể xử lý dữ liệu cung cấp nhiều hơn lựa chọn đối với việc xem xét đồng ý cho phép thu thập, xử lý dữ liệu của cá nhân. Cụ thể nội dung yêu cầu của quy định như sau: “Chủ thể xử lý dữ liệu cá nhân không được phép giới hạn sự lựa chọn của cá nhân trong việc đưa ra sự đồng ý cho phép hoạt động thu thập, xử lý dữ liệu cá nhân” và “yêu cầu chủ thể xử lý dữ liệu cho phép cá nhân có thể thỏa thuận về các điều khoản liên quan đến chính sách bảo mật dữ liệu hoặc điều khoản sử dụng”.