Về bảo vệ dữ liệu cá nhân trong hoạt động giao dịch thương mại điện tử ở Nhật Bản và khuyến nghị cho Việt Nam

1. Quy định của pháp luật dân sự Nhật Bản về bảo vệ dữ liệu cá nhân trong hoạt động giao dịch thương mại điện tử

Năm 2003, Nhật Bản ban hành một đạo luật riêng áp dụng cho các vấn đề riêng tư trực tuyến - Luật bảo vệ thông tin cá nhân (TTCN) (The Act on the Protection of Personal Information - APPI), có hiệu lực từ ngày 01/4/2004.

Kể từ khi được phê duyệt vào tháng 5/2003, APPI đã trải qua 02 lần sửa đổi. Theo nghiên cứu của tác giả, lần sửa đổi gần nhất vào năm 2020 đưa ra những cải biến nhằm thống nhất một số quy định chung về bảo mật thông tin (General Data Protection Regulation - GDPR) của châu Âu về bảo vệ quyền riêng tư cá nhân; định nghĩa rõ ràng hơn về TTCN, TTCN nhạy cảm; quy tắc sử dụng dữ liệu cá nhân và thiết lập Ủy ban bảo vệ TTCN (sau đây gọi là PPC); đề ra các nguyên tắc khi xử lý TTCN và chuyển giao dữ liệu cho bên thứ ba.

- Về thông tin cá nhân và dữ liệu thông tin cá nhân:

Đạo luật bảo vệ TTCN của Nhật Bản phân biệt giữa hai loại dữ liệu được bảo vệ: Thông tin cá nhân và TTCN nhạy cảm. Trong đó, TTCN bao gồm: (a) Thông tin về một cá nhân đang sống và có thể nhận dạng người đó bằng tên, ngày sinh, các mô tả khác; (b) Thông tin về một người còn sống có chứa mã nhận dạng cá nhân, nghĩa là bất kỳ ký tự, chữ cái, số, ký hiệu hoặc các mã khác.

Các mã nhận dạng cá nhân thuộc một trong hai trường hợp sau: (1) Thông tin giúp xác định một cá nhân cụ thể, dưới dạng một ký tự, chữ số, ký hiệu hoặc các mã khác chứa thông tin về toàn bộ hoặc một phần đặc điểm của cá nhân cụ thể để cung cấp cho hệ thống dữ liệu máy tính, bao gồm dữ liệu DNA, dữ liệu nhận dạng khuôn mặt, dữ liệu giọng nói, dữ liệu mẫu dáng đi, dữ liệu lòng bàn tay/ngón tay/dấu vân tay, mô hình tĩnh mạch; (2) Những ký tự, chữ cái, số, ký hiệu hoặc các mã khác được gán liên quan đến việc sử dụng dịch vụ, mua bán hàng hóa cung cấp cho một cá nhân, hoặc được cấp, ghi lại bằng điện tử trong thẻ, những dữ liệu khác được cấp cho một cá nhân nhằm xác định một người dùng hoặc người mua cụ thể (như số hộ chiếu, số lương hưu, giấy phép lái xe và số bảo hiểm y tế).

Thông tin được thu thập phải hợp pháp và nhà quản lý doanh nghiệp không được thu thập các TTCN bằng cách lừa dối hay các phương thức sai trái khác. Khi nhà quản lý doanh nghiệp thu thập thông tin, cá nhân bị thu thập thông tin phải được thông báo hay tuyên bố công khai về mục đích sử dụng trừ một số ngoại lệ sau: Việc thông báo hay tuyên bố công khai có khả năng gây hại đến đời sống, thân thể, tài sản, quyền hay lợi ích của cá nhân hay bên thứ ba; những thông báo này có khả năng gây hại đối với quyền cũng như lợi ích chính đáng của nhà quản lý; sự phối hợp với một cơ quan nhà nước, chính quyền địa phương hay bên thứ ba là cần thiết để tiến hành các vấn đề được quy định bởi luật pháp mà sự thông báo hay tuyên bố công khai có khả năng cản trở việc thực hiện.

Thông tin nhạy cảm mới được đưa vào APPI sửa đổi. Thuật ngữ này được sử dụng trong APPI là “TTCN được yêu cầu đặc biệt” (special care-required personal information) bao gồm: Chủng tộc, giống nòi, địa vị xã hội, y bạ, tiền án tiền sự, thực tế chịu tổn thất do tội trạng hoặc bất kỳ miêu tả nào khác… theo lệnh của Chính phủ là các vấn đề mà việc giải quyết đòi hỏi phải có mối quan tâm đặc biệt, để không gây ra sự phân biệt đối xử bất công, gây tổn hại hoặc bất kỳ bất lợi nào cho chủ thể (Điều 1 (3) APPI). APPI năm 2017 đã quy định cụ thể hơn về dữ liệu nhạy cảm; xác định cụ thể hơn khi coi những thông tin liên quan đến chủng tộc, tín ngưỡng, tôn giáo, địa vị xã hội, hồ sơ tội phạm và quá khứ của một cá nhân là “TTCN yêu cầu được quan tâm đặc biệt” (thông tin nhạy cảm).

APPI cũng xác định dữ liệu ẩn danh, vì nó đã bị loại bỏ thông tin có thể được sử dụng để nhận dạng cá nhân, nên không cần tuân theo các nguyên tắc xử lý nghiêm ngặt như TTCN.

- Nghĩa vụ đối với người xử lý dữ liệu:

Nhà quản lý doanh nghiệp khi xử lý TTCN, dữ liệu cá nhân có nghĩa vụ giải thích một cách cụ thể mục đích sử dụng dữ liệu đó (Điều 15 APPI), đồng thời phải tuân thủ những quy định sau: (i) Nhà quản lý không được sử dụng TTCN nằm ngoài phạm vi cần thiết để đạt được các mục đích mà không có sự cho phép từ trước của cá nhân; (ii) Không được thay đổi mục đích sử dụng ngoài phạm vi có mối quan hệ thay thế một cách chính đáng với mục đích sử dụng ban đầu.

Theo APPI, bên xử lý dữ liệu được yêu cầu thực hiện biện pháp cần thiết và thích hợp nhằm đảm bảo an toàn TTCN. Việc lựa chọn biện pháp thích hợp sẽ tùy thuộc vào bản chất, phạm vi, bối cảnh mục đích của việc sử dụng hoặc xử lý những dữ liệu cá nhân có liên quan, cũng như các rủi ro đối với quyền và tự do của cá nhân.

APPI năm 2017 đã tạo ra khuôn khổ pháp lý để thúc đẩy việc sử dụng dữ liệu cá nhân. Một doanh nghiệp có thể tạo ra thông tin được ẩn danh và xử lý dữ liệu cá nhân theo các tiêu chuẩn được quy định bởi PPC khi điều đó là cần thiết để xác định một cá nhân cụ thể và khôi phục thông tin được sử dụng cho việc sản xuất, từ đó phát triển hoặc thúc đẩy hoạt động kinh doanh hoặc đổi mới.

- Quyền của chủ thể dữ liệu:

Người xử lý thông tin khi đã có được TTCN phải nhanh chóng thông báo cho chủ thể dữ liệu mục đích sử dụng TTCN đó, trừ trường hợp mục đích sử dụng đã được tiết lộ công khai. Trường hợp một người xử lý dữ liệu đã chuyển đổi mục đích sử dụng thì được yêu cầu phải thông báo đến các chủ thể dữ liệu mục đích thay đổi hoặc công bố công khai mục đích đó.

Chủ thể dữ liệu cũng có quyền sửa đổi hoặc xóa dữ liệu của họ. Nếu yêu cầu sửa đổi không được giải quyết trong vòng hai tuần kể từ khi được đưa ra, chủ thể dữ liệu có thể buộc thực hiện việc này thông qua hành động dân sự (khởi kiện).

Việc truy cập TTCN có thể bị từ chối nếu: Gây ra rủi ro về an toàn hoặc thương tích cho chủ thể dữ liệu hoặc bất kỳ bên thứ ba nào hoặc tài sản của họ (risks safety or injury to the data subject or any third party or their property); gây cản trở đáng kể đến hoạt động kinh doanh của PIC (person in charge - người chịu trách nhiệm, người kiểm soát TTCN) (would cause a material interference with the PIC’s business operations); vi phạm bất kỳ luật nào khác của Nhật Bản về cấm tiết lộ thông tin (would violate any other Japanese law that would prohibit disclosure); gây nguy hiểm cho an ninh quốc gia hoặc quan hệ đối ngoại (endanger national security or foreign relations); cản trở điều tra tội phạm (obstruct criminal investigations).

Chủ thể dữ liệu có quyền yêu cầu PIC ngừng sử dụng dữ liệu cá nhân của họ hoặc chuyển dữ liệu đó cho bên thứ ba nếu PIC đang sử dụng dữ liệu cho mục đích khác với (các) mục đích đã nêu hoặc nếu dữ liệu được lấy một cách gian lận. Quyền này cũng được áp dụng nếu PIC không còn cần sử dụng dữ liệu nữa, đã xảy ra vi phạm dữ liệu hoặc nếu có cáo buộc vi phạm quyền hoặc lợi ích của chủ thể dữ liệu. PIC có thể từ chối yêu cầu ngừng sử dụng dữ liệu cá nhân khi yêu cầu đó không hợp lý, sẽ tốn kém hoặc khó khăn một cách bất hợp lý (như thu hồi các tài liệu đã được phân phối). PIC phải thông báo ngay cho chủ thể dữ liệu nếu (các) yêu cầu của họ đã được giải quyết, hoặc nếu không thì cần giải thích lý do trong khả năng tốt nhất của họ.

- Truyền dữ liệu theo APPI:

Tại Nhật Bản, đối với việc chuyển dữ liệu cho bên thứ ba, các công ty phải được sự đồng ý trước của chủ thể dữ liệu về việc chuyển giao hoặc thông báo trước cho cá nhân về khả năng từ chối. Nếu việc chuyển giao TTCN là vì lợi ích chung, thì không cần có sự đồng ý trước (bao gồm các trường hợp liên quan đến an ninh quốc gia, các vấn đề pháp lý hoặc sức khỏe cộng đồng).

“Bên thứ ba” có thể bao gồm các thể nhân, pháp nhân khác hay các công ty con của nhà quản lý doanh nghiệp. Việc nhà quản lý doanh nghiệp cung cấp thông tin cho các công ty con của mình cũng phải tuân theo quy định này.

Bản sửa đổi APPI đã đưa ra các hạn chế đối với việc truyền dữ liệu bên ngoài Nhật Bản: Chúng chỉ có thể diễn ra nếu người nhận ở các quốc gia có mức độ bảo vệ dữ liệu phù hợp ngang với Nhật Bản, các thỏa thuận hợp đồng đảm bảo tuân thủ các tiêu chuẩn bảo vệ dữ liệu ở Nhật Bản đã được ký với người nhận ở nước ngoài hoặc chủ thể dữ liệu có TTCN sẽ được chuyển giao đồng ý trước đối với việc chuyển giao đó.

- Quy định về cơ quan có trách nhiệm bảo vệ TTCN:

PPC là cơ quan bảo vệ dữ liệu cấp trung ương được thành lập theo APPI sửa đổi năm 2020; chịu trách nhiệm cho việc thi hành, điều tra; ban hành hướng dẫn về TTCN. Trước khi PPC được thành lập, nhiều cơ quan của Chính phủ có quyền thi hành đối với các nhà quản lý doanh nghiệp theo thẩm quyền tương ứng và tại mỗi cơ quan lại có hướng dẫn riêng về bảo vệ TTCN (theo thống kê là hơn 40 hướng dẫn cho 27 ngành công nghiệp). Sự ra đời của bộ hướng dẫn từ PPC đã tạo sự thống nhất cao, tránh tình trạng hướng dẫn phân tán, rải rác. Đây được xem là bước tiến đáng chú ý của Nhật Bản khi thành lập một cơ quan chuyên trách, độc lập, chuyên điều tra, xử lý các vấn đề liên quan đến dữ liệu cá nhân.

PPC có thể yêu cầu các báo cáo về việc xử lý TTCN và ban hành khuyến nghị hay lệnh sửa đổi trong trường hợp nhà quản lý doanh nghiệp vi phạm quyền riêng tư của cá nhân hay vi phạm quy định của APPI. Nếu doanh nghiệp không tuân thủ yêu cầu, PPC sẽ ban hành một lệnh hành chính là một yêu cầu chính thức đến công ty có hành động vi phạm dữ liệu cá nhân. Nếu các lệnh hành chính không được thi hành, nhà điều hành doanh nghiệp có thể bị truy cứu trách nhiệm hình sự và cá nhân chịu trách nhiệm phải đối mặt với khoản tiền phạt lên đến 500.000 yên (tương đương 4.600 USD) hoặc phạt tù lên đến một năm.

APPI năm 2017 hướng tới việc để các cơ quan có thẩm quyền tự đặt ra các biện pháp thích hợp nhưng vẫn quy định một số chính sách, tiêu chí nhất định tại Điều 7 nhằm hạn chế sự mâu thuẫn trong các phương thức bảo vệ dữ liệu cá nhân.

Theo APPI sửa đổi năm 2020, khung pháp lý đã được thay đổi cơ bản và cơ quan quản lý nhà nước cấp tỉnh có trách nhiệm chính về chính sách bảo vệ TTCN tại Nhật Bản. APPI quy định rõ chức năng, quyền hạn của cơ quan này tại Điều 61, bao gồm: Xây dựng và thúc đẩy chính sách cơ bản về bảo vệ TTCN; giám sát việc xử lý TTCN và thông tin nặc danh cùng các vấn đề liên quan đến việc dàn xếp cần thiết đối với khiếu nại và hợp tác cùng người điều hành giải quyết khiếu nại; tổ chức bảo vệ thông tin được công nhận; điều phối và giám sát xử lý thông tin; hòa giải và hợp tác giải quyết khiếu nại; đánh giá bảo vệ TTCN cụ thể; khảo sát và nghiên cứu cần thiết để quản trị các vấn đề bảo vệ TTCN; hợp tác quốc tế về quyền tài phán; hợp tác với cơ quan bảo vệ dữ liệu ở nước ngoài.

- Quy định về các chế tài:

Pháp luật bảo vệ TTCN của Nhật Bản đưa ra một số chế tài như: Bắt buộc thực hiện các khuyến nghị của Ủy ban bảo vệ TTCN, phạt tiền, phạt tù. Vi phạm pháp luật về bảo vệ TTCN được xử lý theo khoản 2 hoặc khoản 3 Điều 42 APPI. Khi người xử lý, giải quyết TTCN không hành động tuân theo khuyến nghị mà không có cơ sở hợp lý, thì Ủy ban bảo vệ TTCN có thể yêu cầu người này phải tuân thủ theo khuyến nghị đã đưa ra.

Theo APPI năm 2017, các điều khoản phạt được mở rộng, hướng tới nhiều đối tượng chủ thể hơn, hình phạt nghiêm khắc hơn. Theo đó, APPI năm 2017 hướng tới mọi cá nhân, cơ quan, tổ chức, nếu các đối tượng này thực hiện hành vi xâm phạm TTCN của các chủ thể dữ liệu. Tuy nhiên, vấn đề bồi thường thiệt hại cho chủ thể dữ liệu vẫn chưa được đề cập trong APPI năm 2017.

2. Một số khuyến nghị cho Việt Nam

Thứ nhất, Việt Nam cần ban hành luật về bảo vệ dữ liệu cá nhân như APPI của Nhật Bản hơn là các văn bản quy phạm dưới luật. Văn bản pháp luật này cần bảo đảm tính chuyên biệt, quy định một cách rộng rãi và toàn diện tất cả các vấn đề pháp lý liên quan đến dữ liệu cá nhân và bảo vệ dữ liệu cá nhân nhằm tránh sự chồng chéo; đồng thời, quy định cụ thể về bảo vệ dữ liệu cá nhân trong giao dịch thương mại điện tử, tránh tình trạng kìm hãm sự phát triển của thương mại điện tử.

Thứ hai, cần thành lập cơ quan chuyên trách về bảo vệ dữ liệu cá nhân. Với sự ra đời của PPC tại Nhật Bản, việc thực thi pháp luật về bảo vệ dữ liệu cá nhân đã có những chuyển biến tích cực, hiệu quả. PPC liên tục nghiên cứu các quy định của pháp luật để đưa ra những định hướng sửa đổi, bổ sung nhằm từng bước hoàn thiện pháp luật, đáp ứng nhu cầu thực tế và phù hợp với xu hướng chung của thế giới. Việt Nam cần nghiên cứu thành lập một cơ quan chuyên biệt, độc lập để giám sát và thực thi pháp luật về bảo vệ dữ liệu cá nhân tương tự như PPC của Nhật Bản.

Thứ ba, cần nghiên cứu thiết lập một cơ chế bảo hộ dữ liệu cá nhân cụ thể, riêng biệt đối với các đối tượng yếu thế trong xã hội (như người chưa thành niên hoặc người không có đầy đủ năng lực hành vi dân sự), vì nhóm đối tượng này dễ trở thành nạn nhân của hành vi xâm phạm dữ liệu cá nhân trong giao dịch thương mại điện tử.

Thứ tư, bên cạnh việc quy định các chế tài nghiêm khắc, pháp luật bảo vệ dữ liệu cá nhân Việt Nam cũng cần quan tâm đến vấn đề bồi thường thiệt hại như một công cụ để khắc phục hậu quả mà hành vi xâm phạm thông tin, dữ liệu cá nhân gây ra.

ThS. Nguyễn Ngọc Ánh - Dương Lan Phương - Bùi Lê Hiếu