Thực trạng khung pháp lý về bảo vệ dữ liệu cá nhân trên không gian mạng tại Việt Nam
Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Bảo vệ dữ liệu cá nhân bao gồm bảo vệ dữ liệu cá nhân cơ bản và bảo vệ dữ liệu cá nhân nhạy cảm.
Cho đến hiện nay, đã có các quy định về bảo vệ dữ liệu cá nhân trên không gian mạng và được triển khai trong thực tiễn. Đây là những điểm tích cực trong công tác bảo vệ dữ liệu cá nhân trên không gian mạng, nhằm khống chế, nắm bắt kịp thời những chủ thể có hành vi, có ý định thực hiện hành vi vi phạm pháp luật bảo vệ dữ liệu cá nhân trên không gian mạng. Đồng thời, cũng thể hiện được nước ta đã triển khai sâu rộng chính phủ số, nhà nước số, sánh vai với các cường quốc, các nước tiên tiến trên thế giới trong việc nắm bắt xu thế của kỷ nguyên số. Tuy nhiên, vẫn còn những hạn chế trong thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trên không gian mạng cần được chỉ rõ và khắc phục. Một số bất cập, tồn tại trong khung pháp lý về bảo vệ dữ liệu cá nhân trên không gian mạng tại Việt Nam như:
Thứ nhất, hiệu lực pháp lý của văn bản còn thấp. Hiện nay, Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân đang là văn bản pháp luật điều chỉnh chuyên biệt về bảo vệ dữ liệu cá nhân, nhưng về hiệu lực pháp lý thì đây cũng chỉ mới là văn bản dưới luật. Trong khi đó, thế giới số vẫn đang vận hành và xâm nhập vào đời sống thường nhật, việc Nghị định số 13/2023/NĐ-CP điều chỉnh lâu dài trong đời sống kinh tế - xã hội là chưa phù hợp. Đồng thời các nước trên thế giới và trong khu vực cũng đã có “văn bản luật” để điều chỉnh về bảo vệ dữ liệu cá nhân, tuy vậy ở nước ta hiện nay mới chỉ đang là Nghị định.
Đồng thời, Nghị định là văn bản quy phạm pháp luật được Chính phủ ban hành trong quá trình hành pháp, chứ không phải là văn bản quy phạm pháp luật được Quốc hội thông qua. Điều này thể hiện rằng, Nghị định số 13/2023/NĐ-CP chưa được tiếp cận, thông qua trước toàn thể đại biểu, cử tri cả nước giống như một “văn bản luật” trong các kỳ họp. Điều này làm ảnh hưởng tới hiệu quả chấp pháp, sai lệch việc trong việc tuân thủ pháp luật về bảo vệ dữ liệu cá nhân của nhân dân, cử tri cả nước.
Thứ hai, chưa có quy định điều chỉnh công nghệ trí tuệ nhân tạo (AI). AI trong kỷ nguyên số được coi là sự phát triển vượt bậc về công nghệ. Sử dụng công nghệ AI trong bảo vệ dữ liệu cá nhân trên không gian mạng là phù hợp, cho đến hiện tại, AI cũng không còn giới hạn ở một số phần mềm, mà đã phát triển rất rộng trên thế giới. Mặt khác, đây cũng là những thách thức mới, vì tội phạm mạng có thể lợi dụng những AI để lấy bảo vệ dữ liệu cá nhân trên không gian mạng. Chúng ta sử dụng công nghệ AI để bảo vệ dữ liệu cá nhân, thì tội phạm mạng cũng có thể sử dụng nó để đánh cắp, trao đổi, mua bán, lưu trữ, sử dụng, xử lý trái phép bảo vệ dữ liệu cá nhân. Đồng thời, công nghệ AI không phải là những thực thể sinh ra đã có sẵn những tri thức trong đó, mà được tồn tại, phát triển từ những tri thức của nhân loại, từ những bảo vệ dữ liệu cá nhân mà người sử dụng (chủ thể dữ liệu) cung cấp những câu hỏi, tìm kiếm, từ đó, công nghệ AI mới đi tìm câu trả lời từ thông tin được cung cấp.
AI hiện nay cũng là một lĩnh vực mà chúng ta chưa có những quy định để can thiệp vào lĩnh vực này trên không gian mạng tại Việt Nam. Hiện nay, theo quy định tại Nghị định số 13/2023/NĐ-CP thì bảo vệ dữ liệu cá nhân chỉ giới hạn ở “cơ quan, tổ chức, cá nhân có liên quan”, chưa đề cập chủ thể “AI”, vì AI không phải là chủ thể nên chưa có quy định điều chỉnh; đồng thời, cũng không phải là một thực thể “có thật”, được định danh hay có thể định danh.
Thứ ba, chế tài xử lý đối với hành vi vi phạm là chưa đủ rõ ràng và chưa đủ sức răn đe. Hầu hết các hành vi “nhờn luật” hiện nay, đều xuất phát từ việc chế tài chưa đủ sức răn đe đối với các đối tượng là tội phạm mạng, tội phạm xuyên biên giới. Đồng thời đây là một trong những biểu hiện nguy hiểm, khi không thể xử lý được các đối tượng nếu chế tài chưa đủ rõ ràng. Bên cạnh đó, các doanh nghiệp, tổ chức, cơ quan cũng “tạo điều kiện” cho các đối tượng tội phạm mạng có cơ hội được tiếp cận dữ liệu một cách dễ dàng, vì các cơ quan, tổ chức này cũng không chấp hành nghiêm chỉnh những quy định về bảo vệ dữ liệu cá nhân trên không gian mạng được ban hành. Dù cho đã có các quy định về tội phạm trong bộ luật hình sự và một số chế tài xử phạt hành chính tại Nghị định số 15/2020/NĐ-CP ngày 3/2/2020 của Chính phủ về quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử. Tuy nhiên vẫn chưa thể làm rõ được cách thức vận hành và định danh, định tội đối với các hành vi, tội phạm xâm phạm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân. Vì chưa thật sự có một bộ tiêu chí cụ thể để xác định hành vi nào thì xử phạt hành chính, hành vi nào là tội phạm hình sự.
Kinh nghiệm từ Quy định bảo vệ dữ liệu chung của Liên minh châu Âu
Quy định bảo vệ dữ liệu chung tác động đến công nghệ AI thông qua việc hạn chế phạm vi ứng dụng. Tại khoản 3 điều 13 Quy định bảo vệ dữ liệu chung thì trường hợp bên kiểm soát dữ liệu dự định xử lý thêm cho mục đích khác so với mục đích ban đầu khi thu thập dữ liệu, thì trước đó phải tiến hành thông báo, cung cấp thông tin cho chủ thể dữ liệu về mục đích mới. Điều này đặt ra hạn chế phạm vi cho công nghệ AI là không được phép tự ý xử lý bảo vệ dữ liệu cá nhân ngoài mục đích ban đầu được chủ thể dữ liệu cho phép, nếu vẫn muốn sử dụng thì phải được chủ thể dữ liệu cho phép (thông qua thông báo, cung cấp thông tin cho chủ thể dữ liệu từ trước đó). Mặt khác, đây là đặt ra thêm trách nhiệm cho bên kiểm soát trong việc bảo vệ dữ liệu cá nhân của chủ thể dữ liệu, nhằm hạn chế các hành vi “vượt quyền” của bên kiểm soát dữ liệu.
Song, tại Điều 83 Quy định bảo vệ dữ liệu chung cũng quy định về điều kiện chung để áp dụng xử phạt hành chính, trong đó quy định về các hành vi cụ thể dựa vào các điều kiện sau: (i) bản chất, mức độ nghiêm trọng, thời gian vi phạm hay mục đích vi phạm, số lượng chủ thể dữ liệu bị ảnh hưởng và mức độ thiệt hại; (ii) tính chất vô ý hoặc cố ý; (iii) hành động nhằm giảm thiểu thiệt hại của bên kiểm soát dữ liệu và bên xử lý dữ liệu; (iv) mức độ trách nhiệm của bên kiểm soát bảo vệ dữ liệu cá nhân và bên xử lý bảo vệ dữ liệu cá nhân liên quan đến các biện pháp kỹ thuật và biện pháp tổ chức do họ thực hiện; (v) những vi phạm trước đó của bên kiểm soát dữ liệu và bên xử lý dữ liệu; (vi) mức độ hợp tác với cơ quan giám sát nhằm khắc phục vi phạm và giảm thiểu những tác động tiêu cực có thể xảy ra; (vii) các loại bảo vệ dữ liệu cá nhân bị ảnh hưởng; (viii) cách thức hành vi vi phạm được phát hiện bởi cơ quan giám sát, đặc biệt là việc bên kiểm soát bảo vệ dữ liệu cá nhân hoặc bên xử lý bảo vệ dữ liệu cá nhân có tự nguyện thông báo về hành vi vi phạm hay không, và nếu có thì ở mức độ nào; (ix) việc tuân thủ các biện pháp đã được cơ quan giám sát ra lệnh đối với bên kiểm soát bảo vệ dữ liệu cá nhân hoặc bên xử lý bảo vệ dữ liệu cá nhân liên quan đến cùng một vấn đề; (x) việc tuân thủ các quy tắc ứng xử được phê duyệt hoặc cơ chế chứng nhận được phê duyệt; (xi) bất kỳ yếu tố tăng nặng hoặc giảm nhẹ nào khác có liên quan đến hoàn cảnh cụ thể của vụ việc.
Dựa vào các điều kiện này, mức phạt tiền tùy thuộc vào mức độ gây nguy hiểm cho xã hội, cao nhất là 20 triệu euro (tương đương gần 567 tỷ đồng) đối với cá nhân, và cao nhất 4% tổng mức doanh thu theo năm tài chính trên toàn thế giới đối với doanh nghiệp, áp dụng 10 hay 20 triệu euro, 2 hay 4% tổng doanh thu phụ thuộc vào trường hợp vi phạm của cá nhân, doanh nghiệp đó (căn cứ trên các điều kiện như đã đề cập). Từ khi Quy định bảo vệ dữ liệu chung có hiệu lực, trong thực tế đã có tác động lớn đến bảo vệ dữ liệu cá nhân, nhờ việc áp dụng các mức phạt tiền cụ thể cho từng hành vi vi phạm, đã thu được một khoản chi phí lớn.
Hình 1. Tiền phạt tích lũy do vi phạm quy định bảo vệ dữ liệu chung tính đến tháng 5/2025. Nguồn: https://www.enforcementtracker.com/.
Theo thống kê tại GDPR Enforcement Tracker, số tiền tích lũy do vi phạm Quy định bảo vệ dữ liệu chung tính đến tháng 2/2025 đã gần 6 tỷ euro. Mặt khác tại Điều 84 không trực tiếp quy định các tội phạm hình sự về bảo vệ dữ liệu cá nhân, mà sẽ để các quốc gia thành viên tự quy định về nội dung này, đồng nghĩa với việc quy định bảo vệ dữ liệu chung tôn trọng các thành tố “cấu thành tội phạm” của từng quốc gia, nên việc xác định các tội phạm bảo vệ dữ liệu cá nhân sẽ do mỗi quốc gia tự quyết.
Meta cũng không tránh khỏi khi Cơ quan quản lý quyền riêng tư dữ liệu hàng đầu của Liên minh châu Âu đã phạt Meta 251 triệu euro (tương đương 263,5 triệu USD) vì vi phạm bảo mật vào năm 2018, ảnh hưởng đến 29 triệu người dùng Facebook. Đây là lệnh trừng phạt mới nhất đối với gã khổng lồ truyền thông xã hội theo Quy định ảo vệ dữ liệu chung của Liên minh châu Âu.
Vào thời điểm đó, Meta đã thông báo với Ủy ban Bảo vệ Dữ liệu Ireland (DPC) rằng, các tin tặc đã khai thác một lỗ hổng trong mã của Facebook, ảnh hưởng đến tính năng "Xem dưới dạng" (View as). Tính năng này cho phép người dùng kiểm tra trang cá nhân của họ dưới góc nhìn của người khác. Lỗ hổng này đã để lộ thông tin cá nhân của hàng triệu người, bao gồm họ tên đầy đủ, số điện thoại, địa chỉ, ngày sinh, tôn giáo, giới tính và thông tin về gia đình họ.
Một số giải pháp hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân trên không gian mạng tại Việt Nam
Thứ nhất, ban hành văn bản luật bảo vệ dữ liệu cá nhân. Việc ban hành văn bản luật bảo vệ dữ liệu cá nhân hiện nay là cực kỳ cấp bách. Trên cơ sở là luật bảo vệ dữ liệu cá nhân điều chỉnh những vấn đề chung, còn Nghị định, Thông tư… điều chỉnh những vấn đề có tính thời sự, thời điểm của các quan hệ xã hội. Việc Nghị định số 13/2023/NĐ-CP hiện nay đã có những điều chỉnh, tuy nhiên nếu không có văn bản “luật gốc”, nếu các quan hệ xã hội mới được phát sinh (theo quy luật khách quan của thời đại) thì lại phải “Nghị định thay thế Nghị định”, nên việc ban hành luật bảo vệ dữ liệu cá nhân là cần thiết. Vì các quốc gia trong khu vực Đông Nam Á hiện nay, hay quốc gia láng giềng Trung Quốc của chúng ta cũng đã có văn bản điều chỉnh về bảo vệ dữ liệu cá nhân. Do đó, nhằm bắt kịp với thời đại, kết hợp cùng với những giá trị mà hiệu lực pháp lý của văn bản luật mang lại, việc ban hành là hoàn toàn phù hợp và bảo đảm tính lâu dài.
Thứ hai, quy định giới hạn quyền hạn công nghệ AI trong bảo vệ dữ liệu cá nhân trên không gian mạng. Hiện nay, công nghệ AI là công cụ có thể giúp ích được trong công tác kiểm tra, giám sát trong hoạt động của các lĩnh vực, tuy nhiên bị khai thác bảo vệ dữ liệu cá nhân từ tội phạm mạng cũng diễn ra thường xuyên. Do đó, cần phải có những quy định nhằm giới hạn các chủ thể trong việc sử dụng bảo vệ dữ liệu cá nhân trong hoạt động xử lý bảo vệ dữ liệu cá nhân trên không gian mạng, hạn chế hoạt động bên kiểm soát dữ liệu và bên xử lý dữ liệu bằng công nghệ AI, và nếu muốn tự mình xử lý bảo vệ dữ liệu cá nhân của chủ thể dữ liệu bằng công nghệ AI thì phải thông báo cho chủ thể dữ liệu, đặc biệt, phải được sự chấp thuận của họ về việc xử lý bảo vệ dữ liệu cá nhân đó (vì bảo vệ dữ liệu cá nhân là dữ liệu của chủ thể dữ liệu, không phải của bên kiểm soát dữ liệu hay bên xử lý dữ liệu, đồng thời, đây cũng là quyền của chủ thể dữ liệu).
Thứ ba, điều chỉnh mức xử phạt hành chính và tội phạm hình sự đối với các đối tượng có hành vi xâm phạm bảo vệ dữ liệu cá nhân trên không gian mạng. Hiện nay các đối tượng lợi dụng không gian mạng để thực hiện hành vi xâm phạm bảo vệ dữ liệu cá nhân rất nhiều. Cần quán triệt các hành vi này từ trong tiềm thức bằng cách tăng mức phạt tiền, để tránh các đối tượng có ý định, có ý nghĩ sẽ lợi dụng không gian mạng để thực hiện hành vi, phải tăng cao mức phạt tiền để tạo mức răn đe cho các đối tượng có ý định, có hành vi vi phạm, vì hiện nay mức phạt tiền còn quá nhẹ. Song, cần bổ sung các quy định về tội phạm đối với hành vi vi phạm, để nếu trong thực tế cần thiết thì có thể áp dụng, vì không phải đối tượng nào cũng có thể xử lý vi phạm hành chính, đặc biệt cần phải “mạnh tay” đối với việc xâm phạm dữ liệu cá nhân đến mức phải xử lý hình sự. Đồng thời, đặt ra trách nhiệm đối với cán bộ, công chức trong cơ quan quản lý nhà nước về việc bảo vệ dữ liệu cá nhân, vì hiện nay đã có các quy định về trách nhiệm của cơ quan quản lý nhà nước, tuy nhiên vẫn chưa có quy định về xử lý nếu không thực hiện đúng trách nhiệm của mình.
Thứ tư, xây dựng bộ tiêu chí về hành vi xâm phạm bảo vệ dữ liệu cá nhân trên không gian mạng. Việc bổ sung các quy định về bộ tiêu chí để xem xét xử lý hành vi phạm tại Việt Nam là cần thiết. Xây dựng bộ tiêu chí cụ thể để xác định, định danh từng hành vi, tùy vào mức độ khắc phục, phối hợp để khắc phục và đưa ra cảnh cáo, xử phạt khác nhau, xác định đúng người, đúng tội, không xử oan sai, không phạt quá mức hành vi. Xây dựng bộ tiêu chí dựa trên các điều kiện sau: (i) bản chất; (ii) thời gian; (iii) mức độ; (iv) vi phạm trước đó; (v) cách khắc phục...