Dữ liệu cá nhân nhạy cảm ở Việt Nam

Dữ liệu cá nhân là đối tượng cần được bảo vệ trọng điểm trong thời đại kinh tế số hiện nay. Trong đó, dữ liệu cá nhân nhạy cảm lại càng là đối tượng dễ bị tổn thương, bị tấn công và lạm dụng; gây ra ảnh hưởng tiêu cực đến chủ thể thông tin và toàn xã hội. Do đó, cần thiết phải xây dựng hệ thống quy định pháp luật nhằm bảo vệ dữ liệu cá nhân nói chung và các dữ liệu nhạy cảm nói riêng.

Định nghĩa dữ liệu cá nhân nhạy cảm

Trước năm 2023, pháp luật Việt Nam chưa có một định nghĩa cụ thể, thống nhất về “dữ liệu cá nhân” nói chung và “dữ liệu cá nhân nhạy cảm” nói riêng. Theo đó, trong tổng số 68 văn bản quy phạm pháp luật liên quan đến bảo vệ dữ liệu cá nhân tại Việt Nam thì có tới hơn 10 thuật ngữ tương tự nhau đề cập đến dữ liệu cá nhân, ví dụ như “thông tin cá nhân”, “thông tin riêng tư”, “thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình”, “thông tin cá nhân trên môi trường mạng”,…[1] Trong khi đó, không có văn bản nào có quy định về dữ liệu cá nhân nhạy cảm, bao gồm cả xác định và áp dụng pháp luật đối với nhóm thông tin này.

Trong thực tế, cùng với sự phát triển chóng mặt của công nghệ, các dữ liệu cá nhân được sử dụng không chỉ gói gọn trong các thông tin mang tính “bề mặt” như tên, tuổi, địa chỉ, số điện thoại,… mà còn cả những thông tin về sinh trắc học (dấu vân tay, tròng mắt,…) hay các thông tin về mặt quan điểm chính trị, niềm tin tôn giáo,… Những thông tin này có thể bị sử dụng vào các mục đích bất chính nếu như bị lộ, lọt hoặc được đăng tải trên Internet và bị tội phạm thông tin thu thập.

Nhận thấy tầm quan trọng của việc bảo vệ dữ liệu cá nhân nói chung và dữ liệu cá nhân nhạy cảm nói riêng, nhiều nước trên thế giới đã ban hành những quy định pháp luật nhằm đảm bảo an toàn dữ liệu nói chung và nhóm dữ liệu này nói riêng. Theo thống kế, đã có hơn 80 quốc gia có văn bản quy phạm pháp luật riêng điều chỉnh vấn đề này[2]. Một số điển hình có thể kể đến như Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu (EU) hay Luật Bảo vệ dữ liệu cá nhân của Trung Quốc (PIPL),…

Cùng với xu hướng của thế giới, Việt Nam cũng đã ban hành Nghị định số 13/2023/NĐ-CP quy định về bảo vệ dữ liệu cá nhân. Đối với dữ liệu cá nhân nhạy cảm, đây là lần đầu tiên Việt Nam có nhìn nhận một cách rõ ràng và có định nghĩa chính thức cho nhóm thông tin này. Cụ thể, dữ liệu cá nhân nhạy cảm là một trong hai loại dữ liệu cá nhân[3]; là các dữ liệu gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân.

Điều 2.4 Nghị định còn liệt kê các loại dữ liệu cá nhân được coi là nhạy cảm, bao gồm:

(i) Quan điểm ​​chính trị, quan điểm tôn giáo;

(ii) Tình trạng sức khỏe và đời tư được ghi nhận trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;

(iii) Thông tin về nguồn gốc chủng tộc, nguồn gốc dân tộc;

(iv) Các đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;

(v) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của mỗi cá nhân;

(vi) Dữ liệu về đời sống tình dục, xu hướng tình dục của cá nhân;

(vii) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi cơ quan thực thi pháp luật;

(viii) Thông tin định danh khách hàng của tổ chức tín dụng, ngân hàng,… (như thông tin tài khoản, tiền gửi, tài sản gửi, thông tin giao dịch,…);

(ix) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;

(x) Dữ liệu khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

Xem xét Điều 9 của GDPR về dữ liệu cá nhân đặc biệt đặc biệt (“special category data”),  có tính chất tương tự với dữ liệu cá nhân nhạy cảm, so với quy định trên của Nghị định, có thể thấy đa phần các trường thông tin được coi là nhạy cảm/đặc biệt ở hai quy định đều tương đồng, chỉ có một số điểm khác biệt như sau:

Một là, quy định của GDPR có thêm thông tin về thành viên công đoàn (trade union membership). Sự khác biệt này xuất phát từ đặc thù xã hội của các nước Châu Âu về hoạt động của Công đoàn, dẫn đến việc tư cách thành viên của tổ chức này được xác định là thông tin đặc biệt, nhằm để đảm bảo sự bình đẳng giữa thành viên Công đoàn và những người lao động khác.

Hai là, quy định của Nghị định có thêm thông tin về (i) Tội phạm, hành vi phạm tội; (ii) Vị trí của cá nhân; (iii) Tài khoản ngân hàng và các thông tin liên quan đến tài chính; (iv) thông tin đặc thù khác theo quy định của pháp luật.

Có thể thấy, phạm vi dữ liệu cá nhân nhạy cảm theo quy định nêu trên là rất rộng, thậm chí rộng hơn cả quy định của GDPR, bao gồm hầu hết các thông tin từ hoạt động sống của của một cá nhân. Đối với mỗi trường dữ liệu, các loại thông tin thuộc trường dữ liệu đó cũng hết sức đa dạng.  Ví dụ như một trường hợp được xử lý theo quy định của GDPR: theo một phán quyết của Tòa án Công lý Châu Âu (CJEU), tên của vợ/chồng của một cá nhân được coi là dữ liệu cá nhân đặc biệt, tương tự với dữ liệu cá nhân nhạy cảm theo quy định trên, bởi vì thông tin này có thể tiết lộ xu hướng tình dục của cá nhân đó (là một trong các trường dữ liệu nhạy cảm)[4].

Quy định của pháp luật liên quan đến dữ liệu cá nhân nhạy cảm

Dữ liệu cá nhân nhạy cảm được bảo vệ đặc biệt bởi các quy định tại Nghị định số 13/2023/NĐ-CP. Theo đó, Nghị định đặt ra nhiều nghĩa vụ đối với Bên Kiểm soát, Bên Xử lý dữ liệu cá nhân trong trường hợp có các hoạt động liên quan đến dữ liệu nhạy cảm

Thứ nhất, trong các yêu cầu đặt ra để sự đồng ý của chủ thể dữ liệu được coi là có giá trị (tự nguyện, rõ ràng) thì khi xử lý dữ liệu nhạy cảm của chủ thể, họ phải được thông báo một cách cụ thể, rõ ràng rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm trước khi đưa ra sự đồng ý[5]. Đây cũng là một biện pháp nhằm bảo vệ dữ liệu cá nhân theo quy định tại khoản 3 Điều 28 Nghị định. Tuy nhiên, Bên Kiểm soát/Bên Xử lý dữ liệu sẽ không cần thực hiện hoạt động này nếu như xử lý dữ liệu cá nhân nhạy cảm trong các trường hợp: (i) Chủ thể dữ liệu đã biết rõ và đồng ý về toàn bộ nội dung liên quan đến hoạt động xử lý từ trước khi tiến hành thu thập; (i) Dữ liệu được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan đó theo pháp luật; (iii) Dữ liệu được xử lý trong các trường hợp không cần sự đồng ý theo Điều 17 Nghị định; (iv) Dữ liệu thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng của cơ quan, tổ chức có thẩm quyền.

Thứ hai, Bên Kiểm soát/Bên Xử lý dữ liệu cá nhân nhạy cảm cần thực hiện đầy đủ các biện pháp luật định để bảo vệ nhóm thông tin này, bao gồm (i) Biện pháp quản lý; (ii) Biện pháp kỹ thuật; (iii) Xây dựng, ban hành các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với hoạt động của tổ chức mình; (iv) Áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân, ví dụ như ISO 27001; ISO 27701,…; (v) Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục hoặc hủy các thiết bị chứa dữ liệu cá nhân.

Thứ ba, chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, nhân sự phụ trách bảo vệ dữ liệu cá nhân. Đây là trách nhiệm đặc biệt mà chỉ các chủ thể kiểm soát, xử lý dữ liệu cá nhân nhạy cảm mới cần phải thực hiện (tuy nhiên, với phạm vi dữ liệu được xác định là nhạy cảm rộng như hiện nay thì hầu hết các doanh nghiệp, tổ chức đều sẽ thuộc diện phải thực hiện trách nhiệm này). Theo đó, từ khi bắt đầu xử lý dữ liệu cá nhân nhạy cảm, Bên Kiểm soát/Bên Xử lý cần phải chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Các trách nhiệm là bắt buộc thực hiện trong trường hợp có xử lý dữ liệu cá nhân nhạy cảm. Mặc dù hiện tại chưa có quy định xử phạt hành chính cụ thể, nhưng theo tinh thần của các Dự thảo trước đây thì mức xử phạt có thể sẽ là rất lớn, tác động trực tiếp và đáng kể đến kết quả kinh doanh của doanh nghiệp. Do đó, việc thực hiện các trách nhiệm nêu trên là công việc mà hầu hết các doanh nghiệp cần gấp rút tiến hành trước ngày 01/07/2023 để tránh các rủi ro pháp lý có thể xảy ra./.

Quý doanh nghiệp, tổ chức cần được hỗ trợ, vui lòng liên hệ với chúng tôi để nhận được các tư vấn chi tiết và kịp thời!

PrivacyCompliance cung cấp các giải pháp đảm bảo tuân thủ dữ liệu cá nhân, đánh giá tác động xử lý dữ liệu cá nhân, xây dựng hồ sơ đánh giá tác động, hồ sơ chuyển dữ liệu cá nhân ra nước ngoài.

PrivacyCompliance

[1]https://xaydungchinhsach.chinhphu.vn/nghi-dinh-so-13-2023-nd-cp-bao-ve-quyen-du-lieu-ca-nhan-ngan-chan-cac-hanh-vi-xam-pham-du-lieu-ca-nhan-119230513100359528.htm

[2] https://phaply.net.vn/phap-luat-ve-bao-ve-du-lieu-ca-nhan-cua-mot-so-nuoc-va-kinh-nghiem-cho-viet-nam-a237913.html

[3] Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

[4] Xem https://www.pinsentmasons.com/out-law/news/eu-court-data-attributes-sensitive-personal-data-special-category và https://curia.europa.eu/juris/document/document.jsf?text=&docid=263721&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=878732

[5] Khoản 8 Điều 11 Nghị định số 13/2023/NĐ-CP.