- Luật Công nghệ thông tin năm 2006 quy định:
Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân của người khác trên môi trường mạng phải được người đó đồng ý, trừ trường hợp pháp luật có quy định khác (Điều 21); 1. Cá nhân có quyền yêu cầu tổ chức, cá nhân lưu trữ thông tin cá nhân của mình trên môi trường mạng thực hiện việc kiểm tra, đính chính hoặc hủy bỏ thông tin đó. 3. Cá nhân có quyền yêu cầu bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân (Điều 22).
- Luật Bưu chính năm 2010 quy định:
Người sử dụng dịch vụ bưu chính có các quyền và nghĩa vụ sau đây: 1. Được doanh nghiệp cung ứng dịch vụ bưu chính cung cấp đầy đủ, chính xác thông tin về dịch vụ bưu chính mà mình sử dụng;
2. Được bảo đảm an toàn và an ninh thông tin; 3. Khiếu nại về dịch vụ bưu chính đã sử dụng (Điều 30).
- Bộ luật Tố tụng Dân sự năm 2015 quy định người tố cáo có quyền “Yêu cầu giữ bí mật họ, tên, địa chỉ, bút tích của mình” (Điều 510).
Trên cơ sở các quy định nêu trên, có thể khái quát nội hàm của quyền được bảo vệ thông tin cá nhân bao gồm:
(i) Quyền được yêu cầu chủ thể nắm giữ thông tin giữ bí mật thông tin cá nhân của mình;
(ii) Quyền được kiểm tra, yêu cầu đính chính hoặc hủy bỏ thông tin cá nhân.
(iii) Quyền cho phép bên thứ ba tiếp cận thông tin cá nhân của mình.
Có thể bạn quan tâm!
- Quyền bất khả xâm phạm về đời sống riêng tư trong pháp luật Việt Nam - 6
- Khung Pháp Luật Hiện Hành Liên Quan Đến Quyền Bất Khả Xâm Phạm Về Đời Sống Riêng Tư Ở Việt Nam Hiện Nay
- Đánh Giá Tổng Quát Về Khung Pháp Luật Hiện Hành Của Việt Nam Về Quyền Bất Khả Xâm Phạm Về Đời Sống Riêng Tư
- Về Trách Nhiệm Của Cơ Quan, Tổ Chức Nắm Giữ Thông Tin, Dữ Liệu Cá Nhân
- Về Trách Nhiệm Của Cơ Quan Truyền Thông, Báo Chí Đối Với Bảo Vệ Thông Tin Cá Nhân
- Quan Điểm Củng Cố Pháp Luật Về Quyền Bất Khả Xâm Phạm Về Đời Sống Riêng Tư Ở Việt Nam
Xem toàn bộ 127 trang tài liệu này.
(iv) Quyền yêu cầu chủ thể nắm giữ thông tin bồi thường khi có hành vi xâm phạm thông tin trái pháp luật, gây thiệt hại cho cá nhân.
2.3.1.3. Về nghĩa vụ của chủ thể thông tin
Bên cạnh việc quy định quyền của chủ thể dữ liệu, một số luật đã có quy định về nghĩa vụ của chủ thể thông tin, cụ thể:
- Luật An toàn thông tin mang quy định:
Cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng (Điều 16); 1. Cơ quan, tổ chức, cá nhân tham gia hoạt động an toàn thông tin mạng có trách nhiệm phối hợp với cơ quan nhà nước có thẩm quyền và tổ chức, cá nhân khác trong việc bảo đảm an toàn thông tin mạng. 2. Cơ quan, tổ chức, cá nhân sử dụng dịch vụ trên mạng có trách nhiệm thông báo kịp thời cho doanh nghiệp cung cấp dịch vụ hoặc bộ phận chuyên trách ứng cứu sự cố khi phát hiện các hành vi phá hoại hoặc sự cố an toàn thông tin mạng (Điều 15).
- Luật Cư trú 2006 quy định trách nhiệm của công dân:
Cung cấp đầy đủ, chính xác thông tin, tài liệu về cư trú của mình cho cơ quan, người có thẩm quyền và chịu trách nhiệm về thông tin, tài liệu đã cung cấp (Điều 11).
- Luật Thống kê 2015 quy định nghĩa vụ của tổ chức, cá nhân được điều tra thống kê:
Cung cấp thông tin trung thực, chính xác, đầy đủ và đúng thời hạn theo yêu cầu của điều tra viên thống kê hoặc cơ quan tiến hành điều tra thống kê; không được từ chối hoặc cản trở việc cung cấp thông tin điều tra thống kê; chịu sự kiểm tra của cơ quan tiến hành điều tra thống kê và thanh tra chuyên ngành thống kê về thông tin đã cung cấp (Điều 33).
Như vậy, từ những quy định nêu trên, có thể thấy chưa có cách tiếp cận thống nhất trong các đạo luật của Việt Nam khi đề cập đến nghĩa vụ của chủ thể thông tin.
Hiện tại, ngoài một số nghĩa vụ như cung cấp thông tin chính xác, đầy đủ, có biện pháp tự bảo vệ thông tin cá nhân, Luật Thống kê quy định chủ
thể thông tin có nghĩa vụ “không được từ chối hoặc cản trở việc cung cấp thông tin điều tra thống kê”. Trong khi đó, một số luật chuyên ngành lại quy định việc “cho phép” cơ quan, tổ chức, cá nhân tiếp cận thông tin cá nhân của mình là quyền của chủ thể thông tin (Luật An toàn thông tin, Luật Tiếp cận thông tin,…).
2.3.1.4. Về việc xử lý thông tin cá nhân (ngoại lệ của quyền bảo vệ thông tin cá nhân)
Khoản 17 Điều 3 Luật An toàn thông tin mạng quy định: “Xử lý thông tin cá nhân là việc thực hiện một hoặc một số thao tác thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ, phát tán thông tin cá nhân trên mạng nhằm mục đích thương mại”. Luật công nghệ thông tin quy định một số hình thức như thu thập, sử dụng, xử lý, lưu trữ, truyền tải thông tin cá nhân. Như vậy, có thể khái quát các khía cạnh của hoạt động tác động đến thông tin cá nhân, bao gồm:
- Việc cung cấp, trao đổi, truyền đưa, lưu trữ, quản lý, sử dụng thông
tin số;
- Việc thu thập, xử lý, sử dụng thông tin;
- Việc theo dòi, giám sát, quản lý nội dung thông tin.
Về nguyên tắc, thông tin cá nhân chỉ được xử lý trong trường hợp chủ
thể thông tin đồng ý. Một số luật chuyên ngành quy định nguyên tắc cơ quan, tổ chức, cá nhân không được sử dụng, cung cấp hoặc tiết lộ thông tin cá nhân mà mình tiếp cận hoặc kiểm soát được nếu không có sự đồng ý của cá nhân, trừ trường hợp pháp luật có quy định khác. Tuy nhiên, pháp luật hiện nay chưa có quy định chung về các trường hợp ngoại lệ của quyền bảo vệ thông tin cá nhân. Các trường hợp ngoại lệ này mới được quy định trong một số pháp luật chuyên ngành, theo đó, tổ chức, cá nhân có quyền thu thập, xử lý và sử dụng thông tin cá nhân của người khác mà không cần sự đồng ý của người đó. Cụ thể:
- Khoản 3 Điều 21 Luật Công nghệ thông tin quy định:
Tổ chức, cá nhân có quyền thu thập, xử lý và sử dụng thông tin cá nhân của người khác mà không cần sự đồng ý của người đó trong trường hợp thông tin cá nhân đó được sử dụng cho mục đích sau đây:
a) Ký kết, sửa đổi hoặc thực hiện hợp đồng sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng;
b) Tính giá, cước sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng;
c) Thực hiện nghĩa vụ khác theo quy định của pháp luật.
- Điều 223, Điều 224 Bộ luật Tố tụng Hình sự quy định trong quá trình điều tra đối với các tội xâm phạm an ninh quốc gia, tội phạm về ma túy, tội phạm về tham nhũng, tội khủng bố, tội rửa tiền, tội phạm khác có tổ chức thuộc loại tội phạm đặc biệt nghiêm trọng, người có thẩm quyền có quyền áp dụng các biện pháp điều tra tố tụng đặc biệt mà biện pháp đó vi phạm đến quyền bảo vệ dữ liệu cá nhân, như ghi âm, ghi hình bí mật; nghe điện thoại bí mật; thu thập bí mật dữ liệu điện tử.
- Điều 6 Luật Viễn thông quy định doanh nghiệp viễn thông có thể tiết lộ thông tin riêng liên quan đến người sử dụng dịch vụ viễn thông, bao gồm tên, địa chỉ, số máy gọi, số máy được gọi, vị trí máy gọi, vị trí máy được gọi, thời gian gọi và thông tin riêng khác mà người sử dụng đã cung cấp khi giao kết hợp đồng với doanh nghiệp trong các trường hợp sau đây:
a) Người sử dụng dịch vụ viễn thông đồng ý cung cấp thông tin;
b) Các doanh nghiệp viễn thông có thỏa thuận bằng văn bản với nhau về việc trao đổi cung cấp thông tin liên quan đến người sử dụng dịch vụ viễn thông để phục vụ cho việc tính giá cước, lập hóa đơn và ngăn chặn hành vi trốn tránh thực hiện nghĩa vụ theo hợp đồng;
c) Khi có yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật.
- Khoản 4 Điều 70 Nghị định số 52/2013/NĐ-CP về thương mại điện tử quy định:
Đơn vị thu thập thông tin không cần được sự đồng ý trước của chủ thể thông tin trong các trường hợp sau:
a) Thu thập thông tin cá nhân đã công bố công khai trên các website thương mại điện tử;
b) Thu thập thông tin cá nhân để ký kết hoặc thực hiện hợp đồng mua bán hàng hóa và dịch vụ;
c) Thu thập thông tin cá nhân để tính giá, cước sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng.
Điều 71 Nghị định này cũng quy định đơn vị thu thập thông tin có thể sử dụng, chia sẻ, tiết lộ và chuyển giao thông tin cá nhân cho bên thứ ba mà không cần thông báo với chủ thể thông tin trong các trường hợp:
a) Có một thỏa thuận riêng với chủ thể thông tin về mục đích và phạm vi sử dụng ngoài những mục đích, phạm vi đã thông báo;
b) Để cung cấp dịch vụ hoặc sản phẩm theo yêu cầu của chủ thể thông tin;
c) Thực hiện các nghĩa vụ theo quy định của pháp luật.
Với tính chất là một quyền con người được ghi nhận trong Hiến pháp, việc hạn chế quyền bảo vệ thông tin cá nhân phải bảo đảm phù hợp với nguyên tắc quy định tại khoản 2 Điều 14 Hiến pháp năm 2013: “Quyền con người, quyền công dân chỉ có thể bị hạn chế theo quy định của luật trong trường hợp cần thiết vì lý do quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, đạo đức xã hội, sức khỏe của cộng đồng”. Đối chiếu với các quy định của pháp luật hiện hành, có thể thấy trong nhiều trường hợp, pháp luật quy định
các trường hợp ngoại lệ của quyền bảo vệ thông tin cá nhân chưa thực sự phù hợp với các trường hợp quy định tại khoản 2 Điều 14 Hiến pháp 2013, đồng thời, một số quy định ngoại lệ của quyền này được quy định trong các văn bản dưới luật (Nghị định).
2.3.1.5. Về các hình thức, phương thức bảo vệ thông tin
Kết quả nghiên cứu cho thấy, hệ thống pháp luật hiện hành đã bước đầu có những quy định về phương thức bảo vệ thông tin cá nhân/ dữ liệu cá nhân. Ngay tại Hiến pháp 2013, khoản 3 Điều 103 đã khẳng định: “Tòa án nhân dân xét xử công khai. Trong trường hợp đặc biệt cần giữ bí mật nhà nước, thuần phong, mỹ tục của dân tộc, bảo vệ người chưa thành niên hoặc giữ bí mật đời tư theo yêu cầu chính đáng của đương sự, Tòa án nhân dân có thể xét xử kín”. Nguyên tắc này tiếp tục được cụ thể trong các đạo luật về tố tụng, cụ thể:
- Bộ luật Tố tụng Dân sự 2015 quy định phải giữ bí mật cá nhân của người chưa thành niên trong quá trình lấy ý kiến của con chưa thành niên và các thủ tục tố tụng khác đối với người chưa thành niên (khoản 3 Điều 208).
- Pháp lệnh Tổ chức Tòa án quân sự 2002 cũng quy định Toà án quân sự xét xử công khai, trừ trường hợp cần xét xử kín để giữ gìn bí mật nhà nước, bí mật quân sự, thuần phong mỹ tục của dân tộc hoặc để giữ bí mật của đương sự theo yêu cầu chính đáng của họ (Điều 10).
Tại các văn bản luật chuyên ngành, đặc biệt là ở những ngành, lĩnh vực có liên quan trực tiếp đến thông tin cá nhân, pháp luật đã có những quy định nhằm bảo vệ thông tin cá nhân phù hợp với từng ngành, lĩnh vực, như:
* Trong lĩnh vực y tế
- Luật Hiến, lấy, ghép mô, bộ phận cơ thể người và Hiến, lấy xác quy định việc bảo vệ thông tin cá nhân bằng phương pháp mã hóa thông tin (Điều 38), cụ thể:
+ Mọi thông tin về người hiến, người được ghép bộ phận cơ thể người phải được mã hóa thông tin và bảo mật.
+ Trong trường hợp công bố những thông tin này thì phải bảo đảm tính vô danh để không xác định được người hiến và người được ghép, trừ trường hợp người hiến và người được ghép là người có cùng dòng máu về trực hệ hoặc có họ trong phạm vi ba đời.
+ Trong trường hợp đặc biệt vì mục đích chữa bệnh theo yêu cầu của người đứng đầu cơ sở y tế hoặc theo yêu cầu của cơ quan tiến hành tố tụng thì cơ sở lưu giữ thông tin mới được phép cung cấp thông tin.
+ Hồ sơ về người hiến và người được ghép phải được lưu giữ, bảo quản trong ba mươi năm.
- Nghị định số 56/2008/NĐ-CP quy định về tổ chức, hoạt động của ngân hàng mô và Trung tâm điều phối Quốc gia về ghép bộ phận cơ thể người quy định cụ thể về việc mã hóa thông tin về mô tại Điều 11: Mọi thông tin về nguồn gốc mô phải được mã hoá trên nguyên tắc vô danh; không ghi tên, tuổi, địa chỉ của người hiến; mỗi lần lấy mô của người hiến sẽ được cấp một mã xác định riêng.
- Nghị định số 10/2015/NĐ-CP quy định về sinh con bằng kỹ thuật thụ tinh trong ống nghiệm và điều kiện mang thai hộ vì mục đích nhân đạo quy định việc cho, nhận, lưu giữ tinh trùng, noãn, phôi phải được mã hóa và nhập vào hệ cơ sở dữ liệu chung, sử dụng trong toàn quốc, bảo đảm cơ chế chia sẻ thông tin giữa Bộ Y tế và các cơ sở được thực hiện kỹ thuật thụ tinh trong ống nghiệm; bảo đảm việc cho, nhận tinh trùng, noãn, phôi thực hiện theo quy định của pháp luật (khoản 4 Điều 3, khoản 5 Điều 21, khoản 1 Điều 23).
Như vậy có thể thấy, phương thức bảo vệ thông tin cá nhân chủ yếu trong lĩnh vực y tế là mã hóa các thông tin cá nhân. Ngoài ra, cũng có các phương thức khác để bảo vệ thông tin cá nhân trong lĩnh vực y tế như lưu trữ
hồ sơ bệnh án theo các cấp độ mật của pháp luật về bảo vệ bí mật nhà nước (khoản 3 Điều 59 Luật Khám bệnh, Chữa bệnh 2009).
* Trong lĩnh vực công nghệ thông tin
- Luật Công nghệ thông tin năm 2006 quy định: Thông tin riêng hợp pháp của tổ chức, cá nhân trao đổi, truyền đưa, lưu trữ trên môi trường mạng được bảo đảm bí mật theo quy định của pháp luật (điểm d khoản 3 Điều 18, khoản 1 Điều 72).
Với quy định trên, Luật Công nghệ thông tin mới chỉ dừng lại ở việc ghi nhận bảo đảm bí mật thông tin cá nhân mà chưa quy định cụ thể về phương pháp, biện pháp bảo vệ thông tin cá nhân.
- Luật An toàn thông tin mạng 2015 quy định nguyên tắc bảo vệ thông tin cá nhân trên mạng (Điều 16). Theo đó, cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng; cơ quan, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý.
Đồng thời, Điều 19 quy định cụ thể hơn về bảo đảm an toàn thông tin trên mạng: tổ chức, cá nhân xử lý thông tin cá nhân phải áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân do mình thu thập, lưu trữ; tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn thông tin mạng. Khi xảy ra hoặc có nguy cơ xảy ra sự cố an toàn thông tin mạng, tổ chức, cá nhân xử lý thông tin cá nhân cần áp dụng biện pháp khắc phục, ngăn chặn trong thời gian sớm nhất.
- Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ, Điều 19 quy định phương án bảo đảm an toàn hệ thống thông tin phải đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ (gồm: bảo đảm an toàn hệ thống thông