Giới thiệu
Nhờ phát minh ra internet, các doanh nghiệp hiện có thể sử dụng không gian mạng như một công cụ hiệu quả để bán hàng hóa và cung cấp dịch vụ. Với tỷ lệ thâm nhập internet và điện thoại thông minh cao, Việt Nam - quốc gia đông dân thứ 15 trên thế giới - có thể được coi là vùng đất của cơ hội cho các công ty thương mại điện tử trong và ngoài nước. Cũng như nhiều khu vực pháp lý khác, luật pháp Việt Nam yêu cầu các doanh nghiệp phải bảo vệ dữ liệu cá nhân mà họ thu thập trong quá trình kinh doanh trực tuyến. Tuy nhiên, việc tuân thủ yêu cầu này có thể là một thách thức do thiếu một luật toàn diện duy nhất có chứa tất cả các quy định liên quan.
Bài viết này trình bày một số điểm quan trọng mà các doanh nghiệp cần lưu ý trong lĩnh vực này.
Nghĩa vụ của doanh nghiệp trong việc bảo vệ dữ liệu cá nhân trong không gian mạng theo quy định của pháp luật Việt Nam
Khung pháp lý về bảo vệ dữ liệu cá nhân nằm rải rác trên nhiều công cụ pháp lý, trong đó Luật số 86/2015/QH13 về an ninh thông tin mạng (Luật An ninh Thông tin mạng) được coi là văn bản pháp luật chung. Các quy định khác có thể được tìm thấy trong Luật số 67/2006/QH11 về Công nghệ thông tin (Luật Công nghệ thông tin), Luật Giao dịch điện tử số 51/2005/QH11 (Luật Giao dịch điện tử), Nghị định 52/2013/NĐ-CP về Thương mại điện tử (Nghị định 52/2013/NĐ-CP), Luật số 59/2010/QH12 về bảo vệ quyền lợi người tiêu dùng (Luật bảo vệ quyền lợi người tiêu dùng), v.v. Luật An ninh mạng 24/2018/QH14 vừa được ban hành (Luật An ninh mạng) cũng quy định các nghĩa vụ bổ sung đối với doanh nghiệp xử lý dữ liệu cá nhân trên internet.
Theo Luật An ninh Thông tin mạng, “dữ liệu cá nhân” được định nghĩa là thông tin liên quan đến việc xác định một người cụ thể (Điều 3.15) và “xử lý dữ liệu cá nhân” là việc thực hiện một hoặc nhiều hoạt động sau đây: thu thập, chỉnh sửa, sử dụng, lưu trữ, cung cấp, chia sẻ hoặc truyền bá thông tin cá nhân trong không gian mạng cho mục đích thương mại (Điều 3.17). Đây được cho là những định nghĩa pháp lý duy nhất của các thuật ngữ, vì chúng không được xác định rõ ràng trong bất kỳ văn bản pháp lý nào khác.
Nhìn chung, các nghĩa vụ mà doanh nghiệp cần chú ý khi “xử lý dữ liệu cá nhân” trong không gian mạng có thể được tóm tắt như sau:
(a) Thu thập dữ liệu cá nhân
Tất cả các công cụ pháp lý nêu trên quy định rằng bất kỳ doanh nghiệp nào muốn xử lý dữ liệu cá nhân trong không gian mạng phải có sự đồng ý trước của chủ sở hữu dữ liệu.Tuy nhiên, mỗi công cụ đều quy định các yêu cầu đồng ý khác nhau. Ví dụ, Luật An ninh thông tin mạng yêu cầu sự đồng ý phải bao gồm phạm vi và mục đích thu thập và sử dụng dữ liệu cá nhân, trong khi Luật Công nghệ thông tin yêu cầu doanh nghiệp thông báo cho chủ sở hữu dữ liệu về hình thức và địa điểm xử lý dữ liệu ngoài nội dung nêu trên.
Tuy nhiên, vẫn có những miễn trừ từ yêu cầu chấp thuận trước. Theo Luật Công nghệ Thông tin, doanh nghiệp không bắt buộc phải có sự đồng ý nếu thông tin thu thập được sử dụng cho các mục đích sau: 4
Hơn nữa, các doanh nghiệp thương mại điện tử (tức là doanh nghiệp thực hiện một số hoặc toàn bộ hoạt động thương mại của mình bằng các phương tiện điện tử kết nối với internet, mạng viễn thông di động hoặc mạng mở khác) không bắt buộc phải có sự đồng ý của chủ sở hữu dữ liệu khi thông tin thu thập được đã được công bố trên các trang web thương mại điện tử; hoặc khi thông tin đang được thu thập để ký kết hoặc thực hiện hợp đồng mua bán, hoặc tính giá hoặc phí sử dụng thông tin, sản phẩm và dịch vụ trực tuyến5
(b) Sử dụng dữ liệu cá nhân
Ban hành chính sách
Dữ liệu cá nhân thường được sử dụng phù hợp với phạm vi và mục đích được xác định bởi doanh nghiệp xử lý dữ liệu khi có sự đồng ý của chủ sở hữu dữ liệu, trừ trường hợp doanh nghiệp (i) có thỏa thuận ngược lại với chủ sở hữu dữ liệu; (ii) cung cấp dịch vụ/hàng hóa theo yêu cầu của chủ sở hữu dữ liệu; hoặc (iii) thực hiện các nghĩa vụ khác theo yêu cầu của pháp lý.6
Theo Luật An ninh thông tin mạng, doanh nghiệp xử lý dữ liệu cá nhân trong không gian mạng được yêu cầu xây dựng và ban hành các quy định bảo mật dữ liệu trong việc sử dụng hệ thống thông tin. Tuy nhiên, hiện tại không có hướng dẫn cụ thể về công cụ pháp lý này.
Nghị định 52/2013/NĐ-CP hướng dẫn chi tiết hơn về yêu cầu xây dựng chính sách bảo mật dữ liệu và quy định cụ thể các quy định bắt buộc như sau:7
Các công cụ pháp lý khác không đưa ra bất kỳ yêu cầu chính sách bảo mật nào.
Ngoài chính sách bảo mật, doanh nghiệp xử lý dữ liệu cá nhân cũng phải áp dụng các phương pháp quản lý và kỹ thuật phù hợp để bảo vệ dữ liệu thu thập được.
Chia sẻ với bên thứ ba
Luật An ninh thông tin mạng, Luật công nghệ thông tin, Luật giao dịch điện tử, Luật bảo vệ quyền lợi người tiêu dùng cũng như Nghị định 52/2013/NĐ-CP cấm doanh nghiệp chia sẻ, tiết lộ hoặc chuyển giao dữ liệu cá nhân cho bất kỳ bên thứ ba nào trừ khi có sự chấp thuận trước của chủ sở hữu dữ liệu hoặc theo quy định của pháp luật.9
Quyền của chủ sở hữu dữ liệu
Chủ sở hữu dữ liệu có quyền yêu cầu doanh nghiệp thu thập dữ liệu xem xét, cập nhật, sửa đổi hoặc xóa dữ liệu của chính họ. Các doanh nghiệp đó phải tuân thủ yêu cầu của chủ sở hữu dữ liệu và theo đó xem xét, cập nhật, sửa đổi hoặc thậm chí xóa thông tin của họ.
Luật an ninh mạng
Cùng với việc quy định nhiệm vụ của các cơ quan có thẩm quyền, bộ luật này cũng đặt ra một số nghĩa vụ bổ sung cho các doanh nghiệp, đáng chú ý nhất trong số đó là:
• Lưu trữ dữ liệu tại Việt Nam
Điều 26.3 yêu cầu các nhà cung cấp dịch vụ trong và ngoài nước về mạng viễn thông và trên internet và các dịch vụ giá trị gia tăng khác trong không gian mạng tại Việt Nam [nhà cung cấp dịch vụ không gian mạng] thu thập, sử dụng, phân tích và xử lý thông tin quan hệ người dùng của họ phải lưu trữ dữ liệu tại Việt Nam trong một khoảng thời gian do Chính phủ quy định. Điều đáng chú ý là Luật An ninh mạng quy định rằng dữ liệu phải được lưu trữ tại Việt Nam nhưng không đề cập rõ đến máy chủ. Do đó, có thể tranh luận rằng các doanh nghiệp có thể đặt máy chủ của họ bên ngoài Việt Nam.
• Thiết lập sự hiện diện thương mại tại Việt Nam
Đáng chú ý, các tổ chức nước ngoài thu thập, sử dụng, phân tích và xử lý dữ liệu người dùng bắt buộc phải thành lập chi nhánh hoặc văn phòng đại diện tại Việt Nam. Theo cách giải thích theo nghĩa đen, yêu cầu này sẽ áp dụng cho tất cả các nhà cung cấp dịch vụ không gian mạng như Google, Facebook hoặc Sephora, v.v. và có thể gây ra những thách thức hoạt động.
Chờ Nghị định hướng dẫn Luật An ninh mạng
Việc thực hiện các nghĩa vụ nêu trên theo Luật An ninh mạng đang chờ được Chính phủ hướng dẫn thêm. Nghị định hướng này dự kiến sẽ làm rõ các vấn đề chính như loại dữ liệu nào sẽ được lưu trữ tại Việt Nam và khi nào, liệu máy chủ có được đặt tại Việt Nam hay không, và cung cấp hướng dẫn chi tiết về yêu cầu doanh nghiệp nước ngoài phải thiết lập sự hiện diện thương mại tại Việt Nam.
Tuy nhiên, do cách tiếp cận ngày càng nghiêm ngặt của chính phủ đối với an ninh không gian mạng, từ giờ trở đi bất kỳ doanh nghiệp nào xử lý dữ liệu cá nhân đều nên cập nhật các quy định liên quan để đảm bảo tuân thủ pháp luật Việt Nam.
____________________________
Luật sư Điều hành
Hòa giải viên được CEDR công nhận/ Hòa giải viên VMC
Chính sách chống hối lộ và tham nhũng: LNT & Partners đã ban hành và duy trì chính sách tuân thủ tất cả các luật và quy định hiện hành về hối lộ và tham nhũng tại Việt Nam và trên toàn thế giới.
