Tải bản đầy đủ (.pdf) (88 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Luật

Vấn đề bảo vệ dữ liệu cá nhân theo pháp luật một số quốc gia và đề xuất cho việt nam

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.62 MB, 88 trang )

TRƯỜNG ĐẠI HỌC LUẬT TP.HCM
KHOA LUẬT QUỐC TẾ
-----------***------------

ĐẶNG ĐỨC KHẢI
MSSV: 1853801090030

VẤN ĐỀ BẢO VỆ DỮ LIỆU CÁ NHÂN
THEO PHÁP LUẬT MỘT SỐ QUỐC GIA
VÀ ĐỀ XUẤT CHO VIỆT NAM
KHÓA LUẬN TỐT NGHIỆP
Niên khóa: 2018 - 2022

Người hướng dẫn: TS. Nguyễn Thị Hoa

TP.Hồ Chí Minh – Năm 2022


LỜI CAM ĐOAN
Em xin cam đoan Khóa luận tốt nghiệp này là thành quả của quá trình nghiên cứu
dưới sự hướng dẫn của Tiến sĩ Nguyễn Thị Hoa. Khóa luận đảm bảo tính trung thực và
tuân thủ các quy định về trích dẫn, chú thích, tài liệu tham khảo… Em xin hoàn toàn
chịu trách nhiệm về lời cam đoan này./.
Tác giả

Đặng Đức Khải


MỤC LỤC
DANH MỤC TỪ VIẾT TẮT .................................................................................1
PHẦN MỞ ĐẦU .................................................................................................... 2


1. Lí do chọn đề tài .............................................................................................2
2. Tình hình nghiên cứu liên quan đến đề tài ......................................................4
3. Phạm vi nghiên cứu ........................................................................................6
4. Phương pháp nghiên cứu ................................................................................7
5. Bố cục của đề tài ............................................................................................8
CHƯƠNG I. KHÁI QUÁT CHUNG VỀ DỮ LIỆU CÁ NHÂN...........................9
1. Khái niệm dữ liệu cá nhân ..............................................................................9
2. Đặc điểm dữ liệu cá nhân..............................................................................11
3. Tầm quan trọng của việc bảo vệ dữ liệu cá nhân ...........................................15
KẾT LUẬN CHƯƠNG I ......................................................................................17
CHƯƠNG II: PHÁP LUẬT VỀ DỮ LIỆU CÁ NHÂN CỦA MỘT SỐ QUỐC
GIA TRÊN THẾ GIỚI .........................................................................................18
1. Phạm vi điều chỉnh và đối tượng điều chỉnh .................................................18
2. Quyền và nghĩa vụ của các chủ thể liên quan ................................................20
2.1. Đối với chủ thể thu thập, lưu giữ, sử dụng dữ liệu .....................................20
2.2. Đối với chủ thể dữ liệu cá nhân .................................................................28
3. Cơ chế bảo vệ dữ liệu cá nhân ......................................................................33
3.1. Cơ chế bảo vệ dữ liệu cá nhân theo GDPR ................................................33
3.2. Cơ chế bảo vệ dữ liệu cá nhân theo PDPA ................................................36
3.3. Cơ chế bảo vệ dữ liệu cá nhân theo CCPA ................................................37
4. Chế tài xử phạt đối với các hành vi vi phạm .................................................38
4.1. Các biện pháp chế tài theo GDPR .............................................................39
4.2. Các biện pháp chế tài theo PDPA ..............................................................41


4.3. Các biện pháp chế tài theo CCPA ..............................................................42
KẾT LUẬN CHƯƠNG II ....................................................................................44
CHƯƠNG III: PHÁP LUẬT VỀ DỮ LIỆU CÁ NHÂN Ở VIỆT NAM ............46
1. Thực trạng pháp luật về dữ liệu cá nhân ở Việt Nam ....................................47
2. Khung pháp lý của Việt Nam liên quan đến dữ liệu cá nhân .........................51

2.1. Phạm vi và đối tượng điều chỉnh ...............................................................51
2.2. Quyền và nghĩa vụ của chủ thể xử lý dữ liệu .............................................52
2.3. Quyền và nghĩa vụ của chủ thể dữ liệu ......................................................59
2.4. Cơ chế bảo vệ dữ liệu cá nhân ...................................................................62
2.5. Biện pháp chế tài đối với các hành vi vi phạm...........................................63
3. Vi phạm về bảo vệ dữ liệu cá nhân trong một số lĩnh vực điển hình..............67
3.1. Trong doanh nghiệp ..................................................................................67
3.2. Trong giao dịch thương mại ......................................................................69
3.3. Trên Internet và môi trường số ..................................................................71
4. Một số kiến nghị trong việc hoàn thiện hệ thống pháp luật Việt Nam về bảo vệ
dữ liệu cá nhân ....................................................................................................73
KẾT LUẬN CHƯƠNG III ...................................................................................76
KẾT LUẬN CHUNG............................................................................................77
TÀI LIỆU THAM KHẢO ....................................................................................79


1

DANH MỤC TỪ VIẾT TẮT
STT

Từ viết tắt

Nội dung được viết tắt

1.

GDPR

General Data Protection Regulation - Quy định chung về bảo

mật thông tin của Liên minh Châu Âu

2.

PDPA

Personal Data Protection Act - Đạo luật Bảo vệ dữ liệu cá
nhân của Singapore

3.

CCPA

California Consumer Privacy Act - Đạo luật về Quyền riêng
tư của người tiêu dùng bang California

4.

OECD

Organization for Economic Cooperation and Development Tổ chức Hợp tác và Phát triển kinh tế

5.

EU

European Union - Liên minh Châu Âu

6.


BLDS

Bộ luật Dân sự 2015 số 91/2015/QH13

7.

BLHS

Bộ luật Hình sự 2015 số 100/2015/QH13; sửa đổi, bổ sung
năm 2017

8.

TTCN

Thông tin cá nhân


2

PHẦN MỞ ĐẦU
1. Lí do chọn đề tài
Trong thời kỳ chuyển đổi số đang diễn ra vô cùng mạnh mẽ cũng như sự phát
triển và ngày càng phổ biến của internet, thông tin cá nhân trở nên quan trọng hơn bao
giờ hết. Đó khơng đơn thuần chỉ là thơng tin để xác định một cá nhân, mà còn là nguồn
vốn, tài sản có giá trị lớn và có thể trao đổi trong thời đại chuyển đổi số. Việt Nam là
một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới.
Tính đến tháng 1/2021, số lượng người sử dụng Internet của Việt Nam đã đạt hơn 68,72
triệu người, chiếm hơn 2/3 dân số (70,3%). Dữ liệu cá nhân trở thành đầu vào và giá trị
vô tận cho nền kinh tế số, phục vụ phát triển Chính phủ số, xã hội số và phát triển đất

nước trong thời đại Cách mạng công nghiệp lần thứ tư.1
Bên cạnh đó, trong 02 năm dịch COVID-19 vừa qua, người lao động đã quen dần
với làm việc trực tuyến, mọi hoạt động trao đổi về đời sống, công việc phần lớn đều diễn
ra trên nên tảng internet. Mọi người cũng có nhiều thời gian cũng như nhiều điều kiện
để lên mạng hơn, điều này dĩ nhiên đã có những tác động tích cực đến sực phát triển của
cơng nghệ số và khả năng khai thác nguồn internet của người dân. Tuy nhiên, bên cạnh
những tác động tích cực, việc người dùng thường xuyên sử dụng internet cùng với sự
phát triển nhanh chóng của cơng nghệ, các ứng dụng, phần mềm…vẫn cịn tồn tại nhiều
rủi ro tiềm ẩn, thậm chí là ảnh hưởng đến uy tín, tài sản, cuộc sống của mỗi cá nhân.
Ngày nay, thông qua việc mua hàng online, truy cập các trang web không rõ nguồn gốc
và khơng có chính sách bảo mật, sử dụng nhiều các ứng dụng, phần mềm…dữ liệu cá
nhân của người tiêu dùng có thể bị đánh cắp bất cứ lúc nào mà khơng hề hay biết. Khi
dữ liệu cá nhân bị rị rỉ hoặc bị bán cho bên thứ ba, chủ thể của dữ liệu sẽ không chỉ nhận
được những cuộc gọi lừa đảo hay những sự làm phiền thơng thường, nó thậm chí cịn có

1

Xem (truy cập ngày 24/6/2022)


3

thể ảnh hưởng đến uy tín, sự nghiệp, tài sản của chủ thể đó. Số liệu thống kê của Cục An
ninh mạng và Phịng chống tội phạm cơng nghệ cao cho thấy, chỉ trong năm 2019 và
năm 2020, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá
nhân, đồng thời chỉ đạo đơn vị chức năng xác lập chuyên án để tập trung đấu tranh, làm
rõ một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam. Qua đó,
phát hiện các đối tượng đã thu thập, chiếm đoạt, mua bán, sử dụng trái phép gần 1.300GB
dữ liệu chứa nhiều thông tin về các cá nhân, tổ chức trên toàn quốc.2
Đứng trước những nguy cơ cũng như tầm quan trọng của dữ liệu cá nhân đã được

phân tích, đâu sẽ là cơ sở để chủ thể của dữ liệu có thể bảo vệ dữ liệu cá nhân của mình
cũng như những thiết chế, quy định mà các chủ thể khác có liên quan phải tuân theo để
có thể xác định phạm vi về quyền và nghĩa vụ của mình đối với dữ liệu cá nhân của
người khác. Trong đề tài này, tác giả sẽ tập trung nghiên cứu về các quy định pháp luật
liên quan đến dữ liệu cá nhân của các quốc gia, khu vực trên thế giới và theo thực tiễn
pháp luật tại Việt Nam, với 03 mục đích:
Thứ nhất, xác định các loại thơng tin được xem là dữ liệu cá nhân. Từ đó có thể
giúp cho những chủ thể của dữ liệu nhận biết được những thơng tin nào là dữ liệu cá
nhân của mình và cần phải được bảo mật tối đa.
Thứ hai, phân tích những quy định về quyền và nghĩa vụ của chủ thể có dữ liệu
cũng như các chủ thể liên quan. Qua đó, tạo điều kiện, nâng cao nhận thức về nghĩa vụ
của các chủ thể đối với dữ liệu cá nhân và những quyền lợi mà chủ thể đó có được theo
quy định của pháp luật.
Thứ ba, so sánh các quy định pháp luật về dữ liệu cá nhân của các quốc gia, khu
vực phát triển trên thế giới mà ở đó dữ liệu cá nhân được xem là một lĩnh vực quan trọng
và có những thiết chế bảo vệ nghiêm ngặt với các quy định pháp luật của Việt Nam.

2

Xem (truy cập ngày 24/6/2022)


4

Bằng việc này, tác giả mong muốn có thể đóng góp một số kiến nghị trong việc xây dựng
và hồn thiện hệ thống pháp luật Việt Nam về dữ liệu cá nhân.
2. Tình hình nghiên cứu liên quan đến đề tài
Dữ liệu cá nhân là một đề tài còn khá mới mẻ ở Việt Nam. Điều đó được minh
chứng qua việc đến nay, hệ thống pháp luật Việt Nam vẫn chưa có những văn bản pháp
luật quy định về dữ liệu cá nhân. Do đó, các tác giả nghiên cứu chủ yếu tập trung vào

việc xác định dữ liệu cá nhân là gì và các cơ chế đảm bảo quyền và nghĩa vụ của chủ thể
của dữ liệu cũng như các chủ thể khác có liên quan. Tiếp cận với đề tài này, tác giả có
tham khảo một số cơng trình như:
-

Các cơng trình nghiên cứu trong nước:
+ Bạch Thị Nhã Nam, “Hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân”, Tạp chí
Nghiên cứu Lập pháp, 2022, số 05 (453);
+ Lưu Minh Sang và Nguyễn Thị Thùy Dung, “Nguyên tắc xử lý dữ liệu cá nhân
trên không gian mạng theo pháp luật Việt Nam dưới góc nhìn so sánh với pháp
luật Singapore, Liên minh Châu Âu”, Tạp chí Nhà nước và Pháp luật, 2020, số
11 (391), tr. 16 – 22;
+ Nguyễn Hồng Anh, “Tự do thơng tin, quyền riêng tư, quyền bảo vệ dữ liệu cá
nhân trên mạng Internet theo pháp luật của Cộng hịa Pháp”, Tạp chí Luật học,
09/2019, Số đặc biệt, tr. 5 – 19;
+ Nguyễn Linh Giang, “Bảo vệ dữ liệu cá nhân khi tham gia mạng xã hội”, Tạp
chí Nhà nước và Pháp luật, 2019, số 11 (379), tr. 59 – 66;
+ Nguyễn Như Ý (chủ biên), Đại Từ điển Tiếng Việt, Nxb. Văn hóa – Thơng tin,
Hà Nội, 1999;
+ Nguyễn Thị Kim Ngân, “Pháp luật của một số quốc gia Đông Nam Á về bảo vệ
dữ liệu cá nhân và các gợi ý cho Việt Nam”, Tạp chí Nghiên cứu Lập pháp, 2019,
số 7 (383), tr. 53 – 64;


5

+ Nguyễn Thị Thu Vân, “Bảo vệ dữ liệu cá nhân trong bối cảnh cách mạng cơng
nghiệp 4.0”, Tạp chí Dân chủ & Pháp luật, 2017, số 10 (307), tr. 3 – 7;
+ Nguyễn Thị Nhung, “Bảo vệ quyền đối với thông tin dữ liệu của cá nhân trong
môi trường mạng xã hội ở Việt Nam hiện nay”, Tạp chí Dân chủ & Pháp luật,

2020, số 338, tr. 10 – 16;
+ Nguyễn Thị Hoa, Củng cố an tồn thơng tin mạng thông qua việc xác định trách
nhiệm của chủ thể xử lý dữ liệu, Kỷ yếu Hội thảo khoa học cấp Quốc gia về Bảo
đảm chủ quyền Quốc gia trên không gian mạng, ngày 02/12/2021, do Bộ Công
an tổ chức, tr. 466 – 481;
+ Nguyễn Văn Cương, “Thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt
Nam hiện nay và hướng hồn thiện”, Tạp chí Nghiên cứu Lập pháp, 2020, số 15
(415);
+ Viện Khoa học pháp lý, Bộ Tư pháp, Cơ chế bảo đảm thực hiện quyền bí mật
dữ liệu cá nhân, Bộ Tư pháp, 2017, tr. 105 – 129;
+ Vũ Công Giao và Phạm Thị Hậu, “Pháp luật bảo vệ quyền bí mật dữ liệu cá
nhân trên thế giới và Việt Nam”, Tạp chí Nhà nước và Pháp luật, 2017, số 2
(346), tr. 67 – 73;
+ Vũ Công Giao và Lê Trần Như Tuyên, “Bảo vệ quyền đối với dữ liệu cá nhân
trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt
Nam”, Tạp chí Nghiên cứu Lập pháp, 05/2020, số 9 (409), tr. 55 – 64.
-

Các công trình nghiên cứu nước ngồi:
+ Council of Europe, Handbook on European data protection law, Publication
Office of the EU, 2018
+ European Commission, A European strategy for data, xem tại :
(truy cập ngày 24/6/2022)


6

+ European Commission, Establishing the European Union Single Window
Environment for Customs and amending Regulation (EU) No. 952/2013, xem
tại : (truy cập ngày

24/6/2022)
+ ECHR, Liberty and others v. the United Kingdom, Judgment of 1 July 2008
+ Information Commissioner’s Office, What is personal data?, xem tại:
/>JFZPQNwVhTAs (truy cập ngày 24/6/2022)
+ Personal Data Protection Commission Singapore, Advisory Guidelines on
Enforcement of the Data Protection Provisions, xem tại :
(truy cập ngày 24/6/2022)
+ Singaporean Personal Data Protection Commission, Main Advisory Guidelines
on obligation of consent, 2019
+ Tetiana L.Syroid et al., The Personal Data Protection Mechanism in the
European Union, xem tại :
(truy cập
ngày 24/6/2022)
3. Phạm vi nghiên cứu
Về cơ sở lý luận, tác giả sẽ tập trung phân tích các cơ sở pháp lý của pháp luật
quốc tế, pháp luật quốc gia liên quan đến các vấn đế về dữ liệu cá nhân như: các loại dữ
liệu được coi là dữ liệu cá nhân, quyền và nghĩa vụ của các chủ thể liên quan, cơ chế bảo


7

vệ dữ liệu cá nhân, các chế tài áp dụng đối với những hành vi vi phạm pháp luật bảo vệ
dữ liệu cá nhân.
Về cơ sở thực tiễn, tác giả sẽ tập trung nghiên cứ thực trạng việc xây dựng và áp
dụng pháp luật về bảo vệ dữ liệu cá nhân ở Việt Nam. Bên cạnh đó, tác giả cũng sẽ phân
tích các lĩnh vực điển hình mà tại đó, dữ liệu cá nhân dễ bị xâm phạm. Qua đó, có thể
đưa ra những kiến nghị nhằm xây dựng hệ thống cơ sở pháp lý bảo vệ dữ liệu cá nhân
tại Việt Nam.
4. Phương pháp nghiên cứu
Để làm rõ các vấn đề pháp lý trong đề tài nghiên cứu, tác giả đã sử dụng các

phương pháp nghiên cứu sau:
Phương pháp phân tích, tổng hợp: Phương pháp này được dùng để nghiên cứu,
phân tích các cơ sở pháp lý liên quan đến định nghĩa, cơ chế bảo vệ, chế tài…đối với dữ
liệu cá nhân. Qua đó có thể đưa ra cái nhìn từ tổng quan đến chi tiết, tạo nền tảng cơ sở
lý luận rõ ràng khi nghiên cứu đề tài. Phương pháp này được sử dụng xuyên suốt trong
quá trình nghiên cứu.
Phương pháp so sánh: Phương pháp này cung cấp cho người đọc những cơ sở lý
luận và thực tiễn về pháp luật bảo vệ dữ liệu cá nhân của các quốc gia, khu vực khác
nhau trên thế giới nhằm tìm ra những điểm giống và khác nhau cũng như so sánh những
ưu, nhược điểm của các hệ thống pháp luật đó. Phương pháp này được sử dụng xuyên
suốt trong quá trình nghiên cứu.
Phương pháp logic: Phương pháp này được tác giả sự dụng nhằm suy luận từ
những cơ sở pháp lý đã có và từ đó có thể đưa ra những đánh giá, kết luận để áp dụng
một cách phù hợp trong việc xây dựng pháp luật Việt Nam liên quan đến dữ liệu cá nhân.
Ngoài những phương pháp trên, tác giả còn sử dụng các phương pháp như thống
kê số liệu, đưa ra các ví dụ, phân tích vụ việc…nhằm làm rõ hơn các vấn đề pháp lý xoay
quanh đề tài nghiên cứu.


8

5. Bố cục của đề tài
Bố cục của khóa luận gồm có các phần: Mục lục, Danh mục các từ viết tắt, Phần
mở đầu, Nội dung chính, Kết luận chung và Danh mục tài liệu tham khảo. Trong đó,
phần Nội dung chính được chia thành 03 chương:
Chương I: Khái quát chung về dữ liệu cá nhân.
Chương II: Pháp luật về dữ liệu cá nhân của một số quốc gia trên thế giới.
Chương III: Pháp luật về dữ liệu cá nhân ở Việt Nam.



9

CHƯƠNG I. KHÁI QUÁT CHUNG VỀ DỮ LIỆU CÁ NHÂN
1. Khái niệm dữ liệu cá nhân
Thông thường, thuật ngữ “dữ liệu” (data) được sử dụng nhiều trong lĩnh vực máy
tính, kỹ thuật số, cơng nghệ…Nói đến dữ liệu, người ta thường nghĩ ngay đến những
thơng tin nói chung được thu thập và lưu trữ trong máy tính và nhằm sử dụng cho mục
đích nhất định.
Theo Đại từ điển Tiếng Việt, “dữ liệu” là những thông tin như văn bản, số liệu,
âm thanh, hình ảnh…được biểu diễn trong máy tính dưới dạng quy ước, nhằm tạo ra sự
dễ dàng cho việc lưu trữ, xử lý.3 Theo định nghĩa này, đây là những loại thông tin khác
nhau, không giới hạn và tồn tại dưới hình thức lưu trữ nhất định. Điều đó có nghĩa là,
các thơng tin tuy thỏa mãn yếu tố là “sự kiện”, “tin tức” mà không được lưu trữ thì khơng
được xem là dữ liệu.
Có thể thấy “dữ liệu” và “thông tin” là hai khái niệm thường đi chung với nhau.
Thông tin là một phần của dữ liệu, để được xem là dữ liệu, những thơng tin đó cần phải
được lưu trữ dưới hình thức nhất định và vì mục đích nhất định. Từ những khái niệm
trên, có thể hiểu “dữ liệu cá nhân” là những thông tin liên quan đến một cá nhân và được
thể hiện, lưu trữ dưới dạng tệp tin, văn bản, hình ảnh, số liệu…Thơng tin liên quan đến
cá nhân là những thông tin mang tính định danh cá nhân và phân biệt cá nhân này với
các cá nhân khác. Các thơng tin đó có thể là số căn cước công dân, ngày tháng năm sinh,
mã số thuế, giới tính, nghề nghiệp4…
Cho đến nay, hệ thống pháp luật Việt Nam vẫn chưa có bất kì văn bản nào quy
định khái niệm hoặc làm rõ nội hàm của dữ liệu cá nhân. Do đó, thực tế tại Việt Nam
đang hiểu về dữ liệu cá nhân theo một cách cơ bản là thông tin cá nhân tồn tại dưới dạng

Nguyễn Như Ý (chủ biên), Đại Từ điển Tiếng Việt, Nxb. Văn hóa – Thơng tin, Hà Nội, 1999, tr.367.
Vũ Công Giao và Phạm Thị Hậu, “Pháp luật bảo vệ quyền bí mật dữ liệu cá nhân trên thế giới và Việt Nam”,
Tạp chí Nhà nước và Pháp luật, 2017, số 2 (346)
3

4


10

dữ liệu.5 Nội hàm của thông tin cá nhân được xác định theo quy định tại Luật An tồn
thơng tin mạng năm 2015. Theo đó, thơng tin cá nhân được hiểu là thơng tin gắn với việc
xác định danh tính của một người cụ thể.6 Bên cạnh đó, theo quy định tại khoản 5 Điều
4 Luật Giao dịch điện tử: “Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình
ảnh, âm thanh hoặc dạng tương tự.” Theo cách tiếp cận này, có thể hiểu “dữ liệu cá nhân”
là tất cả các thông tin liên quan đến một cá nhân. Các thơng tin đó được thể hiện dưới
dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự. Dữ liệu cá nhân
được thu thập, lưu giữ, truy cập, chuyển giao, xử lý bởi cơ quan, tổ chức và cá nhân có
thẩm quyền theo quy định của pháp luật.7
Theo quy định tại Điều 2.1 Luật Bảo vệ Dữ liệu cá nhân năm 2012 của Singapore
(PDPA), dữ liệu cá nhân là các dữ liệu về một cá nhân mà có thể xác định được danh
tính của họ từ các dữ liệu đó; hoặc từ các dữ liệu đó và các thơng tin khác mà các tổ chức
có hoặc có thể có quyền truy cập. Như vậy, theo pháp luật của Singapore, ngồi các
thơng tinh mang tính định danh, dữ liệu cá nhân cịn bao gồm các thông tin khác của cá
nhân mà các tổ chức, cá nhân có thẩm quyền có thể truy cập được.
Cũng trên cơ sở đó, theo Quy định chung về bảo vệ dữ liệu của Liên minh Châu
Âu (EU) - General Data Protection Regulation (GDPR), dữ liệu cá nhân được định nghĩa
là bất kỳ thông tin nào liên quan đến một cá nhân xác định hoặc có thể nhận dạng (chủ
thể dữ liệu); một cá nhân có thể nhận dạng là một người có thể được xác định, một cách
trực tiếp hoặc gián tiếp, đặc biệt bằng cách tham chiếu đến một mã định danh như tên,
số nhận dạng, dữ liệu vị trí, số nhận dạng trực tuyến hoặc một hoặc nhiều yếu tố cụ thể
đối với vật lý, sinh lý, sinh trắc, tinh thần, kinh tế, văn hóa hoặc xã hội của cá nhân đó.8
Lưu Minh Sang và Nguyễn Thị Thùy Dung, “Nguyên tắc xử lý dữ liệu cá nhân trên khơng gian mạng theo pháp
luật Việt Nam dưới góc nhìn so sánh với pháp luật Singapore, Liên minh Châu Âu”, Tạp chí Nhà nước và Pháp
luật, 2020, số 11 (391)

6
Khoản 15 Điều 3 Luật An tồn thơng tin mạng năm 2015
7
Viện Khoa học pháp lý, Bộ Tư pháp, Cơ chế bảo đảm thực hiện quyền bí mật dữ liệu cá nhân, Bộ Tư pháp,
2017
8
Article 4 of European Union’s General Data Protection Regulation, (truy cập ngày 24/6/2022)
5


11

Tổ chức Hợp tác kinh tế và phát triển (OECD) đưa ra định nghĩa “dữ liệu cá nhân”
là bất kỳ thông tin nào liên quan đến hoặc cho phép xác định một cá nhân nhất định (đối
tượng dữ liệu).9 Mặc dù Bản hướng dẫn của OECD chỉ có tính chất khuyến nghị, khơng
có hiệu lực pháp lý ràng buộc những vẫn được đông đảo các Quốc gia trên thế giới tham
khảo và áp dụng.
Có thể thấy nội hàm về dữ liệu cá nhân theo pháp luật Việt Nam còn rất hẹp so
với quy định tại các quốc gia, khu vực khác trên thế giới. Pháp luật thế giới đều xác định
dữ liệu cá nhân bao gồm tất cả các thông tin liên quan đến một cá nhân xác định. Trong
khi đó, tiêu chí để xác định dữ liệu cá nhân của Việt Nam chỉ là bao gồm những dữ liệu
gắn với việc xác định danh tính của một người cụ thể. Những dữ liệu mặc dù liên quan
chặt chẽ đến một người, nhưng khơng có chức năng định danh sẽ khơng được xem là dữ
liệu cá nhân.10
Từ những phân tích trên, có thể rút ra khái niệm dữ liệu cá nhân là tất cả các
thông liên quan đến một cá nhân được xác định cụ thể hoặc có thể nhận dạng được. Việc
cá nhân được nhận dạng có thể thơng qua trực tiếp hoặc gián tiếp. Các thông tin để
nhận dạng cá nhân có thể là tên, số nhận dạng, dữ liệu vị trí, số nhận dạng trực tuyến
hoặc một hoặc nhiều yếu tố cụ thể đối với vật lý, sinh lý, sinh trắc, tinh thần, kinh tế, văn
hóa hoặc xã hội của cá nhân đó.

2. Đặc điểm dữ liệu cá nhân
Từ những khái niệm về dữ liệu cá nhân đã được phân tích ở trên, nhìn chung, để
được xem là dữ liệu cá nhân cần phải có những đặc điểm sau đây. Nói cách khác, để một
thơng tin được xem là dữ liệu cá nhân, cần phải được xem xét về các yếu tố mang tính
đặc trưng và then chốt.
9

Xem :
/>tm (truy cập ngày 24/6/2022)
10
Lưu Minh Sang và Nguyễn Thị Thùy Dung, “Nguyên tắc xử lý dữ liệu cá nhân trên không gian mạng theo
pháp luật Việt Nam dưới góc nhìn so sánh với pháp luật Singapore, Liên minh Châu Âu”, Tạp chí Nhà nước và
Pháp luật, 2020, số 11 (391)


12

Thứ nhất, đó là “bất kỳ thơng tin nào”. Trong phạm vi chung của GDPR, “bất kỳ
thông tin nào” cần được hiểu theo nghĩa đen11. Điều đó có nghĩa là, thuật ngữ này phải
được giải thích theo nghĩa rộng, mang hàm ý chỉ đến tất cả các loại thông tin. Đó có thể
là tên, số căn cước cơng dân, địa chỉ nhà, số điện thoại… Thậm chí, đó cịn có thể là các
thông tin liên quan đến những đặc điểm sinh lý, sinh trắc học (vân tay, võng mạc…)
hoặc có thể là dữ liệu trên các nền tảng trực tuyến, cookie…
Với sự phát triển của công nghệ số, các thông tin khơng cịn gói gọn trong cách
hiểu thơng thường, dễ nhận biết, dễ xác định như trước đây. Ngày nay, các thơng tin của
một cá nhân có thể được thu thập thơng qua việc người đó mua hàng trực tuyến, đăng
nhập vào các ứng dụng, hay thậm chi là việc lướt web một cách vô thưởng vô phạt của
cá nhân cũng có thể để lại thơng tin của bản thân.
Thứ hai, mặc dù phạm vi của các loại thông tin là rất rộng, tuy nhiên vẫn có sự
giới hạn nhất định đối với các loại thơng tin này. Đó là tính “định danh” của thơng tin.

Theo quy định của GDPR, chủ thể dữ liệu phải là một cá nhân có thể nhận dạng hoặc có
thể xác định được. Ngược lại, dữ liệu đó phải có chức năng nhận dạng hoặc xác định
một cá nhân cụ thể.
Tính định danh của thơng tin được thể hiện dưới hai phương diện: có thể xác định
hoặc có thể nhận dạng được. Một cá nhân hoặc một chủ thể dữ liệu được xác định nếu
chủ thể đó được biết đến một cách rõ ràng, có tên riêng, là một chủ thể cụ thể và là duy
nhất.
Đối với phương diện định danh thứ hai, thông tin đó phải là thơng tin mà qua đó
có thể nhận dạng được một cá nhân. Khả năng nhận dạng được hiểu nơm na là nếu bạn
có thể phân biệt một cá nhân với cá nhân khác thì người đó được nhận dạng hoặc có thể

11

Xem (truy cập
ngày 24/6/2022)


13

nhận dạng được.12 Theo GDPR: “một cá nhân có thể nhận dạng là một người có thể
được xác định, một cách trực tiếp hoặc gián tiếp, đặc biệt bằng cách tham chiếu đến một
mã định danh như tên, số nhận dạng, dữ liệu vị trí, số nhận dạng trực tuyến hoặc một
hoặc nhiều yếu tố cụ thể đối với vật lý, sinh lý, sinh trắc, tinh thần, kinh tế, văn hóa hoặc
xã hội của cá nhân đó”. Có hai cách để nhận dạng cá nhân: trực tiếp hoặc gián tiếp.
Những thông tin nhận dạng trực tiếp là những thông tin mà trong quá trình tiếp nhận và
xử lý, chúng ta có thể xác định được chính xác người đó là ai.13 Đó là những thơng tin
mang tính chất cơ bản của mỗi cá nhân, có thể là tên, địa chỉ, cơng việc, địa chỉ email
(đối với email cơng việc)...Ở phía ngược lại, điểm mấu chốt của khả năng nhận dạng
gián tiếp là khi các thông tin được kết hợp với thông tin khác sẽ giúp phân biệt và cho
phép xác định một cá nhân cụ thể. Do đó, những thơng tin rời rạc cũng được coi là dữ

liệu cá nhân bởi vì khi các thơng tin này được tổng hợp, kết hợp với nhau có thể dẫn đến
việc xác định một con người cụ thể.14 Các thơng tin đó có thể là: số đăng ký ô tố, số bảo
hiểm xã hội, số hộ chiếu, hoặc sự kết hợp giữa nhiều thông tin rời rạc với nhau…
Thứ ba, các thông tin phải “liên quan đến” chủ thể dữ liệu. Yếu tố “liên quan đến”
một cá nhân được hiểu là dữ liệu được xử lý để liên kết với một cá nhân cụ thể và q
trình xử lý dữ liệu đó đưa ra các quyết định ảnh hưởng đến cá nhân cụ thể.15 Ví dụ, khi
cơng an điều tra nhằm xác định danh tính của kẻ tình nghi hoặc tội phạm, trong một số
trường hợp, công an sẽ căn cứ vào lịch sử cuộc gọi hoặc lịch sử tin nhắn của của nạn
nhân để có thể phần nào khoanh vùng được các đối tượng tình nghi. Trong trường hợp
Information Commissioner’s Office, What is personal data?, xem tại: (truy cập ngày
24/6/2022)
13
Information Commissioner’s Office, What is personal data?, xem tại: (truy cập ngày
24/6/2022)
14
Bạch Thị Nhã Nam, “Hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân”, Tạp chí Nghiên cứu Lập pháp, 2022, số
05 (453)
15
Bạch Thị Nhã Nam, “Hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân”, Tạp chí Nghiên cứu Lập pháp, 2022, số
05 (453)
12


14

này, lịch sử cuộc gọi, lịch sử tin nhắn…là những dữ liệu liên kết với nạn nhân và việc
công an xử lý những dữ liệu này nhằm đưa ra các quyết định ảnh hưởng đến nạn nhân
hoặc những người liên quan. Do đó, đây được xem là dữ liệu cá nhân. Có thể nhận thấy
rằng, có một số dữ liệu khi đứng riêng lẻ, ngay từ ban đầu đó khơng phải là dữ liệu cá
nhân, tuy nhiên sau khi được liên kết đến một chủ thể nhất định bên cạnh một số dữ liệu

khác, nhằm xác định danh tính của chủ thể đó thì những dữ liệu này được xem là dữ liệu
cá nhân.
Dữ liệu có thể “liên quan đến” một cá nhân theo nhiều cách khác nhau.16 Đó có
thể là các thông tin rõ ràng là về một cá nhân cụ thể (tiền sử bệnh án, hồ sơ tội phạm, kỉ
lục thành tích cá nhân…) hoặc về các hoạt động của họ (sao kê ngân hàng, hóa đơn điện
nước, hóa đơn điện thoại…); cũng sẽ có nhiều trường hợp dữ liệu tự nó khơng phải là
dữ liệu cá nhân nhưng nó sẽ trở thành dữ liệu cá nhân khi được liên kết với một cá nhân
để cung cấp thông tin cụ thể về cá nhân đó. Ví dụ, một nhà máy ghi lại thông tin về hoạt
động của một bộ phận máy móc. Nếu thơng tin được ghi lại để theo dõi hiệu quả của
máy, đó khơng chắc là dữ liệu cá nhân. Tuy nhiên, nếu thông tin được ghi lại để theo dõi
năng suất của nhân viên vận hành máy (và tiền thưởng hàng năm của anh ta phụ thuộc
vào việc đạt được một mức năng suất nhất định), thì thơng tin sẽ là dữ liệu cá nhân về cá
nhân nhân viên vận hành nó.
Các quy định của Singapore, Pháp, Hoa Kỳ… cũng có cách hiểu tương tự về các
yếu tố cấu thành dữ liệu cá nhân. Với lý do phạm vi các thông tin được xem là dữ liệu
cá nhân còn khá hẹp theo quy định của pháp luật Việt Nam, do đó dữ liệu cá nhân ở Việt
Nam cũng có ít đặc điểm hơn. Đó là những thông tin liên quan đến cá nhân và được thể
hiện bằng các hình thức nhất định. Tuy nhiên, khi nào được coi là “liên quan đến” cá
nhân thì Việt Nam vẫn chưa có các quy định hướng dẫn rõ ràng và cụ thể. Chính vì vậy,
Information Commissioner’s Office, What is personal data?, xem tại: (truy cập ngày
24/6/2022)
16


15

cách hiểu hiện nay về cụm từ “liên quan đến” theo pháp luật Việt Nam chỉ đơn giản là
gắn liền với cá nhân đó.
3. Tầm quan trọng của việc bảo vệ dữ liệu cá nhân
Vai trò của dữ liệu cá nhân trong đời sống cũng như tầm quan trong của việc bảo

vệ dữ liệu cá nhân được thể hiện qua các khía cạnh sau:
Thứ nhất, dữ liệu cá nhân là thông tin gắn liền với chủ thể dữ liệu, ảnh hưởng trực
tiếp hoặc gián tiếp đến đời sống, công việc của chủ thế đó. Bảo vệ dữ liệu cá nhân không
phải là bảo vệ bản thân dữ liệu ấy mà chính là bảo vệ các quyền cơ bản và tự do của con
người liên quan đến dữ liệu. Nếu một cá nhân bỗng nhiên bị mất các dữ liệu về mình thì
liệu rằng cá nhân ấy có thể trở thành nạn nhân của sự lãng quên hay chứng minh được
mình tồn tại để hưởng các quyền và lợi ích do luật định?17
Thứ hai, bảo vệ dữ liệu cá nhân giúp con người được bảo tồn về danh dự, uy tín
của mình và tăng cường niềm tin trong xã hội.18 Nếu thiếu các thiết chế bảo vệ dữ liệu
cá nhân phù hợp, dẫn đến dữ liệu bị rò rỉ, một tổ chức hay doanh nghiệp có liên quan có
thể bị mất uy tín hoặc bị khởi kiện do vi phạm quyền của người dùng.
Thứ ba, các dữ liệu cá nhân đang ngày càng trở thành "nguồn vốn" hay "tài sản"
có tầm quan trọng hàng đầu của nền kinh tế số hay nền kinh tế vận hành trên cơ sở dữ
liệu sử dụng cơng nghệ số. Vì thế, việc tránh để rị rỉ dữ liệu cá nhân trong q trình cung
cấp thơng tin cần được chú ý tối đa.19 Việc không tuân thủ các quy định của pháp luật
hay quy tắc về bảo vệ dữ liệu cá nhân có thể dân đến tình huống rủi ro, đó là sự mất an
tồn hoặc thiệt hại về tiền bạc, tài sản hay thậm chí tính mạng của người có liên quan, ví
dụ mất tiền trong tài khoản hay bị chẩn đoán sai bệnh do thiếu hồ sơ sức khoẻ.

17

Xem (truy cập ngày 24/6/2022)
18
Viện Khoa học pháp lý, Bộ Tư pháp, Cơ chế bảo đảm thực hiện quyền bí mật dữ liệu cá nhân, Bộ Tư pháp,
2017
19
Xem (truy cập ngày 24/6/2022)


16


Thứ tư, thiết chế bảo vệ dữ liệu cá nhân được thiết lập nhằm bảo vệ quyền của
người tiêu dùng trong các giao dịch thương mại công bằng. Chẳng hạn, nếu dữ liệu người
dùng bị thương mại hoá bất hợp pháp, người dùng sẽ có thể bị lạm dụng và quấy rầy
bằng các hành vi tiếp thị, quảng cáo ngoài ý muốn. Đây là vấn đề diễn ra khá phổ biến
trong thời đại công nghệ số, thương mại điện tử hiện nay. Một số lượng lớn công dân
thường xuyên bị quấy rầy, lừa đảo bởi những số điện thoại lạ mà khơng biết tại sao những
người đó lại có thơng tin liên lạc của mình. Phần lớn lý do xuất phát từ các giao dịch
thương mại bất hợp pháp đối với dữ liệu của người tiêu dùng.
Thứ năm, dữ liệu cá nhân là yếu tố có mối liên hệ mật thiết cũng như là một trong
các thành tố tạo nên Big Data, Internet of Thing, Cloud computing…Đây là những mơ
hình công nghệ được sử dụng trong hầu hết các lĩnh vực từ kinh tế, y tế, an ninh, điện
tử, sản xuất, tài chính…và được xây dựng thơng qua việc thu thập dữ liệu cá nhân của
khách hàng, người tiêu dùng…Do đó, việc bảo vệ dữ liệu cá nhân cũng như xây dựng
quy chế bảo vệ dữ liệu cá nhân trở nên vô cùng quan trọng khi mà khoa học công nghệ,
internet, kỹ thuật số… đang phát triển rất nhanh chóng20

Nguyễn Thị Thu Vân, “Bảo vệ dữ liệu cá nhân trong bối cảnh cách mạng cơng nghiệp 4.0”, Tạp chí Dân chủ &
Pháp luật, 2017, số 10 (307)
20


17

KẾT LUẬN CHƯƠNG I
Khi nghiên cứu một đề tài, việc nắm chắc các vấn đề mang tính lý luận, cơ bản là
cần thiết. Do đó, trong phạm vi chương này, tác giả đã tiến hành phân tích khái niệm cơ
bản về “dữ liệu cá nhân” theo quy định pháp luật của các quốc gia, khu vực trên thế giới
cũng như của Việt Nam. Từ đó đưa ra một kết luận chung về dữ liệu cá nhân: “Dữ liệu
cá nhân là tất cả các thông liên quan đến một cá nhân được xác định cụ thể hoặc có thể

nhận dạng được. Việc cá nhân được nhận dạng có thể thơng qua trực tiếp hoặc gián
tiếp. Các thông tin để nhận dạng cá nhân có thể là tên, số nhận dạng, dữ liệu vị trí, số
nhận dạng trực tuyến hoặc một hoặc nhiều yếu tố cụ thể đối với vật lý, sinh lý, sinh trắc,
tinh thần, kinh tế, văn hóa hoặc xã hội của cá nhân đó.”
Bên cạnh đó, tác giả cũng phân tích các đặc điểm của dữ liệu cá nhân, các yếu tố
cấu thành để một dữ liệu bất kỳ được xem là dữ liệu cá nhân. Đó là “bất kỳ thơng tin
nào”; có tính định danh; và “liên quan đến” một cá nhân cụ thể. Qua đó, có thể nhận thấy
phạm vi về dữ liệu cá nhân là rất rộng, không giới hạn, miễn là thỏa mãn các điều kiện
cấu thành theo quy định của pháp luật.
Cuối cùng, tác giả đã phân tích tầm quan trọng của dữ liệu cá nhân trong đời sống
hằng ngày. Đó chính là tài sản của cá nhân trong thời đại công nghệ số, ảnh hưởng đến
danh dự, uy tín của cá nhân đó. Từ đó, mọi người có thể nâng cao ý thức về tầm quan
trọng trong việc bảo vệ dữ liệu cá nhân của mình, tránh được các nguy cơ xâm phạm dữ
liệu cá nhân.
Thơng qua Chương I, người đọc có thể có được một cái nhìn cơ bản và tổng quan
về dữ liệu cá nhân. Đây sẽ là nền tảng cho việc phân tích các quy định pháp luật trong
việc bảo vệ dữ liệu cá nhân.


18

CHƯƠNG II: PHÁP LUẬT VỀ DỮ LIỆU CÁ NHÂN CỦA MỘT SỐ
QUỐC GIA TRÊN THẾ GIỚI
Có thể thấy, pháp luật về dữ liệu cá nhân và các thiết chế để bảo vệ nó là vấn đề
mang tính thực tiễn và nóng hổi khơng chỉ ở Việt Nam mà cịn ở nhiều quốc gia khác
trên thế giới. Cùng với sự phát triển của nền lập pháp, hiện nay, trên thế giới đã có khá
nhiều quốc gia đã ban hành các quy định pháp luật vè bảo vệ thông tin cá nhân trên mạng
nói riêng và bảo vệ dữ liệu cá nhân nói chung. Đây cũng chính là cơ hội để Việt Nam có
thể tham khảo, nghiên cứu để có thể xây dựng khung pháp lý bảo vệ dữ liệu cá nhân
trong bối cảnh đất nước ngày càng phát triển làm cho quyền riêng tư của mỗi cá nhân

càng phải được bảo vệ. Trong đề tài này, tác giả sẽ phân tích các quy định pháp luật của
các quốc gia, khu vực có hệ thống pháp luật về dữ liệu cá nhân hoàn thiện nhất như: Liên
minh Châu Âu, bang California (Hoa Kỳ), Singapore.
1. Phạm vi điều chỉnh và đối tượng điều chỉnh
Theo quy định tại Điều 2.1 Luật Bảo vệ dữ liệu cá nhân Singapore năm 2012,
phạm vi áp dụng là tất cả các cá nhân, tổ chức được thành lập hoặc được cơng nhận theo
pháp luật Singapore hoặc có nơi cư trú hoặc văn phòng đại diện hoặc địa điểm kinh
doanh tại Singapore. 21 Bên cạnh đó, PDPA chỉ áp dụng nếu các dữ liệu cá nhân được thu
thập, sử dụng hoặc tiết lộ tại Singapore. Tuy nhiên, PDPA cũng xác lập nguyên tắc bảo
vệ các dữ liệu cá nhân được chuyển giao qua biên giới. Theo đó, các tổ chức, cá nhân có
trách nhiệm đảm bảo răng các dữ liệu cá nhân được chuyển ra khỏi Singapore cũng sẽ
có được sự bảo vệ tương đương sự bảo vệ theo quy định của PDPA.22
Điều 3 của GDPR quy định phạm vi áp dụng trong các trường hợp sau:23

21

Xem (truy cập ngày 24/6/2022)
Nguyễn Thị Kim Ngân, “Pháp luật của một số quốc gia Đông Nam Á về bảo vệ dữ liệu cá nhân và các gợi ý
cho Việt Nam”, Tạp chí Nghiên cứu Lập pháp, 2019, số 7 (383)
23
Xem (truy cập ngày 24/6/2022)
22


19

Thứ nhất, áp dụng cho tất cả các cá nhân, pháp nhân hoặc các tổ chức khác trong
Liên minh. Trường hợp này được áp dụng không phân biệt việc xử lý dữ liệu cá nhân đó
diễn ra trong hay ngồi Liên minh.
Thứ hai, áp dụng đối với các cá nhân, pháp nhân hoặc các tổ chức khác không

được thành lập trong Liên minh nhưng có các hoạt động xử lý dữ liệu liên quan đến:
i) việc cung cấp hàng hóa hoặc dịch vụ, bất kể đối tượng dữ liệu có được u cầu
thanh tốn hay khơng, cho các đối tượng dữ liệu đó trong Liên minh; hoặc
ii) việc giám sát hành vi của họ trong chừng mực hành vi của họ diễn ra trong
Liên minh.
Thứ ba, áp dụng đối với các cá nhân, pháp nhân hoặc các tổ chức khác không
được thành lập trong Liên minh nhưng được thành lập ở một nơi mà luật của Quốc gia
Thành viên được áp dụng theo Công pháp quốc tế.
Cho đến nay, Hoa Kỳ chưa có bất kỳ đạo luật riêng nào ở cấp liên bang về bảo vệ
dữ liệu cá nhân song vấn đề này đã được nêu trong văn bản pháp luật ban hành theo từng
ngành, từng đối tượng. Ví dụ, Luật Bảo vệ quyền về sự riêng tư của trẻ em (COPPA);
Luật về Trách nhiệm giải trình và trách nhiệm bảo hiểm y tế (HIPPA); Luật Bảo vệ
quyền về sự riêng tư video – ngăn chặn việc tiết lộ sai thông tin của một cá nhân xuất
phát từ việc cho thuê hoặc mua tài liệu nghe nhìn của họ. Sau khi GDPR được thông
qua, một số tiểu bang của Hoa Kỳ đã đề xuất luật bảo vệ dữ liệu của riêng họ. Luật về
Sự riêng tư của người tiêu dùng bang California (CCPA) dự kiến sẽ trở thành luật về
quyền về sự riêng tư dữ liệu toàn diện nhất ở Hoa Kỳ.24 Theo đó, đạo luật này chỉ được
áp dụng đối với các cư dân California, các doanh nghiệp đáp ứng một trong các điều
kiện:25

Vũ Công Giao và Lê Trần Như Tuyên, “Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp
luật ở một số quốc gia và giá trị tham khảo cho Việt Nam”, Tạp chí Nghiên cứu Lập pháp, 05/2020, số 9 (409)
25
Xem
/>.5 (truy cập ngày 24/6/2022)
24


20


i) Có tổng doanh thu hằng năm trên 25 triệu USD;
ii) Mua, nhận hoặc bán thông tin cá nhân của 50.000 cư dân, hộ gia đình hoặc
thiết bị ở California trở lên; hoặc
iii) Kiếm được 50% hoặc nhiều hơn doanh thu hàng năm của họ từ việc bán thông
tin cá nhân của cư dân California.
Có thể đối với các quy định mang tính chất chi tiết, điều kiện để các tổ chức, cá
nhân thuộc phạm vi điều chỉnh của các đạo luật bảo vệ dữ liệu cá nhân của các quốc gia,
khu vực trên là khác nhau. Tuy nhiên, pháp luật của Singapore, Liên minh Châu Âu hay
California (Hoa Kỳ) đều hướng đến việc mở rộng phạm vi điều chỉnh không chỉ ở trong
nước hoặc trong khu vực. Các tổ chức, cá nhân ngồi khu vực, quốc gia có thể thuộc
phạm vi điều chỉnh của đạo luật bảo vệ dữ liệu cá nhân nếu thỏa mãn một số điều kiện
hoặc có một số hoạt động luật định. Điều này giúp tăng cường sự hiệu quả trong việc
xây dựng các thiết chế bảo vệ dữ liệu cá nhân.
2. Quyền và nghĩa vụ của các chủ thể liên quan
2.1. Đối với chủ thể thu thập, lưu giữ, sử dụng dữ liệu
2.1.1. Cần có sự đồng ý của chủ thể dữ liệu
Theo quy định tại Điều 6 và Điều 7 của GDPR, việc thu thập, lưu giữ, sử dụng
chỉ hợp pháp khi có sự đồng ý của chủ thể dữ liệu cho một hoặc nhiều mục đích cụ thể.
Sự đồng ý của chủ thể dữ liệu cá nhân phải rõ ràng, đó phải là một tuyên bố hoặc một
hành động cụ thể. Sự tuyên bố phải được thành lập bằng văn bản, phương tiện điện tử
hoặc bằng lời nói; hoặc có một hành động chủ động, để khơng có sự hiểu lầm rằng chủ
thể dữ liệu đã đồng ý với việc xử lý dữ liệu đó. Sự im lặng sẽ khơng cấu thành sự đồng
ý. Bên cạnh đó, theo quy định tại Điều 7 GDPR, chủ thể dữ liệu cũng có quyền rút lại sự
đồng ý của họ bất cứ lúc nào, quyền này phải được thông báo rõ ràng cho chủ thể dữ liệu
trước khi chủ thể này đồng ý.26

26

Council of Europe, Handbook on European data protection law, Publication Office of the EU, 2018, pp.111.



21

Pháp luật của Singapore cũng có quy định tương tự GDPR, các chủ thể khác chỉ
được thu thập, lưu giữ, sử dụng và tiết lộ dữ liệu cá nhân nếu có được sự đồng ý của chủ
thể dữ liệu cá nhân.27 Hình thức của sự đồng ý có thể là bằng văn bản hoặc lời nói (nếu
đáp ứng điều kiện về chứng minh). Sự đồng ý này cũng có thể được thể hiện thông qua
ngầm định (Deemed consent). Theo quy định tại Điều 15 PDPA, sự đồng ý ngầm định
được thể hiện thông qua sự tự nguyện cung cấp dữ liệu của chủ thể dữ liệu (hoặc có căn
cứ hợp lý để cho rằng cá nhân tự nguyện).28 Có thể thấy đây là điểm khác biệt giữ PDPA
và GDPR, theo quy định của GDPR, sự đồng ý không thể được ngụ ý và phải luôn được
đưa ra bằng một tuyên bố hoặc một hành động rõ rang để tránh sự hiểu lầm về sự đồng
ý của chủ thể dữ liệu. Tuy nhiên, giống với GDPR, theo quy định của PDPA, chủ thể dữ
liệu có thể rút lại sự đồng ý của mình vào bất kỳ thời gian nào. Trong một số trường hợp,
các hành vi thu thập, lưu giữ, sử dụng hoặc tiết lộ dữ liệu cá nhân không cần sự đồng ý
của chủ thể dữ liệu: (i) trường hợp rõ ràng là vì lợi ích của chủ dữ liệu cá nhân và sự
đồng ý khơng thể có được một cách kịp thời; (ii) trường hợp khẩn cấp hoặc thực sự cần
thiết vì lợi ích quốc gia; (iii) trường hợp thu hồi nợ; (iv) trường hợp cung cấp các dịch
vụ pháp lý; (v) trường hợp vì mục đích nghiên cứu, bao gồm các nghiên cứu mang tính
lịch sử hoặc thống kê; (vi) trong trường hợp vì mục đích đánh giá.29 Ngày 01/02/2021,
Luật Bảo vệ dữ liệu cá nhân Singapore (sửa đổi) 2020 có hiệu lực. Theo đó, bản sửa đổi
này bổ sung thêm ngoại lệ về sự đồng ý của chủ thể dữ liệu, cho phép các DN sử dụng,
thu thập và tiết lộ dữ liệu cho "các mục đích hợp pháp" để cải thiện kinh doanh, phạm vi
nghiên cứu và phát triển rộng hơn.30 Bên cạnh đó, các sửa đổi bổ sung "được coi là đồng
ý", PDPA giờ đây sẽ cho phép các tổ chức chia sẻ dữ liệu với các nhà thầu bên ngoài

Điều 13 PDPA 2012.
Nguyễn Thị Kim Ngân, “Pháp luật của một số quốc gia Đông Nam Á về bảo vệ dữ liệu cá nhân và các gợi ý
cho Việt Nam”, Tạp chí Nghiên cứu Lập pháp, 2019, số 7 (383)
29

Điều 17 PDPA 2012.
30
Xem (truy cập ngày 24/6/2022)
27
28


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×