BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC LUẬT TP.HCM
KHOA LUẬT QUỐC TẾ
-----------***------------

TRẦN THỊ THU HẰNG
MSSV : 1853801015059

VẤN ĐỀ BẢO VỆ DỮ LIỆU CÁ NHÂN
THEO PHÁP LUẬT LIÊN MINH CHÂU ÂU
VÀ HOA KỲ - ĐỀ XUẤT CHO VIỆT NAM
KHÓA LUẬN TỐT NGHIỆP
Niên khóa: 2018 - 2022

Người hướng dẫn : ThS. Nguyễn Thị Kim Duyên

TP. Hồ Chí Minh – Năm 2022


TRƯỜNG ĐẠI HỌC LUẬT THÀNH PHỐ HỒ CHÍ MINH
KHOA LUẬT QUỐC TẾ
-----------***-----------

KHÓA LUẬN TỐT NGHIỆP CỬ NHÂN LUẬT

VẤN ĐỀ BẢO VỆ DỮ LIỆU CÁ NHÂN THEO
PHÁP LUẬT LIÊN MINH CHÂU ÂU VÀ HOA
KỲ - ĐỀ XUẤT CHO VIỆT NAM
SINH VIÊN THỰC HIỆN: TRẦN THỊ THU HẰNG
KHÓA: 43 – MSSV: 1853801015059
GIẢNG VIÊN HƯỚNG DẪN: ThS. NGUYỄN THỊ KIM DUYÊN

TP. HỒ CHÍ MINH – NĂM 2022


1

MỤC LỤC
DANH MỤC TỪ VIẾT TẮT....................................................................................1
LỜI CAM ĐOAN ......................................................................................................4
PHẦN MỞ ĐẦU ........................................................................................................5
CHƯƠNG 1. LÝ LUẬN CHUNG VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN .............12
1.1. Khái quát về bảo vệ dữ liệu cá nhân............................................................12
1.1.1.

Khái niệm về bảo vệ dữ liệu cá nhân ................................................12

1.1.2.

Đặc điểm về bảo vệ dữ liệu cá nhân .................................................14

1.1.3.

Ý nghĩa của bảo vệ dữ liệu cá nhân ..................................................16

1.2. Lịch sử hình thành và phát triển pháp luật bảo vệ dữ liệu cá nhân .............17
1.2.1.

Trước những năm 1970 .....................................................................17

1.2.2.


Sau những năm 1970 .........................................................................19

1.3. Mối quan hệ giữa quyền riêng tư và bảo vệ dữ liệu cá nhân .......................22
KẾT LUẬN CHƯƠNG 1 ........................................................................................25
CHƯƠNG 2. BẢO VỆ DỮ LIỆU CÁ NHÂN THEO PHÁP LUẬT CỦA LIÊN
MINH CHÂU ÂU VÀ HOA KỲ ............................................................................26
2.1. Bảo vệ dữ liệu cá nhân theo quy định pháp luật của Liên minh Châu Âu ..26
2.1.1.

Phạm vi điều chỉnh và đối tượng áp dụng.........................................26

2.1.2.

Những nguyên tắc cơ bản ..................................................................29

2.1.3.

Quyền của chủ thể dữ liệu .................................................................31

2.1.4.

Quy định về các chủ thể tham gia xử lý dữ liệu cá nhân ..................35

2.1.5.

Xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân ...............37

2.2. Bảo vệ dữ liệu cá nhân theo quy định pháp luật của Hoa Kỳ .....................39
2.2.1.


Luật liên bang ....................................................................................40

2.2.2.

Luật các bang ....................................................................................48

KẾT LUẬN CHƯƠNG 2 ........................................................................................51
CHƯƠNG 3. KIẾN NGHỊ HOÀN THIỆN PHÁP LUẬT VIỆT NAM VỀ BẢO
VỆ DỮ LIỆU CÁ NHÂN ........................................................................................52
3.1. Thực trạng và bất cập trong pháp luật Việt Nam về bảo vệ dữ liệu cá nhân.52
3.1.1.

Thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân ...............52

3.1.2.

Bất cập trong pháp luật Việt Nam về bảo vệ dữ liệu cá nhân...........54


2

3.2. Một số đề xuất hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân..62
3.2.1. Về giải thích thuật ngữ ............................................................................62
3.2.2. Các nguyên tắc ........................................................................................63
3.2.3. Quyền của chủ thể dữ liệu.......................................................................65
3.2.4. Đề xuất khác ............................................................................................67
KẾT LUẬN CHƯƠNG 3 ........................................................................................69
KẾT LUẬN CHUNG ..............................................................................................70
DANH MỤC TÀI LIỆU THAM KHẢO ...............................................................72



3

DANH MỤC TỪ VIẾT TẮT
Từ viết tắt

Nội dung được viết tắt

CTDL

Chủ thể dữ liệu

DLCN

Dữ liệu cá nhân

QRT

Quyền riêng tư

EU

Liên minh Châu Âu

GDPR

Bộ quy tắc chung về bảo vệ dữ liệu ban hành
bởi Liên minh Châu Âu (“General Data
Protection Regulations”)


FTC Act

Đạo luật Hội đồng Thương mại Liên Bang
(“Federal Trade Commission Act”) của Liên
bang Hoa Kỳ

FTC

Hội đồng Thương mại Liên Bang

Dự thảo Nghị định

Dự thảo Nghị định quy định về bảo vệ dữ
liệu cá nhân


4

LỜI CAM ĐOAN
Tơi cam đoan: Khóa luận tốt nghiệp này là kết quả nghiên cứu của riêng tôi, được
thực hiện dưới sự hướng dẫn khoa học của Thạc sĩ Nguyễn Thị Kim Duyên, đảm bảo
tính trung thực và tuân thủ các quy định về trích dẫn, chú thích tài liệu tham khảo.
Tơi xin hồn tồn chịu trách nhiệm về lời cam đoan này.
Thành phố Hồ Chí Minh, 6/2022

Trần Thị Thu Hằng


5


PHẦN MỞ ĐẦU
1.

Tính cấp thiết của đề tài
Cách mạng cơng nghiệp 4.0 là một bước ngoặt đánh dấu giai đoạn các hoạt

động kỹ thuật số phát triển bùng nổ, kéo theo sự thay đổi ngoạn mục của tất cả các
phương thức tổ chức và hoạt động của con người, bao gồm hoạt động thơng tin. Theo
đó, trong thời đại kĩ thuật số này, nhu cầu sử dụng thông tin của con người ngày càng
được đẩy mạnh, kéo theo sự phát triển liên tục trong quá trình tân tiến các phương
thức tiếp cận, sử dụng thông tin. Một mặt, xu hướng này thỏa mãn nhu cầu thiết yếu
của con người vì nhu cầu sử dụng thơng tin là địi hỏi khách quan của con người nhằm
duy trì hoạt động sống của con người1 nhưng mặt khác lại gây ra những hệ quả tiêu
cực có tác động rất lớn đến cá nhân, cơ quan, tổ chức có liên quan đến thơng tin đó.
Hiện tượng tiết lộ, mua bán dữ liệu cá nhân mà khơng có sự đồng ý của chủ
thể dữ liệu diễn ra rất thường xuyên và phổ biến. Ví dụ, vào tháng 5/2021 vừa qua,
1.300 GB dữ liệu cá nhân tại Việt Nam đã bị rao bán, 10.000 dữ liệu người dùng được
rao bán trên diễn đàn hacker2. Bên cạnh đó, tồn tại khơng ít các vụ đánh cắp, rao bán
dữ liệu cá nhân ở quy mơ tồn cầu nói chung hoặc quy mơ quốc gia Việt Nam nói
riêng thơng qua các trang mạng xã hội như Facebook, Instagram, WhatsApp…3
Những hiện tượng trên đều để lại những mối nguy hiểm tiềm tàng về mặt tài
chính và pháp lý cho các cá nhân có dữ liệu bị để lộ, sử dụng hoặc rao bán. Về mặt
tài chính, các chủ thể bị sử dụng dữ liệu cá nhân trái phép hoặc trái mục đích có thể
phải đối mặt với các hành vi vay tiền, cưỡng đoạt tiền … dẫn đến thất thoát tài sản.
Về mặt pháp lý, các chủ thể trên đứng trước nguy cơ bị giả mạo danh tính, giấy tờ để

Bùi Thanh Thủy (2018), Thời đại kỹ thuật số và những yếu tố ảnh hưởng tới nhu cầu tin của người dùng tin,
Tạp chí Thư viện Việt Nam, số 03. Xem tại: (truy cập ngày 29/3/2022)
2

Hải Đăng (2021), Làm gì khi phát hiện dữ liệu cá nhân bị rao bản?, Báo điện tử Vietnamnet. Link truy cập
tại: (truy cập ngày 29/3/2022)
3
Song Minh (2021), Thông tin cá nhân 1,5 tỉ người dùng Facebook bị rao bán, Báo Lao động Online. Link
truy cập tại: />(truy cập ngày 29/3/2022)
1


6

thực hiện các hành vi vi phạm pháp luật. Ngoài ra, việc bị sử dụng trái phép dữ liệu
liên quan đến cá nhân sẽ tạo nên hành vi xâm phạm quyền nhân thân của các chủ thể
bị lộ dữ liệu vì dữ liệu cá nhân là hình thức thể hiện tính “riêng tư” của mỗi cá nhân.
Đứng trước những rủi ro nghiêm trọng đối với cá nhân, cơ quan, tổ chức nói
riêng và sự mất trật tự cơng cộng, an ninh xã hội nói chung như thế, pháp luật Việt
Nam hiện hành vẫn chưa có một văn bản quy phạm pháp luật riêng biệt để bảo vệ dữ
liệu cá nhân, đảm bảo thực hiện quyền bảo vệ dữ liệu cá nhân một cách toàn vẹn. Các
quy định liên quan đến bảo vệ dữ liệu cá nhân được xây dựng một cách rải rác tại các
văn bản quy phạm pháp khác nhau như BLDS năm 2015, Luật Công nghệ thông tin
năm 2006, Luật An ninh mạng năm 2018... Hiện nay, Việt Nam đã và đang xây dựng
Dự thảo Nghị định và tiến đến q trình thơng qua hồ sơ xây dựng Nghị định về bảo
vệ dữ liệu cá nhân, xin ý kiến Ủy ban Thường vụ Quốc hội về Dự thảo Nghị định.
Xét thấy tầm quan trọng của quyền bảo vệ dữ liệu cá nhân cũng như thực tiễn
phức tạp trong việc bảo vệ dữ liệu cá nhân trong bối cảnh công nghệ phát triển không
ngừng, tác giả cho rằng việc tiếp tục tham khảo, học hỏi pháp luật của các quốc gia
có kinh nghiệm trong lĩnh vực này là vơ cùng cần thiết để xây dựng một văn bản quy
phạm pháp luật toàn diện, đồng thời bảo đảm thực hiện quyền, lợi ích hợp pháp của
cơng dân Việt Nam. Ngồi ra, hiện nay vẫn chưa tồn tại một cơng trình nghiên cứu
toàn diện nào tập trung về bảo vệ dữ liệu cá nhân mà chỉ tiếp cận bảo vệ dữ liệu cá
nhân trong sự tương quan với các vấn đề pháp lý khác như thương mại điện tử…

Chính từ những lý do trên, tác giả chọn đề tài “Vấn đề bảo vệ dữ liệu cá nhân theo
pháp luật Liên minh Châu Âu và Hoa Kỳ - Đề xuất cho Việt Nam” để thực hiện đề
tài khóa luận tốt nghiệp.
2.

Tình hình nghiên cứu
2.1. Trong nước

-

Trần Thị Hồng Hạnh, “Hoàn thiện pháp luật về bảo vệ thông tin cá nhân ở Việt

Nam hiện nay”, Luận án Tiến sĩ, 2018, Học viện Chính trị Quốc gia Hồ Chí Minh.


7

Luận án Tiến sĩ đã trình bày một cách tổng quan các vấn đề về pháp luật bảo
vệ về thông tin, bao gồm: (i) cơ sở lý luận hoàn thiện pháp luật về bảo vệ thông tin
cá nhân; (ii) quá trình hình thành, phát triển, và thực trạng pháp luật về bảo vệ thông
tin cá nhân ở Việt Nam; (iii) đưa ra các quan điểm và giải pháp hoàn thiện pháp luật
về bảo vệ thông tin cá nhân ở Việt Nam. Tuy nhiên, thời điểm Luận án Tiến sĩ được
hoàn thành là trước khi xuất hiện Dự thảo Nghị định về bảo vệ dữ liệu cá nhân, do đó
Luận án Tiến sĩ chưa thể đưa ra các đánh giá, phân tích về cách tiếp cận về bảo vệ dữ
liệu cá nhân hiện nay tại Việt Nam thể hiện tại Dự thảo Nghị định.
-

Vũ Công Giao, Lê Trần Như Tuyên (2020), Bảo vệ quyền đối với dữ liệu cá

nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho

Việt Nam, Nghiên cứu Lập pháp, Số 9 (409), tr. 55 – 64.
Bài viết đã giới thiệu khái quát về khái niệm của DLCN, quyền đối với DLCN,
theo đó khẳng định rằng quyền về dữ liệu cá nhân có vai trị to lớn trong quyền có
thể khẳng định phẩm giá, sự tự chủ và nhân trạng của con người. Ngoài ra, bài viết
đã nghiên cứu tổng quan pháp luật quốc tế, pháp luật của Liên minh châu Âu (“EU”)
và Hoa Kỳ về bảo vệ quyền đối với dữ liệu cá nhân, xác định xu hướng chung trên
thế giới hiện nay là nỗ lực tạo nên khung pháp lý hiệu quả để bảo vệ quyền về sự
riêng tư dữ liệu của cá nhân. Tuy nhiên, bài viết chưa đi sâu vào các chi tiết cụ thể để
định hình rõ ràng tầm quan trọng của việc bảo vệ dữ liệu cá nhân, cũng như phương
thức bảo vệ dữ liệu cá nhân một cách hiệu quả bằng công cụ pháp lý.
-

Nguyễn Hồng Anh (2019), Tự do thơng tin, quyền riêng tư, quyền bảo vệ dữ

liệu cá nhân trên mạng internet theo pháp luật của Cộng hòa Pháp, Số đặc biệt, tr. 5
– 19
Bài viết đặt ra ba vấn đề pháp lý cụ thể như sau: (i) tự do tiếp cận internet là
một phần của tự do thông tin, tự do biểu đạt; (ii) quyền bảo vệ dữ liệu cá nhân trong
môi trường thông tin mạng; (iii) quyền riêng tư, quyền được lãng quên trên mạng.
Tuy nhiên, bài viết chỉ dừng ở việc trình bày sơ bộ pháp luật của khu vực châu Âu,
pháp luật Pháp đối với bảo vệ dữ liệu cá nhân trên nền tảng Internet mà chưa đi sâu


8

vào cụ thể các quy định pháp luật cũng như chưa làm rõ các vấn đề khác liên quan
trên các nền tảng khác.
Trần Thị Thu Phương (2021), Quyền bảo vệ thông tin cá nhân theo cách tiếp

-


cận của Hoa Kỳ và Liên minh Châu Âu, Tạp chí Kiểm sát, số 08.
Bài viết đã giới thiệu sơ bộ các văn bản quy phạm pháp luật điều chỉnh vấn đề
bảo vệ dữ liệu cá nhân tại Hoa Kỳ và EU. Theo đó, bài viết xác định rằng pháp luật
Hoa Kỳ và EU có sự khác biệt trong cách tiếp cận quyền được bảo vệ dữ liệu cá nhân.
Cuối cùng, bài viết đưa ra một số gợi ý cho Việt Nam rằng cần phân định quyền được
bảo vệ dữ liệu cá nhân tách biệt với quyền riêng tư, và xác định dữ liệu cá nhân khơng
phải là tài sản cá nhân.
2.2. Nước ngồi
-

Maria Tzanou, Data protection as a fundamental right next to privacy?

“Reconstructing” a not so new right, International Data Privacy Law, 2013, Vol. 3,
No. 2.
Bài viết phân tích tổng quan về quyền được bảo vệ dữ liệu cá nhân, tập trung
đánh giá vị trí pháp lý của quyền được bảo vệ dữ liệu cá nhân với tư cách là “quyền
cơ bản của công dân”, dựa trên cơ sở pháp luật EU. Theo đó, bài viết trình bày hai lí
thuyết về quyền được bảo vệ dữ liệu cá nhân phổ biến như sau: một là, lý thuyết cho
rằng quyền bảo vệ dữ liệu cá nhân và quyền riêng tư là hai khái niệm tách biệt, có vai
trị riêng biệt nhưng bổ trợ lẫn nhau trong quá trình xây dựng quốc gia văn minh; hai
là, lý thuyết cho rằng quyền được bảo vệ dữ liệu cá nhân và quyền riêng tư đều là
quyền trung gian để bảo vệ quyền nhân thân và danh dự.
-

Yen Vu, Trung Tran, Bao Nguyen, Navigating Vietnam’s cybersecurity and

DP Law, Privacy Laws & Business International Report, 2020.
Bài viết cung cấp một cái nhìn tổng quát về hệ thống pháp luật an ninh mạng
và bảo vệ dữ liệu cá nhân tại Việt Nam. Trong đó, bài viết đã nêu lên thực trạng pháp

luật Việt Nam về bảo vệ dữ liệu cá nhân rằng thực tiễn chưa tồn tại một văn bản luật
để điều chỉnh vấn đề bảo vệ dữ liệu cá nhân, mà chỉ có các văn bản dưới luật và một
số quy định khác đang rải rác ở các văn bản quy phạm pháp luật có liên quan. Bài


9

viết cũng đánh giá một số quy định về bảo vệ dữ liệu cá nhân, từ đó đưa ra một số đề
xuất cho các doanh nghiệp, nhà cung cấp dịch vụ mạng trong việc tuân thủ nghiêm
túc các quy định pháp luật.
-

Rossana Ducato, Data protection, scientific research, and the role of

information, Computer Law & Security Review, 2020, No. 37
Trọng tâm của bài viết là về các vấn đề pháp lý phát sinh từ mối quan hệ giữa
bảo vệ dữ liệu, hoạt động nghiên cứu khoa học và tầm quan trọng của thông tin, đánh
giá trên cơ sở quy định của Bộ Quy tắc bảo vệ dữ liệu cá nhân của EU. Ngoài ra, bài
viết cũng nêu lên thực tiễn nội luật hóa của các Quốc gia thành viên EU đối với vấn
đề bảo vệ dữ liệu cá nhân. Qua đó, bài viết khẳng định các nghĩa vụ đối với thông tin
hoặc quy định hạn chế sự công khai thông tin còn nhiều hạn chế và cần sửa đổi nhằm
bắt kịp tốc độ thay đổi của thực tiễn.
Những tài liệu trên đã tìm hiểu một cách tổng quan về các quy định bảo vệ dữ
liệu cá nhân, chủ yếu là các văn bản pháp luật của EU nhưng chưa có cơng trình
nghiên cứu nào tập trung luận giải sự xuất hiện của bảo vệ dữ liệu cá nhân, lí giải mối
quan hệ giữa bảo vệ dữ liệu cá nhân và quyền riêng tư, cũng như so sánh giữa pháp
luật bảo vệ dữ liệu cá nhân của hệ thống dân luật và hệ thống thơng luật để có cái
nhìn khái qt hơn về bảo vệ dữ liệu cá nhân. Do đó, tác giả lựa chọn nghiên cứu
pháp luật của EU và của Hoa Kỳ vì đều là các quốc gia phát triển, tiến bộ trong việc
xây dựng hành lang pháp lý về bảo vệ dữ liệu cá nhân. Bên cạnh đó, pháp luật của

EU và Hoa Kỳ đều có tính mẫu mực, đại diện cho hai hệ thống pháp luật chủ yếu trên
thế giới, lần lượt là dân luật và thông luật.
Mục đích của khóa luận tốt nghiệp là làm sáng tỏ các vấn đề chưa được thực
hiện trong các tài liệu nghiên cứu nêu trên, từ đó góp phần đưa ra các khuyến nghị
liên quan pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam. Đây cũng là tính mới của
khóa luận tốt nghiệp về vấn đề bảo vệ dữ liệu cá nhân.
3.

Mục tiêu nghiên cứu của đề tài


10

Mục tiêu nghiên cứu của đề tài khóa luận tốt nghiệp hướng đến giải quyết các
vấn đề pháp lý như sau:
Thứ nhất, làm sáng tỏ các vấn đề lý luận về khái niệm, đặc điểm, lịch sử hình
thành và phát triển của bảo vệ dữ liệu cá nhân.
Thứ hai, trình bày và phân tích quy định pháp luật về bảo vệ dữ liệu cá nhân
của EU và Hoa Kỳ.
Thứ ba, trình bày thực trạng pháp luật Việt Nam về bảo vệ dữ liệu cá hân và
đặt ra các khuyến nghị để hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân
(cụ thể là Dự thảo Nghị định) dựa trên cơ sở so sánh, đánh giá và kế thừa pháp luật
EU và Hoa Kỳ.
4.

Đối tượng và phạm vi nghiên cứu của đề tài
Đối tượng nghiên cứu
Đề tài có đối tượng nghiên cứu chính là tổng quan pháp luật bảo vệ dữ liệu cá

nhân của Liên minh Châu Âu và Hoa Kỳ, song song với pháp luật Việt Nam hiện

hành, nhằm chỉ rõ các điểm vướng mắc cần hoàn thiện trong hệ thống pháp luật Việt
Nam. Từ đó, thực hiện được mục tiêu nghiên cứu là đưa ra các khuyến nghị nhằm
xây dựng pháp luật Việt Nam về bảo vệ dữ liệu cá nhân một cách toàn diện hơn.
Phạm vi nghiên cứu
Về mặt không gian: đề tài sẽ khảo sát một cách khái quát các quy định pháp
luật của khối Liên minh Châu Âu và của Hoa Kỳ, kết hợp tập trung chuyên sâu vào
quy định pháp luật Việt Nam về bảo vệ dữ liệu cá nhân nhằm làm sáng tỏ và khắc
phục những điểm bất cập hiện nay của pháp luật Việt Nam.
Về mặt thời gian: đề tài sẽ có trọng tâm là các quy định đang có hiệu lực của
Liên minh Châu Âu, Hoa Kỳ và Việt Nam về bảo vệ dữ liệu cá nhân, trên cơ sở
nghiên cứu sơ lược về lịch sử hình thành các quy định pháp luật về bảo vệ dữ liệu cá
nhân nhằm có cái nhìn khách quan, tổng thể về bảo vệ dữ liệu cá nhân.


11

5.

Phương pháp nghiên cứu
Khóa luận tốt nghiệp dự định sử dụng các phương pháp nghiên cứu khác nhau

phù hợp với hướng tiếp cận của đề tài và đảm bảo tính khách quan, toàn diện của kết
quả nghiên cứu, bao gồm các phương pháp nghiên cứu như sau:
-

Phương pháp lịch sử: được sử dụng trong Chương 1 nhằm làm rõ các vấn đề

lý luận của bảo vệ DLCN.
-


Phương pháp phân tích và tổng hợp: áp dụng cho xuyên suốt khóa luận tốt

nghiệp, đặc biệt tập trung vào quy định pháp luật của EU và Hoa Kỳ ở Chương 2 và
quy định pháp luật của Việt Nam ở Chương 3.
-

Phương pháp so sánh: áp dụng chủ yếu tại Chương 2 để làm rõ sự khác biệt về

hướng tiếp cận trong quá trình xây dựng quy định pháp luật về bảo vệ DLCN của EU
và Hoa Kỳ.
-

Phương pháp bình luận: được áp dụng để đưa ra những lý giải cho điểm tương

đồng, khác biệt giữa pháp luật EU và Hoa Kỳ, từ đó đưa ra những ưu, nhược điểm
của từng hệ thống quy định pháp luật. Bên cạnh đó, phương pháp này cũng được sử
dụng để đánh giá thực trạng quy định pháp luật Việt Nam và đặt ra các đề xuất trên
cơ sở đánh giá tổng quan hệ thống pháp luật của EU và Hoa Kỳ.
6.

Bố cục đề tài
Trong phạm vi nghiên cứu của khóa luận tốt nghiệp, ngồi phần mở đầu, kết

luận, danh mục tài liệu tham khảo thì nội dung của khóa luận tốt nghiệp sẽ bao gồm
03 chương sau:
Chương 1: Lý luận chung về bảo vệ dữ liệu cá nhân
Chương 2: Bảo vệ dữ liệu cá nhân theo quy định pháp luật của Liên minh Châu
Âu và Hoa Kỳ
Chương 3: Kiến nghị hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân



12

CHƯƠNG 1. LÝ LUẬN CHUNG VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN
1.1.

Khái quát về bảo vệ dữ liệu cá nhân

1.1.1.

Khái niệm về bảo vệ dữ liệu cá nhân

Để có thể nhận diện khái niệm “bảo vệ dữ liệu cá nhân” một cách tổng quát
nhất, cần phải bóc tách rõ ràng các khái niệm “dữ liệu”, “bảo vệ” và “dữ liệu cá nhân”.
Theo Từ điển Tiếng Việt, “dữ liệu” được hiểu theo hai nội hàm sau: (i) số liệu,
tư liệu đã có, được dựa vào để giải quyết một vấn đề; (ii) sự biểu diễn của một thơng
tin trong máy tính dưới dạng quy ước, nhằm làm dễ dàng việc xử lý4. Mặt khác, Đại
Từ điển Tiếng Việt xác định khái niệm “dữ liệu” theo nghĩa hẹp hơn là “những thông
tin như văn bản, số liệu, âm thanh, hình ảnh… được biểu diễn trong máy tính dưới
dạng quy ước, nhằm tạo sự dễ dàng cho việc lưu trữ, xử lý.”5
Từ điển Tiếng Việt diễn giải khái niệm của “bảo vệ” theo hai khía cạnh: (i)
chống lại mọi sự xâm phạm để giữ cho luôn luôn được nguyên vẹn; (ii) bênh vực
bằng lí lẽ để giữ vững ý kiến, quan điểm6. Dưới góc độ tiếp cận nội hàm “bảo vệ”
trong mối tương quan với “dữ liệu”, Black’s Law Dictionary xác định trực tiếp rằng
“bảo vệ dữ liệu” là “bất kì biện pháp nào thực hiện nhằm bảo vệ thông tin, đặc biệt
là thơng tin được lưu trữ trên máy tính khỏi tình trạng bị đánh cắp hoặc bị tiết lộ bởi
một bên khơng có quyền”7.
Định nghĩa dữ liệu cá nhân (“DLCN”) được xác định bởi Tổ chức Hợp tác
kinh tế và phát triển tại Văn bản hướng dẫn về Bảo vệ sự riêng tư và dịch chuyển
xuyên biên giới đối với DLCN như sau: “DLCN là bất kì thơng tin nào liên quan đến

một cá nhân xác định hoặc có khả năng xác định được một cá nhân (chủ thể dữ liệu)”8.
Với hướng tiếp cận rộng hơn về nội hàm “DLCN”, Luật Bảo vệ DLCN năm 2012
Viện Ngôn ngữ học, Từ điển Tiếng Việt, Nxb. Đà Nẵng, 2003, tr. 269
Nguyễn Như Ý (chủ biên), Đại Từ điển Tiếng Việt, Nxb. Văn hóa – Thông tin, Hà Nội, 1999, tr. 367
6
Viện Ngôn ngữ học, Từ điển Tiếng Việt, Nxb. Đà Nẵng, 2003, tr. 40
7
Bryan A. Garner (chủ biên), Black’s Law Dictionary, 2004, 8th edition, p. 1188
8
OECD, “Guidelines on the Protection of Privacy and Transborder Flows of Personal Data”. Xem tại:
/>ta.htm#part1, (truy cập ngày 11/4/2022)
4
5


13

Singapore quy định: “DLCN là bất kì thơng tin nào, không phân biệt đúng hay sai,
liên quan đến một cá nhân mà người đó có thể được nhận dạng: (a) từ chính thơng
tin đó; hoặc (b) từ sự kết hợp giữa thơng tin đó và các nguồn thơng tin khác mà các
tổ chức có hoặc có khả năng truy cập.”9 Theo đó, pháp luật quốc tế về DLCN dường
như có xu hướng ưu tiên tính liên quan của dữ liệu hơn chức năng định danh của dữ
liệu để định hình khái niệm DLCN.
Quy định tại Dự thảo Nghị định hiện nay được cho là thống nhất với xu hướng
quốc tế đối với khái niệm DLCN khi căn cứ vào tính liên quan của thông tin, cụ thể
tại khoản 1 Điều 2 như sau: “DLCN là dữ liệu về cá nhân hoặc liên quan đến việc
xác định hoặc có thể xác định một cá nhân cụ thể”. Tuy nhiên, nếu khảo sát sơ lược
qua các văn bản quy phạm pháp luật hiện hành có liên quan đến DLCN tại Việt Nam,
hướng tiếp cận đối với khái niệm này tại Việt Nam là tương đối hẹp, khi chủ yếu
được xây dựng dựa trên chức năng định danh cá nhân10. Điều này được thể hiện thông

qua một loạt các quy định tại các văn bản khác nhau như khoản 15 Điều 3 Luật An
tồn thơng tin mạng năm 201511, khoản 5 Điều 4 Luật Giao dịch điện tử năm 200512,
khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong
hoạt động của cơ quan nhà nước13… Theo đó, chỉ dữ liệu có chức năng định danh cá
nhân mới cấu thành DLCN, cịn dữ liệu khác dù có liên quan nhưng khơng có khả
năng định danh cá nhân theo quy định pháp luật thì khơng cấu thành DLCN.

9

Personal
Data
Protection
Act
2012
of
Singapore,
Article
2(1).
Xem
tại:
(truy cập ngày 02/06/2022)
10
Lưu Minh Sơn, Nguyễn Thị Thùy Dương, “Nguyên tắc xử lý dữ liệu cá nhân trên không gian mạng theo
pháp luật Việt Nam dưới góc nhìn so sánh với pháp luật Singapore, Liên minh Châu Âu”, Tạp chí Nhà nước
và Pháp luật, 2020, số 11
11
Khoản 15 Điều 3 Luật An tồn thơng tin mạng năm 2015: “Thơng tin cá nhân là thông tin gắn với việc xác
định danh tính của một người cụ thể.”
12
Khoản 5 Điều 4 Luật Giao dịch điện tử năm 2005: “5. Dữ liệu là thơng tin dưới dạng ký hiệu, chữ viết, chữ

số, hình ảnh, âm thanh hoặc dạng tương tự.”
13
Khoản 5 Điều 3 Nghị định số 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan
nhà nước: “5. Thông tin cá nhân: là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất
nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư
điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thơng tin thuộc bí mật cá nhân gồm có hồ
sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác.”


14

Sau khi phân tích các khái niệm cấu thành nên “bảo vệ DLCN”, tác giả cho
rằng có thể đưa ra khái niệm khái quát như sau: “Bảo vệ DLCN là việc thực hiện mọi
biện pháp nhằm ngăn chặn, phòng ngừa các thông tin liên quan đến cá nhân được
dùng để xác định hoặc nhận dạng cá nhân đó khỏi tình trạng bị xâm phạm, bị đánh
cắp hoặc bị tiết lộ bởi một bên khơng có quyền.”
1.1.2.

Đặc điểm về bảo vệ dữ liệu cá nhân

Một là, bảo vệ DLCN là hình thức thực hiện quyền bảo vệ DLCN.
Quyền bảo vệ DLCN là một trong những quyền cơ bản của con người, được
ghi nhận tại khoản 1 Điều 8 Điều lệ về Quyền cơ bản của Liên minh Châu Âu năm
2000 như sau: “Mọi người có quyền được bảo vệ DLCN có liên quan đến họ.” So với
các quyền cơ bản khác, thời điểm mà quyền bảo vệ DLCN được khẳng định một cách
minh thị là tương đối muộn, khi chỉ đến khoảng đầu thế kỉ XXI mới xuất hiện văn
bản quốc tế là Điều lệ về Quyền cơ bản của EU chính thức đặt để một quy định riêng
biệt cho quyền này. Tuy nhiên, nếu nhìn tổng quan về pháp luật quốc tế về nhân
quyền thì quyền bảo vệ DLCN thực chất đã được ghi nhận từ rất sớm tại quy định về
QRT, như Điều 12 Tuyên ngôn quốc tế về Nhân quyền năm 1948 (“UDHR”), Điều

17 Công ước quốc tế về các quyền dân sự và chính trị năm 1966 (“ICCPR”) …
Xét đến tầm quan trọng của quyền cơ bản của con người – quyền bẩm sinh mà
mỗi cá nhân đều sở hữu, được công nhận và là yếu tố chủ chốt cấu thành nên hệ thống
các quy tắc pháp lý điều chỉnh hành vi con người14, có thể khẳng định rằng, nguồn
cơn cho sự tồn tại chế định về “bảo vệ DLCN” là xuất phát từ bản chất của quyền bảo
vệ DLCN với tư cách là một trong các quyền cơ bản của con người. Từ đó, các quy
định bảo vệ DLCN là nhằm bảo đảm quyền bảo vệ DLCN được thực thi trên thực tế.
Hai là, bảo vệ DLCN phải được thực hiện trong sự tương quan với việc thực
hiện các quyền cơ bản khác của con người.

Stephen P. Marks, “Human Rights: A Brief Introduction”, Harvard University, 2016, p. 2. Xem tại:
/>(truy cập ngày 12/4/2022).
14


15

Đặc điểm này bắt nguồn từ bản chất của quyền bảo vệ DLCN. Bởi lẽ, hiện nay
các quan điểm về vị trí pháp lý của quyền bảo vệ DLCN dù còn nhiều điểm trái chiều,
nhưng đều thống nhất rằng quyền bảo vệ DLCN có mối quan hệ sâu sắc với QRT15.
Thậm chí có các quan điểm pháp lý cho rằng quyền bảo vệ DLCN xuất hiện trong
mối liên quan đến quyền hình ảnh, quyền tài sản theo pháp luật một số quốc gia trên
thế giới16, mà các quyền này đều được thừa nhận là quyền cơ bản của con người. Khi
quyền bảo vệ DLCN đang được tiếp cận trong mối tương quan với các quyền cơ bản
khác của con người thì các quy định về bảo vệ DLCN cũng phải được xây dựng trên
cơ sở các quy định hiện hành về việc thực hiện các quyền cơ bản khác có liên quan.
Ba là, bảo vệ DLCN được thực hiện theo nhiều hình thức đa dạng.
Song song với sự đa dạng trong cách thức thực hiện hành vi xâm phạm DLCN
cũng như hình thức tồn tại của dữ liệu (ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh
và các hình thức tương tự), hình thức thực hiện việc bảo vệ DLCN cũng được xây

dựng một cách đa dạng… Phương thức bảo vệ DLCN có thể được thực hiện bằng các
biện pháp kĩ thuật hoặc các biện pháp tổ chức17, trong đó có thể kể đến các biện pháp
phổ biến như sau18: mã hóa dữ liệu, lưu trữ dữ liệu trên điện toán đám mây, cài đặt
mật khẩu, quản lý lượt truy cập và nhận dạng, ứng dụng các phần mềm rà sốt và
phịng chống sự xâm nhập…

Mireille Hildebrandt, “Privacy and Data Protection”, Oxford Scholarship Online, 2020, p. 100. Xem tại:
(truy cập ngày 12/4/2022).
16
Quan điểm nhắc đến mối quan hệ giữa quyền bảo vệ dữ liệu cá nhân với quyền nhân thân, quyền hình ảnh
được đặt ra trong hệ thống pháp luật các quốc gia theo hệ thống thông luật (pháp luật các quốc gia này được
cho là có phương hướng tiếp cận quyền nhân thân thông qua các chế định liên quan đến quyền tài sản, cụ thể
là chế định về bồi thường thiệt hại), ví dụ như Singapore. Tham khảo tại: David Tan, “Image Rights and Data
Protection”, NUS Law Working Paper, 2017, p.1. Xem tại:
(truy cập ngày 12/4/2022).
17
Hai phương thức này đều được ghi nhận lần lượt trong Chỉ thị về Bảo vệ dữ liệu EU (“EU Data Protection
Directive”) hoặc GDPR do Liên minh Châu Âu ban hành.
18
Brandi Jaylin, “Top 5 Types of Data Protection”, Otava Blog, 2021. Xem tại:
(truy cập ngày 12/4/2022).
15


16

1.1.3.

Ý nghĩa của bảo vệ dữ liệu cá nhân


Một là, bảo vệ DLCN nhằm thực hiện quyền cơ bản của con người – quyền
bảo vệ DLCN. Với đặc điểm là hình thức thực hiện quyền bảo vệ DLCN, bảo vệ
DLCN cần được coi là một chế định không thể thiếu trong hệ thống pháp luật quốc
gia với mục đích phục vụ nhu cầu chính đáng của con người để chống lại mọi sự tấn
công bất hợp pháp đối với DLCN, bảo tồn sự ngun vẹn của DLCN. Ở một quy
mơ hẹp hơn, có thể nhìn nhận việc bảo vệ DLCN thực chất là nhằm bảo vệ lợi ích
của các đối tượng khác nhau trong xã hội, bao gồm19: (i) đối tượng mà dữ liệu phản
ánh; (ii) đối tượng có quyền quản lí dữ liệu. Nói cách khác, bảo vệ DLCN chính là
bảo vệ quyền lợi riêng của từng chủ thể trong xã hội.
Hai là, bảo vệ DLCN là thiết yếu đối với quá trình phát triển xã hội bền vững,
duy trì trật tự cộng đồng. Nếu khơng có bảo vệ DLCN, các hành vi vi phạm nhằm
lạm dụng DLCN vào những mục đích bất hợp pháp như thu thập, sử dụng dữ liệu trái
phép, đánh cắp thông tin để lừa đảo, làm giả DLCN… sẽ không thể bị ngăn chặn, dẫn
đến sự bất ổn định về mặt thông tin trong xã hội. Từ đó, làm phát sinh hai vấn đề như
sau: (i) trật tự xã hội sẽ bị lung lay khi hệ thống dữ liệu của mỗi cá nhân bị xâm phạm,
khai thác tùy tiện, khơng đảm bảo tính chính xác, phù hợp của dữ liệu; (ii) sự phát
triển xã hội khó có thể triển khai khi khơng duy trì được trật tự xã hội. Khi xu hướng
phát triển công nghệ thơng tin là hiện tượng mang tính khách quan và khao khát xây
dựng xã hội thông tin là tất yếu20, bảo vệ DLCN càng trở nên cấp thiết hơn bao giờ
hết, nhằm bảo vệ quyền lợi chung của xã hội cũng như quyền lợi của mỗi cá nhân.
Nói chung, bảo vệ DLCN có giá trị cơ bản trong việc bảo vệ lợi ích kinh tế và
lợi ích nhân thân của CTDL, các chủ thể khác có quyền đối với DLCN. Từ đó xa hơn,

Federico Ferretti, “Data Protection and the legitimate interest of data controllers: Much ado about nothing
or the winter of rights?”, Common Market Law Review, 2014, Volume 51. Xem tại:
(truy cập
12/4/2022).
20
Nguyễn Văn Dân, “Về xã hội thông tin và xã hội tri trức hiện nay”, Tạp chí Cộng sản, 2007. Xem tại:
(truy cập 12/4/2022).

19


17

bảo vệ DLCN cịn hướng đến bảo vệ lợi ích chung của cả cộng đồng khi mà mối quan
hệ giữa cá nhân và cộng đồng mang tính biện chứng, tác động lẫn nhau sâu sắc theo
hướng đồng thuận21.
1.2.

Lịch sử hình thành và phát triển pháp luật bảo vệ dữ liệu cá nhân
Lịch sử hình thành và phát triển pháp luật bảo vệ DLCN sẽ được nghiên cứu

theo hai giai đoạn chính: (i) giai đoạn trước những năm 1970; (ii) giai đoạn sau những
năm 1970. Sở dĩ việc nghiên cứu được thực hiện như trên là xuất phát từ đặc trưng
của pháp luật bảo vệ dữ liệu cá nhân gắn liền với sự phát triển công nghệ điện tử giai đoạn năm 1970 là thời điểm xuất hiện Cách mạng công nghiệp lần 3, Cách mạng
kỹ thuật số22. Hệ thống quy định pháp luật bảo vệ DLCN có sự chuyển biến trước và
sau cột mốc những năm 1970, theo đó sau kỷ ngun cơng nghệ thơng tin thì quy
định về bảo vệ DLCN được ban hành một cách trực tiếp, minh thị và độc lập hơn.
1.2.1.

Trước những năm 1970

Trong lịch sử lập pháp các quốc gia trên thế giới và các văn bản pháp luật quốc
tế, quyền bảo vệ DLCN được công nhận trực tiếp tại thời điểm tương đối muộn so
với các quyền cơ bản khác, song những dấu tích về quyền bảo vệ DLCN đã được thể
hiện từ rất sớm một cách gián tiếp với tư cách là một bộ phận không tách rời với QRT.
Văn bản quốc tế đầu tiên chính thức ghi nhận QRT là UDHR tại Điều 12 như
sau: “Không một ai phải chịu sự can thiệp tùy tiện đối với sự riêng tư, gia đình, nhà
ở hoặc thư điện tín, cũng như bất kì sự xúc phạm nào đối với danh dự, uy tín của

người đó. Tất cả mọi người đều có quyền được pháp luật bảo hộ trước những hành
vi xâm phạm nêu trên.” Nội hàm của QRT cũng được quy định tương tự tại Điều 17

Duong Thi Thuy Nga, “The Relationship Between the Individual and Society in Eastern Culture”, American
Journal of Educational Research, 2018. Xem tại: (truy
cập 14/4/2022).
22
Minh Khoa, “Cuộc cách mạng cơng nghiệp 4.0 là gì?”, Cổng thơng tin điện tử - Học viện Cảnh sát Nhân
dân, 2018. Xem tại: (truy cập 14/4/2022).
21


18

ICCPR, theo đó QRT là cơ sở để bảo đảm quyền được tơn trọng về đời sống riêng tư,
gia đình, nhà ở và thư từ của mỗi cá nhân.
Khái niệm của QRT tại các văn bản quốc tế đều hàm chứa sự bảo vệ về mặt
thông tin cá nhân, thông qua yếu tố trực diện nhất là qua “thư điện tín” – cơng cụ thể
hiện những thơng tin trao đổi giữa các chủ thể với nhau. Bên cạnh đó, các yếu tố khác
được nhắc đến trong QRT là “cuộc sống riêng tư, gia đình, nhà ở” mặc dù khơng có
hình thức tồn tại hoặc/và mục đích tồn tại tương đồng như “thư điện tín” là nhằm trao
đổi thơng tin, nhưng những yếu tố này đều có đặc điểm chung là đều cung cấp thông
tin riêng tư về chủ thể được phản ánh khi bị xâm phạm23.
Đặc điểm trên có thể lí giải từ bản chất của QRT là hướng đến bảo vệ những
khía cạnh mật thiết nhất của một cá nhân24. Bởi lẽ, QRT được đặt ra trong bối cảnh
nhu cầu về mặt tâm sinh lý của con người trỗi dậy mạnh mẽ sau khi các quốc gia
Châu Âu tiến hành thiết lập hệ thống thuộc địa tại Hoa Kỳ, truyền bá các khái niệm
về QRT, đặt ra cơ chế quyền sở hữu riêng về đất đai dẫn đến sự phân định rõ ràng về
không gian riêng tư và không gian cộng đồng25. Điều đó làm bùng nổ mong muốn
cân bằng giữa phần bản thể bên ngoài với bản thể bên trong của con người, giữa cuộc

đời riêng tư với cuộc đời xã hội, giữa khao khát mang tính chủ quan được trở nên
riêng tư, một mình với khao khát mang tính khách quan được gắn kết với những người
xung quanh26. Do đó, QRT chính là cơ sở để thực hiện khao khát được một mình,
khơng bị làm phiền thơng qua ngăn chặn sự xâm phạm vào những khía cạnh mật thiết
nhất về một cá nhân.

Ở quy mô khái quát nhất, thơng tin là bất kì vật chất tồn tại nào trên thế giới và được xác định cụ thể dựa
trên nhận thức, phản ứng của con người đối với vật chất đó. Tham khảo tại: Sebastian Boell, Dubravka CecezKecmanovic, “Attributes of Information”, AMCIS 2010 Proceedinngs, 2010, pp. 219. Xem tại:
(truy cập ngày 16/4/2022).
24
Jan Holvast, “History of Privacy”, International Federation for Information Processing, 2009, pp. 14-40.
Xem tại: (truy cập ngày 16/4/2022).
25
David H. Flaherty, “Privacy in Colonial New England”, The American Historical Review, 1973, Vol. 78,
No.2, pp. 473-473. Xem tại: (truy cập ngày 16/4/2022).
26
David Clark Esseks, “Privacy in a Public Society: Human Rights in Conflict”, University of Michigan Law
School, 1989, Vol. 87, pp. 1624-1630. Xem tại:
(truy cập ngày 16/4/2022).
23


19

Như vậy, trong thời kỳ này, quyền bảo vệ DLCN chưa thực sự được phân định
rõ ràng. Những ý niệm đơn sơ về quyền bảo vệ DLCN đã dần được hình thành, nhưng
đơn thuần được tiếp cận như một nội hàm thuộc QRT mà khơng được nhìn nhận như
một quyền riêng biệt.
1.2.2.


Sau những năm 1970

Từ năm 1970 cho đến nay, pháp luật trong khu vực các quốc gia và pháp luật
quốc gia bắt đầu có sự ghi nhận trực tiếp về quyền bảo vệ DLCN cũng như các quy
định nhằm thực hiện bảo vệ DLCN một cách rạch ròi so với QRT. Việc phân định
riêng biệt về mặt pháp lý giữa bảo vệ DLCN và QRT được cho là xuất phát từ sự thay
đổi về thực tiễn: sự phát triển bùng nổ của công nghệ điện tử.
Những bước đột phá trong công nghệ, sức phổ biến mạnh mẽ trong việc ứng
dụng các thiết bị điện tử trong đời sống hằng ngày là động lực thúc đẩy các giao dịch
xuyên biên giới, đẩy mạnh nhu cầu tự do hóa thương mại, trao đổi dữ liệu xuyên biên
giới. Đây là thời điểm các nhà lập pháp cần nhìn nhận lại quy định về QRT và tự do
thông tin trong mối tương quan với nhu cầu phát triển kinh tế xã hội. Đứng trước sự
mâu thuẫn giữa QRT – quyền được tôn trọng và kiểm sốt thơng tin về đời sống riêng
tư cá nhân với nhu cầu của quốc gia, doanh nghiệp sử dụng thông tin cá nhân để thực
hiện các giao dịch trong và ngoài nước, dường như các nhà lập pháp đã quyết định
thiết lập nên các quy định về bảo vệ DLCN để giải quyết mâu thuẫn trên: một mặt,
thúc đẩy sự phát triển kinh tế - xã hội bằng việc đảm bảo sự tân tiến trong công nghệ
điện tử không gặp rào cản pháp lý; mặt khác, vẫn duy trì thực hiện tơn trọng QRT
của các cá nhân.
Mặt khác, công nghệ điện tử xuất hiện cũng đã làm thay đổi tồn bộ cách nhìn
nhận truyền thống về QRT. Cơng nghệ điện tử hiện diện trong từng hoạt động của
mỗi cá nhân, tại mỗi thời điểm, địa điểm mà cá nhân đó tồn tại. Với sự can thiệp sâu
sắc của công nghệ điện tử vào đời sống riêng tư của cá nhân, không thể phủ nhận
rằng QRT của con người đứng trước những rủi ro cao hơn của việc bị xâm phạm khi
tồn tại đồng thời 02 điều kiện sau: (i) đặc trưng của thông tin là biểu hiện của quyền


20

lực27; và (ii) công nghệ điện tử phát triển trở thành công cụ đắc lực để khai thác thông

tin. Trong một xã hội chứng kiến sự phát triển không ngừng của công nghệ điện tử,
cần chấp nhận rằng thông tin cá nhân phải được tiết lộ nhằm lưu thông các hoạt động
của chính cá nhân đó và các hoạt động chung của xã hội. Do đó, phạm vi bảo hộ của
QRT phải được điều chỉnh sao cho phù hợp với thực tiễn, không phải tất cả yếu tố
được cho là riêng tư sẽ tiếp tục được bảo hộ dưới QRT. Thậm chí việc thay đổi phạm
vi của QRT cịn có thể được diễn giải rằng: vì định nghĩa của QRT khác nhau tùy
theo quan điểm của từng cá nhân, xã hội và quốc gia28, nên với tùy theo quan điểm,
văn hóa của cá nhân, xã hội, quốc gia thì việc xác định đối tượng được bảo hộ bởi
QRT sẽ khác nhau.
Tại khu vực châu Âu
Vì những lý do trên, những văn bản pháp luật đầu tiên về bảo vệ DLCN đã
được ra đời, có thể kể đến: Biện pháp số 73/2 về phương thức khuyến khích sử dụng
máy tính trong cơ cấu chính quyền địa phương29 và Biện pháp số 74/29 về bảo vệ
QRT của cá nhân trong dữ liệu điện tử tại các ngân hàng thuộc khu vực công30 do
Hội đồng Châu Âu ban hành năm 1973. Sau đó, năm 1981, Hội đồng Châu Âu lập
nên Công ước 108 về bảo vệ cá nhân đối với việc xử lý tự động DLCN31, mở rộng ký
kết với bất kì quốc gia nào thuộc EU, đánh dấu văn bản pháp luật quốc tế đầu tiên có
hiệu lực ràng buộc trong lĩnh vực bảo vệ DLCN.

Thơng tin có đặc trưng là biểu hiện của quyền lực khi thơng tin là chìa khóa chi phối mọi hoạt động trong
thế giới vận hành bằng những thơng tin, và người nắm giữ thơng tin có thể phân phối thông tin một cách rộng
rãi và thực hiện lưu trữ vĩnh viễn. Tham khảo tại: Sora Park, “Information is Power”, Digital Capital, 2017,
Chapter 2. Xem tại: (truy
cập ngày 17/4/2022).
28
Dillip Kumar Rath, Ajit Kumar Vilakshan, “Information privacy concern at individual, group, organization
and societal level - a literature review”, Vilakshan - XIMB Journal of Management, Vol. 18 No. 2, pp. 171186. Xem tại: (truy cập ngày 17/4/2022).
29
Resolution 73/2 On ways and means of encouraging the use of computers in local government by Committee
of Minister, Council of Europe. Xem tại: (truy cập ngày 18/4/2022).

30
Resolution 74/29 on the protection of the privacy of individuals vis-avis electronic data banks in the public
sector by Committee of Minister, Council of Europe. Xem tại: (truy cập ngày
18/4/2022).
31
Convention 108 for the Protection of Individuals with regard to Automatic Processing of Personal Data,
Council of Europe. Xem tại: (truy cập ngày 18/4/2022).
27


21

Tiếp đến các nỗ lực bảo vệ dữ liệu cá nhân của các nhà lập pháp được ghi nhận
tại các văn bản như Chỉ thị về Bảo vệ dữ liệu EU có hiệu lực vào năm 1995, Điều lệ
về Quyền cơ bản của EU năm 2000… Văn bản gần đây nhất ban hành bởi EU vào
năm 2016 là Bộ quy tắc chung về bảo vệ dữ liệu ban hành (“GDPR”) có hiệu lực
ràng buộc đối với tất cả các quốc gia thành viên, có phạm vi áp dụng rộng nhất trong
khu vực các quốc gia EU cho tới thời điểm hiện tại. Trong giai đoạn sau năm 1970,
không chỉ các khu vực liên kết các quốc gia, mà bản thân các quốc gia cũng có những
động thái rõ ràng trong việc thừa nhận quyền bảo vệ DLCN như một quyền cơ bản
độc lập. Luật Bảo vệ dữ liệu của Liên bang Đức vào năm 1970 là văn bản pháp luật
quốc gia đầu tiên cũng như văn bản pháp luật đầu tiên trên thế giới quy định chuyên
biệt về bảo vệ DLCN. Năm 1978, Austria và Pháp cũng đã ban hành pháp luật về bảo
vệ dữ liệu cá nhân…
Tại Hoa Kỳ
Khác biệt với hướng tiếp cận của các quốc gia châu Âu, Hoa Kỳ xác định nội
hàm của quyền bảo vệ DLCN ở phạm vi hẹp hơn dưới danh nghĩa là “QRT” tại Đạo
luật về sự riêng tư 1974. Hoa Kỳ vẫn xem xét bảo vệ DLCN thông qua QRT, nhưng
giới hạn ở khía cạnh sự kiểm sốt thơng tin cá nhân. Như Alan F. Westin khẳng định
QRT là “căn cứ để cá nhân, tổ chức, cơ quan xác định thời điểm, cách thức và mức

độ mà các thông tin về họ có thể được tiếp cận bởi người khác.”32 Quyền bảo vệ
DLCN theo pháp luật Hoa Kỳ được tiếp cận theo góc độ quyền tài sản mà khơng phải
quyền nhân thân vì pháp luật Hoa Kỳ chưa bao giờ chính thức thừa nhận “quyền nhân
thân”; và “quyền tài sản” theo pháp luật Hoa Kỳ được xem xét ở nội hàm rộng nhất
là quyền đối với bất kì thứ gì thuộc về cá nhân, bao gồm cả cảm xúc, mong muốn,
nguyện vọng33. Vì vậy, quy định pháp luật Hoa Kỳ về bảo vệ DLCN có xu hướng

Alan Westin, “Privacy and Freedom”, Atheneum, 1967.
Ben Bratman, “Brandeis & Warren’s “The Right to Privacy and the Birth of the Right to Privacy”, 2002,
Tennessee Law Review, Vol. 69. Xem tại:
(truy cập ngày
18/5/2022).
32
33


22

quy định những hành vi cần thực hiện khi xử lý dữ liệu mà không phải nhằm ngăn
chặn hành vi xử lý DLCN34.
Tại Việt Nam
Đến thời điểm hiện tại, pháp luật Việt Nam vẫn chưa có một điều khoản nào
chính thức ghi nhận quyền bảo vệ DLCN. Nếu xem xét quyền bảo vệ DLCN như một
phần của QRT thì có thể khẳng định rằng quan điểm pháp lý tôn trọng QRT tại Việt
Nam đã manh nha từ rất sớm, xuất hiện ngay tại Điều 11 Hiến pháp năm 1945 đầu
tiên của nước Cộng hòa Xã hội Chủ nghĩa Việt Nam: “Nhà ở và thư tín của cơng dân
Việt Nam khơng ai được xâm phạm một cách trái pháp luật.” Đến bản Hiến pháp năm
2013 hiện nay, quy định liên quan đến quyền bảo vệ DLCN tuy không được trực tiếp
thể hiện nhưng đã có sự cụ thể hóa những giá trị mà quyền bảo vệ DLCN hướng đến
tại Điều 21: “1. Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật

cá nhân và bí mật gia đình… 2. Mọi người có quyền bí mật thư tín, điện thoại, điện
tín và các hình thức trao đổi thông tin riêng tư khác….”
Việt Nam đang từng bước thực hiện luật hóa vấn đề bảo vệ DLCN bằng việc
ghi nhận các quy định bảo vệ DLCN trong đa dạng các lĩnh vực tại các văn bản pháp
luật như BLDS, Luật Giao dịch điện tử, Luật An ninh mạng, Luật Công nghệ thông
tin… Nổi bật nhất là Dự thảo Nghị định cơng bố năm 2021 đang trong q trình xin
ý kiến Ủy ban thường vụ Quốc hội đã ghi nhận quyền bảo vệ DLCN.
1.3.

Mối quan hệ giữa quyền riêng tư và bảo vệ dữ liệu cá nhân
Trên cơ sở phân tích các quan điểm pháp lý và quy định pháp luật liên quan,

có thể đưa ra một số đánh giá về mối quan hệ giữa QRT và bảo vệ DLCN như sau:
Một là, bảo vệ DLCN có sự khác biệt đáng kể so với QRT theo 03 khía cạnh35:

G. Gonzalez Fuster, S. Gutwirth, “Opening up personal data protection: a conceptual controversy”,
Computer Law & Security Review, 2013, Vol. 29, 531-5399. Xem tại:
/>controversy, (truy cập ngày 19/4/2022).
35
Maria Tzanou, “Data protection as a fundamental right next to privacy? “Reconstructing” a not so new
right”, International Data Privacy Law, 2013, Vol. 3, pp. 88-99. Xem tại:
34


23

Phạm vi điều chỉnh của QRT và bảo vệ DLCN khơng đồng nhất với nhau.
QRT có phạm vi điều chỉnh khơng chỉ bao gồm quyền đối với DLCN mà cịn bao
gồm các quyền khác36. Cịn bảo vệ DLCN dù có trọng tâm chính là kiểm sốt DLCN
nhưng vẫn được áp dụng nhằm bảo vệ các giá trị khác là an ninh dữ liệu (“data

security”) và chất lượng dữ liệu (“data quality”)37. Vì thế, phạm vi điều chỉnh của
QRT và bảo vệ DLCN có sự giao thoa một phần đối với kiểm sốt DLCN nhằm bảo
đảm sự riêng tư thơng tin, mà khơng có sự trùng lắp tồn phần.
Đối tượng điều chỉnh của QRT và bảo vệ DLCN cũng có sự chồng chéo lẫn
nhau nhưng khơng hồn tồn tương đồng nhau. Đối tượng điều chỉnh của bảo vệ
DLCN là DLCN, nhưng không phải DLCN nào cũng là đối tượng điều chỉnh của
QRT vì khơng phải tất cả DLCN nào cũng có tính riêng tư để phản ánh đời sống riêng
tư của CTDL.
Tính chất của QRT và bảo vệ DLCN có sự khác biệt nhau. Nếu sự riêng tư
không thể được xác định cố định mà phải phụ thuộc theo từng trường hợp, từng nền
văn hóa và quan điểm của mỗi quốc gia thì bảo vệ DLCN có thể được xác định một
cách rành mạch thế nào là DLCN và thế nào là xâm phạm DLCN. Do đó, QRT được
nhìn nhận một cách tổng hịa với các giá trị khác có tính định lượng (như quyền nhân
thân) nên được cho là biểu hiện của cơng bằng nội dung, cịn bảo vệ DLCN được
nhìn nhận là có tính định tính nên được cho là biểu hiện của công bằng thủ tục38.

/>20Right%20next%20%20to%20Privacy%20(IDPL)%202013.pdf, (truy cập ngày 20/4/2022).
36
Theo Báo cáo nghiên cứu “Sự riêng tư và nhân quyền” do Tổ chức Bảo mật quốc tế và Trung tâm bảo mật
thông tin điện tử công bố, QRT bao gồm sự riêng tư về thông tin cá nhân (còn được hiểu như bảo vệ dữ liệu
cá nhân), sự riêng tư về cơ thể, sự riêng tư về thông tin liên lạc và sự riêng tư về nơi cư trú. Tham khảo
Global Internet Liberty Campaign, “Privacy and Human Rights – An International Survey of Privacy Laws
and Practice”. Xem tại: (truy cập ngày 20/4/2022).
37
Theo khoản 1, khoản 2 Điều 17 Chỉ thị về bảo vệ dữ liệu EU, an ninh dữ liệu hướng đến ngăn chặn dữ liệu
không rơi vào tình trạng bị đánh mất, tiếp cận bởi những người khơng có thẩm quyền; chất lượng dữ liệu chỉ
đến tính chính xác, phủ hợp, liên quan và tính cập nhật của dữ liệu. Xem tại: (truy cập ngày 19/4/2022).
38
Colin Bennett, Charles Raab, “The Governance of Privacy: Policy Instruments in Global Perspective”, MIT
Press, Cambrigde, 2006. Xem tại:

/>lobal_perspective, (truy cập ngày 20/4/2022).