Pháp luật Việt Nam về quyền được bảo hộ dữ liệu cá nhân trong bối cảnh phát triển trí tuệ nhân tạo (AI)

Về trách nhiệm của Nhà nước: Trong bối cảnh trí tuệ nhân tạo phát triển mạnh mẽ, Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ) ban hành Quyết định số 2259/QĐ-BTTTT về chiến lược ứng dụng trí tuệ nhân tạo đến năm 2030, nhấn mạnh quan điểm phát triển trí tuệ nhân tạo phải bảo đảm an toàn, bảo vệ quyền lợi của con người, không vi phạm đạo đức hay chuẩn mực xã hội. Bên cạnh đó, Nghị định số 13/2023/NĐ-CP quy định cụ thể trách nhiệm của Nhà nước trong bảo vệ DLCN, bao gồm ban hành chính sách, hướng dẫn thực hiện, tuyên truyền pháp luật, thanh tra, kiểm tra và hợp tác quốc tế về bảo vệ dữ liệu.

Ngoài các văn bản trên, trách nhiệm của Nhà nước trong bảo vệ đời sống riêng tư còn được quy định trong Bộ luật Dân sự, Bộ luật Hình sự, Bộ luật Tố tụng hình sự, Bộ luật Tố tụng dân sự, Luật Xuất bản, Luật Phòng chống HIV/AIDS… Đặc biệt, Luật An ninh mạng và Luật An toàn thông tin mạng năm 2015 bổ sung thêm một lớp bảo hộ DLCN trên không gian mạng, yêu cầu cơ quan nhà nước phối hợp với tổ chức, cá nhân trong xử lý thông tin cá nhân nhằm bảo đảm an toàn dữ liệu. 

Về quyền của cá nhân: Quyền được bảo hộ DLCN không chỉ là trách nhiệm của Nhà nước thông qua những nhiệm vụ, quyền hạn của cơ quan nhà nước mà bản thân cá nhân cũng cần có những quy định pháp luật để chủ động thực hiện được quyền bảo hộ DLCN. Cụ thể, quy định pháp luật về quyền bảo hộ dữ liệu cá nhân trong bối cảnh trí tuệ nhân tạo (AI) bao gồm nhiều nội dung quan trọng. Cá nhân có quyền được thông báo về việc thu thập và sử dụng DLCN, bao gồm mục đích, phạm vi sử dụng; quyền truy cập, yêu cầu sửa đổi hoặc xóa bỏ dữ liệu nếu thông tin không chính xác hoặc không còn cần thiết; quyền phản đối việc xử lý dữ liệu trong một số trường hợp, đặc biệt là khi sử dụng cho mục đích tiếp thị hoặc phân tích tự động. Pháp luật cũng yêu cầu bảo đảm an toàn dữ liệu, ngăn chặn truy cập trái phép và lạm dụng thông tin.

Hiến pháp năm 2013 công nhận quyền bảo vệ thông tin cá nhân là quyền con người. Điều 21 nhấn mạnh, mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và gia đình. Luật An toàn thông tin mạng năm 2015 cũng đã cụ thể hóa quyền này, yêu cầu việc thu thập thông tin phải có sự đồng ý của chủ thể, giới hạn phạm vi sử dụng theo mục đích ban đầu và không được tùy tiện chia sẻ thông tin trừ khi có sự đồng ý của chủ thể hoặc theo yêu cầu của cơ quan có thẩm quyền.

Về quyền được thông báo và đồng ý khi thu thập, sử dụng DLCN, Hiến pháp năm 2013 quy định cá nhân phải được thông báo và có quyền đồng ý hoặc rút lại sự đồng ý. Điều 21 Luật Công nghệ thông tin năm 2006 đã nghiêm cấm việc tiết lộ thông tin cá nhân nếu không có quy định pháp luật. Ngoài ra, Nghị định số 13/2023/NĐ-CP yêu cầu tổ chức, cá nhân xử lý DLCN phải thông báo rõ ràng về mục đích, loại dữ liệu, phương thức xử lý cũng như các rủi ro có thể phát sinh. Sự đồng ý phải được thể hiện rõ ràng bằng văn bản, giọng nói hoặc hành động xác nhận.

Các hành vi xâm phạm DLCN và biện pháp xử lý: Việc xác định các hành vi xâm phạm DLCN là yếu tố  quan trọng để Nhà nước nhận diện được thời điểm, cách thức bảo hộ DLCN cũng như cá nhân có cơ sở để yêu cầu Nhà nước thực hiện quyền được bảo hộ DLCN của mình. Thực tế cho thấy các hệ thống kiểm soát trí tuệ nhân tạo ngày càng được sử dụng nhiều hơn, kéo theo tình trạng vi phạm quyền riêng tư và bảo hộ DLCN. Hiện nay, các quy định liên quan đến hành vi xâm phạm DLCN được phân tán trong nhiều văn bản pháp luật khác nhau, bao gồm Nghị định số 13/2023/NĐ-CP, Bộ luật Hình sự, Luật An ninh mạng 2018 và các nghị định về xử phạt vi phạm hành chính.

Thứ nhất, Luật An ninh mạng 2018 là căn cứ quan trọng trong việc quy định các hành vi xâm phạm DLCN trên không gian mạng. Khoản 1 Điều 17 của Luật này liệt kê các hành vi gián điệp mạng xâm phạm bí mật nhà nước, bí mật kinh doanh, bí mật cá nhân, gia đình và đời sống riêng tư. Các hành vi cụ thể bao gồm chiếm đoạt, mua bán, tiết lộ thông tin trái phép; xóa, làm hư hỏng dữ liệu; phá hoại biện pháp kỹ thuật bảo vệ thông tin; nghe lén, ghi âm, ghi hình trái phép và các hành vi khác xâm phạm bí mật cá nhân.

Thứ hai, Bộ luật Hình sự 2015 (sửa đổi, bổ sung 2017)  đã quy định về các tội danh liên quan, bao gồm: Điều 159 xử lý hành vi xâm phạm bí mật thư tín, điện thoại, điện tín; Điều 288 quy định tội đưa hoặc sử dụng trái phép thông tin trên mạng; Điều 291 đề cập đến tội thu thập, mua bán trái phép thông tin tài khoản ngân hàng.

Thứ ba, Nghị định số 15/2020/NĐ-CP quy định xử phạt hành chính với hành vi thu thập, sử dụng, chia sẻ DLCN trái phép, không có sự đồng ý của chủ thể, hoặc vi phạm các quy định về bảo mật thông tin cá nhân. Những quy định này giúp bảo vệ quyền riêng tư và DLCN, nhưng để bảo đảm hiệu quả, cần tiếp tục hoàn thiện pháp luật, nâng cao nhận thức của người dân và tăng cường năng lực thực thi của cơ quan chức năng.

Thứ tư, một số văn bản pháp luật chuyên ngành khác cũng nhìn nhận DLCN là một đối tượng của quyền nhân thân và đưa ra những biện pháp ngăn chặn hành vi xâm phạm, như: Luật Khám bệnh, chữa bệnh năm 2023 có quy định về quyền được tôn trọng bí mật riêng tư quy định tại Điều 10. Theo  đó, thông tin về tình trạng sức khoẻ và đời tư được ghi trong bệnh án của bệnh nhân được giữ bí mật. Ngoài ra, Luật Khám bệnh, chữa bệnh cũng quy định nghiêm cấm hành vi tẩy xoá, sửa chữa hồ sơ bệnh án của bệnh nhân.

Ngoài pháp luật quốc gia, DLCN còn được bảo vệ bởi các biện pháp kỹ thuật hoặc pháp luật khu vực, các điều ước quốc tế (Pháp luật  khu vực như: Quy định bảo vệ DLCN của Liên minh châu Âu, những công ước liên quan đến quyền con người). Các biện pháp về kỹ thuật bảo vệ dữ liệu, xử lý và phòng ngừa các hành vi thu thập, xử lý, công khai trái phép DLCN, như: đặt mật khẩu; thắt chặt bảo mật; hạn chế, chặn truy cập; sử dụng phần mềm bảo mật; mã hóa dữ liệu,…nhằm ngăn chặn những rủi ro đối với DLCN. Các biện pháp này chủ yếu mang tính chất tự bảo vệ và có thể được áp dụng rộng rãi, phổ biến bởi tất cả các chủ thể liên quan đến DLCN.

Trí tuệ nhân tạo (AI) được cho là một trong những công nghệ chính trong thế kỷ XXI tạo bước phát triển đột phá về năng lực sản xuất, nâng cao năng lực cạnh tranh quốc gia_Ảnh: Tư liệu

Áp dụng pháp luật về quyền được bảo hộ dữ liệu cá nhân hiện nay

Năm 2023, Chính phủ hoàn thiện Nghị định số 13/2023/NĐ-CP về bảo vệ DLCN. Đến năm 2024, Chính phủ tiếp tục ban hành Nghị định số 26/2024/NĐ-CP về quản lý hợp tác quốc tế về pháp luật và cải cách tư pháp. Luật Bảo vệ DLCN cũng đang được xây dựng và dự kiến có hiệu lực từ ngày 1-1-2026. Thực tế cho thấy, đã có độ trễ nhất định giữa công tác lập pháp với thực trạng diễn ra hành vi xâm phậm DLCN ở Việt Nam; vẫn chưa kịp thời xây dựng và ban hành đầy đủ quy định pháp luật về bảo vệ DLCN, các văn bản hiện có mới chỉ ở mức dưới luật (do Chính phủ ban hành). Điều này tạo ra khoảng trống pháp lý, gây khó khăn trong xử lý vi phạm. Quyền lợi cá nhân bị ảnh hưởng, niềm tin của nhân dân vào pháp luật và cơ quan chức năng suy giảm, đồng thời tạo điều kiện cho các thế lực thù địch xuyên tạc, chống phá Đảng và Nhà nước.

Về phía Chính phủ, nhiều hoạt động quản lý được thực hiện, điển hình là Nghị định số 13/2023/NĐ-CP, góp phần xây dựng khung pháp lý và thúc đẩy hợp tác quốc tế. Các cơ quan, đơn vị có trách nhiệm trực tiếp trong việc thực hiện quản lý hoạt động tuân thủ pháp luật về bảo vệ DLCN trong thời gian qua đã nỗ lực và đạt được một số kết quả nhất định. Theo thống kê của Bộ Công an, từ năm 2015 đến 2021, đã phát hiện hơn 350 vụ làm lộ, mất bí mật nhà nước trên không gian mạng. Trong đó, nguyên nhân phổ biến nhất là do thông tin bí mật bị đăng tải công khai trên website và cổng thông tin điện tử của các cơ quan nhà nước, chiếm 57,7%. Việc lộ lọt bí mật qua các phương tiện truyền thông xã hội như Facebook, Zalo chiếm 9,3% và có xu hướng gia tăng. Ngoài ra, một số trường hợp bị lọt thông qua dịch vụ thư điện tử như Gmail, Yahoo chiếm 1,6%. Những con số này cho thấy nguy cơ mất an toàn thông tin vẫn đang diễn biến phức tạp, đòi hỏi sự siết chặt quản lý và nâng cao nhận thức về bảo mật trong các cơ quan, tổ chức.

Các bộ, ngành quản lý chưa áp dụng hiệu quả các công nghệ bảo mật mới, dẫn đến khoảng trống pháp lý và nguy cơ xâm phạm DLCN. Mặc dù Nghị định số 13/2023/NĐ-CP đã được ban hành, nhưng việc thực thi còn hạn chế, nhiều cá nhân chưa nhận thức đầy đủ về quyền lợi của mình, dẫn đến tình trạng im lặng khi bị xâm phạm, như đe dọa tung thông tin nhạy cảm, lừa đảo chiếm đoạt tài sản. Một số cá nhân đã chủ động tố cáo hoặc kiện ra tòa khi quyền lợi của họ bị xâm phạm, nhưng con số này vẫn còn thấp. Nhiều người dân chưa nhận thức đầy đủ về quyền lợi của mình trong việc bảo vệ thông tin cá nhân, dẫn đến việc họ không biết cách thức để thực hiện các biện pháp bảo vệ quyền lợi hợp pháp của mình, thường im lặng trước những hành vi xâm phạm (bị đe doạ tung hình ảnh/thông tin nhạy cảm; bị lừa đảo chiếm đoạt tài sản…).

Hành vi xâm nhập, phát tán thông tin không chỉ vi phạm quyền riêng tư mà còn gây tổn hại nghiêm trọng đến danh dự cá nhân. Thực tế này đòi hỏi tăng cường các biện pháp quản lý, siết chặt chế tài xử lý vi phạm và nâng cao nhận thức của người dân để bảo vệ quyền lợi cá nhân trong thời đại công nghệ số⁽¹⁾. Việc xâm nhập và phát tán thông tin nhạy cảm không chỉ xâm phạm quyền riêng tư mà còn gây tổn hại nghiêm trọng đến danh dự của cá nhân. Những hành vi này cần được xử lý nghiêm khắc hơn và cần có các biện pháp phòng ngừa hiệu quả.

Việc xử lý các vi phạm về DLCN hiện nay còn gặp nhiều khó khăn do khung pháp lý chưa đủ chặt chẽ. Mặc dù đã có quy định cụ thể, nhưng mức phạt đối với các hành vi vi phạm vẫn còn nhẹ so với hậu quả mà chúng gây ra. Chẳng hạn, trong một số vụ án, các đối tượng vi phạm chỉ bị xử phạt hành chính với mức phạt không đủ sức răn đe, làm cho tình trạng vi phạm tiếp tục diễn ra.

Như vậy, thực tế cho thấy, quá trình hoàn thiện và áp dụng hệ thống pháp luật về bảo vệ DLCN vẫn còn nhiều tồn tại, dẫn đến khó khăn và vướng mắc trong việc bảo đảm quyền riêng tư và an toàn dữ liệu trước sự bùng nổ của các công nghệ trí tuệ nhân tạo.

Thứ nhất, khung pháp lý chưa hoàn thiện trong bối cảnh phát triển trí tuệ nhân tạo (AI) tại Việt Nam.

Về hệ thống các văn bản quy phạm pháp luật: Hệ thống quy định về bảo vệ DLCN hiện nay của Việt Nam nằm trong nhiều văn bản pháp luật khác nhau, như Luật An toàn thông tin mạng năm 2015, Luật An ninh mạng năm 2018, Luật An ninh quốc gia năm 2004, Bộ luật Dân sự năm 2015, Bộ luật Hình sự năm 2015, Luật Xử lý vi phạm hành chính năm 2012, Luật Lý lịch tư pháp năm 2009, Luật Bảo vệ quyền lợi người tiêu dùng năm 2023, Luật Các tổ chức tín dụng năm 2024... Thực tế cho thấy, các quy định liên quan đến bảo vệ DLCN trong các văn bản này thiếu tính đồng bộ, mỗi văn bản tiếp cận vấn đề từ một phương diện khác nhau. Sự thiếu thống nhất này đã làm nảy sinh tình trạng chồng chéo cũng như mâu thuẫn giữa các điều khoản pháp lý, gây ra nhiều khó khăn trong việc áp dụng và thực thi các quy định trên thực tế.

Về tính toàn diện trong quy định pháp luật: Các quy định liên quan phần lớn còn thiếu cụ thể và mang tính nguyên tắc hoặc định hướng, tạo ra không ít thách thức cho các bên liên quan, trong đó có cơ quan quản lý và doanh nghiệp, trong việc giải thích và áp dụng pháp luật một cách hiệu quả. Cụ thể, nội dung về “quyền riêng tư dữ liệu” chưa được định nghĩa rõ ràng trong một số văn bản pháp luật, gây khó khăn trong việc xác định trách nhiệm pháp lý khi xảy ra tranh chấp. Ngoài ra, các tiêu chuẩn về an ninh mạng hay trách nhiệm của các tổ chức, doanh nghiệp trong việc thu thập, lưu trữ dữ liệu người dùng vẫn còn mơ hồ, dễ dẫn đến tình trạng lách luật hoặc vi phạm mà khó truy cứu. Song song với đó, phần cấu trúc văn bản quy định và thuật ngữ chuyên ngành còn chưa phù hợp khi không quy định nghĩa vụ của tổ chức, doanh nghiệp xử lý dữ liệu.

Về chế tài xử lý vi phạm: Trách nhiệm pháp lý đối với các hành vi vi phạm về DLCN theo pháp luật Việt Nam hiện nay vẫn chưa đủ mạnh để mang lại tính răn đe cao. Mức xử phạt thấp không chỉ ảnh hưởng đến hiệu quả ngăn chặn hành vi vi phạm mà còn có thể khiến vấn đề bảo vệ quyền lợi của người dùng trở thành bài toán khó giải quyết khi đối mặt với các vi phạm nghiêm trọng trên thực tế.

Việt Nam vẫn chưa ban hành quy định nhằm thiết lập một cơ quan giám sát chuyên trách về bảo vệ DLCN. Điều này dẫn đến sự thiếu hụt về tổ chức có đủ năng lực và thẩm quyền để kiểm tra, xử lý và giám sát việc tuân thủ các quy định về DLCN, gây ra khoảng trống lớn trong cơ chế bảo vệ này. Ngoài ra, hệ thống pháp luật Việt Nam hiện tại còn thiếu các quy định chi tiết về việc khắc phục hậu quả do hành vi xâm phạm DLCN gây ra. Đặc biệt, quyền được lãng quên (right to be forgotten) trong những tình huống cần thiết vẫn chưa được đưa vào khuôn khổ pháp lý, tạo ra khoảng trống trong việc bảo vệ quyền lợi của cá nhân trước các hành vi xâm phạm này.

Việc thành lập cơ quan giám sát và bảo vệ dữ liệu cá nhân mang tính chuyên trách, có khả năng đảm nhận vai trò điều phối và quản lý dữ liệu hiệu quả là rất cần thiết. Nên tận dụng nguồn lực từ những đơn vị sẵn có để hạn chế mở rộng bộ máy nhà nước cồng kềnh. Cơ quan này sẽ đóng vai trò trung tâm trong xây dựng khung pháp lý cho quản lý DLCN, đưa ra các tiêu chuẩn rõ ràng và sát thực tế về việc lưu trữ, xử lý và chia sẻ thông tin. Đồng thời, phải trở thành địa chỉ tin cậy để người dân gửi gắm khi cần hỗ trợ giải quyết các vấn đề vi phạm hoặc lạm dụng thông tin cá nhân. Cơ quan này cũng là đầu mối phối hợp với công an và các đơn vị chức năng để phát giác tội phạm liên quan đến dữ liệu cá nhân, từ đó tăng cường khả năng phát hiện và xử lý các hành vi vi phạm pháp luật.

Thứ hai, nhận thức và cảnh giác của người dân còn hạn chế trong khi trí tuệ nhân tạo (AI) khiến vi phạm DLCN ngày càng tinh vi.

Nhận thức về việc bảo vệ thông tin cá nhân chưa đáp ứng yêu cầu, chủ thể DLCN thường vô tình thể hiện sự bất cẩn khi dễ dàng cung cấp thông tin của cá nhân. Hiện nay, hầu hết các ứng dụng và trang web đều có cảnh báo rõ ràng về chính sách quyền riêng tư. Tuy nhiên, đa phần người dùng lại không đọc kỹ phần chính sách này do thời gian hạn chế. Hệ quả các cá nhân mặc nhiên chấp nhận mọi điều khoản mà không hiểu rõ các dữ liệu của mình được thu thập, xử lý hay chia sẻ.

Trên thực tế, người dùng thường đồng ý để các tổ chức tự do xử lý DLCN mà không hề nhận thức đầy đủ về cơ chế thu thập, lưu trữ hay sử dụng thông tin. Hơn nữa, khi có thông báo yêu cầu quyền truy cập vào danh bạ, bộ sưu tập hoặc các tệp dữ liệu khác trên thiết bị, nhiều người dùng cũng nhanh chóng cho phép mà ít cân nhắc, vô tình trao quyền truy cập toàn bộ nội dung cho ứng dụng hoặc trang web đó. Đây là nguyên nhân gây ra rò rỉ, chiếm đoạt hay mua bán DLCN. Những thông tin quan trọng như sinh trắc học, lý lịch cá nhân, mối quan hệ, tình trạng sức khỏe hoặc tài chính thường bị công khai, tạo điều kiện cho các phần mềm thu thập dữ liệu khai thác. Bên cạnh đó, một số cán bộ, công chức, viên chức vẫn chưa hiểu biết đầy đủ về việc cung cấp và quản lý hồ sơ cá nhân hoặc dữ liệu liên quan, dẫn đến sự thiếu chú trọng trong chỉ đạo, hướng dẫn và thực hiện nhiệm vụ lưu trữ tại các cơ quan, đơn vị.

Công tác lưu trữ, bảo quản và xử lý dữ liệu bộc lộ nhiều hạn chế trong bối cảnh cách mạng khoa học - công nghệ ngày càng phát triển. Việc cập nhật và sử dụng DLCN tại các cơ quan và tổ chức nhà nước được thực hiện thông qua nhiều phương thức lưu trữ khác nhau, bao gồm cả việc lưu trữ dữ liệu tại nước ngoài (như ở Mỹ và Singapore)⁽²⁾. Tuy nhiên, vẫn chưa có các quy định cụ thể về trách nhiệm và quy trình quản lý việc lưu trữ, sử dụng DLCN từ các tổ chức cung cấp dịch vụ lưu trữ thuê. Đồng thời, cũng thiếu sự giám sát từ các cơ quan có thẩm quyền đối với những hoạt động này. Sự lơ là này đã dẫn đến nguy cơ tài liệu lưu trữ bị xuống cấp hoặc hư hỏng ngày càng gia tăng; nhiều tư liệu không được bảo vệ đúng cách đã bị côn trùng hoặc các yếu tố môi trường làm tổn hại nghiêm trọng, gây mất khả năng phục hồi. Đối với dữ liệu điện tử, tình trạng không được cập nhật định kỳ, thiếu phương án sao lưu và bảo quản đã khiến việc khai thác dữ liệu khi cần thiết trở nên khó khăn hoặc không thể thực hiện được. 

Ngoài ra, nhiều cơ quan và đơn vị chỉ bố trí kho lưu trữ tạm thời, trang thiết bị bảo quản sơ sài, không đáp ứng các tiêu chuẩn quy định của Nhà nước về bảo quản hồ sơ và tài liệu lưu trữ. Công tác văn thư, lưu trữ có vai trò rất quan trọng,  trong hoạt động của các đơn vị, tổ chức đoàn thể⁽³⁾. Đáng chú ý, DLCN  khi được mã hóa và lưu trữ trong cơ sở dữ liệu của các trang thương mại điện tử đã trở thành mục tiêu của các cuộc tấn công mạng. Việc doanh nghiệp không bảo đảm an ninh hệ thống đã dẫn tới tình trạng mất mát các cơ sở dữ liệu quan trọng, đặt ra thách thức lớn trong quản trị và bảo toàn thông tin số hóa.

Công tác tuyên truyền và phổ biến các quy định pháp luật về bảo vệ DLCN còn tụt hậu so với sự phát triển của khoa học - công nghệ. Các cơ quan, tổ chức nhà nước chưa tập trung đúng mức vào nâng cao nhận thức và trách nhiệm trong việc bảo vệ DLCN. Người dùng do không nhận thức rõ về tầm quan trọng và thiếu các biện pháp tự bảo vệ thông tin cá nhân.

DLCN vẫn chưa được khai thác và phát huy tối đa giá trị trong xây dựng Chính phủ điện tử, cải cách hành chính công, quản lý nhà nước cũng như đóng góp vào phát triển kinh tế - xã hội. Việc lưu trữ DLCN tại các cơ quan hành chính nhà nước vẫn thiếu tính đồng bộ. Nhiều tài liệu rơi vào tình trạng bị “bỏ gói”, “tích đống”, chưa được khai thác triệt để để tạo ra giá trị thực sự. Nhu cầu kết nối, chia sẻ và sử dụng cơ sở dữ liệu dùng chung giữa các bộ, ngành và địa phương còn chưa được đáp ứng một cách hiệu quả. Ngoài ra, dù các dự án đầu tư đã được lập và đưa vào kế hoạch, nhưng đến nay, kinh phí để xây dựng hệ thống cơ sở dữ liệu dùng chung trong lĩnh vực văn hóa, thể thao và du lịch vẫn chưa được phê duyệt. Điều này dẫn đến việc cơ quan nhà nước chưa thể khai thác, xử lý cũng như phân tích DLCN để sản sinh ra các dữ liệu tinh phục vụ hiệu quả cho sự phát triển toàn diện về kinh tế - xã hội.

Công tác lưu trữ, bảo quản và xử lý dữ liệu bộc lộ nhiều hạn chế trong bối cảnh cách mạng khoa học - công nghệ ngày càng phát triển_Ảnh:nld.com.vn

Chiến lược AI 2030 và cuộc cách mạng bảo vệ dữ liệu cá nhân ở Việt Nam

Chiến lược phát triển trí tuệ nhân tạo (AI) tầm nhìn đến năm 2030 của Việt Nam không chỉ đánh dấu những bước tiến đổi mới vượt bậc mà còn thể hiện quyết tâm kiên định trong việc thúc đẩy tương lai AI. Tuy nhiên, cùng với sự bùng nổ của AI, vấn đề bảo vệ DLCN càng trở nên cấp bách khi khung pháp lý hiện hành chưa đủ toàn diện và hiệu quả để xử lý các vi phạm liên quan. Xuất phát từ thực tiễn cùng với bài học từ các quốc gia, cần lưu ý một số nội dung sau:

Một là, xây dựng văn bản pháp luật riêng về bảo vệ dữ liệu cá nhân

Việt Nam đang trong quá trình soạn thảo Luật Bảo vệ DLCN dựa trên tham khảo từ pháp luật của các quốc gia khác và ý kiến xã hội. Dự thảo luật đề cập đến nhiều điểm cốt lõi bao gồm:

- Phạm vi áp dụng: Bảo vệ dữ liệu của các cá nhân, tổ chức và cơ quan Việt Nam, cũng như của người nước ngoài hoạt động, sinh sống hay tham gia xử lý dữ liệu tại Việt Nam.

- Đối tượng bảo vệ: Bao gồm dữ liệu vị trí, số nhận dạng trực tiếp (như số CMT, CCCD, hộ chiếu, email), dữ liệu sinh trắc học (dấu vân tay, ADN), thông tin tài chính, dữ liệu gia đình và hành vi, cùng các loại dữ liệu khác có thể nhận dạng chủ thể.

- Nguyên tắc bảo vệ và quyền của chủ thể dữ liệu: Đặt ra các nguyên tắc như hợp pháp, minh bạch, đúng mục đích; đảm bảo quyền truy cập, chuyển giao, điều chỉnh, xoá bỏ và quyền được “lãng quên”.

- Quy định về trách nhiệm và xử lý vi phạm: Xác định nhiệm vụ, quyền hạn của các chủ thể liên quan (người kiểm soát, xử lý, bảo vệ dữ liệu và chuyên gia) cùng với cơ chế xử phạt bao gồm bồi thường thiệt hại, xử lý hành chính và hình sự.

- Sự đồng bộ pháp lý: Cơ quan chủ trì soạn thảo cần phối hợp chặt chẽ với các bên liên quan, rà soát các văn bản hiện hành và làm rõ mối quan hệ với Luật Dữ liệu năm 2024 để tránh trùng lặp, chồng chéo giữa các quy định.

Hai là, bổ sung hình thức xử phạt dành cho tổ chức vi phạm

Trong khi pháp luật hiện nay chủ yếu chỉ quy định mức xử phạt đối với cá nhân vi phạm, thì trên thực tế, các doanh nghiệp với mục tiêu lợi nhuận đã và đang hoạt động mua bán, thu thập trái phép DLCN thông qua các hệ thống kỹ thuật chuyên dụng. Việc mở rộng hình thức xử phạt đối với các tổ chức vi phạm là cần thiết nhằm răn đe và ngăn chặn các hành vi xâm phạm quyền riêng tư của người dân. Nếu chỉ xử phạt đối với cá nhân thì  luật có thể đang tạo kẽ hở cho pháp nhân vi phạm, chưa đủ sức răn đe. Để có sức răn đe, đối với những hành vi vi phạm pháp luật hành chính xâm phạm quyền bảo hộ DLCN sẽ “buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm pháp luật hành chính”, đối với hành vi vi phạm pháp luật hình sự xâm phạm quyền bảo hộ DLCN ngoài hình thức xử phạt như trên còn cần thêm hình thức “buộc dừng hoạt động” hoặc “tạm đình chỉ hoạt động” đối với những tổ chức vi phạm. Qua đó, Việt Nam hướng tới việc xây dựng một hệ thống pháp luật bảo vệ dữ liệu cá nhân đồng bộ, toàn diện, không chỉ bảo đảm quyền lợi cho công dân mà còn tạo điều kiện thuận lợi cho sự phát triển bền vững của trí tuệ nhân tạo trong tương lai.

Ba là, thành lập cơ quan giám sát và bảo vệ dữ liệu cá nhân mang tính chuyên trách, có khả năng đảm nhận vai trò điều phối và quản lý dữ liệu một cách hiệu quả. Trên thế giới, nhiều quốc gia thuộc Liên minh châu Âu (EU) đã tiến hành thành lập các cơ quan bảo vệ dữ liệu độc lập và đạt được nhiều kết quả tích cực. Các cơ quan này không chỉ đảm nhận vai trò giám sát việc xử lý dữ liệu trong nước mà còn tạo ra cầu nối hợp tác quốc tế, giúp quản lý và kiểm soát dữ liệu liên quan đến công dân quốc gia mình khi dữ liệu đó được xử lý ở nước ngoài. Mô hình này không chỉ bảo đảm sự minh bạch mà còn tăng cường hiệu quả trong việc bảo vệ quyền lợi của từng người dân trước các nguy cơ mất mát, lạm dụng và xâm phạm dữ liệu cá nhân. Việt Nam nên tham khảo kinh nghiệm từ các quốc gia này để thiết lập một cơ quan bảo vệ dữ liệu độc lập.

Bốn là, nâng mức xử phạt hành chính và hình sự đối với các hành vi vi phạm dữ liệu cá nhân. Việc mở rộng khung hình phạt có thể bao gồm các biện pháp như bắt buộc nộp lại toàn bộ số lợi bất chính thu được từ hành vi vi phạm. Đồng thời, áp dụng các chế tài mang tính nghiêm khắc hơn, chẳng hạn như hình phạt tù đối với các trường hợp vi phạm có tính chất nghiêm trọng hoặc lặp đi lặp lại, để tăng cường hiệu quả thực thi pháp luật. Điều này không chỉ bảo đảm công bằng cho các bên bị xâm phạm mà còn là cách tiếp cận quyết liệt nhằm nâng cao ý thức tuân thủ luật pháp và bảo vệ quyền riêng tư trong kỷ nguyên công nghệ số.

Năm là, xây dựng nguyên tắc xác định hành vi vi phạm thay vì liệt kê các hành vi vi phạm. Hiện tại, pháp luật chủ yếu tiếp cận theo hướng liệt kê các hành vi vi phạm, tuy nhiên, thực tế cho thấy DLCN và những vấn đề xoay quanh DLCN là rất đa dạng và không giới hạn. Thay vì cố gắng liệt kê hoặc đưa ra các giả định cụ thể, Luật bảo vệ DLCN trong tương lai nên chuyển sang xây dựng các nguyên tắc nền tảng mang tính định hướng. Những nguyên tắc này cần giúp phân định rõ quyền và nghĩa vụ của các bên liên quan, nhận dạng hành vi vi phạm, tạo hành lang pháp lý linh hoạt hơn cùng cơ chế chịu trách nhiệm rõ ràng. Điều này sẽ khuyến khích các bên chủ động phát huy quyền lợi của mình trong vấn đề bảo vệ DLCN, đồng thời phù hợp với sự phát triển năng động của xã hội và công nghệ.

Sáu là, quy định việc áp dụng công nghệ mã hoá cao trong bảo vệ dữ liệu của cơ quan nhà nước. Khuyến nghị có thể áp dụng công nghệ mã hoá dữ liệu Blockchain⁽⁴⁾ trong quản lý và bảo vệ thông tin cá nhân người sử dụng trong hệ thống dữ liệu công. Đối với các dữ liệu khi cá nhân, tổ chức sử dụng trong quá trình thực hiện dịch vụ công vẫn có thể trở thành khả năng tấn công của tội phạm mạng. Blockchain hiện đang là công nghệ mới, có tính áp dụng, bảo mật cao, phù hợp với quá trình chuyển đổi công nghệ 4.0 đối với các cơ quan hành chính công. Công nghệ mã hóa không chỉ giúp bảo mật thông tin mà còn đảm bảo rằng chỉ những cá nhân được ủy quyền mới có thể truy cập vào dữ liệu nhạy cảm của cá nhân, tổ chức được lưu trữ. Trong bối cảnh công nghệ phát triển nhanh chóng, việc ứng dụng các công nghệ tiên tiến vào quản lý các thông tin cá nhân là điều tất yếu. Các hệ thống giám sát trực tuyến, công nghệ trí tuệ nhân tạo (AI) và dữ liệu lớn (big data) có thể được sử dụng để theo dõi hoạt động truy cập vào hệ thống, phát hiện và ngăn chặn các hành vi vi phạm pháp luật trong thời gian thực. Sự kết hợp giữa pháp luật và công nghệ sẽ tăng cường hiệu quả quản lý, đồng thời giảm thiểu các rủi ro tiềm ẩn. Việc mã hoá này đồng thời cũng cần dựa trên các đặc điểm về sinh trắc học để hạn chế tình trạng bị rò rỉ thông tin cá nhân nhằm mục đích xấu./.

----------------------

(1) Xem: “Văn Mai Hương bị lộ loạt clip nhạy cảm từ camera an ninh trong nhà riêng?”, Báo điện tử VietNamnet, https://vietnamnet.vn/soc-van-mai-huong-bi-lo-loat-clip-nhay-cam-tu-camera-an-ninh-trong-nha-rieng-i39562.html, 2019
(2) Hoàng Thị Hoài Thơ, “Bảo vệ dữ liệu cá nhân trong bối cảnh cách mạng công nghiệp lần thứ tư theo pháp luật Việt Nam”, Luận văn thạc sĩ luật học, Đại học Luật - Đại học quốc gia Hà Nội, 2023
(3) Xem: Vũ Thị Tố Nga, “Một số giải pháp nâng cao hiệu quả công tác văn thư, lưu trữ tại VKSND tỉnh Sơn La”, Cổng thông tin điện tử Viện Kiểm sát nhân dân tối cao, https://vksndtc.gov.vn/tin-tuc/cong-tac-kiem-sat/mot-so-giai-phap-nang-caohieu-qua-cong-tac-van-th-d10-t7194.html, ngày 15-11-2019
(4) Blockchain là một hệ thống cơ sở dữ liệu phân tán, hoạt động trên cơ chế chuỗi khối (blockchain), trong đó thông tin được lưu trữ trong các khối (block) và liên kết chặt chẽ với nhau thành một chuỗi (chain) liên tục, với các thông tin được mã hóa bằng thuật toán phức tạp

Nguồn: https://tapchicongsan.org.vn/web/guest/nghien-cu/-/2018/1088002/phap-luat-ve-quyen-duoc-bao-ho-du-lieu-ca-nhan-trong-boi-canh-phat-trien-tri-tue-nhan-tao-%28ai%29-tai-viet-nam-va-mot-so-kien-nghi.aspx