CHÂU Á BẢO VỆ DỮ LIỆU CÁ NHÂN NHƯ THẾ NÀO?
Emmanuel Pernot
 |
| Để bảo vệ dữ liệu cá nhân, Trung Quốc mong muốn thiết kế những luật khắt khe hơn so với Mỹ, nhưng nhẹ hơn so với châu Âu. (Nguồn: South China Morning Post) |
Liệu châu Á sẽ chọn mô hình của châu Âu hay của Mỹ? Ở châu Âu, Quy định chung về bảo vệ dữ liệu (GDPR, General Data Protection Regulation) sẽ được áp dụng từ ngày 25 tháng 5 tới. Ở Hoa Kỳ, các vụ bê bối liên quan đến việc bảo vệ dữ liệu cá nhân ngày càng nhiều. Trong khi nhiều nước châu Á tự đặt mình là những nhà vô địch tương lai về việc xử lý Dữ liệu lớn và trí tuệ nhân tạo, thì việc bảo vệ dữ liệu cá nhân ở đó có tiến triển không?
GDPR là sự tiến hóa quan trọng nhất về pháp lý liên quan đến việc bảo vệ dữ liệu cá nhân tính từ một văn bản hướng dẫn năm 1995, và là văn bản mới nhất của châu Âu về vấn đề này. Giống như văn bản hướng dẫn nói trên, GDPR có thể còn hiệu lực cho cả một thế hệ. Sự tiến hóa về pháp lý này là hệ quả của một sự tiến hóa khác, về công nghệ và xã hội. Sự phát triển của Internet, của các mạng xã hội và việc lưu trữ trực tuyến các dữ liệu cá nhân, cùng với sự tiến bộ của Dữ liệu lớn, đã làm tăng mối đe dọa đối với việc bảo vệ dữ liệu.
Những thay đổi này đang diễn ra trên khắp thế giới. Nếu những nguyên nhân tương tự tạo ra những hiệu ứng tương tự, thì việc tăng cường bảo vệ dữ liệu – và thậm chí là việc phổ biến luật châu Âu – phải được quan sát thấy ở nơi khác. Tuy nhiên, chúng ta biết cách tiếp cận tối giản của Hoa Kỳ, nơi mà những tiến bộ khiêm tốn được thông qua vào cuối nhiệm kỳ thứ hai của Obama gần như ngay lập tức bị chính quyền Trump hủy bỏ. Kể từ đó, những vụ bê bối của Uber, Equifax hoặc Facebook chưa gây ra một phản ứng về mặt pháp lý. Tuy nhiên, tình hình không giống ở châu Á.
NHỮNG CẢI TIẾN Ở TRUNG QUỐC
Việc bảo vệ dữ liệu cá nhân được giao cho những cá nhân đang làm việc tại các doanh nghiệp ở Trung Quốc đã phát triển rất nhanh, đặc biệt với Đạo luật về an ninh mạng năm 2016, trong đó có 11 điều khoản dành cho việc bảo vệ dữ liệu. Đạo luật thiết lập các nguyên tắc chung, được làm rõ với các quy định hướng dẫn được công bố vào tháng 12 năm 2017. Các quy định này đã được áp dụng kể từ ngày 1 tháng 5 năm 2018 và các chuyên gia nhấn mạnh đến những điểm tương đồng so với cách tiếp cận của Châu Âu. Giống như GDPR, các quy định hướng dẫn này được áp dụng cho tất cả các doanh nghiệp thuộc mọi lĩnh vực. Đây là sự khác biệt cơ bản so với cách tiếp cận theo ngành nghề của Mỹ. Các quyền đặc trưng hóa GDPR đều hiện diện trong đạo luật, chẳng hạn như quyền chuyển dữ liệu, cho phép truy xuất dữ liệu để chuyển giao cho một đối thủ cạnh tranh.
Tuy nhiên, mục tiêu của Trung Quốc, không phải là đi xa như châu Âu trong việc bảo vệ dữ liệu cá nhân. Những người chịu trách nhiệm thiết kế các quy định hướng dẫn năm 2017 đã công khai bày tỏ mục tiêu của họ là tìm kiếm một quy định khắt khe hơn [trong việc bảo vệ dữ liệu cá nhân] so với Hoa Kỳ, nhưng nhẹ hơn so với châu Âu. Ngoài ra còn có một cuộc tranh luận trong nước giữa những người ủng hộ một quy định nhẹ hơn có lợi cho sự phát triển các ngành công nghiệp như trí tuệ nhân tạo và những người ủng hộ một quy định tốt hơn cho việc bảo vệ công dân chống lại những gian lận và lạm dụng được lặp đi lặp lại. Về vấn đề này, dự thảo mới nhất các quy định hướng dẫn có nhiều biện pháp bảo vệ hơn so với phiên bản cuối cùng, trong đó đã làm giảm nhẹ các điều khoản qua các cuộc đàm phán. Tình hình tiếp tục diễn tiến nhanh hơn khi còn có nhiều chi tiết khác được mong đợi, cũng như một luật đặc biệt dành riêng cho việc bảo vệ dữ liệu cá nhân.
Tuy nhiên, chính phủ vẫn giữ quyền truy cập dữ liệu một cách rộng rãi vì nhiều lý do, chẳng hạn như vấn đề an ninh hoặc xếp hạng công dân, với những biên độ mập mờ của “hệ thống tín nhiệm xã hội” vẫn còn chưa được biết rõ và được giới nghiên cứu tranh luận. Rõ ràng là những tiến bộ công nghệ đã làm cho công tác giám sát của chính phủ trở nên hiệu quả hơn, ngược lại với những mong đợi của những người cho rằng sự xuất hiện của Internet ở Trung Quốc như sẽ buộc chế độ diễn tiến theo hướng tự do. Đối với những cá nhân giao dữ liệu cá nhân của mình cho doanh nghiệp, thì quyền của họ được tăng cường và giảm thiểu các rủi ro thất thoát và các hành vi xấu khác, miễn là các quy tắc được áp dụng có hiệu quả. Ngược lại, họ chẳng có phương tiện nào để kiện cáo trong trường hợp Nhà nước vi phạm các quyền của họ.
NHẬT BẢN VÀ HÀN QUỐC GIỐNG NHƯ CHÂU ÂU CHĂNG?
Tình hình là tốt hơn trong hai xã hội siêu kết nối là Hàn Quốc và Nhật Bản. Tiến độ phát triển [việc bảo vệ dữ liệu] cũng rất nhanh ở các nước đó và theo hướng của luật châu Âu. Mức độ hội tụ đã khá lớn đến nỗi Ủy ban châu Âu đã mở các cuộc thảo luận với hai quốc gia nói trên, để thừa nhận mức độ bảo vệ dữ liệu của họ là “tương đương về cơ bản” với các quy định của Liên minh châu Âu. Một quyết định như vậy, đã được GDPR tiên đoán, cho phép xuất dữ liệu từ châu Âu sang các quốc gia này mà không bị giới hạn.
Tuy nhiên, có một vài vấn đề mà Ủy ban châu Âu có thể nghi ngại. Thứ nhất, ở Nhật Bản cũng như ở Hàn Quốc, khái niệm về dữ liệu cá nhân được định nghĩa hẹp hơn so với châu Âu, điều này có thể dẫn đến việc loại trừ một số thông tin ra khỏi phạm vi áp dụng. Thứ hai, nhiều chuyên gia quan ngại rằng các dữ liệu được nhập từ châu Âu có thể được tái xuất sau đó sang những nước có quy định bảo vệ dữ liệu kém hơn, do Tokyo và Seoul có những cam kết với các nước láng giềng của họ ở Thái Bình Dương. Thêm một khó khăn nữa đối với Hàn Quốc là sự thiếu vắng của một “ủy ban tin học quốc gia [CNIL, Commission nationale de l'informatique]” một cơ quan bảo vệ dữ liệu độc lập tại địa phương, mà vai trò giám sát do Bộ Nội vụ đảm nhiệm. Các cuộc đàm phán vẫn đang được tiến hành và quyết định của Ủy ban châu Âu sẽ được biết đến trong năm nay.
BẢO VỆ DỮ LIỆU CÁ NHÂN TIẾN TRIỂN TẠI CHÂU Á
Tình hình cũng diễn tiến nhanh ở các quốc gia châu Á khác, trong đó nhiều quốc gia thích một luật toàn diện về [việc bảo vệ] dữ liệu hơn là nhiều văn bản khác nhau theo ngành nghề. Nói một cách khác, là cách tiếp cận của châu Âu hơn là cách tiếp cận của Mỹ. Hồng Kông, Đài Loan, Philippines hoặc Singapore nằm trong số những nước đã cải cách luật của họ bằng cách đưa vào nhiều đặc trưng của châu Âu hơn. Ấn Độ đang nghiên cứu nhiều khả năng giống vậy. Chưa đạt đến mức độ của Hàn Quốc và Nhật Bản, từng quốc gia này đang hướng tới luật châu Âu và đang dần dần nhập nhiều yếu tố châu Âu hơn.
Tuy nhiên tiến độ thực hiện vẫn còn dài và việc áp dụng hiệu quả các luật mới này vẫn còn phải được xác minh. Điều này sẽ phải thông qua các cơ quan giám sát với các nguồn lực đáng kể, tương ứng với việc tăng cường nhiệm vụ của họ. Vả lại thách thức này cũng tương tự đối với châu Âu, mặc dù vẫn chưa chắc chắn liệu mô hình châu Âu có thể đóng vai trò mẫu mực về vấn đề này hay không.
Giới thiệu tác giả
Nghiên cứu sinh về luật đối chiếu tại Đại học Paris 2 Panthéon-Assas và Đại học Jiao Tong Thượng Hải, dịch giả chuyên ngành pháp lý, Emmanuel Pernot đã sống ở Trung Quốc trong sáu năm. Đam mê về mã học và tin học, ông chuyên ngành luật về bảo vệ dữ liệu cá nhân, đề tài của bài viết này (tham khảo trang web của tác giả tại đây).
Huỳnh Thiện Quốc Việt dịch
