Pháp luật một số nước về bảo vệ dữ liệu cá nhân

Chặt chẽ để bảo vệ quyền riêng tư 

Xem với cỡ chữ
Trong bối cảnh hoạt động kinh tế - xã hội đang ngày càng được thực hiện nhiều trên môi trường mạng, tầm quan trọng của việc bảo vệ dữ liệu và sự riêng tư càng được công nhận. Theo UNCTAD (Hội nghị Liên Hợp Quốc về Thương mại và Phát triển), hiện có khoảng 128/192 quốc gia trên toàn thế giới đã và đang đưa vấn đề trên vào hệ thống luật pháp của mình.
Nguồn: ITN

Tháng 5.2018, Liên minh châu Âu đã ban hành Luật Bảo vệ dữ liệu chung châu Âu (GDPR), yêu cầu các doanh nghiệp phải tuân thủ các quy định cụ thể, rõ ràng về cách thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, loại hình dữ liệu được phép chia sẻ, các công ty nằm ngoài lãnh thổ châu Âu nhưng hoạt động tại đây cũng phải chấp hành các quy định này. Bất kỳ doanh nghiệp nào vi phạm sẽ có nguy cơ đối mặt với mức phạt lên tới 20 triệu Euro hoặc 4% doanh thu toàn cầu hàng năm. Cho tới nay, GDPR vẫn được coi là luật bảo vệ quyền riêng tư mạnh mẽ nhất trên thế giới. Kể từ khi được ban hành, luật đã truyền cảm hứng cho các luật khác ra đời.

Anh thực tế đã ban hành Luật Bảo vệ dữ liệu năm 1998 để bảo vệ dữ liệu cá nhân được lưu trữ trong các hệ thống thông tin hay trong máy tính. Luật quy định, các quy tắc và thông lệ khi xử lý thông tin về cá nhân, trong đó thông tin về cá nhân là bất kỳ thông tin về một cá nhân còn sống có thể được xác định. Cá nhân có thể được trao các quyền đối với thông tin của họ. Luật cũng quy định nơi kiểm soát, cơ quan giám sát độc lập để thực thi các quy tắc, các quyền xử lý thông tin cá nhân. Nơi kiểm soát này cũng cho phép tìm kiếm các loại thông tin về cá nhân mà không cần phân tích thêm.

Đan Mạch thông qua Luật Về xử lý dữ liệu cá nhân vào năm 2000. Cơ quan Bảo vệ dữ liệu Đan Mạch làm nhiệm vụ giám sát và thực thi các luật về quyền riêng tư. Nếu cơ quan này phát hiện ra hành vi vi phạm pháp luật, họ có thể ra lệnh cấm hoặc thông báo cưỡng chế, thậm chí báo cảnh sát. Theo luật, dữ liệu cá nhân chỉ có thể được thu thập nếu người dùng đồng ý rõ ràng. Ngoài ra, một công ty không thể tiết lộ thông tin cá nhân cho các bên thứ ba với mục đích tiếp thị mà không có sự đồng ý.

Tại Pháp, Luật Bảo vệ Dữ liệu (DPA) năm 1978 (sửa đổi năm 2004) là luật chính bảo vệ quyền riêng tư của dữ liệu cá nhân. Ngoài ra, Bộ luật Truyền thông Bưu chính và Điện tử cũng đề cập đến việc thu thập dữ liệu cá nhân khi nó được sử dụng để gửi tin nhắn điện tử. DPA có phạm vi rất rộng và các quy tắc của nó áp dụng cho bất kỳ ai thu thập dữ liệu ở Pháp hoặc người thực hiện các hoạt động trên tại một cơ sở ở Pháp. Đây là lý do tại sao Cơ quan Bảo vệ dữ liệu của Pháp có thể phạt Google vì vi phạm luật bảo mật của họ. Trước khi tự động xử lý bất kỳ loại dữ liệu cá nhân nào, bên sử dụng dữ liệu phải được sự đồng ý của chủ thể và thông báo cho họ về một số điều, bao gồm mục đích xử lý, danh tính và địa chỉ của người kiểm soát dữ liệu, khoảng thời gian dữ liệu sẽ được lưu giữ, ai có thể truy cập dữ liệu, cách dữ liệu được bảo mật…

Đức, Luật Bảo vệ dữ liệu Liên bang năm 2001 nêu rõ, việc thu thập bất kỳ loại dữ liệu cá nhân nào (bao gồm cả địa chỉ IP máy tính) đều bị cấm trừ khi bạn nhận được sự đồng ý rõ ràng của đối tượng. Bên sử dụng dữ liệu cũng phải lấy dữ liệu trực tiếp từ chủ thể (ví dụ: Mua danh sách email từ bên thứ ba là bất hợp pháp). Sau khi dữ liệu được thu thập cho một mục đích cụ thể, không thể sử dụng nó cho bất kỳ mục đích nào khác mà không được sự đồng ý bổ sung.

Mỹ không có luật riêng về bảo vệ thông tin cá nhân mà nó nằm rải rác từ nhiều văn bản pháp lý khác nhau như Luật Bảo vệ người tiêu dùng liên bang, Luật Hiện đại hóa các dịch vụ tài chính quy định việc thu thập, Luật Về tính linh hoạt và tính trách nhiệm về bảo hiểm y tế HIPAA; Luật Báo cáo Tín dụng Công bằng; Luật Bảo mật truyền thông điện tử; Luật Chống lạm dụng và gian lận máy tính…

Argentina có Luật Bảo vệ dữ liệu cá nhân năm 2000, áp dụng cho bất kỳ cá nhân hoặc pháp nhân nào trong lãnh thổ Argentina có xử lý dữ liệu cá nhân. Dữ liệu cá nhân bao gồm bất kỳ loại thông tin nào liên quan đến cá nhân, ngoại trừ thông tin cơ bản như tên, nghề nghiệp, ngày sinh và địa chỉ. Tuy nhiên, “dữ liệu cá nhân” có thể bao gồm việc sử dụng cookie của trình duyệt. Theo luật pháp Argentina liên quan đến quyền riêng tư, việc xử lý hoặc xử lý dữ liệu cá nhân chỉ hợp pháp nếu đối tượng đã đồng ý trước. Ngoài ra, bất kỳ cá nhân nào cũng có thể yêu cầu xóa dữ liệu của mình bất kỳ lúc nào.

Nguyên tắc Bảo mật của Australia (APP) là tập hợp 13 nguyên tắc hướng dẫn việc xử lý thông tin cá nhân. Theo đó, việc quản lý thông tin cá nhân phải được tiến hành một cách công khai và minh bạch, có nghĩa là phải có chính sách quyền riêng tư rõ ràng và cập nhật về cách quản lý thông tin cá nhân.

The luật pháp Australia, các chính sách quyền riêng tư cần nêu chi tiết lý do và cách thức thu thập thông tin cá nhân, hậu quả của việc không cung cấp thông tin cá nhân, cách các cá nhân có thể truy cập và sửa thông tin của chính họ và cách các cá nhân có thể khiếu nại về việc vi phạm nguyên tắc. Một trong những vai trò của Văn phòng Ủy viên thông tin Australia là điều tra bất kỳ khiếu nại nào về quyền riêng tư về việc xử lý thông tin cá nhân. Bất kỳ ai cũng có thể khiếu nại miễn phí với văn phòng vào bất kỳ lúc nào, và văn phòng sẽ điều tra sớm nhất có thể.

Trong khi đó ở Hàn Quốc, Luật Bảo vệ thông tin cá nhân năm 2012 đưa ra các nguyên tắc bảo vệ thông tin cá nhân của cơ quan quản lý, trong đó đáng chú ý như các cơ quan này phải có trách nhiệm lập danh sách mục đích quản lý thông tin cá nhân rõ ràng, chỉ thu thập thông tin cá nhân tối thiểu hợp pháp và chính đáng, phục vụ cho các mục đích cần thiết hay có trách nhiệm bảo đảm rằng thông tin cá nhân được quản lý một cách ẩn danh bất cứ khi nào có thể…

Tại Ấn Độ, Luật Công nghệ thông tin quy định, mọi doanh nghiệp phải có chính sách bảo mật được công bố trên trang web của mình, cho dù họ có xử lý dữ liệu cá nhân nhạy cảm hay không. Chính sách Bảo mật cần phải mô tả dữ liệu nào được thu thập, mục đích của dữ liệu, bất kỳ bên thứ ba nào mà dữ liệu đó có thể được tiết lộ và những phương pháp bảo mật nào họ sử dụng để bảo vệ dữ liệu. Một số dữ liệu nhạy cảm nhất định, bao gồm mật khẩu hoặc thông tin tài chính, không thể được thu thập hoặc xử lý mà không có sự đồng ý trước của người dùng.

Còn ở Nhật Bản, Luật Bảo vệ thông tin cá nhân, được ban hành vào tháng 5.2017 và đang được sửa đổi trong năm 2020, để bảo vệ quyền của các cá nhân liên quan đến dữ liệu cá nhân của họ. Văn bản pháp lý này không chỉ điều chỉnh đối với tất cả các công ty kinh doanh có trụ sở tại Nhật Bản hay ở nước ngoài khi kinh doanh tại Nhật Bản, mà còn thành lập Ủy ban Bảo vệ thông tin cá nhân nhằm tăng cường quản lý các doanh nghiệp công nghệ nước ngoài như Google, Facebook, Amazon… Định nghĩa về dữ liệu cá nhân trong luật cũng rất rộng, và thậm chí áp dụng cho thông tin có thể được tìm thấy trong danh bạ công khai.

Thái Anh