Pháp luật của một số quốc gia
Sự ra đời của điện thoại, máy ghi âm và đặc biệt là máy tính cùng internet đã tạo ra mối quan tâm lớn về bảo vệ dữ liệu từ các quốc gia, đặc biệt là bắt đầu từ thập niên 70 của thế kỷ XX.
Liên minh châu Âu: Khung pháp lý cho pháp luật của nhiều nước
Theo thống kê, hiện nay đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Pháp luật về bảo vệ dữ liệu cá nhân ở các quốc gia trên thế giới được hình thành hầu hết dựa vào “Hướng dẫn của OECD về bảo vệ riêng tư và dữ liệu cá nhân xuyên biên giới năm 1980” và “Hướng dẫn của OECD về bảo vệ người tiêu dùng trong bối cảnh thương mại điện tử năm 1999”. Theo Hướng dẫn năm 1980 của OECD, có thể hiểu dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến hoặc cho phép xác định một cá nhân nhất định (đối tượng dữ liệu).
Nguồn: ITN
Sau đó, Chỉ thị số 95/46/EC về bảo vệ dữ liệu được ban hành vào ngày 24.10.1995, tiếp tục tạo ra một khung pháp lý mới đối với thị trường kỹ thuật số với sự công nhận về quyền riêng tư và việc bảo vệ dữ liệu cá nhân bởi Tòa án Nhân quyền châu Âu (European Court of Human Rights). Cụ thể, các mục tiêu bao trùm được đặt ra bởi EU và các quốc gia thành viên có thể có những sự thay đổi khi áp dụng nhưng vẫn phải đảm bảo những tiêu chuẩn tối thiểu của Chỉ thị.
Vào tháng 5.2018, EU đã ban hành Luật Bảo vệ dữ liệu chung châu Âu (GDPR) thay thế Chỉ thị số 95/46/EC, là một quy định có tính ràng buộc trực tiếp đối với các quốc gia thành viên mà trong đó nó không chỉ tập trung vào quyền riêng tư, mà còn đơn giản hóa chế độ bảo vệ dữ liệu cho các doanh nghiệp châu Âu trong thời đại kỹ thuật số. Luật này yêu cầu các doanh nghiệp tuân thủ các quy định cụ thể, rõ ràng về cách thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, loại hình dữ liệu được phép chia sẻ, các công ty nằm ngoài lãnh thổ châu Âu cũng phải chấp hành các quy định này. Bất kỳ doanh nghiệp nào vi phạm sẽ có nguy cơ đối mặt với mức phạt lên tới 20 triệu euro hoặc 4% doanh thu toàn cầu hàng năm.
Mỹ: Quy định lâu đời và mạnh mẽ
Hệ thống bảo mật thông tin của Mỹ được cho là lâu đời, mạnh mẽ và có hiệu quả nhất trên thế giới. Ngoài đạo luật của chính quyền các tiểu bang như Đạo luật Bảo vệ quyền riêng tư trực tuyến của California (CalOPPA), ở cấp liên bang, Mỹ không ban hành một luật riêng biệt nào về bảo vệ thông tin cá nhân mà nằm rải rác ở các văn bản quy định khác nhau. Một số các Luật chuyên ngành của Mỹ như: Đạo luật về Ủy ban Thương mại Liên bang (FTC Act) là Luật bảo vệ người tiêu dùng liên bang, nghiêm cấm các hành vi không công bằng hoặc lừa đảo và đã được áp dụng cho các chính sách riêng tư và an toàn dữ liệu trực tuyến; Đạo luật Hiện đại hóa các dịch vụ tài chính (hay còn gọi Đạo luật Gramm - Leach - Bliley - Financial Services Modernization Act) quy định việc thu thập, sử dụng và tiết lộ thông tin tài chính; Đạo luật Báo cáo tín dụng công bằng (Fair Credit Reporting Act); Đạo luật Bảo mật truyền thông điện tử; Đạo luật Lạm dụng và gian lận Máy tính (CFAA) quy định việc ngăn chặn liên lạc điện tử và giả mạo máy tính.
Đông Nam Á: Quy định còn rải rác
Tại khu vực Đông Nam Á, ngoại trừ Singapore đã có đạo luật riêng về bảo vệ dữ liệu cá nhân thì hầu hết các quốc gia còn lại cũng giống như Việt Nam đều chưa có Luật Bảo vệ dữ liệu cá nhân. Vấn đề bảo vệ dữ liệu cá nhân được quy định rải rác trong các văn bản quy phạm pháp luật với mức độ khác nhau ở Hiến pháp, luật, nghị định và thông tư.
Ở Indonesia, bí mật đời tư, bí mật dữ liệu cá nhân là một quyền công dân, được quy định tại Điều 28G Hiến pháp năm 1945: Mỗi người đều có quyền tự bảo vệ bản thân, gia đình, sự tôn trọng, nhân phẩm và tài sản của mình. Mỗi người đều có quyền được bảo đảm an ninh và sự bảo vệ khỏi các mối đe dọa sợ hãi để làm, hay không làm, một điều gì đó cấu thành một quyền con người.
Trên cơ sở quy định của Hiến pháp, việc thu thập và sử dụng dữ liệu cá nhân được điều chỉnh bởi Luật số 11 năm 2008 về thông tin và giao dịch điện tử và Nghị định số 82 năm 2012 của Chính phủ liên quan đến các hệ thống và giao dịch điện tử. Ngoài ra, các luật chuyên ngành và văn bản hướng dẫn trong các lĩnh vực ngân hàng, thị trường vốn, viễn thông, chăm sóc sức khoẻ, thông tin… cũng quy định về bảo vệ dữ liệu cá nhân trong các lĩnh vực đó.
Thái Lan cũng chưa ban hành một đạo luật chuyên biệt về bảo vệ dữ liệu cá nhân. Tuy nhiên, khuôn khổ pháp lý bảo vệ dữ liệu cá nhân được xác lập bởi các văn bản pháp luật như: Hiến pháp năm 2007, các đạo luật chuyên ngành của Thái Lan như Bộ luật Dân sự và Thương mại, Luật Viễn thông, Luật Ngân hàng, Luật Kinh doanh tài chính, Luật Giao dịch điện tử… Các văn bản này đều xác lập cơ chế bảo vệ đối với dữ liệu cá nhân trước các hành động thu thập, sử dụng, tiết lộ, chuyển giao thông tin một cách bất hợp pháp.
Đặc biệt tại Singapore, Nghị viện Singapore đã thông qua Luật Bảo vệ dữ liệu cá nhân năm 2012. Luật công nhận quyền của các cá nhân trong việc bảo vệ các dữ liệu cá nhân của chính họ, đồng thời thừa nhận sự cần thiết của việc các tổ chức tiến hành thu thập, sử dụng và tiết lộ thông tin cá nhân vì những mục đích phù hợp với những hoàn cảnh nhất định. Bên cạnh Luật Bảo vệ dữ liệu cá nhân, một số văn bản pháp luật chuyên ngành của Singapore cũng quy định về vấn đề này như: Luật An ninh mạng và máy tính; Luật Bí mật công vụ, Luật Thống kê; Luật Giao dịch điện tử, Luật Ngân hàng, Luật Viễn thông…
Để bảo vệ dữ liệu cá nhân, Ủy ban Bảo vệ dữ liệu cá nhân được thành lập với các chức năng sau: Nâng cao nhận thức về bảo vệ dữ liệu cá nhân; cung cấp dịch vụ tư vấn, hỗ trợ kỹ thuật, quản lý hoặc các dịch vụ đặc biệt khác liên quan đến bảo vệ dữ liệu cá nhân; tham mưu cho Chính phủ về tất cả các vấn đề liên quan…
Ủy ban Bảo vệ dữ liệu cá nhân có quyền xem xét khiếu nại liên quan đến truy cập dữ liệu cá nhân cũng như tiến hành một cuộc điều tra theo quy định của Luật Bảo vệ dữ liệu cá nhân để xác định hành vi vi phạm Luật. Cá nhân vi phạm có thể chịu hình phạt tùy thuộc vào hành vi vi phạm: Phạt tiền từ 2.000 tới 100.000 USD, trong một số trường hợp vi phạm nghiêm trọng hình thức phạt tù có thể lên tới 3 năm.
