1. Khái niệm “Dữ liệu cá nhân” theo pháp luật Việt Nam
Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 củ Chính phủ về Bảo vệ dữ liệu cá nhân đã lần đầu tiên đưa ra định nghĩa về dữ liệu cá nhân. Theo đó, “dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm”.[1] Nghị định đã liệt dữ liệu cá nhân cơ bản bao gồm họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; Giới tính; Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; Quốc tịch; Hình ảnh của cá nhân; Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; Tình trạng hôn nhân; Thông tin về mối quan hệ gia đình (cha mẹ, con cái); Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng[2].
Nghị định 13/2023/NĐ-CP đã bước đầu đưa ra được cách hiểu thế nào là dữ liệu cá nhân. Nghị định đã chọn cách phân loại và liệt kê các loại dữ liệu cá nhân. Tuy nhiên, trên thực tế dữ liệu để xác định một cá nhân cụ thể thì vô cùng đa dạng, phong phú nên việc liệt kê có nhược điểm là giới hạn những dữ liệu có thể xác định một cá nhân một cách trực tiếp hoặc gián tiếp. Điều này dẫn tới trường hợp những dữ liệu có thể gián tiếp nhận dạng một cá nhân có thể không được coi là dữ liệu cá nhân theo nghị định này.
Ngoài ra, Nghị định số 13/2023/NĐ-CP là văn bản dưới luật nên hiệu lực pháp lý chưa cao để bãi bỏ các luật chuyên ngành có các quy định liên quan tới vấn đề bảo vệ và xử lý thông tin cá nhân, dẫn tới hiện nay vẫn tồn tại nhiều cách hiểu, nhiều quy định liên quan có nội dung chồng chéo, trùng giẫm và mâu thuẫn trong cách hiểu. Cụ thể:
Khoản 15 Điều 3 Luật an toàn thông tin mạng năm 2015 quy định "thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể”. Điểm c khoản 1 Điều 6 Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ quy định “thông tin cá nhân là thông tin trên mạng gắn với việc xác định danh tính một người cụ thể”. Khoản 16 Điều 3 Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 về quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng quy định “thông tin cá nhân là thông tin gắn liền với việc xác định danh tính, nhân thân của cá nhân bao gồm tên, tuổi, địa chỉ, số chứng minh nhân dân, số điện thoại, địa chỉ thư điện tử và thông tin khác theo quy định của pháp luật”. Nghị định số 52/2013/NĐ-CP ngày 16/5/2013 về thương mại điện tử quy định “thông tin cá nhân là các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật. Thông tin cá nhân không bao gồm thông tin liên hệ công việc và những thông tin mà cá nhân đã tự công bố trên các phương tiện truyền thông.”[3]
Ngoài khái niệm thông tin cá nhân, một số văn bản quy phạm pháp luật còn sử dụng khái niệm “thông tin riêng”, “thông tin bí mật đời tư” với nội hàm liên quan. Cụ thể: khoản 15 Điều 3 Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 về quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng quy định “thông tin riêng là thông tin trên mạng của một tổ chức, cá nhân mà tổ chức, cá nhân đó không công khai hoặc chỉ công khai cho một hoặc một nhóm đối tượng đã được xác định danh tính, địa chỉ cụ thể”. Thuật ngữ “thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình” được nêu trong Hiến pháp 2013[4] và được sử dụng trong Bộ luật dân sự 2015[5], Luật Tiếp cận thông tin 2015[6], Luật Trẻ em 2015[7]. Tuy nhiên, trong tất cả các văn bản này, chưa văn bản nào đưa ra được định nghĩa cho các thuật ngữ đó.
Theo như quy định của các văn bản pháp luật chuyên ngành đã liệt kê ở trên, các văn bản pháp luật hiện hành sử dụng quá nhiều thuật ngữ ám chỉ về dữ liệu cá nhân như: “thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình”; “thông tin cá nhân”; “thông tin riêng”; “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin về bí mật đời tư”, “thông tin để định danh một cá nhân cụ thể”…
Các thuật ngữ cùng ám chỉ dữ liệu cá nhân nhưng được quy định rải rác trong các lĩnh vực riêng biệt, nội hàm không đồng nhất về định nghĩa dẫn đến không thống nhất trong hệ thống pháp luật, gây tranh cãi và gây khó khăn khi áp dụng cũng như giải quyết các vi phạm về dữ liệu diễn ra trên thực tế.

Định nghĩa về dữ liệu cá nhân có tầm quan trọng sống còn đối với việc xác định liệu Quy định bảo vệ dữ liệu chung Châu Âu - GDPR (General Data Protection Regulation) có được áp dụng hay không[8]. Chỉ khi việc xử lý dữ liệu liên quan đến dữ liệu cá nhân thì GDPR mới được áp dụng. Dữ liệu cá nhân được định nghĩa trong Điều 4 (1) của GDPR như sau: “'dữ liệu cá nhân' có nghĩa là bất kỳ thông tin nào liên quan đến một thể nhân đã được xác định hoặc có thể xác định được ('chủ thể dữ liệu'); một thể nhân có thể nhận dạng được là người có thể được xác định, trực tiếp hoặc gián tiếp, đặc biệt bằng cách tham chiếu đến một số nhận dạng như tên, số nhận dạng, dữ liệu vị trí, số nhận dạng trực tuyến hoặc một hoặc nhiều yếu tố cụ thể về thể chất, sinh lý, bản sắc di truyền, tinh thần, kinh tế, văn hóa hoặc xã hội của thể nhân đó.”[9]
Theo định nghĩa trên, dữ liệu cá nhân là bất kỳ thông tin nào có liên quan đến một thể nhân đã được xác định hoặc có thể xác định được. Các chủ thể dữ liệu có thể nhận dạng được nếu chúng có thể được xác định trực tiếp hoặc gián tiếp, đặc biệt là bằng cách tham chiếu đến một số nhận dạng như tên, số nhận dạng, dữ liệu vị trí, số nhận dạng trực tuyến hoặc một trong số các đặc điểm đặc biệt thể hiện đặc tính vật lý, sinh lý, di truyền, bản sắc tinh thần, thương mại, văn hóa hoặc xã hội của những thể nhân này. Trên thực tế, Dữ liệu cá nhân cũng bao gồm tất cả dữ liệu được hoặc có thể được gán cho một người theo bất kỳ cách nào. Ví dụ: số điện thoại, thẻ tín dụng hoặc số nhân viên của một người, dữ liệu tài khoản, biển số, diện mạo, số khách hàng hoặc địa chỉ đều là dữ liệu cá nhân. Vì định nghĩa bao gồm “bất kỳ thông tin nào”, nên thuật ngữ “dữ liệu cá nhân” nên được diễn giải càng rộng càng tốt.
Có thế thấy các yếu tố chính của Dữ liệu cá nhân là: (1) thông tin (bất kỳ thông tin nào) liên quan đến (2) một thể nhân (3) có thể xác định hoặc có thể nhận dạng được. Trong mỗi trường hợp, cần thử nghiệm để xác định xem thông tin cụ thể đó có cấu thành dữ liệu cá nhân hay không, có thể nhận dạng được danh tính của ai đó không. Thông tin cấu thành dữ liệu cá nhân có thể mang tính chủ quan, không nhất thiết phải đúng và không nhất thiết phải dễ hiểu. Ví dụ ngày sinh, địa chỉ cư trú, giới tính, màu mắt, cân nặng, chiều cao hoặc dữ liệu sinh trắc học khác, dữ liệu có tính chất sinh lý học và dữ liệu về quan điểm hoặc thế giới quan, tuyên bố hoặc mong muốn; dữ liệu hoạt động liên quan đến việc sử dụng trang web, lịch sử duyệt web, tên và thông tin chi tiết về thiết bị được người dùng sử dụng, ảnh của một cá nhân, bản ghi từ máy quay video mạch kín, bản vẽ hoặc bản ghi âm giọng nói đều có thể là dữ liệu cá nhân. Một cái tên có lẽ là phương tiện phổ biến nhất để xác định ai đó, tuy nhiên việc bất kỳ định danh tiềm năng nào thực sự xác định một cá nhân hay không tuỳ thuộc vào ngữ cảnh. Một thể nhân được coi là 'được xác định' nếu người đó có thể được xác định trong một nhóm có nhiều người. Thông tin chỉ được coi là dữ liệu cá nhân khi nó liên quan đến một thể nhân. GDPR không áp dụng cho dữ liệu của những người đã chết, thai nhi hoặc pháp nhân. [10]
Một sự kết hợp của các định danh có thể cần thiết đề xác định một cá nhân. Thể nhân có thể được liên kết với số nhận dạng trực tuyến được cung cấp bởi thiết bị, ứng dụng, công cụ và giao thức của họ, chẳng hạn như địa chỉ giao thức internet, số nhận dạng cookie hoặc số nhận dạng khác như thẻ nhận dạng tần số vô tuyến. Điều này có thể để lại dấu vết, đặc biệt khi được kết hợp với số nhận dạng duy nhất và thông tin khác mà máy chủ nhận được, có thể được sử dụng để tạo hồ sơ của các thể nhân và nhận dạng họ. Thông tin mà có thể gián tiếp xác định một cá nhân khi kết hợp với các thông tin khác để có thể xác định và nhận dạng một cá nhân cụ thể thì có thể cấu thành dữ liệu cá nhân.[11]
3. Khuyến nghị cho Việt Nam
Việt Nam định nghĩa dữ liệu cá nhân tại Khoản 1 Điều 2 Nghị định số 13/2023/NĐ-CP theo hướng liệt kê là những thông tin dưới dạng ký hiệu, chữ viết, hình ảnh, âm thanh gắn với một con người cụ thể hoặc giúp xác định một con người cụ thể. Ngoài ra Nghị định còn liệt kê cụ thể đâu là dữ liệu cá nhân cơ bản[12]. Định nghĩa và cách liệt kê dữ liệu cá nhân như tại Nghị định chưa thể hiện rõ các yếu tố mà gián tiếp giúp xác định hoặc nhận dạng một cá nhân cụ thể.
GDPR của EU nhấn mạnh các thông tin có thể nhận dạng, có thể xác định một cá nhân cụ thể ngoài việc xác định thông tin thông qua tên, số nhận dạng, số liệu vị trí, số nhận dạng trực tiếp còn mở rộng ra các yếu tố liên quan thể chất, sinh lý, tinh thần.
Có thể thấy khái niệm dữ liệu cá nhân được quy định tại Điều 2 Nghị định số 13/2023/ND-CP còn có phạm vi hẹp, chưa bao quát được hết các loại dữ liệu mà gián tiếp xác định hoặc nhận dạng một cá nhân cụ thể. Vì vậy, để đảm bảo tính toàn diện của dữ liệu cá nhân, tác giả xin đề xuất khái niệm sau dựa trên kinh nghiệm của EU như sau:
“Dữ liệu cá nhân là bất kỳ dữ liệu nào liên quan đến một cá nhân cụ thể đang sống; dữ liệu liên quan đến nhận dạng trực tiếp hoặc gián tiếp của một cá nhân cụ thể. Dữ liệu, ngay cả khi bản thân nó không xác định một cá nhân cụ thể, có thể dễ dàng kết hợp với dữ liệu hoặc thông tin khác để xác định một cá nhân cụ thể cũng được coi là dữ liệu cá nhân.”/.

Ths. Đào Thị Hồng Minh, Vụ Các vấn đề chung về xây dựng pháp luật, Bộ Tư pháp, hiện đang tham gia Chương trình đào tạo thạc sĩ luật tại Kyushu University, Japan

 
Tài liệu tham khảo:
 

---