Quyền riêng tư và vấn đề dữ liệu cá nhân: Chuyện riêng nhưng không phải chuyện nhỏ

30/11/2021 | 267 |

(KTSG) – Ngày càng nhiều vụ lộ, lọt, đánh cắp thông tin, chuyển trao đổi dữ liệu, giám sát thiết bị, hành vi người dùng diễn ra trên các ứng dụng (app), trang web. Và giờ đây, ở cái thời mà QR code lên ngôi, người dùng ngày càng tỏ ra thận trọng, khắt khe hơn, có nhiều lý do để họ băn khoăn đối với việc thu thập, xử lý dữ liệu cá nhân trong quá trình sử dụng các app.

Thu thập và xử lý dữ liệu cá nhân – khâu then chốt

Các app hiện nay thường đòi hỏi người dùng cung cấp thông tin cá nhân đề đăng ký, tạo tài khoản sử dụng. Mục đích của việc làm này là nhằm định danh cá nhân người dùng làm cơ sở để cá thể hóa quyền truy cập, các quyền pháp lý, lợi ích được hình thành trong quá trình sử dụng app. Rất nhiều yêu cầu tương tự khi người dùng giao dịch trên các nền tảng trực tuyến.

Trong nhiều app, chủ sở hữu app đưa ra tuyên bố về yêu cầu thu thập dữ liệu (ví dụ như truy cập hình ảnh, video, tin nhắn…) và cần sự đồng ý của người dùng. Xét về tính đối xứng, hai quyền này chi phối quan hệ của hai bên nhưng chưa có sự cân bằng.

Người dùng trước khi đồng ý sử dụng app họ cần biết mục đích, quy trình, ảnh hưởng từ việc thu thập xử lý thông tin cá nhân, nhất là mức độ an toàn trong việc bảo vệ các dữ liệu cá nhân, được gọi là chính sách quyền riêng tư của người dùng app.

Tuy nhiên các chính sách này thường ít được cung cấp trên các nền tảng app, nhất là các app trong nước như một tiêu chuẩn được quy định, nó dẫn tới những hạn chế quyền tiếp cận của người dùng, trực tiếp, gián tiếp ảnh hưởng tới quyền lợi của họ.

Các chính sách quyền riêng tư thực chất là điều khoản, điều kiện mà chủ sở hữu app muốn tuyên bố công khai với người dùng về việc sẽ khai thác, cũng như bảo vệ dữ liệu cá nhân. Tùy từng cấp độ bảo vệ, người dùng được hướng dẫn để xem xét và chấp thuận khi sử dụng app mà gần như chỉ là những khuyến nghị tham khảo cần thiết chứ không làm sao để người dùng có thể tìm hiểu cụ thể các quy định của các chính sách đó.

 

Tâm lý người dùng khi sử dụng app là hạn chế sự rườm rà. Họ mặc định các quy định pháp lý được nêu ra trong các chính sách, chỉ quan tâm những vấn đề về giao dịch và thương mại. Đây là khía cạnh tâm lý nhưng có thể gây ra nhiều hệ lụy và rủi ro về mặt pháp lý cho người dùng khi mà họ không được trang bị đầy đủ thông tin cần thiết trước khi giao dịch.

Một khía cạnh khác là các quy định hay chính sách quyền riêng tư này do chính chủ sở hữu app tự xây dựng, không có bộ hướng dẫn chung để tham chiếu, không có cơ chế để đăng ký, kiểm tra hay giám sát các quy định, chính sách dữ liệu.

Các thông tin này cũng được đòi hỏi đăng tải công khai trên app nhưng chủ sở hữu app hoàn toàn có thể sửa đổi, bổ sung, thậm chí là gỡ bỏ chúng nhanh chóng, khi đó chúng không còn là cơ sở để so sánh hay đối chiếu các thỏa thuận, cam kết của chủ sở hữu app với người dùng khi xảy ra sự kiện pháp lý xâm phạm dữ liệu cá nhân.

Có nhiều hành vi cụ thể được liệt kê liên quan đến xử lý dữ liệu cho thấy vấn đề xử lý dữ liệu có nhiều góc độ kỹ thuật cần thiết được luật hóa, mổ xẻ để làm minh bạch, rõ ràng, dễ hiểu, dễ kiểm soát, nhất là những góc khuất kỹ thuật được xem xét dưới góc độ pháp lý.

Về cơ bản, một thông tin được cung cấp và khi người dùng không thể biết quy trình xử lý dữ liệu thực tế là gì, cũng như không đủ cơ sở để bảo vệ quyền lợi của mình, thì đó là hạn chế trong quản lý.

Hạn chế này có thể lý giải ở việc không/chưa có cơ chế xử lý ổn thỏa ba trụ cột mối quan hệ (i) giữa doanh nghiệp (bên khai thác sử dụng thông tin người dùng nói chung) và người dùng (liên quan đến cam kết bảo vệ dữ liệu như cơ sở pháp lý); (ii) giữa doanh nghiệp và nhà nước (hành vi đăng ký công khai, kiểm soát các chính sách dữ liệu, thông tin người dùng); (iii) giữa người dùng và nhà nước (các cơ chế bảo vệ quyền lợi khi dữ liệu cá nhân bị xâm phạm).

Yêu cầu bảo vệ dữ liệu tại nguồn và xử lý sai phạm

Theo dự thảo nghị định bảo vệ dữ liệu cá nhân của Bộ Công an, “Xử lý dữ liệu cá nhân là một hoặc nhiều hành động tác động tới dữ liệu cá nhân, bao gồm thu thập, ghi, phân tích, lưu trữ, thay đổi, tiết lộ, cấp quyền truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan”.

Theo quy định này, có nhiều hành vi cụ thể được liệt kê liên quan đến xử lý dữ liệu cho thấy vấn đề xử lý dữ liệu có nhiều góc độ kỹ thuật cần thiết được luật hóa, mổ xẻ để làm minh bạch, rõ ràng, dễ hiểu, dễ kiểm soát, nhất là những góc khuất kỹ thuật được xem xét dưới góc độ pháp lý.

Nhiều app hiện nay có thể sử dụng một lúc nhiều công nghệ, kể cả ứng dụng của bên thứ ba tích hợp vào trong ứng dụng chính(1). Do vậy một dữ liệu khi được xử lý về nguyên tắc sẽ do các yếu tố kỹ thuật của các ứng dụng đồng thời xử lý.

Tuy nhiên do hoạt động trên nền tảng của app chính nên chỉ app chính và nhà sản xuất ra nó phải chịu trách nhiệm cơ bản về việc thu thập và xử lý thông tin, dữ liệu cá nhân. Việc chứng minh trách nhiệm liên đới của bên thứ ba cần xác minh điều tra theo quy trình thủ tục phức tạp và nhiều khi không có kết quả. Không tìm nguồn gốc của lỗi xử lý thông tin, làm thông tin bị xâm phạm, rò rỉ ra bên ngoài.

Đó là vấn đề công nghệ và pháp lý, rất rối rắm, người dùng ít nhiều không quan tâm, cái họ cần là bảo vệ dữ liệu cá nhân của họ như thế nào và họ cần biết ngắn gọn, đầy đủ tiêu chuẩn hóa của từng loại chính sách dữ liệu, thông tin bắt buộc cần cung cấp cho người dùng trước khi sử dụng app, người dùng có quyền đăng nhập, truy xuất, quản lý dữ liệu cá nhân một cách hợp lý.

Hẳn nhiều người còn nhớ vụ bê bối Cambridge Analytica được Facebook cấp quyền sử dụng thông tin người dùng nhưng sử dụng sai mục đích phục vụ cho quảng cáo chính trị(2).

Orin Snyder, luật sư của Facebook trong vụ này, cho rằng các quyền riêng tư trên không gian mạng gần như không có giới hạn kiểm soát. Đó là bức tranh thực tế cần nghiêm túc đánh giá, nhìn nhận.

Vụ việc xâm phạm dữ liệu của Facebook cho thấy, để hoạt động hiệu quả liên quan đến các mảng kinh doanh của mình, Facebook gần như “trang bị tận răng” các chính sách quyền riêng tư và dữ liệu người dùng(3) nhưng vẫn đâu đó có những “lỗ hổng lớn” trong các chính sách của họ. Và câu hỏi đặt ra là liệu Facebook có vô tình hay chính họ đã vận dụng rất tốt các “lỗ hổng lớn” này phục vụ cho hoạt động kinh doanh của mình?

Do đó, khi dữ liệu bị xâm phạm, nhất là dữ liệu nhạy cảm thì người bị xâm phạm cần được bảo vệ với những biện pháp đối xứng tương ứng để giải quyết hiệu quả và kịp thời, chưa nói tới hậu quả hay lỗi, trách nhiệm của bên thu thập thông tin phải đặt ra trước hết.

Nếu xác định có sai phạm của bên thu thập thông tin, hình phạt áp dụng như thế nào cho thỏa đáng. Hình phạt phải gắn với quy mô kinh tế và bối cảnh hoạt động trên thực tế của bên thu thập thông tin, không áp dụng máy móc cứng nhắc các tiêu chí, mức hình phạt cụ thể đối với từng sự kiện vi phạm.

Hành vi xâm phạm dữ liệu cá nhân ngày càng nhiều đòi hỏi vai trò quản lý của nhà nước nhiều hơn chứ không chỉ là vấn đề giữa các chủ thể thông tin. Quản lý nhất thiết phải dựa trên cơ chế giám sát hữu hiệu, thường xuyên đối với vấn đề thu thập và xử lý dữ liệu cá nhân, đồng thời nhà nước cần xây dựng đầu mối các cơ quan chuyên trách thực hiện việc đăng ký, quản lý, theo dõi chính sách dữ liệu, quyền riêng tư, quy trình xử lý thông tin cá nhân của bên thu thập và xử lý thông tin.


Tin tức liên quan

Bình luận