Thông tin cá nhân là gì? Quy định về bảo vệ thông tin cá nhân

Thưa Luật sư của LVN Group, tôi thấy tình trạng số điện thoại hay một số thông tin khác của mình thường bị một bên dịch vụ nào đó có được và gọi điện quảng cáo, tư vấn về dịch vụ, sản phẩm trong khi tôi hoàn toàn không được cung cấp cho bên đó. Vậy, xin hỏi Luật sư của LVN Group pháp luật hiện hành có quy định nào về bảo vệ thông tin cá nhân này không?

Rất mong nhận được phản hồi từ Luật sư của LVN Group. Tôi xin chân thành cảm ơn!

Người gửi: Anh Hùng – Ninh Bình

>> Luật sư tư vấn pháp luật Dân sự, gọi: 1900.0191

Trả lời:

1. Thông tin cá nhân là gì?

Thông tin cá nhân (TTCN) là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác.

2. Vì sao cần bảo vệ thông tin cá nhân?

Các thông tin cá nhân sau khi được tiếp cận bởi doanh nghiệp, có thể trở thành nguồn dữ liệu có giá trị thương mại nhất thông qua các hoạt động truyền thông, quảng bá, tiếp thị và các hoạt động cạnh tranh trên thương trường. Vì vậy, doanh nghiệp muốn nắm bắt, thu thập, sử dụng, phân tích, khai thác thông tin cá nhân của khách hàng hiện tại và các khách hàng tiềm năng. Tuy nhiên, ở một chiều cạnh khác, để bảo đảm cuộc sống riêng tư, sự tự do cần thiết trong đời sống thường nhật, nhìn chung, các cá nhân không muốn thông tin cá nhân của mình bị lộ, lọt vào tay những người mà người có thông tin cá nhân không biết họ sẽ sử dụng thông tin đó cho mục đích gì. Nói cách khác, mỗi cá nhân rất không muốn các thông tin cá nhân của mình bị rơi vào tay người lạ. Chính vì thế, mỗi cá nhân thường có nhu cầu kiểm soát (hoặc tìm cách kiểm soát) sự lan truyền thông tin cá nhân liên quan tới bản thân mình.

3. Pháp luật về bảo vệ thông tin cá nhân

3.1. Khái quát chung

Đáp ứng được mối lo ngại đó, trong những thập niên gần đây, pháp luật ở nhiều quốc gia trên thế giới đã thiết lập các chuẩn mực về việc tiếp cận, sử dụng thông tin cá nhân trong các giao dịch giữa cá nhân với doanh nghiệp hoặc giữa cá nhân với các cơ quan công quyền. Việt Nam cũng không phải là ngoại lệ.

Ở Việt Nam, thuật ngữ “thông tin cá nhân” đã được nhắc tới trong Luật Dược năm 2005 và yêu cầu bảo mật “thông tin cá nhân” trong lĩnh vực hàng không đã được đề cập trong Luật Hàng không dân dụng năm 2006. Tuy nhiên, các quy định cụ thể về bảo vệ thông tin cá nhân chỉ thực sự xuất hiện trong Luật Công nghệ thông tin năm 2006 (Luật CNTT). Mặc dù vậy, Luật CNTT chỉ quy định việc bảo vệ thông tin cá nhân trên môi trường mạng chứ không quy định chung cho việc bảo vệ thông tin cá nhân.

3.2. Luật công nghệ thông tin

Theo quy định của khoản 1 Điều 21 Luật công nghệ thông tin, tổ chức, cá nhân: “thu thập, xử lý và sử dụng thông tin cá nhân của người khác trên môi trường mạng phải được người đó đồng ý trừ trường hợp pháp luật có quy định khác”.

Khi thu thập, xử lý và sử dụng thông tin cá nhân của người khác, chủ thể thực hiện hành vi này có trách nhiệm:

“a) Thông báo cho người đó biết về hình thức, phạm vi, địa điểm và mục đích của việc thu thập, xử lý và sử dụng thông tin cá nhân của người đó;

b) Sử dụng đúng mục đích thông tin cá nhân thu thập được và chỉ lưu trữ những thông tin đó trong một khoảng thời gian nhất định theo quy định của pháp luật hoặc theo thoả thuận giữa hai bên;

c) Tiến hành các biện pháp quản lý, kỹ thuật cần thiết để bảo đảm thông tin cá nhân không bị mất, đánh cắp, tiết lộ, thay đổi hoặc phá huỷ;

d) Tiến hành ngay các biện pháp cần thiết khi nhận được yêu cầu kiểm tra lại, đính chính hoặc hủy bỏ theo quy định tại khoản 1 Điều 22 của Luật này; không được cung cấp hoặc sử dụng thông tin cá nhân liên quan cho đến khi thông tin đó được đính chính lại”.

Ngoại lệ cho việc thu thập, xử lý và sử dụng thông tin cá nhân của người khác mà không cần sự đồng ý của người đó được đặt ra:

“Trong trường hợp thông tin cá nhân đó được sử dụng cho mục đích sau đây:

a) Ký kết, sửa đổi hoặc thực hiện hợp đồng sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng;

b) Tính giá, cước sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng;

c) Thực hiện nghĩa vụ khác theo quy định của pháp luật”.

Khoản 1 Điều 22 Luật CNTT quy định quyền của chủ thể thông tin trong việc kiểm tra, yêu cầu đính chính hoặc hủy bỏ thông tin cá nhân do chủ thể khác lưu trữ. Theo đó, “cá nhân có quyền yêu cầu tổ chức, cá nhân lưu trữ thông tin cá nhân của mình trên môi trường mạng thực hiện việc kiểm tra, đính chính hoặc hủy bỏ thông tin đó”

Khoản 2 Điều 22 Luật CNTT quy định “tổ chức, cá nhân không được cung cấp thông tin cá nhân của người khác cho bên thứ ba, trừ trường hợp pháp luật có quy định khác hoặc có sự đồng ý của người đó”. Thêm vào đó, “cá nhân có quyền yêu cầu bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân”.

Có thể nói rằng, các quy định kể trên hàm ý rằng, việc “thu thập, xử lý, sử dụng, chuyển nhượng thông tin cá nhân” của bất cứ tổ chức, cá nhân nào trên môi trường mạng đều phải bảo đảm yêu cầu về “tính hợp pháp”. Chủ thể thông tin cá nhâncó một số quyền nhất định đối với tổ chức, cá nhân thu thập, xử lý, sử dụng và chuyển nhượng thông tin cá nhân.

Điểm đáng nói là, Luật CNTT chỉ mới khẳng định các nghĩa vụ và ràng buộc pháp lý kể trên đối với việc thu thập, xử lý, lưu trữ, chuyển nhượng thông tin cá nhân trên môi trường mạng. Do đó, đạo luật này để lại một khoảng trống pháp lý đối với việc bảo vệ thông tin cá nhân không ở trên môi trường mạng (tức là ở môi trường vật lý – môi trường offline). Thêm vào đó, thuật ngữ “chủ thể thông tin cá nhân” hoặc chủ thể dữ liệu (data subject) chưa được sử dụng trong đạo luật này.

Trên cơ sở quy định của Luật CNTT, Chính phủ đã ban hành Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước. Nghị định này lần đầu tiên có quy định tại khoản 5 Điều 3 giải thích “thông tin cá nhân” là “thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác”.

3.3. Luật bảo vệ quyền lợi người tiêu dùng

Tiếp nối quy định này, các quy định về bảo vệ thông tin cá nhân còn được quy định trong Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 về “bảo vệ thông tin của người tiêu dùng” (Điều 6). Theo quy định này, người tiêu dùng được bảo đảm an toàn, bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan nhà nước có thẩm quyền yêu cầu.

Trường hợp thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng thì tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ có trách nhiệm:

a) Thông báo rõ ràng, công khai trước khi thực hiện với người tiêu dùng về mục đích hoạt động thu thập, sử dụng thông tin của người tiêu dùng;

b) Sử dụng thông tin phù hợp với mục đích đã thông báo với người tiêu dùng và phải được người tiêu dùng đồng ý;

c) Bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng;

d) Tự mình hoặc có biện pháp để người tiêu dùng cập nhật, điều chỉnh thông tin khi phát hiện thấy thông tin đó không chính xác;

đ) Chỉ được chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi có sự đồng ý của người tiêu dùng, trừ trường hợp pháp luật có quy định khác.

Riêng với lĩnh vực thương mại điện tử, Nghị định số 52/2013/NĐ-CP về thương mại điện tử có khá nhiều quy định quan trọng về bảo vệ thông tin cá nhân của người tiêu dùng. Điều đặc biệt, Nghị định này (khoản 13 Điều 3) đã chính thức đưa ra định nghĩa “thông tin cá nhân” là “các thông tin góp phần định danh một cá nhân cụ thể, bao gồm tên, tuổi, địa chỉ nhà riêng, số điện thoại, thông tin y tế, số tài khoản, thông tin về các giao dịch thanh toán cá nhân và những thông tin khác mà cá nhân mong muốn giữ bí mật”. Nghị định này cũng chính thức sử dụng cụm từ “chủ thể thông tin” tương đồng với thuật ngữ “information subject” (hoặc data subject) mà pháp luật về bảo vệ thông tin cá nhân ở nhiều quốc gia xác định.

3.4. Bộ luật dân sự

Bộ luật Dân sự năm 2015 (BLDS) đã bổ sung quy định về “quyền về đời sống riêng tư” (Điều 38) bên cạnh các nội dung về “bí mật cá nhân” và “bí mật gia đình” vốn đã được quy định trong BLDS năm 1995 và 2005 trước đó.

Cụ thể, theo quy định của Điều 38 BLDS (Quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình):

(1) Đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ;

(2) Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến bí mật gia đình phải được các thành viên gia đình đồng ý, trừ trường hợp luật có quy định khác; …

(4) Các bên trong hợp đồng không được tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình của nhau mà mình đã biết được trong quá trình xác lập, thực hiện hợp đồng, trừ trường hợp có thỏa thuận khác.

3.5. Luật an toàn thông tin mạng

Trong năm 2015, Luật An toàn thông tin mạng (Luật ATTT mạng) được ban hành với nhiều quy định về bảo vệ thông tin cá nhântrên môi trường mạng (trên không gian mạng). Trong Luật ATTT mạng, lần đầu tiên thuật ngữ “Thông tin cá nhân” được một đạo luật giải thích là “thông tin gắn với việc xác định danh tính của một người cụ thể” (khoản 15 Điều 3). Luật này cũng giải thích thuật ngữ “chủ thể thông tin cá nhân” (khoản 16 Điều 3) với ý nghĩa đó là “người được xác định từ thông tin cá nhân đó”.

Luật này cũng quy định khá rõ về “nguyên tắc bảo vệ thông tin cá nhân trên mạng” (Điều 16), việc “thu thập và sử dụng thông tin cá nhân” (Điều 17), việc “cập nhật, sửa đổi và hủy bỏ thông tin cá nhân” (Điều 18), yêu cầu “bảo đảm an toàn thông tin cá nhân trên mạng” (Điều 19) và “trách nhiệm của cơ quan quản lý nhà nước trong bảo vệ thông tin cá nhân trên mạng” (Điều 20).

3.6. Quy định về xử phạt hành vi vi phạm bảo vệ thông tin cá nhân

Ngoài ra, BLDS, Nghị định về xử lý vi phạm hành chính liên quan tới hoạt động thương mại điện tử cũng bước đầu có các quy định về các biện pháp chế tài đối với hành vi vi phạm.

Chẳng hạn, khoản 4 Điều 65 Nghị định số 98/2020/NĐ-CP có quy định:

4. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi vi phạm sau đây.

a) Thu thập thông tin cá nhân của người tiêu dùng mà không được sự đồng ý trước của chủ thể thông tin;

b) Thiết lập cơ chế mặc định buộc người tiêu dùng phải đồng ý với việc thông tin cá nhân của mình bị chia sẻ, tiết lộ hoặc sử dụng cho mục đích quảng cáo và các mục đích thương mại khác;

c) Sử dụng thông tin cá nhân của người tiêu dùng không đúng với mục đích và phạm vi đã thông báo.

Ngoài ra, chủ thể vi phạm còn bị đình chỉ hoạt động thương mại điện tử từ 06 tháng đến 12 tháng trong trường hợp vi phạm nhiều lần hoặc tái phạm và bị buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm.

Hành vi vi phạm quy định về thu thập, sử dụng thông tin cá nhân còn có thể bị phạt theo quy định tại Điều 84 Nghị định số 15/2020/NĐ-CP ngày 3/2/2020 quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử.

Trên đây là tư vấn của chúng tôi. Nếu còn vướng mắc, chưa rõ hoặc cần hỗ trợ pháp lý khác bạn vui lòng liên hệ bộ phận tư vấn pháp luật trực tuyến qua tổng đài điện thoại gọi ngay số: 1900.0191 để được giải đáp. Rất mong nhận được sự hợp tác!