TIN PHÁP LUẬT

Chủ thể dữ liệu cá nhân theo pháp luật Việt Nam và Quốc tế

21
Mar

Chủ thể dữ liệu cá nhân phải đảm bảo dữ liệu cá nhân được bảo vệ an toàn vì đó là tài sản quan trọng nhất. Với sự phát triển mạnh mẽ của công nghệ thông tin, việc thu thập, lưu trữ và xử lý dữ liệu cá nhân ngày càng phổ biến. Kéo theo nhiều rủi ro liên quan đến quyền riêng tư và an toàn thông tin. Vì vậy, nhiều quốc gia đã ban hành các quy định pháp luật nhằm bảo vệ cho chủ thể dữ liệu cá nhân. Bài viết này VDPC sẽ phân tích các quy định về chủ thể dữ liệu cá nhân theo pháp luật Việt Nam và quốc tế.

1. Chủ thể dữ liệu cá nhân theo Pháp luật Việt Nam

Căn cứ pháp lý: Khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP.

Pháp luật Việt Nam định nghĩa dữ liệu cá nhân là thông tin dưới dạng:

  • Ký hiệu;
  • Chữ viết;
  • Chữ số;
  • Hình ảnh;
  • Âm thanh;
  • Hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể;
  • Hoặc giúp xác định một con người cụ thể.

Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh. Căn cứ khoản 6 Điều 2 Nghị định 13/2023/NĐ-CP có thể xác định qua các nhóm sau:

  • Những người mua hàng hoặc sử dụng dịch vụ của doanh nghiệp.
  • Những người đang hoặc là đã từng làm việc cho một tổ chức.
  • Những người đăng ký, truy cập hoặc tương tác với nền tảng số (mạng xã hội, ứng dụng, trang web…).
  • Những người sử dụng dịch vụ y tế và có dữ liệu sức khỏe được lưu trữ.
  • Những người tham gia vào hệ thống giáo dục có thông tin được thu thập bởi trường học.
  • Công dân hoặc cư dân có thông tin tài chính, thuế do cơ quan nhà nước quản lý.
  • Những người có thông tin cá nhân được thu thập bởi các cơ quan chính phủ (CMND/CCCD, hộ khẩu, hộ chiếu…).
  • Cá nhân ký kết hợp đồng với doanh nghiệp hoặc tổ chức.
  • Những người làm việc độc lập, cung cấp dịch vụ có thông tin được lưu trữ bởi khách hàng/doanh nghiệp.
  • Những người cung cấp thông tin cá nhân cho nghiên cứu, khảo sát hoặc thử nghiệm sản phẩm.
  • Những cá nhân liên quan khác.

2. Chủ thể dữ liệu cá nhân theo quy định Quốc tế

2.1. Liên Minh Châu Âu

Liên minh Châu Âu (EU) quy định bảo vệ dữ liệu cá nhân thông qua quy định bảo vệ dữ liệu chung. Quy định có tên The General Data Protection Regulation (GDPR). Nghị viện châu Âu và Hội đồng Liên minh châu Âu đã thông qua GDPR vào ngày 14/04/2016. Có hiệu lực vào ngày 25/05/2018.

Điều 4 GDPR định nghĩa về dữ liệu cá nhân như sau:

“Personal data’ means any information relating to an identified or identifiable natural person”

Có thể hiểu, dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến một cá nhân đã được hoặc có thể xác định.

– Bên cạnh đó GDPR cũng xác định chủ thể dữ liệu cá nhân (data subject) chính là cá nhân được xác định  (an identified natural person) hoặc có thể được xác định (an indentifiable natural person).

– Cá nhân có thể được xác định được giải thích như sau: một cá nhân có thể xác định được là người có thể được xác định, trực tiếp hoặc gián tiếp, đặc biệt là bằng cách tham chiếu đến một mã định danh như tên, số nhận dạng, dữ liệu vị trí, mã định danh trực tuyến hoặc một hoặc nhiều yếu tố cụ thể đối với bản sắc thể chất, sinh lý, di truyền, tinh thần, kinh tế, văn hóa hoặc xã hội của cá nhân đó.

– Chủ thể dữ liệu cá nhân được quy định trong GDPR gồm những nhóm sau:

  • Công dân và cư dân của Liên minh Châu Âu. Như người nước ngoài định cư tại EU, nhân viên công ty có trụ sở tại EU…
  • Cá nhân tại EU có dữ liệu cá nhân bị thu thập, xử lý bởi tổ chức trong hoặc ngoài EU. Như khách du lịch, du học sinh, nhà đầu tư…

2.2. California (Mỹ)

Bang California có những quy định về dữ liệu cá nhân thông qua Đạo luật về quyền riêng tư của người tiêu dùng Califorina (CCPA). Đạo luật CCPA được ký thành luật ngày 28/06/2018 và có hiệu lực ngày 01/01/2020.

Điểm o Điều 1798.140 Mục 3 CCPA định nghĩa dữ liệu cá nhân (personal information) là thông tin nhận dạng, liên quan đến, mô tả, có khả năng hợp lý để liên kết với hoặc có thể hợp lý được liên kết (trực tiếp hoặc gián tiếp) với một người tiêu dùng hoặc hộ gia đình.

Do đó có thể xác định được chủ thể của dữ liệu cá nhân theo CCPA gồm:

  • Người tiêu dùng;
  • Cá nhân trong hộ gia đình.

Vì vậy, chủ thể dữ liệu theo CCPA chỉ được xác định là cư dân của California.

2.3. Trung Quốc (PIPL)

– Luật bảo vệ thông tin cá nhân của Trung Quốc (PIPL) được thông qua ngày 20/08/2021. Có hiệu lực từ ngày 01/11/2021.

– Điều 4 PIPL định nghĩa dữ liệu cá nhân là bất kỳ loại thông tin nào nhận dạng hoặc có thể nhận dạng một cá nhân được ghi lại dưới dạng điện tử hoặc bằng các phương tiện khác, nhưng không bao gồm thông tin ẩn danh.

– Chủ thể dữ liệu cá nhân trong PIPL được xác định là cá nhân bao gồm:

  • Công dân Trung Quốc;
  • Cá nhân có dữ liệu bị thu thập, xử lý bởi doanh nghiệp tại Trung Quốc;
  • Hoặc doanh nghiệp nước ngoài hoạt động tại Trung Quốc. Như người nước ngoài mua hàng trên Taobao, sử dụng các dịch vụ trực tuyến của Trung Quốc,…

Bảo vệ dữ liệu cá nhân đảm bảo quyền riêng tư và an toàn thông tin cho cá nhân trong môi trường số hóa. Các quy định pháp luật về dữ liệu cá nhân ngày càng hoàn thiện nhằm nâng cao quyền lợi và trách nhiệm của chủ thể dữ liệu. Việc thực thi các quy định bảo vệ dữ liệu vẫn gặp nhiều thách thức đòi hỏi sự phối hợp chặt chẽ từ các bên liên quan. Doanh nghiệp, cơ quan quản lý và người dân cần nâng cao nhận thức và thực hiện nghiêm túc các quy định pháp luật hiện hành. Mỗi cá nhân cần chủ động bảo vệ dữ liệu cá nhân để hạn chế rủi ro trong thời đại công nghệ phát triển mạnh mẽ.

Trên đây là nội dung Chủ thể dữ liệu cá nhân theo pháp luật Việt Nam và quốc tếNếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Xem thêm: