Dữ liệu cá nhân, một tài sản vô hình gắn liền với nhân thân mỗi cá nhân. Các dữ liệu cá nhân dường như là một trong những đối tượng được thu thập, xử lý chính cho các doanh nghiệp hoạt động trong các lĩnh vực về thương mại điện tử, ngân hàng,… Phương thức thu thập đa dạng từ truyền thống (bằng giấy, bằng miệng,…) đến phi truyền thống (thông qua website, form điện tử,…). Chính bởi sự quan trọng của dữ liệu cá nhân trong môi trường công nghệ số, pháp luật dần có những quy định chặt chẽ về hoạt động xử lý dữ liệu cá nhân, như tại Nghị định 13/2023/NĐ-CP và gần đây nhất là Dự thảo Luật Bảo vệ dữ liệu cá nhân. Dự thảo Luật Bảo vệ dữ liệu cá nhân dự kiến sẽ được cho ý kiến tại kỳ họp Quốc hội thứ 9 vào tháng 05/2025.(1) Tiền đề cho hoạt động xử lý dữ liệu cá nhân là sự đồng ý sự chủ thể dữ liệu cá nhân và có rất nhiều vấn đề xoay quanh chúng. Một trong số đó là liệu sự đồng ý của chủ thể dữ liệu cá nhân trong môi trường điện tử có tính hiệu lực hay không?
1. Sự đồng ý của chủ thể dữ liệu cá nhân
Điều kiện tiên quyết để hoạt động xử lý dữ liệu cá nhân có thể được tiến hành là phải có “sự đồng ý của chủ thể dữ liệu cá nhân” cho hoạt động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân. Sự đồng ý được xem là có hiệu lực khi phải đáp ứng các điều kiện về (i) hình thức và (ii) nội dung.
a. Hình thức:
Nghị định 13/2023/NĐ-CP (sau đây gọi là “Nghị định 13”) đưa ra các điều kiện ràng buộc về hình thức đối với tính hiệu lực của chủ thể dữ liệu cá nhân. Theo đó, khoản 3 Điều 11 Điều Nghị định 13 quy định về hình thức đối với sự đồng ý của chủ thể dữ liệu cá nhân: “Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này”. “Tính rõ ràng” được Dự thảo Luật Bảo vệ dữ liệu cá nhân làm rõ hơn tại khoản 4 Điều 11 là “Sự đồng ý của chủ thể dữ liệu phải được đưa ra bởi một hành động khẳng định tạo ra một chỉ dẫn rõ ràng”. Theo đó, chủ thể dữ liệu cá nhân phải có một hành động cụ thể để thể hiện sự đồng ý của mình. Pháp luật Việt Nam đưa ra những trường hợp cụ thể trình bày về sự đồng ý của chủ thể dữ liệu cá nhân như là bằng văn bản, giọng nói , bằng ô đồng ý… Việc yêu cầu một sự rõ ràng, cụ thể trong phương thức thể hiện sự đồng ý của chủ thể cũng khẳng định thêm rằng sự im lặng hoặc không phản hồi không được là đồng ý.(2)
b. Nội dung:
Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:(3)
i. Loại dữ liệu cá nhân được xử lý;
ii. Mục đích xử lý dữ liệu cá nhân;
iii. Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
iv. Các quyền, nghĩa vụ của chủ thể dữ liệu.
Bên cạnh về điều khoản “Sự đồng ý của chủ thể dữ liệu” tại Điều 11, Nghị định 13 có một điều khoản riêng biệt về “Thông báo xử lý dữ liệu cá nhân”. Theo đó, một số nội dung cần thông báo đến chủ thể dữ liệu cá nhân được quy định song song tại điều khoản về sự đồng ý. Có thể hiểu rằng, với các nội dung về (i) thông tin các tổ chức cá nhân khác có liên quan tới mục đich xử lý, (ii) hậu quả, thiệt hại không mong muốn có thể xảy ra, (iii) thời gian bắt đầu và kết thúc xử lý dữ liệu không cần được sự đồng ý của chủ thể dữ liệu cá nhân.
Thế nhưng, Bên Kiểm soát dữ liệu cá nhân có thể công bố các nội dung đến chủ thể dữ liệu cá nhân và chờ đợi sự đồng ý của chủ thể dữ liệu cá nhân. Điều này sẽ đảm bảo cho Bên Kiểm soát dữ liệu cá nhân trong việc nhận được sự đồng ý của chủ thể dữ liệu cá nhân, cũng như chủ thể dữ liệu cá nhân có thể nắm được toàn diện hoạt động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân.
Dự thảo Luật Bảo vệ dữ liệu cá nhân có một điều khoản bổ sung mới so với Nghị định 13, cụ thể tại khoản 3 Điều 11: “Không được kèm theo điều kiện bắt buộc phải đồng ý chuyển giao dữ liệu cá nhân của chủ thể dữ liệu cho các dịch vụ khác không đúng mục đích thu thập. Chủ thể dữ liệu có quyền từ chối điều kiện này”. Nhận thấy, điều khoản được bổ sung mới là hợp lý đặc biệt trong bối cảnh Bên Kiểm soát dữ liệu cá nhân cố tình lồng ghép các điều khoản đương nhiên đồng ý hoạt động xử lý dữ liệu cá nhân cho nhiều mục đích khác nhau. Điều này khiến chủ thể dữ liệu cá nhân vô hình chung chỉ đồng ý một mục đích nhưng lại “bị” thực hiện cho nhiều mục đích khác nhau.
2. Sự đồng ý của chủ thể dữ liệu cá nhân trên môi trường điện tử
Người dùng trên môi trường điện tử dường như không còn xa lạ với phương thức thỏa thuận hợp đồng thương mại điện tử như “browse wrap” và “click wrap”. Về bản chất, Thông báo xử lý dữ liệu cá nhân được xem như là một thỏa thuận song phương, Bên Kiểm soát dữ liệu cá nhân sẽ thông báo hoạt động xử lý dữ liệu cá nhân và chủ thể dữ liệu cá nhân có quyền đồng ý hoặc không đồng ý với các hoạt động xử lý dữ liệu cá nhân. Chúng ta có thể xem xét và cân nhắc tính hiệu lực của các Thông báo xử lý dữ liệu cá nhân trực tuyến như một hợp đồng thương mại điện tử.
a. Phương thức nhấp chuột (“Phương thức Click – wrap”):
Phương thức thỏa thuận nhấp chuột (“Click–wrap”) là phương thức mà trong đó các điều khoản sẽ được trình bày đến người dùng, thông thường là sau khi chạy ứng dụng và người dùng phải nhấp chuột “Tôi đồng ý” hoặc “Tôi chấp thuận” để tiếp tục sử dụng phần mềm, hoặc hoàn tất thỏa thuận. Phương thức nhấp chuột được trình bày ở nhiều biến thể khác như (i) nội dung các điều khoản trình bày và người dùng buộc phải lướt nội dung đến cùng mới được nhấn nút đồng ý (như Hình ảnh 1) hoặc (ii) nút đồng ý của người dùng được kèm thêm một đường liên kết (như Hình ảnh 2).
Hình ảnh 1
Hình ảnh 2
Đặc điểm nổi bật của phương thức này là cho phép chủ thể dữ liệu cá nhân “chủ động” thể hiện sự đồng ý của mình bằng việc nhấp vào nút “Tôi đồng ý”. So sánh với yêu cầu về hình thức thể hiện sự đồng ý của chủ thể dữ liệu cá nhân tại Nghị định 13, sự đồng ý của chủ thể dữ liệu cá nhân được thể hiện rõ ràng bằng thao tác “đánh dấu vào ô đồng ý”.
Ngoài ra, pháp luật yêu cầu chủ thể dữ liệu phải “biết rõ” các nội dung khi đồng ý. Có thể thấy, phương thức nhấp chuột như Hình ảnh 1 đáp ứng được sự rõ ràng trong thao tác đồng ý của chủ thể dữ liệu và trong cách trình bày của Bên Kiểm soát dữ liệu cá nhân đủ để chủ thể dữ liệu cá nhân biết rõ các nội dung cần thiết. Ngược lại, với phương thức nhấp chuột tại Hình ảnh 2 chưa rõ ràng trong phương thức trình bày của Bên Kiểm soát dữ liệu cá nhân. Điều này sẽ đặt ra một vấn đề: “Liệu sự đồng ý của chủ thể dữ liệu cá nhân có tính hiệu lực pháp lý hay không khi chủ thể dữ liệu không nhấp vào đường liên kết để đọc các nội dung thông báo?”. Theo ý kiến của tác giả, việc không biết rõ hoặc không đọc các nội dung Thông báo thuộc vào ý chí chủ quan của chủ thể dữ liệu cá nhân. Xét đến trách nhiệm của Bên Kiểm soát dữ liệu cá nhân, họ đã hoàn thành nghĩa vụ thông báo và chủ thể dữ liệu cá nhân đã đồng ý với nội dung của Bên Kiểm soát. Thế nên, sự đồng ý của chủ thể dữ liệu cá nhân dưới phương thức nhấp chuột như Hình ảnh 2 vẫn sẽ được xem là có hiệu lực, dù rằng không thực sự rõ ràng về nội dung.
b. Phương thức trình duyệt (Phương thức Browse – wrap)
Phương thức trình duyệt là phương thức người dùng sẽ đồng ý với tất cả các điều khoản khi truy cập vào trình duyệt, sử dụng trình duyệt hoặc các phương thức khác. Thông thường, các điều khoản được quy định tại một đường liên kết được gắn ở cuối trang web. Bằng phương thức trình duyệt, người dùng không cần thể hiện sự đồng ý rõ ràng của mình. Ngoài ra, nội dung của phương thức trình duyệt thể hiện rõ ràng “Bằng việc truy cập vào website này, người dùng đã đồng ý với các điều kiện và điều khoản bên dưới”. Điểm khác biệt rõ ràng nhất giữa phương thức nhấp chuột và phương thức trình duyệt là sự đồng ý của người dùng. Điều này dẫn đến, phương thức trình duyệt mặc định rằng “im lặng được xem là đồng ý”.
Trong quan hệ hợp đồng, Bộ luật dân sự 2015 quy định về chấp nhận đề nghị giao kết hợp đồng, trong đó không công nhận sự im lặng được xem là chấp nhận đề nghị giao kết hợp đồng, trừ trường hợp các bên có thỏa thuận hoặc theo thói quen giao dịch.(4) Điều này được khẳng định một lần nữa tại Nghị định 13, theo đó sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.(5) Điều này dẫn đến, theo quy định pháp luật hiện hành, thông báo đến người dùng bằng phương thức trình duyệt không có hiệu lực vì người dùng chưa thực sự đồng ý với các nội dung của Thông báo xử lý dữ liệu cá nhân. Ngoài ra, trên thực tế, người dùng có thể sẽ không biết đến sự tồn tại của Thông báo xử lý dữ liệu cá nhân.
Từ những phân tích nêu trên, Bên Kiểm soát dữ liệu cá nhân cần nên điều chỉnh một phương thức Thông báo đến chủ thể dữ liệu cá nhân công khai, minh bạch và đòi hỏi sự đồng ý rõ ràng của chủ thể dữ liệu cá nhân. Về phía người dùng, chúng ta cần nên lưu ý những vấn đề pháp lý nêu trên nhằm đảm bảo quyền và lợi ích hợp pháp của mình khi thông tin cá nhân bị xử lý.
(1) Sơn Hà, Quốc hội sẽ xem xét Luật Bảo vệ dữ liệu cá nhân, Báo Vnexpress, 11/12/2024, https://vnexpress.net/quoc-hoi-se-xem-xet-luat-bao-ve-du-lieu-ca-nhan-4826367.html
(2) Khoản 6 Điều 11 Nghị định 13/2023/NĐ-CP.
(3) Khoản 2 Điều 11 Nghị định 13/2023/NĐ-CP.
(4) Khoản 2 Điều 393 Bộ luật dân sự 2015.
(5) Khoản 6 Điều 11 Nghị định 13/2023/NĐ-CP.
Bài viết liên quan:
1/ Yêu cầu về “sự đồng ý” trong Quy định về bảo vệ dữ liệu cá nhân
2/ Các trường hợp xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu
Khuyến cáo:
Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.
Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.
Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Bảo mật và xử lý dữ liệu. Vui lòng tham khảo về dịch vụ của chúng tôi tại đây và liên hệ với đội ngũ luật sư tại Viêt Nam của chúng tôi thông qua email info@apolatlegal.com.
