Trong bối cảnh số hóa ngày nay, việc bảo vệ dữ liệu cá nhân đang trở thành một ưu tiên hàng đầu tại Việt Nam. Sự phát triển mạnh mẽ của nền kinh tế số, đặc biệt là các nền tảng mạng xã hội, đã dẫn đến việc thu thập và xử lý một lượng lớn dữ liệu cá nhân – từ những thông tin cơ bản đến những dữ liệu nhạy cảm. Để đáp ứng thách thức này, Dự thảo Luật Bảo vệ Dữ liệu Cá nhân của Việt Nam đã lần đầu ban hành quy định chi tiết về trách nhiệm của mạng xã hội, dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian mạng (OTT) trong bảo vệ dữ liệu cá nhân của người dùng. Bài viết sẽ phân tích sơ bộ về các quy định này, đánh giá tính khả thi và đề xuất những cải thiện phù hợp với thực tiễn tại Việt Nam.
1. Đối tượng áp dụng
Trách nhiệm của mạng xã hội, dịch vụ OTT được quy định tại Điều 31 của Dự thảo Luật Bảo vệ dữ liệu cá nhân. Điều 31 áp dụng cho mọi tổ chức, cá nhân cung cấp dịch vụ mạng xã hội và OTT đang hoạt động tại thị trường Việt Nam hoặc có mặt trên các kho ứng dụng di động phục vụ người dùng Việt Nam. Phạm vi điều chỉnh của dự thảo luật tập trung vào việc bảo vệ dữ liệu cá nhân của công dân Việt Nam trong không gian số quốc gia. Đây là cách tiếp cận khác biệt so với GDPR của EU – vốn có phạm vi rộng hơn khi áp dụng cho mọi chủ thể dữ liệu trong EU, không phụ thuộc vào vị trí địa lý của bên kiểm soát dữ liệu.
2. Quy định mới về việc cấm sử dụng giấy tờ tùy thân cho xác thực tài khoản
Khoản c Điều 31 của dự thảo Luật quy định rõ việc nghiêm cấm các nền tảng mạng xã hội và dịch vụ OTT yêu cầu người dùng cung cấp ảnh CCCD hoặc CMND để xác thực tài khoản. Quy định này dựa trên thực tế rằng các giấy tờ này chứa nhiều thông tin nhạy cảm như số định danh, ngày sinh, nơi cư trú và đặc điểm nhận dạng. Việc lưu trữ những thông tin này trên các nền tảng số không chỉ tiềm ẩn rủi ro về an ninh mà còn có thể dẫn đến tình trạng giả mạo danh tính và lừa đảo.
Xu hướng quốc tế hiện nay đang hướng tới các phương thức xác thực an toàn và tiện lợi hơn như: xác thực hai yếu tố qua SMS/email, xác thực sinh trắc học, hoặc xác thực thông qua tài khoản ngân hàng và ví điện tử. Những giải pháp này không chỉ đảm bảo tính bảo mật mà còn tạo trải nghiệm thuận tiện cho người dùng.
3. Tăng cường quyền kiểm soát của người dùng đối với cookies
Tinh thần của quy định này vẫn tuân thủ cách tiếp cận chung của các quy định về bảo vệ dữ liệu cá nhân, cụ thể là yêu cầu sự đồng ý của chủ thể dữ liệu. Theo đó, Khoản d Điều 31 quy định các đơn vị cung cấp dịch vụ phải trao quyền cho người dùng được từ chối việc thu thập và chia sẻ cookies – các tệp dữ liệu được sử dụng để theo dõi, phân tích hành vi và tối ưu hóa trải nghiệm người dùng trên nền tảng số. Quy định này thể hiện cách tiếp cận tương tự với GDPR của Liên minh Châu Âu.
Để thực thi quy định này, các nhà cung cấp dịch vụ cần xây dựng giao diện quản lý cookies trực quan, dễ sử dụng và minh bạch về mục đích, thời hạn lưu trữ cũng như phạm vi chia sẻ của từng loại cookies. Điều này giúp người dùng có thể đưa ra quyết định về việc cho phép hay từ chối việc thu thập và xử lý dữ liệu cookies của họ.
4. Quy định về quyền kiểm soát thu thập dữ liệu và cơ chế “không theo dõi”
Dự thảo Luật Bảo vệ Dữ liệu Cá nhân đã đặt ra những quy định nghiêm ngặt về việc theo dõi hoạt động người dùng trên các nền tảng mạng xã hội và dịch vụ OTT, trong đó đặc biệt nhấn mạnh việc triển khai tùy chọn “Không theo dõi” như một biện pháp bảo vệ quyền riêng tư của người dùng. Theo quy định này, các nhà cung cấp dịch vụ có nghĩa vụ pháp lý trong việc thiết lập và duy trì một cơ chế kỹ thuật cho phép người dùng từ chối việc theo dõi hoạt động trực tuyến của họ. Đây được xem là một bước tiến quan trọng trong việc tăng cường quyền tự chủ của người dùng đối với dữ liệu cá nhân của họ trong môi trường số.
Về phương diện pháp lý, việc triển khai tùy chọn “không theo dõi” đòi hỏi các nhà cung cấp dịch vụ phải tuân thủ một số nguyên tắc cơ bản. Thứ nhất, tùy chọn “không theo dõi” phải được thiết kế một cách rõ ràng, dễ tiếp cận và dễ sử dụng đối với người dùng. Thứ hai, khi người dùng kích hoạt tùy chọn này, nhà cung cấp dịch vụ có nghĩa vụ ngừng mọi hoạt động thu thập, xử lý và lưu trữ dữ liệu về hành vi trực tuyến của người dùng đó. Thứ ba, việc tôn trọng yêu cầu “không theo dõi” của người dùng phải được thực hiện một cách nhất quán và liên tục trong suốt quá trình cung cấp dịch vụ.
Đặc biệt quan trọng, dự thảo luật còn quy định rằng mọi hoạt động theo dõi người dùng chỉ có thể được thực hiện khi có sự đồng ý rõ ràng và minh bạch từ chủ thể dữ liệu. Sự đồng ý này phải đáp ứng các tiêu chí sau: (i) được đưa ra một cách tự nguyện, (ii) dựa trên thông tin đầy đủ về mục đích và phạm vi thu thập dữ liệu, (iii) được thể hiện thông qua một hành động khẳng định rõ ràng, và (iv) có thể được rút lại bất cứ lúc nào. Nhà cung cấp dịch vụ có trách nhiệm xây dựng và duy trì một hệ thống quản lý sự đồng ý (consent management system) đáp ứng các yêu cầu này.
Tuy nhiên, khả năng thực hiện quy định này của các nền tảng mạng xã hội sẽ là điều cần tiếp tục quan sát nếu quy định này được thông qua. Lý do là vì bản chất của hầu hết các nền tảng mạng xã hội và OTT hiện nay hoạt động hiệu quả dựa trên cơ chế theo dõi và đề xuất nội dung dựa trên hành vi của người dùng.
5. Quy định cấm nghe lén
Dự thảo Luật Bảo vệ Dữ liệu Cá nhân đã đưa ra một khung pháp lý toàn diện về việc bảo vệ thông tin liên lạc cá nhân, trong đó nghiêm cấm mọi hình thức can thiệp trái phép vào đời sống riêng tư của người dùng. Điều này bao gồm việc ngăn chặn các hành vi xâm phạm như theo dõi, nghe lén, ghi âm cuộc gọi, và đọc tin nhắn khi không được sự cho phép của chủ thể dữ liệu. Quy định này được đặt ra nhằm bảo vệ quyền riêng tư của người dùng trong bối cảnh số hóa ngày càng sâu rộng, nơi ranh giới giữa không gian công cộng và riêng tư ngày càng trở nên mong manh.
Để thực hiện quy định này, các nhà cung cấp dịch vụ mạng xã hội và OTT có thể sẽ cần áp dụng công nghệ mã hóa đầu cuối (end-to-end encryption) cho mọi hình thức liên lạc, đảm bảo rằng chỉ người gửi và người nhận mới có thể truy cập nội dung thông tin. Tiếp đến, các nền tảng phải xây dựng hệ thống giám sát thời gian thực để phát hiện và ngăn chặn các nỗ lực xâm nhập trái phép. Đặc biệt, việc các nền tảng “lắng nghe” người dùng để đề xuất nội dung cũng có thể bị xem là hành vi vi phạm quy định này.
Kết luận
Dự thảo Luật Bảo vệ Dữ liệu Cá nhân đánh dấu một bước tiến quan trọng trong nỗ lực bảo vệ quyền riêng tư của người dùng trong không gian số. Tuy nhiên, để đảm bảo hiệu quả thực thi, cần có sự phối hợp chặt chẽ giữa các bên liên quan. Cơ quan quản lý nhà nước cần ban hành các văn bản hướng dẫn chi tiết, xây dựng cơ chế giám sát và xử phạt hiệu quả. Các nhà cung cấp dịch vụ phải đầu tư đáng kể vào hạ tầng kỹ thuật và nguồn nhân lực để đáp ứng các yêu cầu của luật. Bên cạnh đó, việc nâng cao nhận thức của người dùng về quyền và trách nhiệm của họ trong việc bảo vệ dữ liệu cá nhân cũng đóng vai trò quan trọng. Chỉ khi có sự tham gia tích cực của tất cả các bên, môi trường số của Việt Nam mới thực sự trở nên an toàn và đáng tin cậy, tạo nền tảng vững chắc cho sự phát triển bền vững của nền kinh tế số.
Bài viết liên quan:
1/ Thông tin của người tiêu dùng theo quy định của luật bảo vệ quyền lợi người tiêu dùng 2023
2/ Đối tượng áp dụng và các nguyên tắc cơ bản của GDPR
3/ Thẩm định về bảo vệ dữ liệu cá nhân trong các giao dịch mua bán và sáp nhập (M&A)
Khuyến cáo:
Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.
Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.
Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Bảo mật và xử lý dữ liệu. Vui lòng tham khảo về dịch vụ của chúng tôi tại đây và liên hệ với đội ngũ luật sư tại Viêt Nam của chúng tôi thông qua email info@apolatlegal.com.