[CS 08 – 06/2020] – SỰ CẦN THIẾT CỦA VIỆC XÂY DỰNG KHÁI NIỆM “DỮ LIỆU CÁ NHÂN”

Nguyễn Xuân Nhi,

Sinh viên K18502C, Đại học Kinh tế – Luật, ĐHQG Tp.HCM

Pháp luật Việt Nam hiện nay đã có những quy định về việc bảo mật thông tin cá nhân trong Điều 38 Bộ luật Dân sự 2015 và Luật An ninh mạng 2018, Luật An toàn thông tin mạng 2015, v.v. Tuy nhiên những điều luật này chưa được áp dụng một cách triệt để vào đời sống xã hội vì những quy định chưa thực sự rõ ràng. Mục đích của bài viết này là đề xuất xây dựng khái niệm “dữ liệu cá nhân” dựa trên những tham khảo Luật Bảo vệ Dữ liệu Cá nhân – General Data Protection Regulation (GDPR) của Liên minh Châu Âu (EU) về vấn đề bảo vệ dữ liệu người dùng trên mạng xã hội nói riêng và không gian dữ liệu số nói chung. Việc xây dựng khái niệm “dữ liệu cá nhân” một cách phù hợp sẽ là cơ sở để xây dựng một khung pháp lý hiệu quả với bối cảnh tại Việt Nam trong việc kịp thời xử lý và ngăn chặn những hành vi xâm phạm quyền riêng tư của các cá nhân, tổ chức.

Từ khóa: dữ liệu cá nhân, thông tin cá nhân, luật Bảo vệ Dữ liệu Cá nhân.

The Vietnamese legal system has regulations about personal information security in Article 38 of Civil Code 2015, Cybersecurity Law 2018, Cyber Information Security Law 2015, etc. However, these regulations are not effective sufficiently in social life due to the lack of explicit interpretation on such legislations. In this context, the main aim of this paper is to examine and propose the definition of “personal data” notion on the ground of General Data Protection Regulation of Europe Union’s approach. This achievement of this aim will contribute to and enhance the effective legal framework suitable for Vietnam to timely handle and block illegal violations to privacy rights of others. 

Keywords: personal data, personal information, GDPR.

1. Dữ liệu cá nhân theo quy định của Luật Bảo vệ Dữ liệu Cá nhân của Liên minh Châu Âu (EU)

1.1. Khái niệm

Dữ liệu cá nhân là bất kỳ thông tin nào có liên quan đến một cá nhân (chủ thể dữ liệu); có thể nhận dạng, trực tiếp hoặc gián tiếp, bằng cách căn cứ vào tên, số chứng minh thư (căn cước công dân), dữ liệu vị trí, dữ liệu số trực tuyến hoặc một trong những định dạng vật lý, sinh học, di truyền,…của cá nhân đó. [1] Cụ thể như tên tuổi, số điện thoại, địa chỉ, số chứng minh thư do Nhà nước cấp, dấu vân tay, ADN,…kể cả một số dữ liệu khác: định vị, tài khoản trực tuyến, thông tin tài chính,… của một người đều được xem là dữ liệu cá nhân.

1.2. Quyền truy cập dữ liệu cá nhân [2]

Dữ liệu cá nhân chỉ có thể được truy cập dưới sự cho phép của cá nhân đó hoặc:

(a) sự truy cập là cần thiết cho việc thực hiện nghĩa vụ hợp đồng mà chủ thể dữ liệu là một trong những bên tham gia;

(b) sự truy cập là cần thiết để thực hiện nghĩa vụ pháp lý mà trong đó bộ phận kiểm soát dữ liệu [3] là một chủ thể liên quan;

(c) bảo vệ lợi ích thiết yếu của chủ thể dữ liệu hoặc một chủ thể khác;

(d) thực hiện nhiệm vụ vì lợi ích cộng đồng hoặc quyền lực chính phủ;

(e) lợi ích hợp pháp của chủ thể xử lý thông tin hoặc bên thứ ba, trừ trường hợp lợi ích đó mâu thuẫn với những quyền hay lợi ích cơ bản của chủ thể dữ liệu có yêu cầu bảo vệ dữ liệu cá nhân, nhất là khi chủ thể dữ liệu là trẻ em. [4]

2. Rủi ro về vấn đề dữ liệu cá nhân bị thu thập trái phép

Dữ liệu cá nhân là những gì hằng ngày chúng ta vẫn thường xuyên trao đổi trên không gian mạng thông qua quá trình tương tác với bạn bè, liên kết với một ứng dụng khác, đăng ký một dịch vụ,…Chúng ta, những người dùng miễn phí (hoặc trả phí), vẫn không hay biết gì về các hoạt động trao đổi và mua bán dữ liệu người dùng của các trang mạng xã hội mà nhiều người vẫn hay lầm tưởng rằng miễn phí. Họ thu thập và kiểm soát dữ liệu rồi biến chúng thành sản phẩm và dịch vụ, quá trình ấy diễn ra mỗi giờ, mỗi phút, thậm chí là mỗi giây. 

Có thể thấy những quy định về dữ liệu cá nhân ở các nước châu Âu khá chi tiết và chặt chẽ, đảm bảo cho người dùng hay còn gọi là chủ thể dữ liệu có những trải nghiệm tốt và an toàn hơn trên không gian mạng nói riêng và đời sống thực tế nói chung. Tuy nhiên, trong thời kỳ công nghệ có những bước tiến dài thì việc ngăn chặn những hành vi khai thác dữ liệu người dùng trái luật, đang ngày càng trở nên tinh vi, phức tạp, trở thành một bài toán khó đối với những nhà chức trách đặc biệt là những nhà làm luật. 

2.1. Đối với xã hội: ảnh hưởng lớn đến quan điểm chính trị vì dữ liệu cá nhân bị tiết lộ

Mạng xã hội là một trong những môi trường tiềm ẩn nhiều rủi ro xung quanh vấn đề bảo mật dữ liệu cá nhân. Đơn cử là trường hợp làm lộ dữ liệu thông tin người dùng của Facebook và hãng phân tích dữ liệu Cambridge Analytica từ năm 2014. Họ thu thập dữ liệu của hơn 87 triệu người dùng nhằm mục đích làm ảnh hưởng ý kiến cử tri từ đó có thể thay đổi kết quả bầu cử. Sau vụ bê bối này, Facebook bị phạt 5 tỷ đô la. [5] Mặc dù bị phạt một số tiền lớn nhưng cổ phiếu Facebook vẫn tiếp tục tăng. [6]Có thể thấy sức ảnh hưởng và giá trị của thông tin là không có giới hạn. Về vấn đề này, đại diện Facebook đã phải có một phiên điều trần trước các nghị sĩ EU vì bị cho rằng vi phạm các điều khoản bảo mật mà Facebook đã cam kết với người dùng cũng như vi phạm một số điều khoản trong GDPR.

Vào khoảng đầu tháng 09 năm 2019, Facebook để lộ dữ liệu của hơn 419 triệu người dùng trên khắp các quốc gia và vùng lãnh thổ, trong đó có hơn 50 triệu tài khoản người dùng ở Việt Nam. [7] Bởi vì máy chủ chứa dữ liệu đó không được bảo mật nên bất kỳ ai cũng có thể truy cập được. Đây là dấu hiệu đáng báo động khi dữ liệu người dùng có thể bị tin tặc truy cập trái phép, sử dụng vào những mục đích xấu và gây tác động không chỉ đến người dùng mà còn đến cả một hệ thống chính trị quốc gia.

2.2. Đối với cá nhân: rủi ro đến từ những thói quen thường ngày

Trở lại với câu chuyện dữ liệu thông tin cá nhân, chúng ta đang sống trong thời kỳ số hóa, nơi mà thông tin của chính mình trở thành một món hàng để các tập đoàn công nghệ lớn thâu tóm, sở hữu nó. Liệu dữ liệu thông tin cá nhân chỉ đơn thuần dừng lại ở mức: tên, tuổi, địa chỉ liên lạc, số thẻ ngân hàng,…hay còn một điều gì đó to lớn hơn mà một người dùng đơn thuần khó lòng nhận ra hết?

Câu trả lời là: nhất cử nhất động của chúng ta trên mạng xã hội nói riêng cũng như các trang điện tử nói chung đều có thể trở thành dữ liệu cá nhân. Đôi khi chúng ta phải đánh đổi chúng như một cái giá phải trả của việc sử dụng các tiện ích và dịch vụ xung quanh. Ví dụ như việc chấp nhận để ứng dụng, trình duyệt dùng cookies [8] để thuận tiện hơn trong việc ghi nhớ những dữ liệu đã nhập, truy cập. Đơn giản hơn, bạn có bao giờ thử đọc các chính sách bảo mật của các website, ứng dụng ấy chưa hay chỉ đơn giản “chấp nhận” mà không biết mình “chấp nhận” những rủi ro gì. [9]

Thực tế, người dân Việt Nam rất ít khi quan tâm đến vấn đề bảo mật các thông tin cá nhân nói chung và dữ liệu thông tin cá nhân nói riêng. Có thể họ nghĩ những thông tin ấy người khác có cũng được, không có cũng chẳng sao và không làm ảnh hưởng nhiều tới cuộc sống riêng tư của chính họ. Nhưng hãy nhìn rộng hơn để thấy được một bức tranh toàn cảnh, một dữ liệu cá nhân thu thập được sẽ khác hẳn một nghìn, một triệu, một tỷ,… dữ liệu, và đây chính là mảnh đất màu mỡ cho một ngành công nghiệp mới – kinh doanh dựa trên dữ liệu người dùng. Các công ty công nghệ lớn như Google, Facebook, Apple, Amazon dễ dàng có được các thông tin mà người dùng tự nguyện cung cấp và chuyện dùng chúng như thế nào lại là một câu chuyện khác. Chuyện gì sẽ xảy ra nếu một trong số các công ty ấy lén lút bán thông tin của bạn cho một bên thứ ba? Bạn có hình dung mình ở trong một trạng thái nguy hiểm khi tất cả mọi thông tin về bản thân và gia đình, thói quen, sở thích, tài chính,… rơi vào nhóm người lừa đảo. Chưa kể đến những sự việc thường nhật xảy ra bởi thói quen không quan tâm vấn đề bảo mật thông tin cá nhân: những đứa trẻ bị bắt cóc cũng chính bởi thói quen chia sẻ quá nhiều thông tin cho người khác (cụ thể ở đây là mạng xã hội) của các bậc phụ huynh, điện thoại giả danh người quen để chiếm đoạt tài sản, bí mật đời tư của người nổi tiếng bị tiết lộ, v.v.

3. Pháp luật Việt Nam và những khoảng trống

Trong trường hợp Facebook làm lộ dữ liệu người dùng tại Việt Nam nêu trên thì liệu Nhà nước có một cơ chế nào để can thiệp kịp thời như các nước khác đã làm?

3.1. Định nghĩa “Thông tin cá nhân” ở Việt Nam

Theo đó, Luật An toàn thông tin mạng 2015 chỉ quy định: Thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể. [10] Như vậy có thể suy ra dữ liệu thông tin cá nhân là dữ liệu chứa đựng những thông tin gắn với việc xác định danh tính. Tuy nhiên những khái niệm trong các luật khác nhau chưa được định nghĩa một cách thống nhất gây khó khăn khi áp dụng ngoài thực tiễn. Bên cạnh khái niệm trên, một số văn bản quy phạm pháp luật còn sử dụng khái niệm thông tin riêng, thông tin bí mật đời tư. [11] Sau khi có Hiến pháp Việt Nam năm 2013, khái niệm thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được sử dụng trong Bộ luật Dân sự năm 2015, Luật Tiếp cận thông tin năm 2015, Luật Trẻ em năm 2015, tuy nhiên, trong tất cả các văn bản này, chưa văn bản nào đưa ra được định nghĩa cho các khái niệm đó. [12]

Điều 7(5) Luật An toàn thông tin mạng 2015 sử dụng khái niệm “thông tin cá nhân” và nghiêm cấm hành vi: thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân. 

Nhìn chung, về khái niệm thông tin cá nhân, Luật đã có quy định nhưng chưa đủ bao quát, cụ thể để có thể áp dụng vào đời sống thực tế. Cho đến nay, Luật An toàn thông tin mạng 2015 chỉ mới có 03 nghị định hướng dẫn thi hành, Luật An ninh mạng 2018 chưa có nghị định hướng dẫn và không nghị định nào có đề cập chi tiết đến vấn đề an toàn thông tin cá nhân.

3.2 Thực trạng áp dụng luật tại Việt Nam

Hiện tại, Việt Nam vẫn chưa có một khung pháp lý hiệu quả để xử lý hành vi xâm phạm dữ liệu người dùng mặc dù hàng loạt các Luật đã ra đời như: Luật An ninh Mạng 2018, Luật An toàn Thông tin Mạng 2015, Luật Công nghệ Thông tin 2006,…vì chưa có một định nghĩa thống nhất về khái niệm “thông tin cá nhân”.

Việt Nam, một quốc gia Đông Nam Á đang trong thời kỳ chuyển mình, có đa phần người dùng internet chưa thật sự quan tâm đến dữ liệu cá nhân nói riêng và quyền riêng tư nói chung trong khi các nước tiên tiến trên thế giới đã bắt đầu đặt ra những giới hạn nhằm bảo vệ cá nhân trước những tác động bất lợi của tội phạm công nghệ cao. [13] Nếu như GDPR quy định cụ thể như thế nào là dữ liệu thông tin cá nhân [14] thì hiện tại Luật Việt Nam vẫn chưa có bất kỳ những khái niệm đủ bao quát cho vấn đề này.

Một trong những lý do đầu tiên phải kể đến chính là khung pháp lý về bảo vệ thông tin cá nhân hay dữ liệu thông tin cá nhân và các loại thông tin khác trên không gian mạng chưa được hoàn thiện. Thực tế cho thấy, các sàn thương mại điện tử, kênh thanh toán điện tử ồ ạt ra đời nhưng vẫn chưa có luật cụ thể để điều chỉnh và bảo đảm cho các thông tin cá nhân của người dùng không bị tiết lộ thông qua quá trình giao dịch. Với những khái niệm và định nghĩa về thông tin cá nhân như hiện nay, rất khó để xác định liệu chính sách bảo mật của các trang mạng ấy mà cụ thể là hành động thu thập dữ liệu cá nhân có đang vi phạm pháp luật hay không. Đa số các trang điện tử yêu cầu người dùng cho phép xử lý dữ liệu cá nhân theo các mô tả trong chính sách hoặc không sử dụng các dịch vụ, truy cập nền tảng hay trang web này trong trường hợp người dùng không đồng ý cung cấp các dữ liệu ấy. Bên cạnh đó, họ có quyền thu thập dữ liệu của người dùng bao gồm nhưng lại không bị hạn chế ở một số hạng mục liệt kê [15] trong chính sách. [16]

Đôi khi chúng ta không có lựa chọn khác ngoài việc cung cấp dữ liệu, thông tin cá nhân của mình để đổi lấy các dịch vụ, tiện ích miễn phí. Tuy vậy, một bộ phận lớn người dùng chia sẻ nhiều thông tin cá nhân hơn mức cần thiết bất chấp những rủi ro thông tin bị thu thập. Gần đây, ứng dụng FaceApp được khá nhiều người dùng trên thế giới ưa chuộng, trong số đó có Việt Nam và được lọt vào bảng xếp hạng các ứng dụng bán chạy của gần 121 quốc gia. [17] Hiện tại, ứng dụng này đã có được dữ liệu bao gồm tên và hình ảnh của hơn 150 triệu người dùng và có thể tùy ý sử dụng chúng với bất kỳ mục đích nào. [18] Bên cạnh khung pháp lý chưa hoàn thiện, sự ít quan tâm và nhận thức thấp của người dùng về một số vấn đề liên quan đến dữ liệu thông tin cá nhân cũng là một nguyên nhân khiến luật khó đưa vào thực tiễn.

4. Sự cần thiết trong việc xây dựng khái niệm “dữ liệu cá nhân”

4.1. Kiến nghị bổ sung khái niệm “dữ liệu cá nhân”

Nếu chỉ định nghĩa một cách sơ sài, ngắn gọn, Luật sẽ không thể bao quát và áp dụng được trong nhiều trường hợp của cuộc sống, sẽ có rất nhiều sự việc ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, tổ chức nhưng chúng lại mập mờ nằm ngoài “vòng tròn pháp lý”. 

Dựa trên những gì đã trình bày, việc đưa ra một khái niệm cụ thể cho dữ liệu thông tin cá nhân [19] là một việc làm hết sức cần thiết cho pháp luật nước ta. Một điều luật chỉ có ý nghĩa khi phạm vi bao trùm của nó đủ chặt chẽ để không tạo những khoảng trống pháp lý. Theo tác giả, chúng ta cần phải xây dựng khái niệm “dữ liệu cá nhân” cho Luật An toàn thông tin mạng dựa trên khái niệm thông tin cá nhân đã có sẵn, và rất cần thiết phải mở rộng khái niệm dữ liệu cá nhân: bao gồm những thông tin và nhóm thông tin gắn với việc xác định danh tính một người cụ thể. 

4.2 Làm thế nào để xác định thông tin nào là thông tin định danh?

Từ góc độ của GDPR, thông tin sẽ được xem là thông tin định danh nếu như thông tin ấy có thể xác định danh tính của một người (Ví dụ: tên, số chứng minh thư/ chứng minh nhân dân, định vị và một số thông tin mạng khác như địa chỉ IP, cookie,…) theo đó, khi có được loại thông tin này, chúng ta dễ dàng xác định thông tin ấy thuộc về ai. [20]

Có những thông tin chỉ cần một mình nó đã trở thành thông tin định danh, có những thông tin không là thông tin định danh khi đứng riêng lẻ, tuy nhiên khi tập hợp đầy đủ và kết hợp cùng với những thông tin khác có liên quan thì chúng trở thành thông tin có thể định danh. Ví dụ: Ông Nguyễn Văn A, mặc áo màu đỏ, đang đứng ở sân bay Nội Bài lúc 9:00, mang theo chiếc vali màu cam, v.v. Tương tự như vậy, có thể áp dụng những ví dụ này cho các thông tin khác trên không gian mạng: người dùng có IP XYZ, vào lúc 15:00 truy cập vào kênh mua sắm điện tử T để mua một chiếc điện thoại giao về địa chỉ ABC.

Theo những định nghĩa như hiện tại thì Việt Nam không thể áp dụng bất kỳ hình thức xử phạt nào đối với Facebook bởi lẽ thông tin cá nhân là những thông tin mang tính định danh, còn những thông tin phát tán trên Facebook thông thường là thông tin không mang tính định danh.

Quy định như vậy chưa thực sự tương thích với thực tế cuộc sống. Vì ngoài các thông tin có thể xác định danh tính, các thông tin cá nhân còn lại tuy không thể xác định trực tiếp danh tính cá nhân của một người nhưng lại có vai trò quan trọng trong việc phân tích, định dạng đặc tính của một cá nhân hay nói cách khác là toàn bộ những vấn đề tự nhiên và xã hội liên quan đến cá nhân ấy nếu tập hợp lại đủ nhiều. Đơn cử như thông tin về định vị hay thậm chí như các tương tác của người này trên các trang mạng xã hội cũng giúp chúng ta ít nhiều “hiểu” được họ là ai, như thế nào.

Thực tiễn cách tiếp cận vấn đề bảo vệ dữ liệu người dùng của EU cho thấy những điểm tích cực và hiệu quả trong việc bảo mật thông tin, trong khi tình huống giữa hai khu vực có sự tương đồng nhất định. Sau sự kiện Facebook để lộ tên, “like” và các thông tin cá nhân cho Analytica, EU đã khiến Facebook phải thừa nhận lỗi của mình đồng thời cam kết tuân thủ đúng GDPR. [21] Bởi lẽ, những thông tin ấy đều có thể được xếp vào “dữ liệu số”, “tài khoản trực tuyến”,… theo định nghĩa của GDPR. Về phía Việt Nam, khi dữ liệu và tài khoản của người dùng bị lộ, chúng ta khó có thể căn cứ vào Luật An toàn thông tin mạng 2015 [22] hay các luật khác liên quan để xử phạt Facebook khi định nghĩa về “thông tin cá nhân” chưa được cụ thể hóa.

Vì vậy, Việt Nam nên kịp thời xây dựng cho mình một khung pháp lý hoàn chỉnh, phù hợp với thực tiễn chung. Cụ thể là về định nghĩa thế nào là dữ liệu cá nhân, quyền và nghĩa vụ của chủ thể dữ liệu [23] và người quản lý dữ liệu ấy. Việc định nghĩa này giúp các điều luật trở nên khái quát, cụ thể hơn, tránh được những bất cập không đáng có khi đưa vào thực tế, giúp cho việc hiểu luật, sử dụng, tuân thủ, thi hành và áp dụng luật trở nên dễ dàng hơn. Dựa trên những định nghĩa mới, Việt Nam dễ dàng quy định những hành động thu thập, làm lộ thông tin người dùng của Facebook hoặc các tổ chức khác là hành vi trái luật và có thể bị xử lý vi phạm. Cách xử lý này có thể hiệu quả trong một số tình huống nhất định, tuy nhiên có thể dẫn đến trường hợp áp dụng pháp luật một cách không chính xác bởi vì: bất kỳ một hành động thu thập thông tin [24] nào đều có thể bị xem xét là hành vi vi phạm pháp luật, nhưng không phải hành vi nào cũng là hành vi gây bất lợi cho chủ thể thông tin. [25]

Để xác định thông tin nào là thông tin định danh, cùng với những thông tin có liên quan khác tạo thành dữ liệu cá nhân, chúng ta cần cân nhắc đến các yếu tố như: 

(a) Những nội dung trong thông tin ấy có liên quan trực tiếp đến một người nào đó và hoạt động của họ hay không;

(b) mục đích của việc truy cập và xử lý dữ liệu; và

(c) hệ quả hoặc sự tác động đến chủ thể dữ liệu sau khi dữ liệu được truy cập và  xử lý.

Có thể nói, dữ liệu được xem là thông tin định danh hay không còn tùy thuộc vào mục đích sử dụng của các tổ chức. Nếu căn cứ như vậy, chúng ta có thể đưa ra một định nghĩa xác đáng hơn về dữ liệu thông tin cá nhân phù hợp với thực tiễn chung. Lịch trình di chuyển của một người được ghi nhận lại trong ứng dụng du lịch sẽ trở thành thông tin cá nhân vì chúng phù hợp với mục đích sử dụng của tổ chức này: theo dõi và đưa ra đề xuất về khách sạn gần nhất; ngược lại, những thông tin này sẽ không được xem là thông tin cá nhân vì chúng không cần thiết đối với một ứng dụng nghe nhạc trên điện thoại. 

5. Kết luận

Dựa trên những gì đã phân tích, tác giả đề xuất Việt Nam cần xây dựng, bổ sung thêm về khái niệm “dữ liệu cá nhân” và cách xác định loại thông tin định danh theo những tham khảo từ GDPR của EU. 

Tuy nhiên, bất cứ giải pháp nào cũng sẽ mang những hạn chế nhất định trong khi thực trạng xã hội luôn luôn thay đổi từng ngày. Vì vậy, người dân nên tự bảo vệ thông tin cũng như dữ liệu cá nhân của mình trên internet nói riêng và trong hoạt động sinh hoạt, làm việc thường ngày nói chung bằng cách cảnh giác trước mọi nguy cơ thông tin của mình bị lấy đi.

Trên đây là những giải pháp mà tác giả cân nhắc đưa ra, tuy có một vài mặt trái nhưng phần nào đã khắc phục được các tình huống thu thập trái phép thông tin cá nhân hoặc có tính liên quan đến cá nhân. Cần nhiều hơn nữa những giải pháp mới trong tương lai có thể làm giảm thiểu triệt để hạn chế, nâng cao hiệu quả pháp luật bảo vệ thông tin cá nhân, cụ thể là dữ liệu cá nhân.

[1] GDPR Art 4(1)

[2] GDPR Art 6(1)

[3] GDPR, Art 4(7): ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law

[4] A child means every human being below the age of eighteen years unless under the law applicable to the child, majority is attained earlier, Convention on the Rights of the Child 1989

[5] Cambridge Analytica files: The story so far The Guardian News,<https://www.theguardian.com/news/2018/mar/26/the-cambridge-analytica-files-the-story-so-far> truy cập ngày 18/09/2019

[6]‘ Facebook revenues soar despite $5.1bn in fines and new antitrust investigation’ The Guardian News, <https://www.theguardian.com/technology/2019/jul/24/facebook-revenue-fines-second-quarter> truy cập ngày 10/10/2019

[7] Zack Whittaker, ‘A huge database of Facebook’s users found online’ Tech Crunch, <https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/> truy cập ngày 08/09/2019

[8] ‘Cookies can store data on an Internet user’s own computer to make websites “appear” to remember the user’s interest.’, Martha A. Bridegam, J.D, The Right to Privacy (Chelsea House Publishers 2003) 46

[9] Martha A. Bridegam, J.D, The Right to Privacy (Chelsea House Publishers 2003) 51

[10] Luật An toàn thông tin mạng 2015 Điều 3(15)

[11] Luật Viễn thông 2009, Luật Giao dịch điện tử 2005

[12] Trần Thị Hồng Hạnh, ‘Vi phạm pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay – thực trạng, nguyên nhân và giải pháp’ lyluanchinhtri.vn, <http://lyluanchinhtri.vn/home/index.php/thuc-tien/item/2763-vi-pham-phap-luat-ve-bao-ve-thong-tin-ca-nhan-o-viet-nam-hien-nay-thuc-trang-nguyen-nhan-va-giai-phap.html> truy cập ngày 10/10/2019

[13] Martha A. Bridegam, J.D, The right to Privacy (Chelsea House Publishers 2003) 10

[14] Tlđd

[15] Họ tên; địa chỉ email; ngày sinh; địa chỉ thanh toán; tài khoản ngân hàng và thông tin thanh toán; số điện thoại; giới tính; Thông tin được gửi bởi hoặc liên quan đến (các) thiết bị được sử dụng để truy cập vào Các Dịch vụ hoặc Nền tảng của chúng tôi; bất kỳ thông tin nào khác về người dùng khi người dùng đăng nhập để sử dụng Các Dịch Vụ hoặc Nền tảng của chúng tôi, và khi người dùng sử dụng Các Dịch Vụ hoặc Nền tảng, cũng như thông tin về việc người dùng sử dụng Các Dịch Vụ hoặc Nền tảng của chúng tôi như thế nào; và dữ liệu tổng hợp về nội dung người dùng sử dụng.

[16] Chính sách bảo mật của Shopee

[17] FaceApp is now the top-ranked app on the iOS App Store in 121 countries, according to App Annie <https://www.forbes.com/sites/johnkoetsier/2019/07/17/viral-app-faceapp-now-owns-access-to-more-than-150-million-peoples-faces-and-names/#65ba02df62f1> truy cập ngày 14/12/2019

[18] John Koetsier, ‘Viral App FaceApp Now Owns Access To More Than 150 Million People’s Faces And Names’ Forbes,

<https://www.forbes.com/sites/johnkoetsier/2019/07/17/viral-app-faceapp-now-owns-access-to-more-than-150-million-peoples-faces-and-names/#65ba02df62f1> truy cập ngày 14/12/2019

[19] Xem phần 3.1 Định nghĩa “Thông tin cá nhân” ở Việt Nam

[20] Information Commissioner’s Office, Guide to the General Data Protection Regulation

[21] The Switch, ‘European lawmakers told Mark Zuckerberg they could regulate — or break up — Facebook’ The Washington Post, <https://www.washingtonpost.com/news/the-switch/wp/2018/05/22/zuckerberg-european-parliament-facebook-testimony/> truy cập ngày 16/12/2019

[22] Điều 7.5 Luật An toàn thông tin mạng 2015 nghiêm cấm hành vi: thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân

[23] ‘data subject’: an identified or identifiable natural person

[24] Thông tin liên quan đến chủ thể dữ liệu

[25] Daniel J. Solove, Understanding Privacy (Harvard University Press 2008) 103

TÀI LIỆU THAM KHẢO

Văn bản pháp luật:

1. General Data Protection Regulations.

2. Bộ luật Dân sự 2015. 

3. Luật An toàn thông tin mạng 2015.

4. Luật An ninh mạng 2018.

5. Luật Công nghệ Thông tin 2006.

Sách:

6. Martha A. Bridegam, J.D, The right to Privacy, Chelsea House Publishers, 2003.

7. Daniel J. Solove, Understanding Privacy, Harvard University Press, 2008.

8.  Information Commissioner’s Office, Guide to the General Data Protection Regulation.

Nguồn điện tử:

9. Luke Irwin, The GDPR: What exactly is personal data?, 2018, xem thêm tại: <https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data?fbclid=IwAR1vyYaRtWV2LO08m4pqW817ASs4aFULJOneh5iMB5Th-pw-WVjuJsUDc6U>.

10. Trần Thị Hồng Hạnh, Vi phạm pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay – thực trạng, nguyên nhân và giải pháp, 2018, xem thêm tại: <http://lyluanchinhtri.vn/home/index.php/thuc-tien/item/2763-vi-pham-phap-luat-ve-bao-ve-thong-tin-ca-nhan-o-viet-nam-hien-nay-thuc-trang-nguyen-nhan-va-giai-phap.html>.

11. Luật mới về bảo vệ dữ liệu cá nhân tại châu Âu, 2018, xem thêm tại: <http://www.antv.gov.vn/tin-tuc/quoc-te/luat-moi-ve-bao-ve-du-lieu-ca-nhan-tai-chau-au-230662.html>

12. Chiêu Văn, Nền kinh tế theo dõi: Chủ nghĩa tư bản dữ liệu, 2019, xem thêm tại: <https://cuoituan.tuoitre.vn/tin/20190805/nen-kinh-te-theo-doi-chu-nghia-tu-ban-du-lieu/1538262.html?fbclid=IwAR04UUreMiI6hHwYEkLGsvP1dP9GgKB8PLnVXswDPG7–yDZ0HM36aHlRhM>

13. Trần Tiến, Người Việt có quá thờ ơ với “mỏ dầu tỷ USD” mang tên dữ liệu cá nhân, 2019, xem thêm tại: <https://vtv.vn/magazine/nguoi-viet-co-qua-tho-o-voi-mo-dau-ty-usd-mang-ten-du-lieu-ca-nhan-2019091716212847.htm?fbclid=IwAR0-IkYRw31yI5mWKGwBMxN5k4j8JbPDztIhYJI4r3WARGMtbDcOM2c0oxM>

14. Cambridge Analytica files: The story so far, The Guardian News, 2018, xem thêm tại: <https://www.theguardian.com/news/2018/mar/26/the-cambridge-analytica-files-the-story-so-far>

15. Facebook revenues soar despite $5.1bn in fines and new antitrust investigation, The Guardian News, 2018, xem thêm tại: <https://www.theguardian.com/technology/2019/jul/24/facebook-revenue-fines-second-quarter>

16. Zack Whittaker, A huge database of Facebook’s users found online, Tech Crunch, xem thêm tại: <https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/

17. John Koetsier, Viral App FaceApp Now Owns Access To More Than 150 Million People’s Faces And Names, Forbes, xem thêm tại: <https://www.forbes.com/sites/johnkoetsier/2019/07/17/viral-app-faceapp-now-owns-access-to-more-than-150-million-peoples-faces-and-names/#65ba02df62f1

18.  The Switch, European lawmakers told Mark Zuckerberg they could regulate — or break up — Facebook, The Washington Post, xem thêm tại:  <https://www.washingtonpost.com/news/the-switch/wp/2018/05/22/zuckerberg-european-parliament-facebook-testimony/>