Điểm mặt rủi ro pháp lý của nền kinh tế dữ liệu
Cuộc hành trình với dữ liệu lớn (big data) dường như đã bắt đầu. Thậm chí, kinh doanh trên thị trường dữ liệu còn có vẻ đang vượt xa cả những tiên lượng của các kinh tế gia về sự hữu ích cũng như giá trị của thông tin trong nền kinh tế. Và cũng chẳng có gì là khó hiểu nếu như có nhiều vấn đề phát sinh kèm theo, đặc biệt là các xung đột và rủi ro về mặt pháp lý.
Dữ liệu tinh hay dữ liệu thô
Lẽ thường, con người ta có thể dễ dàng chấp nhận việc chia sẻ thông tin cá nhân nếu như nó vô hại, và đặc biệt là vì mục đích phát triển chung. Còn nếu như đó là việc người khác đem thông tin cá nhân của mình để kinh doanh và hưởng lợi thì chắc sẽ có rất ít người... cam tâm.
Cần phải nhắc lại rằng, sự phản ứng đó chỉ xảy ra đối với việc khai thác bộ dữ liệu chứa đựng thông tin thuộc bí mật cá nhân. Sự phản ứng vì vậy trở nên thiếu cơ sở nếu như các đơn vị chỉ khai thác bộ dữ liệu “tinh” mà họ có được từ quá trình phân tích, bổ sung thông tin hay tạo ra “tính mới” cho bộ dữ liệu “thô” trước đó. Về mặt kinh tế, đó là thành quả mà họ đáng được nhận sau khoản chi phí tích cực (positive costs) đã bỏ ra. Về mặt pháp lý, quyền tác giả và cả quyền sở hữu của họ đối với bộ dữ liệu thành phẩm riêng biệt cũng cần được ghi nhận, dù đòi hỏi về sự bắt kịp của pháp luật về sở hữu trí tuệ vẫn cần phải tiếp tục.
Với bigdata, có thể hình dung đây là quá trình trí tuệ nhân tạo (AI) tiếp tục tham gia để làm sạch dữ liệu. Một mặt, điều này giúp cho máy học (machine learning) chắt lọc được dữ liệu chuẩn (right data) và hạn chế được sai sót khi vận hành. Mặt khác, khi xu hướng vận động chung của bộ dữ liệu được vạch ra và mọi dấu tích cá nhân được loại bỏ thì chẳng còn quyền riêng tư nào lưu giữ để bị... xâm phạm. Điều này tương tự như một cuộc điều tra truyền thống đã không quan tâm và loại bỏ yêu cầu khai báo về tên tuổi, địa chỉ... của các cá nhân tham gia cuộc khảo sát ngay từ đầu.
Nhưng câu chuyện khai thác và tận hưởng nguồn dữ liệu có thiên hướng “hốt trọn ổ” như big data đã không thật sòng phẳng đến như vậy. Thứ nhất, việc các nhà kinh doanh và đơn vị vận hành đặt mối bận tâm vào từng cá nhân riêng lẻ là có. Điển hình nhất là việc họ đã theo dõi tường tận từng cú nhấp chuột của khách hàng trên các trang bán hàng để giới thiệu sản phẩm tương tự.
Việt Nam đã bắt đầu cuộc hành trình dấn thân vào AI, và có không ít bộ dữ liệu được đánh giá là có giá trị, nhưng cũng khá nhạy cảm. Đơn cử như bộ thông tin về khách hàng tại các ngân hàng; dữ liệu cá nhân của những người ký hợp đồng với các công ty bảo hiểm nhân thọ; hay hệ thống thông tin bệnh nhân được tập hợp tập trung trong thời gian sắp tới sau khi phương án bệnh án điện tử được triển khai.
Và thứ hai, nhiều đơn vị khai thác dữ liệu có thể thu tiền bằng việc chuyển giao ngay bộ dữ liệu “thô” mà không cần chờ đợi hay “tinh hóa” dữ liệu. Đây có thể là trường hợp bên có nhu cầu sử dụng cũng như khả năng phân tích dữ liệu là một bên thứ ba khác, như Cambrige Analytica trong vụ việc của Facebook xảy ra năm trước.
Rõ ràng, trong cả hai trường hợp này, nguy cơ xâm phạm quyền riêng tư là có, và việc bảo vệ quyền riêng tư vì vậy cần được chú ý.
Tiếp tục với quyền riêng tư
Thực ra, quyền riêng tư không phải là vấn đề pháp lý mới, nhưng hiện đang được nhắc rất nhiều là bởi mức độ dễ bị tổn thương của chúng trong nền kinh tế số. Chính mức độ xâm nhập của công nghệ trong thế giới vạn vật kết nối (Internet of things) đã khiến những cú nhấp chuột của một ai đó trên một ứng dụng/thiết bị này có thể được ghi lại ngay tức thì ở một ứng dụng/thiết bị khác, bất kể giới hạn về khoảng cách địa lý. Mà hành vi thì phản ánh thói quen, và cả suy nghĩ. Hay nói cách khác, toàn bộ hồ sơ của một cá nhân đều có thể bị các... cỗ máy rà soát và ghi chép lại một cách tỉ mỉ, không sót một li.
Để đáp trả, nguyên tắc pháp lý tối thượng vẫn là sự ghi nhận về quyền được kiểm soát của cá nhân đối với thông tin thuộc bí mật đời tư của họ. Hay nói cách khác, xung đột pháp lý có thể xảy ra khi có một ai đó cho rằng quá trình khai thác dữ liệu nói trên đã âm thầm diễn ra và nằm ngoài sự kiểm soát (unauthorized) của cá nhân đó. Xác suất này là có, nếu không muốn nói là rất lớn, trước con số người dùng quá khổng lồ của bộ dữ liệu lớn. Kêu gọi sự nhận thức và đồng thuận của hàng triệu triệu người dùng (user) chắc chắn là một đòi hỏi đầy gam go. Nhưng không phải vì vậy mà đơn vị nắm giữ dữ liệu thoát khỏi trách nhiệm, ngay cả khi họ vô tình để thông tin bị rò rỉ.
Đương nhiên, kinh nghiệm thống kê và sự cẩn trọng cần thiết đã buộc các trang mạng tìm mọi cách có được sự đồng ý từ phía người dùng. Nút “chấp nhận” chính sách bảo mật, có cả nội dung chấp nhận chia sẻ thông tin cá nhân cho trang mạng, xuất hiện như một bảo bối. Nhưng nhiều cuộc tranh luận gần đây tiếp tục diễn ra, có thể sẽ có hai xu hướng mới được pháp điển hóa trong tương lai.
Một, luật pháp cần hơn một sự đồng thuận thật sự thay vì chỉ đơn giản là một cú nhấp “chấp nhận” vì trên thực tế không ít người dùng đã phải bỏ qua bộ quy tắc rất dài và phức tạp, và đều được soạn sẵn bởi bên đề nghị, để dễ dàng tiến đến... nhấp chuột.
Và hai, việc nắm giữ dữ liệu cá nhân của người dùng chỉ được xem là hợp lý khi đó là yêu cầu cần thiết về mặt kỹ thuật để vận hành ứng dụng hay thiết bị. Xu hướng người dùng lơ đễnh hay bỏ qua các mối bận tâm về nguy cơ rủi ro đối với thông tin cá nhân là có. Lúc đó, cú nhấp chuột “chấp nhận” như vừa nói rõ ràng đã không phản ánh đầy đủ các hàm ý của nó.
Tất cả những điều này có thể được phản ánh qua sự phản đối của công luận và các khía cạnh được tranh luận liên quan đến vụ việc chia sẻ dữ liệu người dùng của Facebook cho Cambridge Analytica vừa nêu.
Ứng xử của các nước và Việt Nam
Lịch sử nền tư pháp Mỹ là một điển hình. Nhiều án lệ từ trước và kể cả mới đây đều đưa ra những phán quyết cáo buộc sự vi phạm của đơn vị thu thập và quản lý dữ liệu khi chia sẻ thông tin cá nhân cho một bên thứ ba.
Đặc biệt, nhiều đơn vị trường học đã bị nêu tên do thiếu cẩn trọng, để bên thứ ba tiếp cận hồ sơ giáo dục của người học. Thậm chí việc chia sẻ tư liệu vi phạm quy chế học tập của người học cũng bị kết án. Khá thú vị là vụ việc xảy ra vào năm 1976. Khi đó, một phán quyết của Tòa án tối cao Mỹ đã cho rằng, trường học cần có giới hạn trong việc chia sẻ thông tin sinh viên có thai (và cả sinh con) cho chính cha mẹ của họ nếu như chưa có sự đồng thuận của người đó.
Các vụ việc tương tự trong lĩnh vực nhạy cảm thứ hai là y tế cũng không quá khó để tìm. Thậm chí, sau một phán quyết phản bác bản án của Tòa án Phần Lan, chấp nhận cáo buộc vi phạm quy định bảo đảm tính độc lập của thông tin cá nhân của một nữ nhân viên y tế nhiễm HIV vào năm 2008, Tòa án quyền con người châu Âu còn nhận định rằng, quy định về quyền được khởi kiện và yêu cầu bồi thường đối với hành động xâm phạm thông tin riêng tư chưa phải là giải pháp hữu hiệu. Giải pháp quan trọng là phải hướng đến khả năng loại trừ sự tiếp cận thông tin trái phép ngay từ đầu.
Đương nhiên, quyền riêng tư là một khái niệm khá trừu tượng, và thậm chí là tối nghĩa. Vì vậy, nó cần được xác định một cách chi tiết và rõ ràng hơn trong từng hệ thống pháp luật. Nhưng chắc chắn, khi quá trình thâm nhập của bigdata càng sâu rộng thì mức độ đụng chạm đến quyền riêng tư càng lớn.
Có thể kể ra một vụ việc điển hình khác xảy ra gần đây nhất tại Nhật Bản. Phán quyết cuối cùng của Tòa tối cao Nhật Bản vào năm 2016 khẳng định rằng, kể cả việc sử dụng hệ thống định vị GPS trong việc điều tra tội phạm cũng cần phải được cảnh báo trước. Việc bí mật gắn thiết bị định vị để dò la dấu tích được cho là có khả năng xâm phạm đến quyền riêng tư của cá nhân.
Án lệ này cũng có thể được xem như một cách lý giải thực tế vì sao các camera “chống trộm” được gắn ở các thang máy tòa nhà, cổng ga và cả trên toa tàu... ở Nhật Bản đều có kèm một bản ghi chú, đại loại: Nơi này có thiết bị ghi hình để theo dõi hành vi phạm pháp.
Xa hơn nữa, việc yêu cầu sinh viên nhập học hay bệnh nhân nhập viện ký vào bản cam kết (pledge/consent) trao quyền quản lý và sử dụng thông tin cá nhân cho các trường học và bệnh viện đã diễn ra thuần thục ở nhiều nơi. Công bố minh bạch chính sách bảo mật trên các trang web của những đơn vị này cũng lần lượt bắt đầu. Đặc biệt, điều đó cũng diễn ra đối với các trang web của các cơ quan công quyền, điển hình như bộ tư pháp, của nhiều nước.
Nhưng tất cả những điều này vẫn đang còn rất lạ với Việt Nam. Nguyên nhân có thể có nhiều, kể cả ý thức về quyền riêng tư lẫn hệ thống pháp luật. Cho dù với nguyên nhân nào, một thói quen mới có trách nhiệm hơn với thông tin cũng cần được thiết lập. Cho dù việc khai thác và sử dụng dữ liệu đó cho hoạt động khoa học hay một mục đích ngoài kinh doanh nào khác thì thói quen đó cũng đều rất cần thiết.
Việt Nam đã bắt đầu cuộc hành trình dấn thân vào AI, và có không ít bộ dữ liệu được đánh giá là có giá trị, nhưng cũng khá nhạy cảm. Đơn cử như bộ thông tin về khách hàng tại các ngân hàng; dữ liệu cá nhân của những người ký hợp đồng với các công ty bảo hiểm nhân thọ; hay hệ thống thông tin bệnh nhân được tập hợp tập trung trong thời gian sắp tới sau khi phương án bệnh án điện tử được triển khai. Khi ý tưởng khai thác, và cả kinh doanh, bộ dữ liệu ấy nảy sinh thì đồng nghĩa các đòi hỏi nêu trên về bộ dữ liệu sạch, tinh và chính sách về quyền riêng tư cần được đảm bảo, ngay từ khâu khởi đầu.
Đòi hỏi tạo dựng một khung pháp lý riêng cho việc sử dụng và kinh doanh dữ liệu là rất cần. Luật An ninh mạng chắc chắn chưa phải là công cụ chính yếu, bởi sắc luật này hướng đến một mục tiêu khác. Tuy nhiên, bên cạnh các giải pháp cho vấn đề an ninh mạng, văn bản đã không quên nhắc đến trách nhiệm của các đơn vị chủ quản hệ thống thông tin trong việc bảo vệ “bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư” trên hệ thống thông tin đó (khoản 2 điều 17). Quy định này có thể được xem như một viên gạch quan trọng được đặt tiếp trong quá trình định hình chính sách pháp lý mới cho nền kinh tế dữ liệu ở Việt Nam.
(*)Trường Đại học Kinh tế - Luật, ĐHQG TPHCM
Trương Trọng Hiểu (*)