Nếu không được quyền tiếp cận dữ liệu thì lấy gì mà kiểm toán!
Dự luật về Kiểm toán Nhà nước cần được thống nhất thông qua về điều khoản trao quyền cho Kiểm toán Nhà nước tiếp cận và xử lý các dữ liệu, thông tin về cá nhân và tổ chức. Đồng thời, dự luật cũng cần quy định đầy đủ và chi tiết các nghĩa vụ của Kiểm toán Nhà nước trong việc bảo vệ dữ liệu cá nhân.
Kiểm toán Nhà nước cần phải đảm bảo tiếp cận dữ liệu cá nhân được giới hạn ở những người có trách nhiệm và chỉ được tiếp cận trong phạm vi cần thiết cho công việc của người đó.
Mới đây, Ủy ban Thường vụ Quốc hội (Ủy ban) đã cho ý kiến về các nội dung còn nhiều ý kiến khác nhau của dự án Luật sửa đổi, bổ sung một số điều của Luật Kiểm toán Nhà nước (KTNN). Dự luật cho phép KTNN trong quá trình kiểm toán có quyền truy cập dữ liệu của đơn vị chịu sự kiểm toán(1).
Lẽ đương nhiên là một dự luật đưa ra Quốc hội thì thường sẽ nhận được các ý kiến trái chiều, “băn khoăn”, hoặc tán đồng. Dự luật trên cũng vậy. Nhưng điều đáng nói là các ý kiến nêu ra lại có sự khác biệt đáng kể liên quan đến phạm vi nội dung của dự luật.
Dữ liệu hay phần mềm quản lý?
Cụ thể, theo tường thuật của báo chí(1), Chủ nhiệm Ủy ban Đối ngoại Nguyễn Văn Giàu “băn khoăn về quyền của KTNN được truy cập phần mềm quản lý của cơ quan, tổ chức, doanh nghiệp. Cần lưu ý vấn đề này, xem kinh nghiệm quốc tế thế nào, bởi truy cập vào phần mềm của người ta có thể phạm đến bí mật đời tư, bí mật doanh nghiệp”. Tương tự, Phó chủ tịch Quốc hội Phùng Quốc Hiển cũng lo ngại: “...tuy nhiên truy cập vào các phần mềm quản lý nội bộ lại là vấn đề cần quy định rõ”.
Cần lưu ý rằng khái niệm “phần mềm quản lý (nội bộ)” hoàn toàn khác với khái niệm “dữ liệu cá nhân, doanh nghiệp”. Hãy hình dung phần mềm quản lý nội bộ này tương tự như, ví dụ, một hệ thống sổ sách kế toán của doanh nghiệp. Nhưng trong các sổ sách kế toán này có dữ liệu gì, đầy đủ và đúng đắn hay không thì lại phụ thuộc vào những kế toán viên và kế toán trưởng nhập dữ liệu doanh nghiệp vào trong sổ sách.
Do đó, nếu sự “băn khoăn” và lo ngại của ông Giàu và ông Hiển như nói trên được tường thuật chính xác thì câu hỏi cực kỳ quan trọng ở đây cần được trả lời ngay và trả lời gấp là vậy thì rốt cuộc dự luật trên cho phép KTNN truy cập cái gì trong hai thứ (i) dữ liệu, (ii) phần mềm quản lý (nội bộ) của đơn vị chịu sự kiểm toán?
Kinh nghiệm quốc tế
Báo chí(1) cũng đưa tin Phó chủ tịch Quốc hội Tòng Thị Phóng đề nghị quy định rõ KTNN có quyền truy cập nhưng phải đảm bảo danh dự, nhân phẩm, bí mật kinh doanh... của cá nhân, đơn vị chịu sự kiểm toán.
Như vậy, và kết hợp với sự phân tích ở trên, xem ra điều quan trọng, và quan ngại (một cách đúng đắn) và cái đích cuối cùng nhắm đến là chuyện truy cập, sử dụng các dữ liệu cá nhân, đơn vị chịu sự kiểm toán như thế nào, chứ không phải là chuyện truy cập phần mềm quản lý của đơn vị đó.
Liên quan đến vấn đề truy cập và sử dụng dữ liệu cá nhân, đơn vị chịu sự kiểm toán ở trên thế giới, có thể tham khảo ngay trường hợp của khối EU. Hiến chương về quyền cơ bản của EU nêu rõ: “Mọi người đều có quyền được bảo vệ dữ liệu cá nhân về mình”. Do đó, quy tắc thực hành của Office of the Comptroller and Auditor General của EU (ở bài này gọi tắt là OCAG), có vai trò tương tự như KTNN, được xây dựng trên nguyên tắc này(2).
Một mặt, phần Lời nói đầu của quy tắc thực hành của OCAG nêu rõ rằng họ có quyền luật định được tiếp cận dữ liệu và thông tin để đảm bảo rằng họ thực hiện hiệu quả chức năng theo luật (tức kiểm toán) của mình. Với họ, thông tin là xương sống trong quy tắc thực hiện công việc bởi công việc của họ là thường nhật kiểm tra các giấy tờ, chứng từ, phỏng vấn ban lãnh đạo, thanh kiểm tra, và xác nhận qua bên thứ ba... Nguồn chứng cứ đầu tiên chính là các giấy tờ, chứng từ của đơn vị được kiểm toán. Những giấy tờ, chứng từ này cũng chính là thông tin cá nhân bởi trong chừng mực nào đó thì nội dung từ nó là về các cá nhân đang có mặt trên đời.
Hơn nữa, quy tắc thực hành của OCAG cũng trích dẫn Luật Kiểm toán (sửa đổi) năm 1993 cho phép OCAG có hàng loạt quyền như quyền thu thập dữ liệu và quyền xử lý dữ liệu...
Như vậy, quy tắc thực hành của OCAG đã gián tiếp và trực tiếp xác nhận và khẳng định quyền luật định của họ được tiếp cận dữ liệu, thông tin cần thiết về cá nhân, doanh nghiệp - vấn đề đang được đưa ra thảo luận nên hay không nên cho phép ở Việt Nam. Bởi vậy, điều quan trọng cần làm còn lại ở Việt Nam là cần quy định những nghĩa vụ nào cho KTNN liên quan đến dữ liệu cá nhân mà họ thu thập được.
Quy tắc thực hành của OCAG cũng cho thấy nhiều chi tiết hữu ích liên quan đến nghĩa vụ nêu trên. Theo đó, KTNN cần phải đảm bảo cho đối tượng bị thu thập thông tin/dữ liệu cá nhân được quyền trong nhiều vấn đề, gồm có quyền được nghe KTNN giải thích lý do tại sao lại thu thập, xử lý dữ liệu cá nhân của họ; quyền tiếp cận thông tin (tức dữ liệu về bản thân người đó đã được KTNN lưu giữ); quyền sửa đổi lại dữ liệu cá nhân của mình; quyền xóa dữ liệu (quyền được lãng quên); quyền được hạn chế việc xử lý dữ liệu cá nhân...
Về phía KTNN, cần phải đảm bảo tiếp cận dữ liệu cá nhân được giới hạn ở những người có trách nhiệm và chỉ được tiếp cận trong phạm vi cần thiết cho công việc của người đó. Ngoài ra, việc bảo mật thông tin cần được đảm bảo tuyệt đối, không được thất thoát, rò rỉ ra bên ngoài qua bất kỳ kênh nào theo đúng quy định của, ví dụ, nguyên tắc bảo vệ dữ liệu cũng như các điều khoản liên quan trong quy tắc thực hành...
Tóm lại, dự luật về KTNN cần được thống nhất thông qua về điều khoản trao quyền cho KTNN tiếp cận và xử lý các dữ liệu, thông tin về cá nhân và tổ chức. Đồng thời, dự luật cũng cần quy định đầy đủ và chi tiết các nghĩa vụ của KTNN trong việc bảo vệ dữ liệu cá nhân, mà có thể dễ dàng tham khảo thực tế ở nước ngoài.
(1) https://tuoitre.vn/kiem-toan-co-quyen-truy-cap-toan-bo-du-lieu-ca-nhan-doanh-nghiep-20190812102449481.htm
(2) https://www.audit.gov.ie/en/Management-of-Personal-Data/Code-of-Practice-Protection-of-Personal-Data.pdf
Châu Phan
