Khung pháp lý và cách các quốc gia xử lý việc mua bán dữ liệu cá nhân

Nhiều nước luật hóa việc trấn áp các hoạt động thu thập, mua bán và cung cấp dữ liệu bất hợp pháp

Trong kỷ nguyên số hóa, dữ liệu cá nhân đã trở thành một nguồn tài nguyên quý giá, thường được ví như “vàng mới” của thế kỷ 21. Từ lịch sử duyệt web, thói quen tiêu dùng, vị trí địa lý, đến các đặc điểm sinh trắc học như khuôn mặt hay dấu vân tay, mọi thông tin về cá nhân đều có thể được thu thập, phân tích và, trong nhiều trường hợp, mua bán để phục vụ mục đích thương mại, nghiên cứu, hoặc thậm chí các hoạt động bất hợp pháp. Tuy nhiên, sự bùng nổ của các vụ vi phạm dữ liệu – như vụ Cambridge Analytica năm 2018[1] hay các vụ rò rỉ dữ liệu quy mô lớn tại các tập đoàn công nghệ – đã làm dấy lên lo ngại về quyền riêng tư và đặt ra yêu cầu cấp thiết về việc kiểm soát chặt chẽ hoạt động mua bán dữ liệu cá nhân.

Vậy, các quốc gia trên thế giới có cấm hành vi này không? Câu trả lời không đơn giản và phụ thuộc vào triết lý lập pháp, trình độ phát triển công nghệ, và quan điểm văn hóa về quyền riêng tư tại từng quốc gia. Một số quốc gia, đặc biệt tại châu Âu, coi dữ liệu cá nhân là quyền cơ bản của con người và áp dụng các quy định nghiêm ngặt. Trong khi đó, ở các khu vực khác, như Hoa Kỳ, cách tiếp cận có phần linh hoạt hơn, tạo ra vùng xám pháp lý nơi dữ liệu cá nhân vẫn được giao dịch rộng rãi. Trong bài viết này, chúng tôi sẽ phân tích các khung pháp lý tại các khu vực chính trên thế giới – châu Âu, Bắc Mỹ, châu Á, châu Đại Dương, và Nam Mỹ – để làm rõ cách các quốc gia xử lý vấn đề mua bán dữ liệu cá nhân, đồng thời đánh giá xu hướng toàn cầu và đưa ra khuyến nghị cho tương lai.

1. Châu Âu, nơi quyền riêng tư là quyền bất khả xâm phạm

Châu Âu là khu vực tiên phong trong việc bảo vệ dữ liệu cá nhân, coi quyền riêng tư là một quyền cơ bản của con người, ngang hàng với các quyền tự do ngôn luận hay tự do đi lại. Quy định Chung về Bảo vệ Dữ liệu (General Data Protection Regulation - GDPR), được Liên minh Châu Âu (EU) ban hành năm 2016 và có hiệu lực từ năm 2018, là khung pháp lý toàn diện và nghiêm ngặt nhất thế giới về bảo vệ dữ liệu cá nhân. GDPR áp dụng cho tất cả 27 quốc gia thành viên EU và các công ty toàn cầu xử lý dữ liệu của công dân EU, bất kể trụ sở của họ ở đâu.

GDPR và nguyên tắc đồng thuận

Theo GDPR, bất kỳ hoạt động xử lý dữ liệu cá nhân nào, bao gồm thu thập, lưu trữ, chia sẻ, hoặc bán dữ liệu, đều phải dựa trên một trong sáu căn cứ pháp lý, trong đó sự đồng ý rõ ràng (explicit consent) của chủ thể dữ liệu là yếu tố quan trọng nhất trong các giao dịch thương mại. Việc mua bán dữ liệu cá nhân mà không có sự đồng ý được coi là vi phạm nghiêm trọng. Các doanh nghiệp vi phạm có thể bị phạt hành chính lên tới 20 triệu Euro hoặc 4% doanh thu toàn cầu hàng năm, tùy theo mức nào cao hơn[2].

GDPR là một quy định trong luật Liên minh châu Âu (EU) về bảo vệ dữ liệu và sự riêng tư cho tất cả các công dân của EU và Khu vực Kinh tế châu Âu (EEA). GDPR cũng điều chỉnh các hoạt động trong việc chuyển dữ liệu cá nhân bên ngoài khu vực EU và EEA

Các trường hợp điển hình tại Pháp và Đức

Tại Pháp, Ủy ban Quốc gia về Tin học và Tự do (CNIL) là cơ quan thực thi GDPR với quyền hạn mạnh mẽ. Năm 2019, CNIL đã phạt Google 50 triệu Euro vì vi phạm GDPR, liên quan đến việc thiếu minh bạch trong thu thập và sử dụng dữ liệu người dùng[3]. Tương tự, tại Đức, cơ quan bảo vệ dữ liệu liên bang (BfDI) đã áp dụng các biện pháp cứng rắn. Đức không chỉ áp dụng các hình phạt hành chính mà còn hình sự hóa hành vi mua bán dữ liệu trái phép. Theo Điều 42 của Luật Bảo vệ Dữ liệu Liên bang Đức, việc cố ý bán dữ liệu nhạy cảm (như thông tin y tế hoặc sinh trắc học) có thể dẫn đến án tù lên đến 3 năm[4].

Quy định của Vương quốc Anh

Sau Brexit, Vương quốc Anh đã ban hành UK GDPR, một phiên bản nội địa hóa của GDPR, với các quy định tương tự. Các công ty hoạt động tại Anh phải tuân thủ nghiêm ngặt các yêu cầu về sự đồng ý và minh bạch khi xử lý dữ liệu cá nhân. Năm 2021, Cơ quan Bảo vệ Dữ liệu Anh (ICO) đã phạt British Airways 20 triệu bảng vì vụ rò rỉ dữ liệu của hơn 400.000 khách hàng[5], cho thấy sự nghiêm túc trong thực thi pháp luật.

Châu Âu đặt ra tiêu chuẩn vàng cho bảo vệ dữ liệu cá nhân. Việc mua bán dữ liệu mà không có sự đồng ý rõ ràng không chỉ bị cấm mà còn bị trừng phạt nặng nề. Quan điểm này phản ánh triết lý coi quyền riêng tư là một quyền con người cơ bản, không thể bị thương mại hóa một cách tùy tiện.

2. Sự linh hoạt của khu vực Bắc Mỹ

Bắc Mỹ, đặc biệt là Hoa Kỳ và Canada, có cách tiếp cận khác biệt đáng kể so với châu Âu, phản ánh sự ưu tiên cho tự do kinh doanh và sự khác biệt trong hệ thống pháp lý.

Hoa Kỳ, bảo vệ dữ liệu cá nhân bằng thực tiễn và thực chất

Không giống châu Âu, Hoa Kỳ không có một đạo luật bảo vệ dữ liệu cá nhân toàn liên bang. Thay vào đó, các quy định được phân mảnh theo ngành (như HIPAA cho y tế, GLBA cho tài chính, COPPA cho trẻ em) và theo quy định riêng của từng tiểu bang. Điều này tạo ra một môi trường pháp lý phức tạp, nơi việc mua bán dữ liệu cá nhân vẫn diễn ra phổ biến, đặc biệt trong lĩnh vực quảng cáo trực tuyến.

Tiểu bang California dẫn đầu với Đạo luật Quyền riêng tư của Người tiêu dùng California (CCPA, 2018[6]) và Đạo luật Quyền riêng tư California (CPRA, 2020). Các luật này trao cho người dân quyền kiểm soát dữ liệu của mình, bao gồm quyền từ chối việc bán dữ liệu cá nhân. Tuy nhiên, khái niệm “bán” trong CCPA/CPRA không chỉ giới hạn ở giao dịch tiền tệ mà còn bao gồm việc chia sẻ dữ liệu để đổi lấy lợi ích thương mại. Chẳng hạn như một công ty chia sẻ dữ liệu người dùng với nền tảng quảng cáo để đổi lấy dịch vụ có thể bị coi là “bán dữ liệu”.

Ở cấp liên bang, các điều khoản sử dụng thường dài dòng và khó hiểu được dùng để thu thập sự đồng ý của người dùng, dẫn đến thực tế là nhiều người không thực sự nhận thức được việc dữ liệu của họ đang được giao dịch. Vụ kiện chống lại Meta năm 2022[7], với cáo buộc chia sẻ dữ liệu người dùng trái phép với các nhà quảng cáo, là một minh chứng cho những rủi ro pháp lý trong mô hình này.

Canada ưu tiên bảo vệ dữ liệu người tiêu dùng

Canada có cách tiếp cận chặt chẽ hơn với Luật Bảo vệ Thông tin Cá nhân và Tài liệu Điện tử (PIPEDA). Luật này yêu cầu các doanh nghiệp phải có sự đồng ý rõ ràng trước khi thu thập, sử dụng, hoặc chia sẻ dữ liệu cá nhân. Việc bán dữ liệu mà không có sự đồng ý có thể dẫn đến mức phạt lên đến 100.000 CAD theo luật liên bang. Tại tỉnh Quebec, Đạo luật 64 (2021) còn siết chặt hơn với mức phạt lên tới 10 triệu CAD hoặc 2% doanh thu toàn cầu[8].

Có thể thấy, trong khi Canada áp dụng một cách tiếp cận thống nhất và tập trung vào quyền của người tiêu dùng, Hoa Kỳ lại cho thấy sự phân mảnh, với các tiểu bang như California, Virginia, và Colorado đi đầu trong bảo vệ dữ liệu, trong khi các khu vực khác vẫn thiếu quy định rõ ràng. Điều này tạo ra một thị trường dữ liệu cá nhân sôi động nhưng cũng đầy rủi ro pháp lý.

3. Châu Á đang nhanh chóng chuyển hướng bảo vệ dữ liệu cá nhân

Châu Á là khu vực có sự chuyển biến mạnh mẽ trong thập kỷ qua, với nhiều quốc gia ban hành hoặc sửa đổi luật để kiểm soát chặt chẽ hơn việc mua bán dữ liệu cá nhân.

Trung Quốc với một khung pháp lý nghiêm khắc

Luật Bảo vệ Thông tin Cá nhân (PIPL), có hiệu lực từ năm 2021, đánh dấu bước ngoặt trong cách tiếp cận của Trung Quốc đối với quyền riêng tư. PIPL yêu cầu sự đồng ý rõ ràng trước khi xử lý dữ liệu cá nhân và nghiêm cấm việc tiết lộ hoặc bán dữ liệu trái phép. Các vi phạm có thể bị phạt tới 50 triệu Nhân dân tệ (khoảng 7 triệu USD) hoặc 5% doanh thu năm trước. Trong trường hợp nghiêm trọng, cá nhân vi phạm có thể bị tù tới 7 năm theo Bộ luật Hình sự. Vụ việc xử phạt Didi Global năm 2022 với mức phạt 8 tỷ Nhân dân tệ vì vi phạm PIPL là một ví dụ điển hình cho sự cứng rắn của chính phủ Trung Quốc[9].

Nhật Bản và Hàn Quốc tiệm cận tiêu chuẩn toàn cầu

Nhật Bản với Luật Bảo vệ Thông tin Cá nhân (APPI) và Hàn Quốc với Đạo luật Bảo vệ Thông tin Cá nhân (PIPA) đều yêu cầu sự đồng ý trước khi chia sẻ dữ liệu với bên thứ ba. Các sửa đổi gần đây đã siết chặt cơ chế “opt-out” (cho phép người dùng từ chối chia sẻ dữ liệu) và tăng mức phạt. Tại Hàn Quốc, vi phạm có thể dẫn đến án tù lên đến 6 năm[10], trong khi Nhật Bản áp dụng mức phạt hành chính lên tới 100 triệu yên (khoảng 700.000 USD)[11].

Singapore và Ấn Độ với một khung pháp lý hiện đại

Singapore, với Đạo luật Bảo vệ Dữ liệu Cá nhân 2012 (PDPA), Singapore không cấm “mua bán” bằng từ ngữ cụ thể, nhưng luật đòi hỏi phải có consent (đồng ý) cho bất kỳ tiết lộ nào, nên bán thông tin mà thiếu consent là bất hợp pháp. Ngoài ra, PDPA có quy định riêng về Do Not Call – cấm mua bán danh sách liên lạc để quảng cáo nếu người dùng đã đăng ký chặn quảng cáo yêu cầu sự đồng ý rõ ràng trước khi chia sẻ dữ liệu. Với PDPA, sau khi được sửa đổi năm 2022, Singapore đã mức phạt cho vi phạm tăng lên 1 triệu SGD hoặc 10% doanh thu hàng năm[12].

Ấn Độ, với Đạo luật Bảo vệ Dữ liệu Cá nhân Kỹ thuật số (DPDPA) 2023. Luật mới yêu cầu mọi xử lý dữ liệu cá nhân kỹ thuật số phải có căn cứ hợp pháp (thường là sự đồng ý của cá nhân hoặc các trường hợp ngoại lệ như phục vụ lợi ích công, nghĩa vụ pháp lý...). Việc bán hay chuyển dữ liệu cá nhân cho bên khác nếu không thuộc các mục đích hợp pháp được cho phép sẽ vi phạm luật. DPDPA cũng đề cao trách nhiệm về bảo mật dữ liệu – các công ty phải đảm bảo không để lộ lọt dữ liệu; nếu lơ là để xảy ra rò rỉ dữ liệu cá nhân, cũng bị coi là vi phạm nghiêm trọngcũng áp dụng các giới hạn nghiêm ngặt, với mức phạt đối với hành vi mua bán dữ liệu cá nhân lên tới 250 crore rupee (tương đương khoảng 30 triệu USD)[13].

4. Châu Đại Dương và Nam Mỹ đang dần hội nhập với tiêu chuẩn toàn cầu

Úc tăng cường giám sát việc bảo vệ dữ liệu cá nhân

Đạo luật Quyền riêng tư 1988 và các Nguyên tắc Quyền riêng tư của Úc (APPs) kiểm soát chặt chẽ việc sử dụng và tiết lộ thông tin cá nhân. Các tổ chức chỉ được sử dụng hoặc tiết lộ (bao gồm bán) dữ liệu cá nhân cho mục đích thứ cấp nếu có sự đồng ý của cá nhân hoặc thuộc ngoại lệ luật cho phép. Do đó, bán dữ liệu khách hàng cho bên khác mà không được phép sẽ vi phạm nguyên tắc về giới hạn sử dụng dữ liệu. Úc cũng đang thảo luận sửa luật để tăng cường hơn nữa quyền kiểm soát của cá nhân đối với dữ liệu của mình (bao gồm quyền phản đối việc chia sẻ dữ liệu cho mục đích thương mại). Các sửa đổi gần đây đã tăng mức phạt lên tới 50 triệu AUD hoặc 30% doanh thu hàng năm[14], phản ánh xu hướng hội nhập với các tiêu chuẩn như GDPR. Cơ quan Ủy viên Thông tin Úc (OAIC) đã xử lý nhiều vụ vi phạm, như vụ phạt Optus năm 2022 liên quan đến rò rỉ dữ liệu của hàng triệu khách hàng.

Brazil là điển hình của mô hình GDPR tại Nam Mỹ

Luật Bảo vệ Dữ liệu Chung 2018 (LGPD) của Brazil, có hiệu lực từ năm 2020, được xây dựng dựa trên mô hình GDPR. LGPD quy định việc xử lý dữ liệu cá nhân (bao gồm truyền cho bên thứ ba hoặc thương mại hóa) phải dựa trên một trong các căn cứ pháp lý được luật cho phép (ví dụ như có sự đồng ý của chủ thể dữ liệu, hoặc để thực hiện hợp đồng, nghĩa vụ pháp lý…). Việc mua bán dữ liệu cá nhân mà không có căn cứ hợp pháp cũng bị coi là vi phạm tương tự như dưới GDPR. Brazil thường xuyên nhấn mạnh nguyên tắc minh bạch và hạn chế mục đích – công ty thu thập dữ liệu vì mục đích A không được tự ý bán cho bên khác để dùng vào mục đích B nếu chưa được người dữ liệu đồng ýViệc mua bán dữ liệu cá nhân trái phép bị cấm, với mức phạt lên tới 2% doanh thu tại Brazil, tối đa 50 triệu Real mỗi vi phạm[15]. Cơ quan Bảo vệ Dữ liệu Quốc gia (ANPD) đang tăng cường thực thi, với các vụ phạt lớn nhằm vào các công ty công nghệ.

Phân tích từ các khu vực trên cho thấy một xu hướng rõ ràng rằng các quốc gia ngày càng siết chặt việc mua bán dữ liệu cá nhân, đặc biệt khi thiếu sự đồng ý của chủ thể dữ liệu. Các khung pháp lý như GDPR (EU), PIPL (Trung Quốc), và LGPD (Brazil) đang trở thành hình mẫu cho các quốc gia khác. Ngay cả những nước từng có cách tiếp cận linh hoạt, như Hoa Kỳ, cũng bắt đầu ban hành các quy định cấp tiểu bang để bảo vệ quyền riêng tư.

Sự gia tăng các vụ vi phạm dữ liệu – như vụ rò rỉ dữ liệu Equifax năm 2017 tại Mỹ[16] hay vụ TikTok bị điều tra tại EU – đã thúc đẩy các nhà lập pháp hành động nhanh chóng. Theo báo cáo của IBM Security năm 2023, chi phí trung bình của một vụ vi phạm dữ liệu trên toàn cầu là 4,45 triệu USD, tăng 15% so với năm 2020. Điều này nhấn mạnh tầm quan trọng của các quy định chặt chẽ để bảo vệ người tiêu dùng và giảm thiểu rủi ro tài chính cho doanh nghiệp.

Việc mua bán dữ liệu cá nhân đang bị kiểm soát ngày càng chặt chẽ trên toàn cầu, với nhiều quốc gia cấm hoàn toàn hoặc yêu cầu sự đồng ý rõ ràng của cá nhân. Từ châu Âu với GDPR, châu Á với PIPL, đến Nam Mỹ với LGPD, các nhà lập pháp đang gửi đi một thông điệp rõ ràng rằng dữ liệu cá nhân không phải là hàng hóa thông thường. Trong một thế giới số hóa, việc bảo vệ quyền riêng tư không chỉ là vấn đề pháp lý mà còn là một yêu cầu đạo đức, đòi hỏi sự hợp tác giữa chính phủ, doanh nghiệp, và cá nhân để xây dựng một hệ sinh thái số an toàn và bền vững. Với xu hướng này của toàn cầu các nhà lập pháp của Việt Nam hoàn toàn có thể mạnh dạn tham khảo để đưa ra quy định phù hợp trong vấn đề mua bán dữ liệu cá nhân. Tuy nhiên, chúng tôi cho rằng các nhà lập pháp cũng cần cân nhắc cẩn trọng đến một mô hình hay cụ thể hơn là một quy định mang tính bản sắc và thấu cảm với bối cảnh của Việt Nam và các doanh nghiệp Việt Nam hơn là chọn các quy định tiệm cận thế giới nhưng thiếu phù hợp thực tế.