Công nhận giá trị pháp lý của dữ liệu sinh trắc học trong giao dịch điện tử theo pháp luật Việt Nam và so sánh với một số quốc gia

Ảnh minh hoạ

1. Quy định về dữ liệu sinh trắc học trong giao dịch điện tử tại Việt Nam

Theo pháp luật Việt Nam, dữ liệu sinh trắc học được xem là một dạng thông tin cá nhân đặc biệt, được điều chỉnh bởi Luật An ninh mạng 2018, Luật Bảo vệ dữ liệu cá nhân 2022, và Luật Giao dịch điện tử 2023. Mặc dù chưa có định nghĩa cụ thể về dữ liệu sinh trắc học trong các văn bản này, Luật Bảo vệ dữ liệu cá nhân 2022 xác định thông tin sinh trắc học là “dữ liệu liên quan đến đặc điểm vật lý hoặc hành vi của cá nhân, được sử dụng để xác định duy nhất một cá nhân”. Trong giao dịch điện tử, dữ liệu sinh trắc học thường được sử dụng để xác thực danh tính, ví dụ khi mở tài khoản ngân hàng trực tuyến hoặc đăng nhập vào cổng dịch vụ công quốc gia.

Luật Giao dịch điện tử 2023 quy định rằng phương thức xác thực danh tính trong giao dịch điện tử, bao gồm dữ liệu sinh trắc học, phải đảm bảo tính xác thực, bảo mật, và được thực hiện bởi hệ thống thông tin đáp ứng tiêu chuẩn do Bộ Thông tin và Truyền thông ban hành. Ví dụ, việc sử dụng nhận diện khuôn mặt để ký hợp đồng điện tử với ngân hàng được coi là hợp pháp nếu hệ thống xác thực được cấp phép và dữ liệu sinh trắc học được mã hóa. Tuy nhiên, pháp luật Việt Nam yêu cầu dữ liệu sinh trắc học phải được gắn với chữ ký số hoặc chứng thư số, gây khó khăn trong các trường hợp sử dụng độc lập như nhận diện khuôn mặt trên ứng dụng di động.

Một vấn đề pháp lý nổi bật là quyền riêng tư. Luật Bảo vệ dữ liệu cá nhân 2022 quy định rằng việc thu thập, xử lý, và lưu trữ dữ liệu sinh trắc học phải có sự đồng ý rõ ràng của cá nhân, trừ trường hợp phục vụ mục đích công vụ. Tuy nhiên, các quy định về trách nhiệm pháp lý khi dữ liệu sinh trắc học bị rò rỉ hoặc lạm dụng còn mơ hồ. Ví dụ, nếu một ứng dụng thương mại điện tử sử dụng nhận diện khuôn mặt nhưng để lộ dữ liệu do lỗi bảo mật, pháp luật chưa quy định rõ mức xử phạt hoặc cơ chế bồi thường. Hơn nữa, hệ thống VNeID, dù đã tích hợp xác thực sinh trắc học, chưa hỗ trợ đầy đủ việc sử dụng dữ liệu này trong giao dịch điện tử dân sự, làm hạn chế tiềm năng ứng dụng.

2. Quy định về dữ liệu sinh trắc học tại Mỹ và Singapore

2.1. Tại Mỹ

Tại Mỹ, dữ liệu sinh trắc học trong giao dịch điện tử được điều chỉnh bởi một loạt văn bản pháp luật liên bang và tiểu bang, nổi bật là Đạo luật ESIGN 2000, Luật Thống nhất về Giao dịch Điện tử (UETA) 1999, và các luật bảo vệ quyền riêng tư như Đạo luật Bảo vệ Quyền riêng tư Sinh trắc học Illinois (BIPA) 2008. Mỹ áp dụng nguyên tắc trung lập công nghệ, cho phép dữ liệu sinh trắc học được sử dụng để xác thực danh tính trong giao dịch điện tử nếu đáp ứng các tiêu chí về tính xác thực và sự đồng ý của cá nhân.

Ảnh minh họa

Đạo luật ESIGN yêu cầu rằng phương thức xác thực danh tính, bao gồm dữ liệu sinh trắc học, phải thể hiện ý định của các bên và được lưu trữ để kiểm tra. Ví dụ, việc sử dụng vân tay để xác nhận thanh toán trên Apple Pay được công nhận là hợp pháp nếu người dùng đồng ý và giao dịch được ghi lại bằng metadata. Tuy nhiên, BIPA tại Illinois đặt ra yêu cầu nghiêm ngặt hơn, buộc doanh nghiệp phải thông báo và nhận đồng ý bằng văn bản trước khi thu thập dữ liệu sinh trắc học, đồng thời quy định mức phạt nặng nếu vi phạm. Trong vụ Rosenbach v. Six Flags (2019), tòa án Illinois xác định rằng việc thu thập vân tay mà không có sự đồng ý rõ ràng là vi phạm quyền riêng tư, ngay cả khi không có thiệt hại cụ thể.

2.2. Tại Singapore

Singapore có khung pháp lý tiên tiến về dữ liệu sinh trắc học, được điều chỉnh bởi Đạo luật Giao dịch Điện tử (ETA, sửa đổi 2021) và Đạo luật Bảo vệ Dữ liệu Cá nhân (PDPA) 2012. ETA công nhận dữ liệu sinh trắc học là một phương thức xác thực danh tính trong giao dịch điện tử nếu đảm bảo tính xác thực, bảo mật, và được các bên đồng ý. PDPA yêu cầu tổ chức thu thập dữ liệu sinh trắc học phải thông báo mục đích sử dụng và nhận sự đồng ý rõ ràng, đồng thời thiết lập các biện pháp bảo mật nghiêm ngặt.

Điểm nổi bật tại Singapore là sự tích hợp dữ liệu sinh trắc học với hệ thống nhận dạng số quốc gia SingPass. Ví dụ, người dân có thể sử dụng nhận diện khuôn mặt qua SingPass để ký hợp đồng điện tử hoặc truy cập dịch vụ ngân hàng, với dữ liệu được bảo vệ bởi mã hóa cấp cao và chứng nhận từ Cơ quan Chứng nhận Quốc gia. Trong một vụ việc năm 2023, Ủy ban Bảo vệ Dữ liệu Cá nhân Singapore đã phạt một công ty thương mại điện tử vì lưu trữ dữ liệu sinh trắc học không mã hóa, cho thấy sự nghiêm khắc trong thực thi pháp luật.

2.3. So sánh và bài học

Mỹ và Singapore đều có khung pháp lý linh hoạt, cho phép sử dụng dữ liệu sinh trắc học trong giao dịch điện tử mà không bắt buộc gắn với chữ ký số. Singapore vượt trội nhờ tích hợp với SingPass, trong khi Mỹ mạnh ở sự đa dạng công nghệ và án lệ phong phú về quyền riêng tư. Ngược lại, Việt Nam yêu cầu nghiêm ngặt về chứng thư số và thiếu quy định cụ thể về trách nhiệm pháp lý khi dữ liệu sinh trắc học bị xâm phạm. Những kinh nghiệm từ Mỹ và Singapore cung cấp bài học quan trọng để Việt Nam xây dựng khung pháp lý phù hợp với thời đại số.

Ảnh minh họa

3. Đề xuất hoàn thiện pháp luật Việt Nam

Để tăng cường công nhận giá trị pháp lý của dữ liệu sinh trắc học trong giao dịch điện tử, Việt Nam cần thực hiện một số cải cách pháp lý chuyên sâu. Trước tiên, Luật Bảo vệ dữ liệu cá nhân 2022 nên bổ sung định nghĩa cụ thể về dữ liệu sinh trắc học, ví dụ: “dữ liệu vật lý hoặc hành vi duy nhất của cá nhân, được sử dụng để xác thực danh tính trong giao dịch điện tử”. Điều này sẽ tạo cơ sở pháp lý rõ ràng để công nhận dữ liệu sinh trắc học như một phương thức xác thực độc lập.

Thứ hai, pháp luật cần giảm yêu cầu bắt buộc gắn dữ liệu sinh trắc học với chữ ký số. Thay vào đó, nên cho phép các bên chứng minh tính xác thực thông qua các phương pháp như mã hóa, hash dữ liệu, hoặc xác nhận từ nền tảng cung cấp dịch vụ. Ví dụ, dữ liệu nhận diện khuôn mặt từ một ứng dụng ngân hàng có thể được công nhận nếu được mã hóa và lưu trữ kèm metadata. Cách tiếp cận này sẽ tăng tính linh hoạt, phù hợp với các giao dịch điện tử hiện đại.

Thứ ba, Việt Nam cần ban hành quy định chi tiết về trách nhiệm pháp lý trong trường hợp dữ liệu sinh trắc học bị rò rỉ hoặc lạm dụng. Chẳng hạn, nên quy định mức phạt cụ thể cho tổ chức không mã hóa dữ liệu sinh trắc học, cùng với cơ chế bồi thường cho cá nhân bị thiệt hại. Điều này sẽ tăng cường bảo vệ quyền riêng tư và thúc đẩy trách nhiệm của doanh nghiệp.

Cuối cùng, tích hợp dữ liệu sinh trắc học với hệ thống VNeID là một giải pháp chiến lược. VNeID nên được nâng cấp để hỗ trợ xác thực và lưu trữ dữ liệu sinh trắc học trong giao dịch điện tử, tương tự SingPass. Ví dụ, người dân có thể sử dụng nhận diện khuôn mặt qua VNeID để ký hợp đồng điện tử, với dữ liệu được bảo vệ bằng blockchain. Giải pháp này không chỉ tăng tính tiện lợi mà còn củng cố niềm tin vào chuyển đổi số quốc gia.