Bảo vệ dữ liệu cá nhân đối với hợp đồng thông minh theo pháp luật Liên minh châu Âu

201

BẢO VỆ DỮ LIỆU CÁ NHÂN ĐỐI VỚI HỢP ĐỒNG THÔNG MINH THEO PHÁP

LUẬT LIÊN MINH CHÂU ÂU – MỘT SỐ GỢI MỞ CHO VIỆT NAM

Nguyễn Thị Minh Phương*

Nguyễn Phan Vân Anh**

Tóm tắt

Sự bùng nổ trong việc phát triển và ứng dụng hợp đồng thông minh ở nhiều lĩnh vực mang lại

nhiều lợi ích cũng như cải tiến rõ rệt đồng thời cũng đặt ra nhiều vấn đề pháp lý cần giải quyết.

Trong số đó, vấn đề liên quan đến việc bảo vệ dữ liệu cá nhân nói chung và trong ứng dụng hợp

đồng thông minh nói riêng còn nhiều khoảng trống pháp luật cần được hoàn thiện trong thời

gian tới. Hiện nay, bộ Quy tắc chung về bảo vệ dữ liệu cá nhân (GDPR) do Liên minh Châu

Âu ban hành đặt ra nhiều giới hạn pháp lý về việc lưu trữ, truy cập, phát triển cũng như chuyển

giao dữ liệu cá nhân; đây được xem là cơ chế bảo vệ thông tin cá nhân khắt khe nhất trên thế

giới hiện nay. Bài viết tập trung (i) phân tích những quy định trong GDPR về vấn đề bảo vệ dữ

liệu cá nhân nói chung và hợp đồng thông minh nói riêng (ii) từ đó đưa ra một đề xuất và gợi

mở nhằm hoàn thiện pháp luật Việt Nam về vấn đề này.

Từ khoá: bảo vệ dữ liệu cá nhân, hợp đồng thông minh, liên minh châu Âu.

* ThS, GV. Khoa Luật Quốc tế, Trường Đại học Luật Tp. Hồ Chí Minh.

** ThS, GV. Khoa Luật Quốc tế, Trường Đại học Luật Tp. Hồ Chí Minh.

202

Đặt vấn đề

Blockchain là công nghệ sổ lệnh phân tán cho phép dữ liệu được lưu trữ trên toàn cầu trên các máy

chủ khác nhau, đồng thời dựa vào cơ sở dữ liệu này để xác nhận giao dịch. Dựa trên blockchain,

các hợp đồng thông minh được xây dựng và vận hành với khả năng tự thực hiện (self-executing)

và với mục tiêu cho phép những người tham gia giảm bớt các khâu trung gian như ngân hàng,

công ty thẻ tín dụng hoặc nhà cung cấp dịch vụ thanh toán theo các phương thức giao dịch truyền

thống, và thủ tục giấy tờ thừa, cũng như sự tham gia của con người. Đồng thời, cũng chính nhờ

tính phi tập trung của “sổ cái” hay “cơ sở dữ liệu” blockchain, những dữ liệu của hợp đồng thông

minh cũng có thể được tăng cường bảo mật trong các môi trường không cần sự tin tưởng. Như

vậy, ban đầu, hợp đồng thông minh được thiết kế và xây dựng với tiềm năng trở thành một công

cụ đắc lực trong nhiều lĩnh vực hoạt động của con người, một giải pháp để minh bạch hóa giao

dịch nhưng đồng thời bảo vệ tốt hơn nguồn dữ liệu trong giao dịch, trong đó bao gồm dữ liệu cá

nhân, giảm chi phí hành chính.

Tuy nhiên, việc sở hữu ưu điểm này, trước hết, không đồng nghĩa với việc hệ thống blockchain

vận hành hợp đồng thông minh đảm bảo tuyệt đối cho dữ liệu không bị rò rỉ và xâm nhập bất hợp

pháp. Hợp đồng thông minh vẫn phải chịu sự điều chỉnh của các quy định pháp luật tương ứng về

bảo vệ dữ liệu, trong trường hợp phát sinh việc xử lý dữ liệu cá nhân. Hợp đồng thông minh, về

bản chất chỉ là các đoạn mã chạy trên một blockchain do con người tạo ra, chúng không thông

minh như tên gọi và hoạt động theo cách mà nhà phát triển thiết kế. Vì vậy, dữ liệu cá nhân trong

hợp đồng thông minh vẫn có rủi ro ảnh hưởng bị bộ mã có khả năng bị tấn công và có lỗi.

Hơn nữa, một nhược điểm khác của hệ thống blockchain chính là một khi dữ liệu đã được nhập

trên bất kỳ một block nào, việc sửa đổi hay xóa bỏ vô cùng khó khăn, thậm chí bất khả thi. Mặc

dù đặc điểm này mang lại tính ổn định cho hệ thống, nhưng không phải lúc nào cũng tích cực.

Việc thay đổi dữ liệu hoặc code blockchain thường rất phức tạp và cần có một đợt hard fork, trong

đó một chuỗi sẽ bị bỏ và một chuỗi mới được đưa lên. Chính đặc điểm này làm nổi bật sự không

tương thích giữa hợp đồng thông minh với những quy định về bảo vệ dữ liệu cá nhân hiện hành

của nhiều nước trên thế giới, mà cụ thể trong bài viết này, tác giả đề cập đến GDPR – Quy định

chung của Liên minh châu Âu về bảo vệ dữ liệu cá nhân.

Quy định chung về bảo vệ dữ liệu cá nhân, trong đó mục tiêu hướng tới là bảo vệ dữ liệu cá nhân

và quyền riêng tư của cá nhân tại Liên minh châu Âu (General Data Protection Regulation

- GDPR) được Nghị viện châu Âu ban hành vào ngày 14/4/2016 và có hiệu lực áp dụng từ ngày

25/05/2018.1 GDPR được đánh giá là tạo ra cơ chế bảo vệ thông tin cá nhân khắt khe nhất trên thế

giới hiện nay.2 Việc tách biệt quyền bảo vệ thông tin cá nhân ra khỏi quyền riêng tư trong GDPR

đã cho thấy quan điểm ngày càng chú trọng quyền bảo vệ thông tin cá nhân của EU, từ đó hình

thành nên cơ chế bảo vệ mạnh mẽ đối với việc thực thi quyền bảo vệ thông tin cá nhân.3 Các cơ

quan bảo vệ dữ liệu ở cấp Liên minh cũng được thiết lập, bao gồm các thành viên đại diện cho các

1 Công ước số về bảo vệ cá nhân đối với việc xử lý tự động dữ liệu cá nhân được mở cho các thành viên ký kết, tham

gia vào 28/1/1981.

2 Emmanuel Pernot-Lepay, “China’s Approach on Data Privacy Law: A third Way between the U.S and the EU?”,

Penn State Journal of Law and International Affairs, vol. 8.1, 5/2020, p.72, https://pernot-leplay.com/data-privacy-

law-china-comparison-europe-usa/.

3 Trần Thị Thu Phương, Quy định chung của Liên minh châu Âu về bảo vệ dữ liệu cá nhân và một số khuyến nghị

đến Quốc hội, Chính phủ và doanh nghiệp Việt Nam, Tạp chí nghiên cứu lập pháp số 23 (447) tháng 12/2021.

203

quốc gia nằm trong Liên minh Châu Âu cũng như thuộc khu vực kinh tế châu Âu.4 Bên cạnh đó,

cơ quan giám sát về bảo vệ dữ liệu của Liên minh châu Âu (European data protection supervisor –

EDPS) được thành lập trên cơ sở quy định chung của Nghị viện châu Âu và Hội đồng châu Âu

nhằm hướng dẫn thực hiện GDPR cũng như tham mưu cho cho Ủy ban châu Âu về những vấn đề

liên quan đến bảo vệ dữ liệu cá nhân và giải quyết tranh chấp.

1. Vấn đề bảo vệ dữ liệu cá nhân trong ứng dụng hợp đồng thông minh

Trước hết, về định nghĩa, dữ liệu cá nhân (personal data) được hiểu là tất cả các thông tin liên

quan đến một cá nhân được nhận diện hoặc có thể nhận diện một cách trực tiếp hay gián tiếp. Việc

nhận diện cá nhân có thể thông qua các thông tin liên quan đến tên, số chứng minh thư, dữ liệu về

nơi cư trú, số điện thoại, hoặc bất kỳ một hoặc những yếu tố đặc biệt nào liên quan đến việc nhận

diện về thể chất, tâm lý, sinh lý, di truyền, kinh tế, văn hóa hoặc xã hội của cá nhân.5 Thêm vào

đó, các phần thông tin rời rạc khác nhau nếu được thu thập và tập hợp lại mà có thể dẫn đến việc

nhận diện một cá nhân cụ thể thì cũng được coi là dữ liệu cá nhân hay thông tin cá nhân.6 Dữ liệu

cá nhân nhạy cảm được quy định dưới dạng hạng mục dữ liệu cá nhân đặc biệt trong GDPR, được

xem là: “Bất kỳ dữ liệu nào tiết lộ chủng tộc hoặc sắc tộc, tư tưởng chính trị, đức tin tôn giáo, quan

niệm triết lý, thành viên công đoàn và việc xử lý dữ liệu di truyền và sinh trắc nhằm mục đích định

danh, hoặc dữ liệu liên quan đến sức khỏe, tình trạng sinh dục và xu hướng tính dục”.7 Bên cạnh

đó, GDPR cũng đưa ra quy định rõ ràng về việc nhận diện cá nhân một cách trực tiếp (directly

identifiable) hay gián tiếp (indirectly identifiable). Đối với việc nhận diện cá nhân một cách trực

tiếp, việc nhận diện cá nhân có thể được thực hiện hoàn toàn trên những thông tin sẵn có chẳng

hạn như như tên, số chứng minh thư, dữ liệu vị trí, công cụ định danh trực tuyến (online identifier)

hoặc qua một hoặc những yếu tố đặc thù về danh tính thể chất, tâm lý, di truyền, tinh thần, kinh

tế, văn hóa, xã hội của người đó.8 Đối với việc nhận diện cá nhân một cách gián tiếp, việc nhận

diện này không thể được thực hiện dựa trên những thông tin sẵn có mà cần phảu sử dụng những

thông tin ở nguồn khác. Như vậy, những thông tin không chứa đựng tên của cá nhân nhưng giúp

hiểu rõ và nhận dạng và cá nhân đó cũng có thể được xem là thông tin cá nhân.9

1.1 Dữ liệu cá nhân trong hợp đồng thông minh

Đối với hợp đồng thông minh, dữ liệu cá nhân có thể được hiểu bao gồm (i) dữ liệu giao dịch

(transactional data) lưu trên các khối và (ii) khóa công khai (public keys). Đầu tiên, về dữ liệu giao

dịch lưu trên các khối, những dữ liệu này sẽ được xử lý bằng thuật toán nhằm phân tách hay “băm”

(hashing process), hay nói cách khác dữ liệu được xử lý qua cơ chế khử nhận dạng dữ liệu

(pseudonymization) trước khi đưa lên các khối. Cơ chế khử nhận dạng dữ liệu hay mã hóa dữ liệu

sử dụng phương pháp khử những thông tin có thể nhận dạng chủ thể dữ liệu. Để mã hóa dữ liệu,

bên kiểm soát dữ liệu tiến hành những thủ thuật/kỹ thuật “đeo mặt nạ cho thông tin” để thay thế

thông tin nhận dạng bằng một chuỗi số hoặc mã trong bộ dữ liệu. Người tiếp cận những dữ liệu đã

mã hóa này không thể xác định chủ thể dữ liệu, trừ trường hợp biết được thông tin bổ sung phá vỡ

sự mã hóa, nói cách khác việc mã hóa dữ liệu này làm giảm khả năng nhận dạng chủ thể dữ liệu

4 Điều 68 GDPR

5 Điều 4 GDPR

6 Xem thêm giải thích của Ủy ban châu Âu về dữ liệu cá nhân trong Quy định chung về bảo vệ dữ liệu của Liên minh

châu Âu trên https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en

7 Điều 9 GDPR

8 Điều 4 GDPR

9 Xem thêm giải thích của Ủy ban châu Âu về dữ liệu cá nhân trong Quy định chung về bảo vệ dữ liệu của Liên minh

châu Âu trên https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en

204

nhưng không ngăn chặn điều này trong trường hợp rò rỉ dữ liệu. Phương pháp này không cung cấp

sự bảo vệ cá nhân hoàn toàn khỏi việc sử dụng sai dữ liệu và nên được sử dụng như một biện pháp

giảm thiểu rủi ro.10 Toàn bộ dữ liệu trong hợp đồng thông minh để được xử lý bằng các thuật toán

để mã hóa thành những chuỗi, mã lập trình đặc biệt. Tuy nhiên, cơ chế mã hóa dữ liệu không hạn

chế được những rủi ro dữ liệu cá nhân bị xử lý ngược bởi những chuyên gia công nghệ dẫn đến

xâm nhập dữ liệu.

Thông qua cơ chế này, dữ liệu về các chủ thể hợp đồng, điều khoản hợp đồng được mã hóa thành

chuỗi, mã lập trình đặc biệt theo ngôn ngữ lập trình chuyên ngành và được thực thi tự động. Tuy

nhiên, cơ chế khử nhận dạng dữ liệu này không thể ngăn chặn hoàn toàn rủi ro dữ liệu bị “bóc,

tách” ra khỏi lớp mã hóa và truy cập được những thông tin cá nhân bởi những chuyên gia công

nghệ.11 Vì vậy, dù đã qua xử lý mã hóa, những dữ liệu giao dịch lưu trên các khối này vẫn được

xem là dữ liệu cá nhân và phải tuân thủ theo những quy định pháp luật tương ứng về bảo vệ dữ

liệu cá nhân, trừ khi (i) toàn bộ dữ liệu cá nhân được lưu ngoài các khối hoặc (ii) chỉ giới hạn việc

ứng dụng hợp đồng thông minh giữa các pháp nhân, tổ chức với nhau (“business-to-business” hay

“B2B”), theo đó vì chủ thể hợp đồng là pháp nhân, tổ chức nên những thông tin về chủ thể hợp

đồng không chứa những dữ liệu cá nhân. Tuy nhiên, trong trường hợp loại trừ thứ nhất, ngay cả

trong trường hợp toàn bộ dữ liệu được xác định là dữ liệu cá nhân được lưu trữ ngoài các khối trên

blockchain, rủi ro rò rỉ dữ liệu trong quá trình di chuyển, lưu trữ dữ liệu vẫn tồn tại.

Thứ hai, bên cạnh dữ liệu giao dịch lưu trên chuỗi khối, những khóa công khai được xử lý qua cơ

chế mã hóa dữ liệu cũng được xem là dữ liệu cá nhân. Những khóa công khai này có thể được xử

lý “bóc, tách” lớp mã hóa kèm những thông tin bổ sung để xác định được dữ liệu gốc, đồng thời

cũng không thể nào tối giản để đưa những “phần dữ liệu cá nhân” ra lưu trữ ngoài chuỗi khối được.

Những quy định pháp luật về bảo vệ dữ liệu cá nhân theo đó được áp dụng tương ứng đối với

những khóa công khai. Ngoài ra, Ủy ban quốc gia về thông tin và những quyền tự do của Pháp

(Commission nationale de l’informatique et des libertés, sau đây gọi tắt là “CNIL”) đã đưa ra một

số đề xuất đối với việc xử lý dữ liệu cá nhân bổ sung. Theo đó, việc xử lý những dữ liệu này phải

tiến hành ngoài hệ thống blockchain hoặc việc lưu trữ trên blockchain phải kèm theo cam kết về

bảo mật dữ liệu.12

1.2 Quyền của chủ thể dữ liệu khi tham gia giao kết hợp đồng thông minh

Đối với quyền của chủ thể dữ liệu, GDPR đã đề cập đến các quyền cơ bản sau đây:

Thứ nhất, quyền được thông báo về dữ liệu cá nhân (right to be informed). Khi có sự kiện liên

quan như sử dụng, chia sẻ, lộ lọt dữ liệu cá nhân thì tổ chức, doanh nghiệp lưu trữ dữ liệu phải

thông báo cho chủ thể dữ liệu cá nhân đó biết. Thứ hai, quyền được truy cập dữ liệu cá nhân (right

to data access). Tổ chức, doanh nghiệp lưu trữ dữ liệu phải cung cấp biện pháp để chủ thể dữ liệu

cá nhân tra cứu, truy cập dữ liệu của cá nhân mình. Thứ ba, quyền được sửa đổi, quyền được xóa

dữ liệu đang lưu trữ bởi các cơ quan, tổ chức (right to erasure or right to be forgotten). Chủ thể

dữ liệu cá nhân có quyền chỉnh sửa dữ liệu trong trường hợp dữ liệu có lỗi hoặc được xóa dữ liệu

nếu đáp ứng một số tiêu chí nhất định. Thứ tư, quyền hạn chế việc chia sẻ, xử lý dữ liệu cá nhân,

trong đó bao gồm cả quyền tạm thời di chuyển dữ liệu cá nhân đã chọn sang hệ thống xử lý khác,

làm cho dữ liệu cá nhân đã chọn không có sẵn cho người dùng hoặc tạm thời xóa dữ liệu cá nhân

10 Xem Joanna Kamińska, “Pseudonymization vs anonymization: differences under the GDPR”,

https://www.statice.ai/post/pseudonymization-vs-anonymization

11 Maxwell and Salmon , A guide to block chain and data protection, 2017, 7

12 CNIL, Blockchain: Solutions for a responsible use of the blockchain in the context of personal data, 2018, tr.1.

205

đã được công bố ra khỏi trang web. Thứ năm, chủ thể dữ liệu cá nhân cũng có quyền nhận dữ liệu

mà mình đã cung cấp cho chủ thể kiểm soát thông tin và yêu cầu truyền những dữ liệu này cho

chủ thể kiểm soát khác, mà không bị cản trở từ phía chủ thể đang kiểm soát dữ liệu cá nhân của

mình, khi đáp ứng yêu cầu đặt ra. Cuối cùng, trong những tình huống cụ thể, chủ thể dữ liệu cá

nhân cũng có quyền phản đối việc xử lý dữ liệu cá nhân của họ. Bên cạnh đó nhằm bảo vệ tối ưu

nhất quyền của chủ thể dữ liệu Liên minh châu Âu cũng đã đưa ra quy định cho phép các cá nhân

có thể khởi kiện đến cơ quan có thẩm quyền của Liên minh châu Âu trong trường hợp họ bị xâm

phạm dữ liệu cá nhân.

Trong bối cảnh ứng dụng hợp đồng thông minh, quyền liên quan đến việc chỉnh sửa dữ liệu và

quyền xóa hay lãng quên đối với dữ liệu đối mặt với rủi ro không thể đáp ứng. Về quyền chỉnh

sửa dữ liệu, bởi được lưu trữ trên sổ cái nên những dữ liệu đã mã hóa trong hợp đồng thông minh

gần như không thể thay đổi. Đây là ưu điểm nhưng đồng thời cũng là nhược điểm nếu các bên

tham gia đều đồng thuận thay đổi một số điều khoản trong hợp đồng. Song song với việc tiến hành

hợp đồng trên hệ thống bảo mật cao, không bị tác động bởi trung gian nên tính an toàn dữ liệu đảm

bảo, rủi ro rò rỉ thông tin thấp hơn so với hợp đồng truyền thống, khó bị hacker tấn công nhưng

đồng nghĩa với việc sửa chữa cũng sẽ khó khăn. Việc bảo đảm quyền chỉnh sửa dữ liệu trên

blockchain là bất khả thi về mặt kĩ thuật và việc dữ liệu mới cập nhật lên bắt buộc phải được đưa

vào một khối mới.13Về quyền xóa (hoặc quyền lãng quên) dữ liệu, quyền được lãng quên trong

không gian mạng internet được hiểu là quyền đảm bảo những thông tin riêng tư về cá nhân mình

sẽ bị xóa khỏi các kết quả tìm kiếm trên Internet và các nền tảng lưu trữ khác trong một số trường

hợp nhất định tại một thời điểm nhất định nhằm mục đích không cho phép bên thứ ba truy cập

thông tin. Cách tiếp cận về quyền được lãng quên của Liên minh châu Âu (EU) dựa trên nền tảng

quyền bảo vệ dữ liệu cá nhân, được xem là một phần của quyền riêng tư. Một cách dễ hiểu, mọi

người đều có quyền được tôn trọng đời sống riêng tư và quyền mở rộng bao gồm cả những thông

tin về cá nhân; do đó, các quy định của pháp luật EU về bảo vệ dữ liệu nhằm hướng đến bảo mật

thông tin cá nhân, đặc biệt những thông tin có khả năng gây tổn hại đến đời sống riêng tư của cá

nhân.14 Quyền được xóa dữ liệu phát sinh nhiều khó khăn trong bối cảnh hợp đồng thông minh sử

dụng công nghệ blockchain, vì cũng tương tự như trường hợp của quyền sửa đổi dữ liệu, mạng

lưới chuỗi khối được cấu trúc căn cứ trên niềm tin bằng việc không thể xóa hay chỉnh sửa hồ sơ

trừ khi phá vỡ chuỗi. Bởi vì xuất phát từ bản chất và ý nghĩa nguyên thủy của việc ứng dụng chuỗi

khối là nhằm mục tiêu đảm bảo rằng toàn bộ những giao dịch, gồm cả các bên trong giao dịch

không bao giờ bị lãng quên để kích hoạt niềm tin phi tập trung – xu thế mới cho ngành tài chính

mở và những lĩnh vực khác.15

Hiện nay, nhiều thuật toán nâng cao và những cách thức xử lý dữ liệu khác nhau được nghiên cứu

và vận hành nhằm đảm bảo dữ liệu không thể xử lý ngược (tức không thể xâm phạm để tìm ra dữ

liệu gốc trước mã hóa) và đồng thời nâng cao quản lý quyền truy cập dữ liệu, cho phép chủ sở hữu

dữ liệu có thể thu hồi quyền truy cập để không hiển thị cho người khác. Qua đó, mặc dù không thể

thực hiện việc xóa dữ liệu, dữ liệu có thể được đảm bảo tính bảo mật và lãng quên.16

1.3 Kiểm soát viên dữ liệu

13 Tlđd, tr. 8.

14 Bạch Thị Nhã Nam, Quyền được lãng quên từ thực tiễn phán quyết trong phạm vi Liên minh châu Âu, Tạp chí

nghiên cứu lập pháp, 08/3/2021.

15 Lyons, Courselas and Timsit , Blockchain and the GDPR, 2018, tr. 25

16 Van Eecke and AG Haie , ‘ Blockchain and the GDPR ’ ( 2018 ) 534.

Bảo vệ dữ liệu cá nhân đối với hợp đồng thông minh theo pháp luật Liên minh châu Âu – Một số gợi mở cho Việt Nam

Bài viết phân tích khía cạnh pháp lý về bảo vệ dữ liệu cá nhân trong hợp đồng thông minh theo GDPR của EU, đề xuất gợi ý cho Việt Nam.

Giới thiệu

Về chúng tôi

Việc làm

Quảng cáo

Liên hệ

Chính sách

Thoả thuận sử dụng

Chính sách bảo mật

Chính sách hoàn tiền

DMCA

Hỗ trợ

Hướng dẫn sử dụng

Đăng ký tài khoản VIP

093 303 0098

support@tailieu.vn

Phương thức thanh toán

Theo dõi chúng tôi

Facebook

Youtube

TikTok