201
BẢO VỆ DỮ LIỆU CÁ NHÂN ĐỐI VỚI HỢP ĐỒNG THÔNG MINH THEO PHÁP
LUẬT LIÊN MINH CHÂU ÂU – MỘT SỐ GỢI MỞ CHO VIỆT NAM
Nguyễn Thị Minh Phương*
Nguyễn Phan Vân Anh**
Tóm tắt
Sự bùng nổ trong việc phát triển và ứng dụng hợp đồng thông minh ở nhiều lĩnh vực mang lại
nhiều lợi ích cũng như cải tiến rõ rệt đồng thời cũng đặt ra nhiều vấn đề pháp lý cần giải quyết.
Trong số đó, vấn đề liên quan đến việc bảo vệ dữ liệu cá nhân nói chung và trong ứng dụng hợp
đồng thông minh nói riêng còn nhiều khoảng trống pháp luật cần được hoàn thiện trong thời
gian tới. Hiện nay, bộ Quy tắc chung về bảo vệ dữ liệu cá nhân (GDPR) do Liên minh Châu
Âu ban hành đặt ra nhiều giới hạn pháp lý về việc lưu trữ, truy cập, phát triển cũng như chuyển
giao dữ liệu cá nhân; đây được xem là cơ chế bảo vệ thông tin cá nhân khắt khe nhất trên thế
giới hiện nay. Bài viết tập trung (i) phân tích những quy định trong GDPR về vấn đề bảo vệ dữ
liệu cá nhân nói chung và hợp đồng thông minh nói riêng (ii) từ đó đưa ra một đề xuất và gợi
mở nhằm hoàn thiện pháp luật Việt Nam về vấn đề này.
Từ khoá: bảo vệ dữ liệu cá nhân, hợp đồng thông minh, liên minh châu Âu.
* ThS, GV. Khoa Luật Quốc tế, Trường Đại học Luật Tp. Hồ Chí Minh.
** ThS, GV. Khoa Luật Quốc tế, Trường Đại học Luật Tp. Hồ Chí Minh.
202
Đặt vấn đề
Blockchain là công nghệ sổ lệnh phân tán cho phép dữ liệu được lưu trữ trên toàn cầu trên các máy
chủ khác nhau, đồng thời dựa vào cơ sở dữ liệu này để xác nhận giao dịch. Dựa trên blockchain,
các hợp đồng thông minh được xây dựng và vận hành với khả năng tự thực hiện (self-executing)
và với mục tiêu cho phép những người tham gia giảm bớt các khâu trung gian như ngân hàng,
công ty thẻ tín dụng hoặc nhà cung cấp dịch vụ thanh toán theo các phương thức giao dịch truyền
thống, và thủ tục giấy tờ thừa, cũng như sự tham gia của con người. Đồng thời, cũng chính nhờ
tính phi tập trung của “sổ cái” hay “cơ sở dữ liệu” blockchain, những dữ liệu của hợp đồng thông
minh cũng có thể được tăng cường bảo mật trong các môi trường không cần sự tin tưởng. Như
vậy, ban đầu, hợp đồng thông minh được thiết kế và xây dựng với tiềm năng trở thành một công
cụ đắc lực trong nhiều lĩnh vực hoạt động của con người, một giải pháp để minh bạch hóa giao
dịch nhưng đồng thời bảo vệ tốt hơn nguồn dữ liệu trong giao dịch, trong đó bao gồm dữ liệu cá
nhân, giảm chi phí hành chính.
Tuy nhiên, việc sở hữu ưu điểm này, trước hết, không đồng nghĩa với việc hệ thống blockchain
vận hành hợp đồng thông minh đảm bảo tuyệt đối cho dữ liệu không bị rò rỉ và xâm nhập bất hợp
pháp. Hợp đồng thông minh vẫn phải chịu sự điều chỉnh của các quy định pháp luật tương ứng về
bảo vệ dữ liệu, trong trường hợp phát sinh việc xử lý dữ liệu cá nhân. Hợp đồng thông minh, về
bản chất chỉ là các đoạn mã chạy trên một blockchain do con người tạo ra, chúng không thông
minh như tên gọi và hoạt động theo cách mà nhà phát triển thiết kế. Vì vậy, dữ liệu cá nhân trong
hợp đồng thông minh vẫn có rủi ro ảnh hưởng bị bộ mã có khả năng bị tấn công và có lỗi.
Hơn nữa, một nhược điểm khác của hệ thống blockchain chính là một khi dữ liệu đã được nhập
trên bất kỳ một block nào, việc sửa đổi hay xóa bỏ vô cùng khó khăn, thậm chí bất khả thi. Mặc
dù đặc điểm này mang lại tính ổn định cho hệ thống, nhưng không phải lúc nào cũng tích cực.
Việc thay đổi dữ liệu hoặc code blockchain thường rất phức tạp và cần có một đợt hard fork, trong
đó một chuỗi sẽ bị bỏ và một chuỗi mới được đưa lên. Chính đặc điểm này làm nổi bật sự không
tương thích giữa hợp đồng thông minh với những quy định về bảo vệ dữ liệu cá nhân hiện hành
của nhiều nước trên thế giới, mà cụ thể trong bài viết này, tác giả đề cập đến GDPR – Quy định
chung của Liên minh châu Âu về bảo vệ dữ liệu cá nhân.
Quy định chung về bảo vệ dữ liệu cá nhân, trong đó mục tiêu hướng tới là bảo vệ dữ liệu cá nhân
và quyền riêng tư của cá nhân tại Liên minh châu Âu (General Data Protection Regulation
- GDPR) được Nghị viện châu Âu ban hành vào ngày 14/4/2016 và có hiệu lực áp dụng từ ngày
25/05/2018.1 GDPR được đánh giá là tạo ra cơ chế bảo vệ thông tin cá nhân khắt khe nhất trên thế
giới hiện nay.2 Việc tách biệt quyền bảo vệ thông tin cá nhân ra khỏi quyền riêng tư trong GDPR
đã cho thấy quan điểm ngày càng chú trọng quyền bảo vệ thông tin cá nhân của EU, từ đó hình
thành nên cơ chế bảo vệ mạnh mẽ đối với việc thực thi quyền bảo vệ thông tin cá nhân.3 Các cơ
quan bảo vệ dữ liệu ở cấp Liên minh cũng được thiết lập, bao gồm các thành viên đại diện cho các
1 Công ước số về bảo vệ cá nhân đối với việc xử lý tự động dữ liệu cá nhân được mở cho các thành viên ký kết, tham
gia vào 28/1/1981.
2 Emmanuel Pernot-Lepay, “China’s Approach on Data Privacy Law: A third Way between the U.S and the EU?”,
Penn State Journal of Law and International Affairs, vol. 8.1, 5/2020, p.72, https://pernot-leplay.com/data-privacy-
law-china-comparison-europe-usa/.
3 Trần Thị Thu Phương, Quy định chung của Liên minh châu Âu về bảo vệ dữ liệu cá nhân và một số khuyến nghị
đến Quốc hội, Chính phủ và doanh nghiệp Việt Nam, Tạp chí nghiên cứu lập pháp số 23 (447) tháng 12/2021.
203
quốc gia nằm trong Liên minh Châu Âu cũng như thuộc khu vực kinh tế châu Âu.4 Bên cạnh đó,
cơ quan giám sát về bảo vệ dữ liệu của Liên minh châu Âu (European data protection supervisor –
EDPS) được thành lập trên cơ sở quy định chung của Nghị viện châu Âu và Hội đồng châu Âu
nhằm hướng dẫn thực hiện GDPR cũng như tham mưu cho cho Ủy ban châu Âu về những vấn đề
liên quan đến bảo vệ dữ liệu cá nhân và giải quyết tranh chấp.
1. Vấn đề bảo vệ dữ liệu cá nhân trong ứng dụng hợp đồng thông minh
Trước hết, về định nghĩa, dữ liệu cá nhân (personal data) được hiểu là tất cả các thông tin liên
quan đến một cá nhân được nhận diện hoặc có thể nhận diện một cách trực tiếp hay gián tiếp. Việc
nhận diện cá nhân có thể thông qua các thông tin liên quan đến tên, số chứng minh thư, dữ liệu về
nơi cư trú, số điện thoại, hoặc bất kỳ một hoặc những yếu tố đặc biệt nào liên quan đến việc nhận
diện về thể chất, tâm lý, sinh lý, di truyền, kinh tế, văn hóa hoặc xã hội của cá nhân.5 Thêm vào
đó, các phần thông tin rời rạc khác nhau nếu được thu thập và tập hợp lại mà có thể dẫn đến việc
nhận diện một cá nhân cụ thể thì cũng được coi là dữ liệu cá nhân hay thông tin cá nhân.6 Dữ liệu
cá nhân nhạy cảm được quy định dưới dạng hạng mục dữ liệu cá nhân đặc biệt trong GDPR, được
xem là: “Bất kỳ dữ liệu nào tiết lộ chủng tộc hoặc sắc tộc, tư tưởng chính trị, đức tin tôn giáo, quan
niệm triết lý, thành viên công đoàn và việc xử lý dữ liệu di truyền và sinh trắc nhằm mục đích định
danh, hoặc dữ liệu liên quan đến sức khỏe, tình trạng sinh dục và xu hướng tính dục”.7 Bên cạnh
đó, GDPR cũng đưa ra quy định rõ ràng về việc nhận diện cá nhân một cách trực tiếp (directly
identifiable) hay gián tiếp (indirectly identifiable). Đối với việc nhận diện cá nhân một cách trực
tiếp, việc nhận diện cá nhân có thể được thực hiện hoàn toàn trên những thông tin sẵn có chẳng
hạn như như tên, số chứng minh thư, dữ liệu vị trí, công cụ định danh trực tuyến (online identifier)
hoặc qua một hoặc những yếu tố đặc thù về danh tính thể chất, tâm lý, di truyền, tinh thần, kinh
tế, văn hóa, xã hội của người đó.8 Đối với việc nhận diện cá nhân một cách gián tiếp, việc nhận
diện này không thể được thực hiện dựa trên những thông tin sẵn có mà cần phảu sử dụng những
thông tin ở nguồn khác. Như vậy, những thông tin không chứa đựng tên của cá nhân nhưng giúp
hiểu rõ và nhận dạng và cá nhân đó cũng có thể được xem là thông tin cá nhân.9
1.1 Dữ liệu cá nhân trong hợp đồng thông minh
Đối với hợp đồng thông minh, dữ liệu cá nhân có thể được hiểu bao gồm (i) dữ liệu giao dịch
(transactional data) lưu trên các khối và (ii) khóa công khai (public keys). Đầu tiên, về dữ liệu giao
dịch lưu trên các khối, những dữ liệu này sẽ được xử lý bằng thuật toán nhằm phân tách hay “băm”
(hashing process), hay nói cách khác dữ liệu được xử lý qua cơ chế khử nhận dạng dữ liệu
(pseudonymization) trước khi đưa lên các khối. Cơ chế khử nhận dạng dữ liệu hay mã hóa dữ liệu
sử dụng phương pháp khử những thông tin có thể nhận dạng chủ thể dữ liệu. Để mã hóa dữ liệu,
bên kiểm soát dữ liệu tiến hành những thủ thuật/kỹ thuật “đeo mặt nạ cho thông tin” để thay thế
thông tin nhận dạng bằng một chuỗi số hoặc mã trong bộ dữ liệu. Người tiếp cận những dữ liệu đã
mã hóa này không thể xác định chủ thể dữ liệu, trừ trường hợp biết được thông tin bổ sung phá vỡ
sự mã hóa, nói cách khác việc mã hóa dữ liệu này làm giảm khả năng nhận dạng chủ thể dữ liệu
4 Điều 68 GDPR
5 Điều 4 GDPR
6 Xem thêm giải thích của Ủy ban châu Âu về dữ liệu cá nhân trong Quy định chung về bảo vệ dữ liệu của Liên minh
châu Âu trên https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en
7 Điều 9 GDPR
8 Điều 4 GDPR
9 Xem thêm giải thích của Ủy ban châu Âu về dữ liệu cá nhân trong Quy định chung về bảo vệ dữ liệu của Liên minh
châu Âu trên https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en
204
nhưng không ngăn chặn điều này trong trường hợp rò rỉ dữ liệu. Phương pháp này không cung cấp
sự bảo vệ cá nhân hoàn toàn khỏi việc sử dụng sai dữ liệu và nên được sử dụng như một biện pháp
giảm thiểu rủi ro.10 Toàn bộ dữ liệu trong hợp đồng thông minh để được xử lý bằng các thuật toán
để mã hóa thành những chuỗi, mã lập trình đặc biệt. Tuy nhiên, cơ chế mã hóa dữ liệu không hạn
chế được những rủi ro dữ liệu cá nhân bị xử lý ngược bởi những chuyên gia công nghệ dẫn đến
xâm nhập dữ liệu.
Thông qua cơ chế này, dữ liệu về các chủ thể hợp đồng, điều khoản hợp đồng được mã hóa thành
chuỗi, mã lập trình đặc biệt theo ngôn ngữ lập trình chuyên ngành và được thực thi tự động. Tuy
nhiên, cơ chế khử nhận dạng dữ liệu này không thể ngăn chặn hoàn toàn rủi ro dữ liệu bị “bóc,
tách” ra khỏi lớp mã hóa và truy cập được những thông tin cá nhân bởi những chuyên gia công
nghệ.11 Vì vậy, dù đã qua xử lý mã hóa, những dữ liệu giao dịch lưu trên các khối này vẫn được
xem là dữ liệu cá nhân và phải tuân thủ theo những quy định pháp luật tương ứng về bảo vệ dữ
liệu cá nhân, trừ khi (i) toàn bộ dữ liệu cá nhân được lưu ngoài các khối hoặc (ii) chỉ giới hạn việc
ứng dụng hợp đồng thông minh giữa các pháp nhân, tổ chức với nhau (“business-to-business” hay
“B2B”), theo đó vì chủ thể hợp đồng là pháp nhân, tổ chức nên những thông tin về chủ thể hợp
đồng không chứa những dữ liệu cá nhân. Tuy nhiên, trong trường hợp loại trừ thứ nhất, ngay cả
trong trường hợp toàn bộ dữ liệu được xác định là dữ liệu cá nhân được lưu trữ ngoài các khối trên
blockchain, rủi ro rò rỉ dữ liệu trong quá trình di chuyển, lưu trữ dữ liệu vẫn tồn tại.
Thứ hai, bên cạnh dữ liệu giao dịch lưu trên chuỗi khối, những khóa công khai được xử lý qua cơ
chế mã hóa dữ liệu cũng được xem là dữ liệu cá nhân. Những khóa công khai này có thể được xử
lý “bóc, tách” lớp mã hóa kèm những thông tin bổ sung để xác định được dữ liệu gốc, đồng thời
cũng không thể nào tối giản để đưa những “phần dữ liệu cá nhân” ra lưu trữ ngoài chuỗi khối được.
Những quy định pháp luật về bảo vệ dữ liệu cá nhân theo đó được áp dụng tương ứng đối với
những khóa công khai. Ngoài ra, Ủy ban quốc gia về thông tin và những quyền tự do của Pháp
(Commission nationale de l’informatique et des libertés, sau đây gọi tắt là “CNIL”) đã đưa ra một
số đề xuất đối với việc xử lý dữ liệu cá nhân bổ sung. Theo đó, việc xử lý những dữ liệu này phải
tiến hành ngoài hệ thống blockchain hoặc việc lưu trữ trên blockchain phải kèm theo cam kết về
bảo mật dữ liệu.12
1.2 Quyền của chủ thể dữ liệu khi tham gia giao kết hợp đồng thông minh
Đối với quyền của chủ thể dữ liệu, GDPR đã đề cập đến các quyền cơ bản sau đây:
Thứ nhất, quyền được thông báo về dữ liệu cá nhân (right to be informed). Khi có sự kiện liên
quan như sử dụng, chia sẻ, lộ lọt dữ liệu cá nhân thì tổ chức, doanh nghiệp lưu trữ dữ liệu phải
thông báo cho chủ thể dữ liệu cá nhân đó biết. Thứ hai, quyền được truy cập dữ liệu cá nhân (right
to data access). Tổ chức, doanh nghiệp lưu trữ dữ liệu phải cung cấp biện pháp để chủ thể dữ liệu
cá nhân tra cứu, truy cập dữ liệu của cá nhân mình. Thứ ba, quyền được sửa đổi, quyền được xóa
dữ liệu đang lưu trữ bởi các cơ quan, tổ chức (right to erasure or right to be forgotten). Chủ thể
dữ liệu cá nhân có quyền chỉnh sửa dữ liệu trong trường hợp dữ liệu có lỗi hoặc được xóa dữ liệu
nếu đáp ứng một số tiêu chí nhất định. Thứ tư, quyền hạn chế việc chia sẻ, xử lý dữ liệu cá nhân,
trong đó bao gồm cả quyền tạm thời di chuyển dữ liệu cá nhân đã chọn sang hệ thống xử lý khác,
làm cho dữ liệu cá nhân đã chọn không có sẵn cho người dùng hoặc tạm thời xóa dữ liệu cá nhân
10 Xem Joanna Kamińska, “Pseudonymization vs anonymization: differences under the GDPR”,
https://www.statice.ai/post/pseudonymization-vs-anonymization
11 Maxwell and Salmon , A guide to block chain and data protection, 2017, 7
12 CNIL, Blockchain: Solutions for a responsible use of the blockchain in the context of personal data, 2018, tr.1.
205
đã được công bố ra khỏi trang web. Thứ năm, chủ thể dữ liệu cá nhân cũng có quyền nhận dữ liệu
mà mình đã cung cấp cho chủ thể kiểm soát thông tin và yêu cầu truyền những dữ liệu này cho
chủ thể kiểm soát khác, mà không bị cản trở từ phía chủ thể đang kiểm soát dữ liệu cá nhân của
mình, khi đáp ứng yêu cầu đặt ra. Cuối cùng, trong những tình huống cụ thể, chủ thể dữ liệu cá
nhân cũng có quyền phản đối việc xử lý dữ liệu cá nhân của họ. Bên cạnh đó nhằm bảo vệ tối ưu
nhất quyền của chủ thể dữ liệu Liên minh châu Âu cũng đã đưa ra quy định cho phép các cá nhân
có thể khởi kiện đến cơ quan có thẩm quyền của Liên minh châu Âu trong trường hợp họ bị xâm
phạm dữ liệu cá nhân.
Trong bối cảnh ứng dụng hợp đồng thông minh, quyền liên quan đến việc chỉnh sửa dữ liệu và
quyền xóa hay lãng quên đối với dữ liệu đối mặt với rủi ro không thể đáp ứng. Về quyền chỉnh
sửa dữ liệu, bởi được lưu trữ trên sổ cái nên những dữ liệu đã mã hóa trong hợp đồng thông minh
gần như không thể thay đổi. Đây là ưu điểm nhưng đồng thời cũng là nhược điểm nếu các bên
tham gia đều đồng thuận thay đổi một số điều khoản trong hợp đồng. Song song với việc tiến hành
hợp đồng trên hệ thống bảo mật cao, không bị tác động bởi trung gian nên tính an toàn dữ liệu đảm
bảo, rủi ro rò rỉ thông tin thấp hơn so với hợp đồng truyền thống, khó bị hacker tấn công nhưng
đồng nghĩa với việc sửa chữa cũng sẽ khó khăn. Việc bảo đảm quyền chỉnh sửa dữ liệu trên
blockchain là bất khả thi về mặt kĩ thuật và việc dữ liệu mới cập nhật lên bắt buộc phải được đưa
vào một khối mới.13Về quyền xóa (hoặc quyền lãng quên) dữ liệu, quyền được lãng quên trong
không gian mạng internet được hiểu là quyền đảm bảo những thông tin riêng tư về cá nhân mình
sẽ bị xóa khỏi các kết quả tìm kiếm trên Internet và các nền tảng lưu trữ khác trong một số trường
hợp nhất định tại một thời điểm nhất định nhằm mục đích không cho phép bên thứ ba truy cập
thông tin. Cách tiếp cận về quyền được lãng quên của Liên minh châu Âu (EU) dựa trên nền tảng
quyền bảo vệ dữ liệu cá nhân, được xem là một phần của quyền riêng tư. Một cách dễ hiểu, mọi
người đều có quyền được tôn trọng đời sống riêng tư và quyền mở rộng bao gồm cả những thông
tin về cá nhân; do đó, các quy định của pháp luật EU về bảo vệ dữ liệu nhằm hướng đến bảo mật
thông tin cá nhân, đặc biệt những thông tin có khả năng gây tổn hại đến đời sống riêng tư của cá
nhân.14 Quyền được xóa dữ liệu phát sinh nhiều khó khăn trong bối cảnh hợp đồng thông minh sử
dụng công nghệ blockchain, vì cũng tương tự như trường hợp của quyền sửa đổi dữ liệu, mạng
lưới chuỗi khối được cấu trúc căn cứ trên niềm tin bằng việc không thể xóa hay chỉnh sửa hồ sơ
trừ khi phá vỡ chuỗi. Bởi vì xuất phát từ bản chất và ý nghĩa nguyên thủy của việc ứng dụng chuỗi
khối là nhằm mục tiêu đảm bảo rằng toàn bộ những giao dịch, gồm cả các bên trong giao dịch
không bao giờ bị lãng quên để kích hoạt niềm tin phi tập trung – xu thế mới cho ngành tài chính
mở và những lĩnh vực khác.15
Hiện nay, nhiều thuật toán nâng cao và những cách thức xử lý dữ liệu khác nhau được nghiên cứu
và vận hành nhằm đảm bảo dữ liệu không thể xử lý ngược (tức không thể xâm phạm để tìm ra dữ
liệu gốc trước mã hóa) và đồng thời nâng cao quản lý quyền truy cập dữ liệu, cho phép chủ sở hữu
dữ liệu có thể thu hồi quyền truy cập để không hiển thị cho người khác. Qua đó, mặc dù không thể
thực hiện việc xóa dữ liệu, dữ liệu có thể được đảm bảo tính bảo mật và lãng quên.16
1.3 Kiểm soát viên dữ liệu
13 Tlđd, tr. 8.
14 Bạch Thị Nhã Nam, Quyền được lãng quên từ thực tiễn phán quyết trong phạm vi Liên minh châu Âu, Tạp chí
nghiên cứu lập pháp, 08/3/2021.
15 Lyons, Courselas and Timsit , Blockchain and the GDPR, 2018, tr. 25
16 Van Eecke and AG Haie , ‘ Blockchain and the GDPR ’ ( 2018 ) 534.
![Giáo trình Hướng dẫn thực hành Quản trị an toàn hệ thống: Phần 2 [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2026/20260306/hoaphuong0906/135x160/83901773031107.jpg)
