Kỷ yếu Hội thảo Khoa học: “An ninh Sinh viên trong thời kỳ Chuyển đổi số”
375
PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA
SINH VIÊN TẠI VIỆT NAM - ĐỐI CHIẾU VỚI PHÁP LUẬT
CỦA LIÊN MINH CHÂU ÂU EU (GDPR)
LEGAL REGULATIONS ON PERSONAL DATA
PROTECTION OF STUDENTS IN VIETNAM – A
COMPARATIVE ANALYSIS WITH THE LEGAL
PERSPECTIVE OF THE EUROPEAN UNION (GDPR)
Nguyễn Tiến Đạt*, Hà Thảo Trâm
Trường Đại học Sài Gòn
*Tác giả liên hệ: tiendatsgu2023@gmail.com
THÔNG TIN
TÓM TẮT
Từ khóa:
dữ liệu cá nhân, an ninh
sinh viên, xâm phạm dữ
liệu, pháp luật liên minh
Châu âu EU, nền tảng số.
Keywords:
personal data, students’
protection, data invasion,
digital platform, GDPR.
Dữ liệu cá nhân là vấn đề được quan tâm đặc biệt
trong thời kỳ hội nhập, chuyển đổi số, cách mạng công
nghiệp 4.0 đối với con người trong thời kỳ hiện đại nói
chung và sinh viên nói riêng. Bài viết nghiên cứu các thực
trạng về vấn đề xâm phạm bảo mật dữ liệu cá nhân của sinh
viên tại Việt Nam thông qua phương pháp phân tích bản án,
nhằm làm sáng tỏ các hành vi xâm phạm dữ liệu cá nhân và
áp dụng quy định pháp luật đối với thực trạng trên. Từ đó,
đưa ra các nhận xét, đánh giá về tình hình pháp luật tại Việt
Nam. Ngoài ra, bài viết cũng nghiên cứu các công trình
trong nước và quốc tế để đưa ra các kinh nghiệm học tập
cần thiết cho Việt Nam hoàn thiện hệ thống pháp luật, thông
qua đối chiếu pháp luật liên minh Châu Âu EU (GDPR)
ABSTRACT
Personal data is a matter of particular concern in the
era of globalization, digital transformation, and the Fourth
Industrial Revolution, affecting people in general and
students in particular in modern times. This research article
investigates the realities of personal data security breaches
concerning Vietnamese students. It employs a case analysis
method to shed light on these breaches, apply legal
regulations, and provide insights into the legal landscape in
Vietnam. Additionally, it studies domestic and international
literature to extract essential lessons for Vietnam to enhance
its legal system, drawing comparisons with the European
Union's General Data Protection Regulation (GDPR).
Kỷ yếu Hội thảo Khoa học: “An ninh Sinh viên trong thời kỳ Chuyển đổi số”
376
1. Giới thiệu
Việc sử dụng công nghệ số ở các lĩnh vực trong xã hội đang ngày một gia tăng
trên khắp thế giới trong vài thập kỷ qua. Cho dù ở dạng thiết bị điện toán cho nội dung
phân phối, ứng dụng học tập trực tuyến, lưu trữ đám mây, hệ thống đào tạo và đánh giá
giáo dục, giải trí... đã trở thành một phần không thể thiếu trong nhiều hoạt động. Đặc
biệt, sự xuất hiện của các các ứng dụng mạng xã hội đã giúp cho cuộc sống trở nên thuận
tiện, nhanh chóng hơn bao giờ hết. Song song đó, việc bùng nổ các ứng dụng mạng xã
hội cũng mang lại những tác động tiêu cực đến xã hội, đặc biệt là sinh viên - đối tượng
dành nhiều thời gian cho việc sử dụng mạng xã hội cho các hoạt động trong cuộc sống.
Điều này, dấy lên vấn đề an ninh sinh viên về bảo mật dữ liệu thông tin cá nhân trong
nền tảng số. Vì vậy, pháp luật với vai trò là một công cụ điều chỉnh sẽ phải có những
giải pháp hoàn thiện giúp khắc phục các lỗ hổng đang còn tồn tại. Bài viết đề cập đến
ba khía cạnh chính gồm: lý luận về vấn đề bảo vệ dữ liệu cá nhân của sinh viên, thực
trạng bảo vệ dữ liệu tại Việt Nam, kinh nghiệm học tập từ quốc tế.
2. Cơ sở lý thuyết
Hiện nay, vấn đề bảo vệ dữ liệu cho sinh viên chưa nhận được nhiều sự quan tâm
và bảo vệ một cách toàn diện tại Việt Nam. Tuy nhiên, vẫn có một số bài báo nhắc đến
vấn đề bảo vệ dữ liệu có thể kể đến như:
Bài viết Bảo vệ dữ liệu cá nhân trong bối cảnh cách mạng công nghiệp 4.0 của
TS. Nguyễn Thị Thu Vân trong tạp chí Dân chủ & Pháp luật số 10 (307) - 2017. Bài viết
này mô tả sơ lược một số thách thức đối với các nhà làm luật trong việc bảo vệ dữ liệu
cá nhân trước bối cảnh phát triển một số xu hướng công nghệ lớn trên thế giới và ở Việt
Nam hiện nay.
Bài viết Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật
ở một số quốc gia và giá trị tham khảo cho việt nam của PGS.TS Vũ Công Giao, khoa
Luật, Đại học Quốc gia Hà Nội và Th.S Lê Trần Như Tuyên, khoa Luật, Đại học Quốc
gia Hà Nội, tạp chí xuất bản Số 9(409) - T5/2020. Bài viết này phân tích sự tác động
của kỹ thuật số đến quyền đối với dữ liệu cá nhân; đánh giá các quy định của pháp luật
quốc tế và pháp luật ở một số quốc gia về việc bảo vệ quyền này trong bối cảnh mới và
nêu ra một số giá trị mà Việt Nam có thể tham khảo.
Bài viết Securing higher education against cyberthreats: from an institutional
risk to a national policy challenge của Noran Shafik Fouad xuất bản ngày 11/12/2021.
Bài viết này đã nghiên cứu vấn đề xâm phạm dữ liệu cá nhân trên không gian mạng với
đối tượng là các sinh viên đại học. Ngoài ra, bài báo đã đưa ra thực trạng và thống kê
các vụ việc xâm phạm dữ liệu xảy ra trong thời kỳ Covid 19, đưa ra những giải pháp về
mặt chính sách để giảm thiểu việc dữ liệu cá nhân của sinh viên bị xâm phạm.
Kỷ yếu Hội thảo Khoa học: “An ninh Sinh viên trong thời kỳ Chuyển đổi số”
377
Các bài viết trong nước và quốc tế đã có đề cập đến vấn đề bảo mật dữ liệu cá
nhân cho sinh viên dưới góc độ chính sách nhưng chưa đề cập đến khía cạnh pháp lý.
Vì vậy, bài viết này sẽ kết hợp giữa hai góc độ chính sách và pháp luật nhằm đưa ra các
giải pháp khắc phục điểm hạn chế trong pháp luật Việt Nam thông qua việc nghiên cứu,
học hỏi kinh nghiệm từ các nước phát triển.
3. Phương pháp nghiên cứu
Trong quá trình nghiên cứu, nhóm chúng tôi đã sử dụng các phương pháp sau:
phương pháp phân tích, tổng hợp; phương pháp thu thập thông tin, tài liệu; phương pháp
nghiên cứu tình huống. Từ đó chọn lọc, sắp xếp, thống kê tài liệu đi đến phân tích, tổng
hợp rút ra các nhận định cần thiết để làm rõ thêm nội dung cần truyền tải.
4. Kết quả nghiên cứu và thảo luận
4.1. Bảo vệ dữ liệu sinh viên trong cách mạng công nghiệp 4.0
a) Dữ liệu cá nhân của sinh viên
Theo định nghĩa cơ bản dữ liệu cá nhân (personal data) là bất cứ thông tin nào
liên quan đến dữ liệu của một người hay còn gọi là một chủ thể dữ liệu.
GDPR cho rằng dữ liệu được phân loại thành “dữ liệu cá nhân” một cá nhân có
thể được nhận diện trực tiếp hoặc gián tiếp, bằng cách sử dụng những số nhận dạng trực
tuyến như tên, số căn cước công dân, địa chỉ IP, hoặc là dữ liệu định vị của họ.[1]
Tại Việt Nam, dữ liệu cá nhân được quy định trong khoản 1 điều 2 Nghị định số
13/2023-NĐ-CP ngày 17/4/2023 của Chính phủ quy định: “dữ liệu cá nhân là thông tin
dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi
trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ
thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.”
b) Bảo vệ dữ liệu cá nhân
Theo Khoản 5 Điều 2 Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính
phủ về bảo vệ dữ liệu cá nhân quy định: “Bảo vệ dữ liệu cá nhân là hoạt động phòng
ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo
quy định của pháp luật”.
4.2. Thực trạng xâm phạm dữ liệu cá nhân của sinh viên hiện nay
Bản án thực tế: Bản án số: 08/2020/HS-ST Ngày 17/01/2020[2] Vụ án này xoay
quanh một hành vi phạm tội sử dụng mạng máy tính và mạng viễn thông để thực hiện
các hoạt động lừa đảo và chiếm đoạt tài sản. Cụ thể, vào cuối tháng 02 đầu tháng 3 năm
2019, Lê Văn L, do cần tiền chi tiêu, đã tìm cách hack vào tài khoản Facebook cá nhân
để giả danh người thân và yêu cầu chuyển tiền vào tài khoản ngân hàng nhằm chiếm
đoạt tài sản. Vì L không có tài khoản ngân hàng nên đã hợp tác với Lê Văn Duy C để
tìm người có tài khoản để nhận tiền sau khi hack thành công.
Kỷ yếu Hội thảo Khoa học: “An ninh Sinh viên trong thời kỳ Chuyển đổi số”
378
Lê Văn L sau đó được thông báo rằng đã có người liên lạc được với một du học
sinh tên Phan Tiến A (bạn của Lê Văn Duy C) để lấy số tài khoản ngân hàng. Họ thống
nhất ăn chia số tiền chiếm đoạt theo tỷ lệ 20% và 80%.
Lê Văn L tiếp tục hành động của mình bằng cách hack vào tài khoản Facebook
của một du học sinh Nhật Bản có tên Đỗ Thị Lan Hương. Anh ta thu thập thông tin cá
nhân của chị Hương, bao gồm ngày tháng năm sinh, địa chỉ và số điện thoại, sau đó
đoán ra mật khẩu để truy cập vào tài khoản Facebook của chị Hương.
Sử dụng tài khoản của chị Hương, Lê Văn L nhắn tin đến các người thân của chị
Hương, bà Hoàng Thị L1 và bà Đỗ Thị Thúy, yêu cầu họ chuyển tiền vào tài khoản ngân
hàng mang tên Ngô Văn H, do Phan Tiến A đã cung cấp. Họ đã chuyển tổng cộng 70
triệu đồng vào tài khoản này sau khi bị lừa đảo.
Sau khi nhận được tiền, Lê Văn L và Phan Tiến A tiếp tục chuyển tiền từ tài
khoản này sang các tài khoản khác và rút tiền mặt. Tổng cộng, họ đã chiếm đoạt được
56 triệu đồng.
Sau khi hành vi của họ bị phát hiện, Lê Văn L đã đầu thú tại cơ quan an ninh điều
tra. Cả hai bị cáo đã thừa nhận hành vi phạm tội của mình, và phiên tòa đã xem xét giảm
nhẹ hình phạt dựa trên các yếu tố khác nhau.
Viện kiểm sát đã đề nghị xử phạt Lê Văn L từ 30 đến 36 tháng tù và xử phạt Phan
Tiến A từ 24 đến 30 tháng tù, cùng với trách nhiệm dân sự để trả lại số tiền đã chiếm
đoạt cho bị hại. Cả hai bị cáo đã đề nghị giảm nhẹ hình phạt.
Tòa án quyết định tuyên bố các bị cáo Lê Văn L và Phan Tiến A phạm tội “Sử
dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm
đoạt tài sản”. Áp dụng điểm b, đ khoản 2 Điều 290, điểm b, s khoản 1, khoản 2 Điều 51;
Điều 56; Điều 58; Điều 38 Bộ luật hình sự; khoản 1 Điều 329 Bộ luật tố tụng hình sự,
tổng hợp hình phạt với bản án số: 12/2019/HS-ST ngày 30/8/2019 của Tòa án nhân dân
huyện T, tỉnh Quảng Trị buộc Lê Văn L phải chấp hành chung hình phạt của hai bản án
là 48 tháng tù. Áp dụng điểm b, đ khoản 2 Điều 290, điểm b, s khoản 1, khoản 2 Điều
51; Điều 58; Điều 38 Bộ luật hình sự: Xử phạt bị cáo Phan Tiến A 30 tháng tù. Áp dụng
Điều 47, 48 Bộ luật hình sự; Điều 106 Bộ luật tố tụng hình sự: Buộc bị cáo Lê Văn L
và Phan Tiến A phải liên đới bồi thường cho bà Hoàng Thị L1 40.000.000 đồng, bà Đỗ
Thị Thúy 30.000.000 đồng. Đồng thời tịch thu một số hiện vật khác có liên quan.
Bản án trên chính là một ví dụ minh họa điển hình cho việc bị xâm phạm dữ liệu
cá nhân trên nền tảng mạng xã hội của sinh viên. Vụ việc trên đã gây phương hại trực
tiếp đến tinh thần, cuộc sống của nạn nhân - cụ thể chị Hương (một du học sinh tại Nhật)
và những người xung quanh.
Từ thực tiễn xét xử, Tòa án đã áp dụng điểm b, đ khoản 2 Điều 290, điểm b, s
khoản 1, khoản 2 Điều 51, Điều 56, Điều 58, khoản 1 Điều 329 Bộ luật tố tụng hình sự;
Kỷ yếu Hội thảo Khoa học: “An ninh Sinh viên trong thời kỳ Chuyển đổi số”
379
điểm b, đ khoản 2 Điều 290, điểm b, s khoản 1, khoản 2 Điều 51; Điều 58; Điều 38 Bộ
luật hình sự để xử lý hành vi của Lê Văn L và Phan Tiến A phạm tội sử dụng mạng máy
tính và mạng viễn thông để thực hiện các hoạt động lừa đảo và chiếm đoạt tài sản.
Qua đó có thể thấy, pháp luật Việt Nam đang ngày một hoàn thiện và khắt khe
hơn trong việc bảo vệ dữ liệu cá nhân của người dùng trên mạng xã hội đặc biệt với đối
tượng là sinh viên. Những quy phạm pháp luật chặt chẽ về xử lý hành vi xâm phạm dữ
liệu cá nhân đã được ban hành ở những ngành luật riêng. Cụ thể, pháp luật hình sự đã
tham gia vào việc bảo vệ dữ liệu cá nhân bằng cách cụ thể hóa tội phạm về các hành vi
xâm hại đến dữ liệu cá nhân về tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu
cá nhân trong môi trường số.
Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 quy định về bảo vệ dữ
liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên
quan. Tại Điều 4 Nghị định 13/2023/NĐ-CP quy định về xử lý vi phạm quy định bảo vệ
dữ liệu cá nhân: “Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân
tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo
quy định.” Như vậy, theo quy định trên thì đối với hành vi vi phạm về dữ liệu cá nhân
sẽ có các hình thức xử lý khác nhau tùy theo tính chất và mức độ vi phạm mà tổ chức,
cá nhân thực hiện hành vi vi phạm về dữ liệu cá nhân sẽ có hình thức xử lý tương ứng..
4.3. Quy định pháp luật quốc tế
Ở cấp độ toàn cầu, các quy định về bảo vệ quyền về sự riêng tư có thể được tìm
thấy trong Tuyên ngôn Nhân quyền phổ quát năm 1948 (UDHR)[3], trong đó có Điều 12
về bảo vệ quyền về sự riêng tư. Từ nội dung Điều 12 UDHR, có thể thấy nội hàm của
các giá trị riêng tư cần được bảo vệ không chỉ là cuộc sống riêng tư của mỗi cá nhân,
mà còn bao gồm cả những khía cạnh đời sống có sự gắn kết mật thiết với cá nhân, cụ
thể như gia đình, nơi ở, thư tín và cả những giá trị định tính như danh dự, uy tín cá
nhân...
Tiếp theo UDHR, nhiều công ước quốc tế về quyền con người cũng công nhận
quyền về sự riêng tư như một quyền cơ bản, cụ thể như: Công ước quốc tế về các quyền
dân sự và chính trị (ICCPR)[4] (Điều 17); Công ước về quyền của người lao động nhập
cư (Điều 14); Công ước về quyền trẻ em (Điều 16); Công ước về quyền của người khuyết
tật (Điều 22) ...
Dù vậy, sự phát triển của công nghệ trong cuộc Cách mạng công nghiệp 4.0 mà
đi kèm với nó là tiềm năng giám sát ngày càng tinh vi của các hệ thống máy tính đã đặt
ra những yêu cầu mới với bảo vệ dữ liệu của cá nhân. Để đáp ứng yêu cầu này, có hai
công cụ pháp lý quốc tế đã được phát triển, trong đó đặt ra một số quy tắc cụ thể chi
phối việc thu thập và xử lý dữ liệu cá nhân, bao gồm: Công ước năm 1981 của Hội đồng
châu Âu về bảo vệ cá nhân liên quan đến việc xử lý dữ liệu cá nhân tự động và Hướng
