"Quyền được lãng quên" (right to be forgotten/right to erasure) là một khái niệm quyền con người mới nổi lên, chỉ được biết đến nhiều trong khoảng hơn một thập niên gần đây. Cái tên hay ho của nó khiến cho nhiều người tò mò, thậm chí là đoán mò về thứ quyền đặc trưng của thời đại số.
Ảnh minh họa : Sarah Grillo/Axios.
Tại Việt Nam, nhiều học giả, diễn giả đã bắt đầu thảo luận về quyền được lãng quên, và mang chúng vào các lớp học nhân quyền.
Tiếp cận quyền được lãng quên dưới góc độ là một quyền trừu tượng không khó. Tiếp cận nó với tư cách là một khái niệm pháp lý cần được hoàn thiện ngay lập tức lại đặt ra khá nhiều câu hỏi hóc búa.
Hiện nay, Luật An ninh mạng lẫn dự thảo Nghị định về bảo vệ dữ liệu cá nhân đều không có điều khoản nào đề cập đến quyền được lãng quên, dù là trực tiếp hay gián tiếp. Các nghiên cứu pháp lý nghiêm túc tại Việt Nam về vấn đề trên, vì vậy, còn rất hạn chế.
Bài viết hy vọng sẽ sơ lược gọn nhưng đầy đủ ba vấn đề pháp lý quan trọng độc giả cần quan tâm khi bàn đến "quyền được lãng quên".
1. Nền tảng tiếp cận : Trường phái Châu Âu – Trường phái Hoa Kỳ
Quyền được lãng quên (gọi tắt là RF – right to be forgotten), như hầu hết các thuật ngữ pháp lý hiện đại khác, bắt nguồn từ phương Tây. Nhưng không phải vì vậy mà giữa các gia đình luật không có sự khác biệt căn bản. Đối với RF, người viết quan sát được hai các tiếp cận rất khác biệt giữa Châu Âu lục địa và Hoa Kỳ.
Châu Âu tiếp cận RF như là một quyền đương nhiên cần phải được bảo vệ (hay có thể được gọi là "right approach").
Cụ thể hơn, Pháp là quốc gia đầu tiên nghĩ đến một dự án pháp lý liên quan đến quyền này. Trong hai bộ quy tắc ứng xử thông qua ở Pháp hồi năm 2010, các nhà lập pháp xây dựng khung thực hành yêu cầu nhà cung cấp dịch vụ mạng hoặc tiện ích gia tăng Internet phải xóa bỏ email, tin nhắn và các sản phẩm thông tin cá nhân khác của khách hàng sau một thời gian nhất định (hoặc theo yêu cầu của khách hàng).
Từ thời điểm này, RF dần trở thành một nhóm quyền được chú trọng trong cương lĩnh của Liên minh Châu Âu. Hiện nay, RF đã được ghi nhận tại Điều 17 của Bộ Quy định chung về bảo vệ dữ liệu (GDPR).
Tòa án Công lý Liên minh Châu Âu tại Luxembourg, nơi đưa ra nhiều phán quyết quan trọng về quyền được lãng quên. Ảnh : Arne Immanuel B’nsch/ Associated Press Images.
Nhìn chung, các chuyên gia Châu Âu xếp RF vào trong nhóm quyền về nhân thân, bao hàm nhiều khía cạnh như danh dự, nhân phẩm và quyền riêng tư.
Chẳng hạn, các tác giả của quyển "The Right to be Forgotten", lập luận rằng không gian riêng tư của một con người đương nhiên phải được bảo vệ. Vì vậy, người sở hữu dữ liệu có quyền tự chủ và quyết định thông tin nào của mình ở lại thế giới mạng.
Cách tiếp cận của nước Mỹ thì gần như hoàn toàn ngược lại.
Hãy tưởng tượng một trường hợp như sau. Anne viết một dòng tweet. Bob chụp ảnh dòng tweet này (đề phòng việc Anne xóa) và viết một bài đăng chỉ trích Anne. Nếu Anne đưa ra yêu cầu "quyền lãng quên" và bắt buộc Bob hoặc nhà cung cấp dịch vụ cho Bob phải xóa nội dung đó, người ta sẽ giải quyết tranh chấp trên cơ sở gì và theo định hướng nào ?
Với nỗi "ám ảnh" tự do ngôn luận luôn thường trực trong các án lệ liên quan đến thông tin hình sự (của nạn nhân hoặc của bị cáo) cũng như tư duy tư pháp của các thẩm phán Hoa Kỳ, RF chỉ là một quyền thứ cấp so với các ưu tiên hiến pháp (constitutional priority) cũng như lợi ích công cộng khác.
Ví dụ, trong án lệ quan trọng Cox Broadcasting Corporation v. Cohn (1975) của Tối cao Pháp viện Hoa Kỳ, con gái 17 tuổi của người khởi kiện Martin Cohn bị cưỡng bức và giết hại. Hãng truyền hình địa phương sau khi thu thập thông tin đã công bố danh tính của con ông trong bản tin của mình, một hành vi vi phạm pháp luật tiểu bang Georgia.
Tối cao Pháp viện trong khi đó không đồng tình với nguyên tắc mà tiểu bang Georgia đưa ra. Thẩm phán White, trong phần trình bày thay mặt Pháp viện, cho rằng báo chí là một nguồn quan trọng để công dân có thể theo dõi và đánh giá trình tự tư pháp của cơ quan công quyền.
Các thông tin về quy trình điều tra và xét xử tội phạm, dù có tính cá nhân ra sao, vẫn có ý nghĩa quan trọng đối với lợi ích công cộng. Kiểm soát và giới hạn báo chí theo cách mà pháp luật bang Georgia làm bị xem là một sự xâm phạm nguy hiểm đối với tự do báo chí và tự do ngôn luận – những quyền được bảo vệ trong Tu chính án thứ Nhất.
Các tranh cãi pháp lý giữa Cox Broadcasting Corporation và gia đình Cohn bắt đầu khi một phóng viên đã tiết lộ tên của nạn nhân Cynthia Cohn. Ảnh minh họa : Quimbee.
Như vậy, quyền được lãng quên thật ra được tiếp cận với những góc nhìn rất khác nhau.
Châu Âu có cách tiếp cận thiên về quyền, trong khi Hoa Kỳ lại cân nhắc liệu RF có cần được bảo vệ trong các tương quan pháp lý cụ thể, hay còn gọi là "cách tiếp cận hạn chế" (restrictive approach).
2. RF bảo vệ thông tin ra sao ?
Nội dung pháp lý bên trong RF tương đối đa dạng và phức tạp. Cho đến nay, các nhóm thông tin dữ liệu được cân nhắc bảo vệ có thể bao gồm từ tên họ, địa chỉ nhà, ngày tháng năm sinh, số điện thoại, các đặc điểm sinh trắc học, thông tin thuế, niềm tin tôn giáo, thói quen và tính cách, thói quen tiêu dùng, thói quen tài chính, cho đến những thông tin nhạy cảm khác như địa chỉ IP, số an sinh xã hội, vị trí sử dụng dịch vụ hay thông tin được lưu giữ cho các dịch vụ y tế.
Quyền được lãng quên nhắm đến toàn bộ các nội dung nói trên. Tuy nhiên, cần chú ý rằng đặc trưng và nội hàm của quyền được lãng quên không nhất thiết chỉ có một.
Theo báo cáo và phân tích của tổ chức quyền thông tin Access Now, thuật ngữ "quyền được lãng quên" thường hoán đổi sử dụng một cách khá phổ biến với quyền được xóa bỏ (right to erasure) và quyền lược bỏ (right to de-list), hay thậm chí là quyền được để yên (right to be left alone/right to obscurity).
Trong đó, RF theo nghĩa quyền được xóa bỏ trao cho chủ thể chủ sở hữu thông tin quyền xóa bỏ, hoặc yêu cầu xóa bỏ toàn bộ thông tin liên quan đến mình khi họ rời bỏ một nền tảng hay một ứng dụng, hoặc bất kỳ thời điểm nào họ cho rằng các thông tin của mình đang bị xâm hại.
Như vậy, hiểu đơn giản, quyền được xóa bỏ có thể được áp dụng trong các trường hợp :
– Chủ sở hữu thông tin nhận thấy thông tin của mình đang được xử lý không đúng với mục đích ban đầu mà mình trao quyền (ví dụ như cung cấp thông tin sinh trắc học chỉ để đăng nhập vào một chương trình nhất định, nhưng bên xử lý lại giao dữ liệu để xử lý trí tuệ nhân tạo cho các mục tiêu nhận diện, tái tạo khuôn mặt người dùng) ;
– Chủ sở hữu thông tin không tiếp tục đồng ý cho bên cung cấp dịch vụ xử lý và lưu trữ dữ liệu của mình ;
– Chủ sở hữu thông tin đưa ra phản đối về việc bên cung cấp dịch vụ hay bên xử lý dữ liệu sử dụng thông tin của mình cho các mục tiêu tiếp thị (một hiện tượng khá phổ biến tại Việt Nam khi thông tin liên lạc của người dùng được bán cho các bên tài chính hay telesale)
Đó cũng là những trường hợp mà Điều 17 trong GDPR của Liên minh Châu Âu cân nhắc bảo vệ.
Tuy nhiên, điều này không đồng nghĩa với việc người dùng có quyền yêu cầu xóa bỏ mọi thông tin, và ngay lập tức.
Các loại thông tin và thời hạn được nắm giữ thông tin của nhiều ngân hàng Châu Âu hiện nay. Nguồn : Banking Hub.
Lấy ví dụ trong dịch vụ ngân hàng và tín dụng. Các ngân hàng hiện nắm giữ hàng loạt nhóm thông tin quan trọng, từ địa chỉ nhà, tình trạng uy tín tín dụng của cá nhân bạn cho đến khoản tiền thực tế và mật khẩu liên đới cho rất nhiều loại giao dịch hằng ngày. Một yêu cầu dựa trên "quyền được lãng quên" có thể bắt buộc nhà cung ứng dịch vụ xóa bỏ hoàn toàn lượng thông tin này hay không ?
Từ khi GDPR có hiệu lực vào năm 2018, các ngân hàng Châu Âu phải hiểu sâu hơn về lý do họ thu thập thông tin cá nhân và phân loại mục tiêu nắm giữ thông tin đó.
Theo đó, các thông tin mà cá nhân tự cung cấp cho ngân hàng như sở thích, thói quen là nhóm thông tin mà ngân hàng chỉ có thể lưu giữ vì có sự đồng thuận của khách hàng. Trong bất kể trường hợp gì, thông báo viện dẫn RF sẽ bắt buộc phía ngân hàng phải xóa bỏ chúng.
Hoặc việc bạn dùng thẻ tín dụng để mua dịch vụ, sản phẩm gì, của ai, cũng có thể là các dữ liệu "tiếp thị" đáng giá. Song tương tự như thông tin tự cung cấp, các thông tin này mang tính cá nhân cao. Chúng cần được loại bỏ và ngừng chia sẻ cho bên thứ ba khi có yêu cầu từ khách hàng.
Tuy nhiên, nhiều thông tin khác lại không phụ thuộc vào ý muốn của khách hàng.
Vị trí rút tiền, giao dịch ở đâu và với ai, số dư cuối kỳ, bảng thu chi là những thông tin mà ngân hàng sẽ buộc phải lưu trữ trong một khoảng thời gian nhất định, bất kể người dùng có yêu cầu xóa bỏ ra sao. Lý do khá hiển nhiên là bởi vì bản thân ngân hàng phải chứng minh tính toàn vẹn và chính trực của bảng cân đối kế toán của họ với nhà nước, cùng với đó là các yêu cầu phòng chống rửa tiền hay phát hiện gian dối tài chính
Phải hiểu được cấu trúc và các tầng dữ liệu nói trên thì chúng ta mới có thể xây dựng một khung pháp lý hợp lý cho quyền được lãng quên.
Trở lại với các hình thức khác nhau của quyền được lãng quên, RF theo cách tiếp cận quyền lược bỏ (right to de-list) hiện vẫn đang phải đối mặt với nhiều tranh cãi.
Yêu cầu xóa bỏ các thông tin có liên quan đến mình khỏi danh sách tìm kiếm trở thành một phần khá quan trọng trong nhóm quyền được lãng quên. Ảnh minh họa : eff.org.
Quyền lược bỏ là thuật ngữ dùng để chỉ việc yêu cầu trình duyệt tìm kiếm loại các trang thông tin về một cá nhân hoặc có chứa đựng thông tin cá nhân ra khỏi danh sách tìm kiếm của mình.
Hiểu đơn giản là bạn yêu cầu Google hoặc Bing loại một trang thông tin có tên hoặc hình ảnh của bạn (như một bài báo của Tuổi Trẻ) khỏi nhóm kết quả tìm kiếm được.
Bắt đầu từ án Costeja judgment của Tòa án Công lý Liên minh Châu Âu (Court of Justice of the European Union – CJEU) vào năm 2014, các quốc gia Châu Âu cho đến nay trao cho Google, trình duyệt tìm kiếm lớn nhất của khu vực, trách nhiệm nhận khiếu nại và xử lý các yêu cầu cá nhân về việc loại bỏ một đường dẫn nhất định ra khỏi trình tìm kiếm. Tuy nhiên, quyền này lại có thể gây ảnh hưởng nghiêm trọng đến quyền tự do ngôn luận và quyền được tiếp cận thông tin của công chúng.
Thử tưởng tượng, một tờ báo viết bài chỉ trích một chính trị gia. Bài viết được nhiều người đọc. Sau một thời gian, bài đó đứng đầu trang nhất trong các kết quả tìm kiếm từ Google. Nếu chính trị gia này có thể dễ dàng viện dẫn quyền được lãng quên, dưới góc độ lược bỏ, để yêu cầu Google loại bài báo trên ra khỏi kết quả tìm kiếm, quyền được biết của công dân và sự minh bạch của nền chính trị quốc gia rõ ràng sẽ bị đe dọa.
Áp dụng một cách cứng nhắc và tuyệt đối quyền lược bỏ không khác gì tạo cơ hội cho một cơ chế kiểm duyệt và che giấu thông tin tinh vi. Điều này càng đáng lưu tâm hơn khi xét đến vai trò quan trọng của Google và các trình tìm kiếm trong môi trường thông tin và thảo luận ngày nay.
Vì vậy, theo hướng dẫn của Liên minh Châu Âu, cần tập hợp nhiều tiêu chuẩn trước khi quyền lược bỏ có thể được áp dụng :
- Cá nhân đó không phải là một nhân vật của công chúng (chính trị gia, nhân vật giải trí) ;
- Các thông tin được ghi nhận không liên quan đến đời sống hay hoạt động nghề nghiệp của cá nhân yêu cầu, mà chỉ mang tính riêng tư, cá nhân ;
- Thông tin đã được tòa có thẩm quyền xác định là phát ngôn thù hận, phỉ báng, bôi nhọ đối với cá nhân yêu cầu ;
- Thông tin được trình bày như là thông tin chuẩn xác nhưng thật ra không đúng sự thật
Các chuyên gia pháp lý Hoa Kỳ, như chúng ta đã trình bày trong phần nền tảng, luôn xem trọng quyền tự do ngôn luận và tự do thông tin hơn là quyền riêng tư. Họ lo ngại pháp quyết chống lại Google Tây Ban Nha của CJEU sẽ tạo ra các "lỗ hổng ký ức" (memory holes), phá hoại chức năng lưu trữ thông tin của Internet, đồng thời biến thành công cụ để chôn giấu bằng chứng.
Quy trình xử lý yêu cầu lược bỏ thông tin theo quy định của GDPR. Nguồn : Banking Hub.
Cách tiếp cận này có phần cứng nhắc, bởi nó loại bỏ hoàn toàn lợi ích mà RF có thể mang lại. Đáng tiếc là chúng ta không biết rõ tư duy pháp lý kỳ lạ và đáng ngưỡng mộ của người Mỹ sẽ tiếp cận vấn đề này ra sao. Đây sẽ là vấn đề được tranh cãi nhiều tại Mỹ, khi theo PEW Research, có hơn 70% người Mỹ ủng hộ quyền được lãng quên.
3. "Quên" là quên thế nào ?
Thế nào là "quên" cũng là một chủ đề đang tiếp tục được các chuyên gia pháp luật và kỹ thuật tin học bàn cãi. Hiện nay có ba cách tiếp cận chính đối với khái niệm "quên".
Cách diễn giải chặt chẽ nhất cho rằng lãng quên ở đây đồng nghĩa với việc mọi dữ liệu và các bản sao dữ liệu cùng các dữ liệu nhánh liên quan phải bị xóa bỏ triệt để, đến mức không thể có bất kỳ biện pháp phục hồi dữ liệu nào.
Dù cách diễn giải này là đúng nghĩa đen nhất với các từ "xóa bỏ" hay "lãng quên", về mặt công nghệ và xét đến mối liên kết thông tin hiện nay, mức độ khả thi là rất thấp.
Cách diễn giải thứ hai nhẹ nhàng hơn, cho phép việc mã hóa thông tin và cho phép chúng tiếp tục tồn tại, miễn là lượng thông tin này không được giải mã hoặc công bố cho các bên không có thẩm quyền (unauthorized parties). Điều này khả thi hơn về mặt kỹ thuật và dễ dàng hơn cho bên cung cấp dịch vụ hay bên xử lý dữ liệu.
Vấn đề là, các thông tin đó vẫn tiếp tục tồn tại, vẫn có thể bị giải mã, vẫn có thể bị chính quyền yêu cầu giải mã. Lãng quên theo nghĩa này không hẳn là lãng quên.
Cách diễn giải cuối cùng nguy hiểm nhất, khi cho rằng dữ liệu thậm chí không cần phải mã hóa. Yêu cầu chỉ là những thông tin này không xuất hiện trên các phương tiện công cộng, không thể trích xuất công khai và không thể tìm kiếm bằng các công cụ tìm kiếm phổ biến.
Việc lựa chọn cách diễn giải "lãng quên" có ý nghĩa đặc biệt quan trọng trong thực tiễn quyền được lãng quên. Tuy nhiên, cho đến nay, các nhà lập pháp EU vẫn còn loay hoay xem xét họ nên làm gì.
Mã hóa thông tin và lưu trữ chúng với các biện pháp bảo mật nhất định là hướng đi của hầu hết các công ty hiện nay.
Võ Văn Quản
Nguồn : Luật Khoa, 15/03/2021