Sáng nay, trong một chuyến bay, mình đã tiến hành cài đặt ứng dụng Bluezone theo khuyến cáo. Điều khiến mình bất ngờ nhất là giao diện khởi động ứng dụng.
Theo đó, trong quá trình cài đặt, tại khung nhập ô số điện thoại, khung: “Xác nhận thông tin bạn cung cấp là chính xác. Bạn đã đọc, đồng ý với Điều khoản sử dụng và đồng ý chia sẻ thông tin của bạn với cơ quan y tế khi bạn được xác định nhiễm hoặc nghi nhiễm COVID-19” đã được chọn sẵn (theo hình).
Có thể, với nhiều người, đây là một điều bình thường. Tuy nhiên, theo mình, đây là một sự xâm phạm quyền riêng tư nghiêm trọng, bởi các lý do sau:
- Thứ nhất, người dùng thường bỏ qua khung này trong quá trình cài đặt.
- Thứ hai, theo các nguyên tắc cơ bản của pháp luật dân sự và Luật An toàn thông tin mạng 2015, các dữ liệu riêng tư của người dùng phải được bảo mật và chỉ được xử lý nếu được sự cho phép của người dùng. Nên nhớ rằng, Điều 17.1.a Luật ATTTM quy định:
“1. Tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm sau đây:
a) Tiến hành thu thập thông tin cá nhân sau khi có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó.”
- Thứ ba, điều này dẫn đến một sự thật rằng: người dùng thực tế KHÔNG TICK vào ô này và ô này ĐƯỢC CHỌN SẴN. Vậy, câu hỏi đặt ra là: Người dùng thực tế có đồng ý không? Người dùng có giao quyền định đoạt thông tin cá nhân cho các bên xử lý thông tin không?
- Thứ tư, rõ ràng, người dùng không TỰ TAY MÌNH tick vào ô đó. Có thể có trường hợp họ thậm chí không còn đọc hết dòng này. Vậy, điều đó có được xem là đồng ý không? Bản chất của việc tick vào ô này là sự tự nguyện tham gia vào một giao dịch dân sự, vậy, yếu tố tự do định đoạt có còn được đảm bảo hay không? Lúc này, nó có vi phạm Điều 126 BLDS 2015 hay không?
Vậy, châu Âu đã giải quyết vấn đề này như thế nào? Để tìm hiểu về vấn đề này, GDPR (General Data Protection Regulation) được sử dụng triệt để. Sau đây là một số cơ sở pháp lý đối với vấn đề này:
- Recital 25 GDPR: “Recital 25 GDPR: “Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. Recital 25 GDPR: “Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject’s acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject’s consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.”
- Điều 4.11 GDPR đã giải thích về Consent : “Điều 4.11 GDPR đã giải thích về Consent : “‘Consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her.”
- Tiếp theo, về Burden of Proof, Điều 7.1 quy định: “Tiếp theo, về Burden of Proof, Điều 7.1 quy định: “Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.”
- Điều 25.2 GDPR về Privacy by Default: “Điều 25.2 GDPR về Privacy by Default: “The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.“
Tóm lại, ứng dụng Bluezone, theo mình, cần sửa chữa ngay lập tức vấn đề trên bằng một bản cập nhật tháo bỏ dấu tick ra khỏi ô, đồng thời ghi rõ cách mà Bluezone hoạt động để người dùng tránh khỏi việc bị nhầm lẫn khi sử dụng ứng dụng này.