Kinh tế dữ liệu và vấn đề bảo vệ quyền riêng tư

I. Dẫn nhập

Vài năm trước, tôi vô tình đọc được lời ca thán “cây súng hơi mạng xã hội đã triệt tiêu quyền riêng tư.”[1] Đến nay, cảm thán này có vẻ không mấy hợp thời trước cách tiếp cận và phát triển pháp lý hiện tại và có thể là trong tương lai ở nhiều nước. Chẳng thể phủ nhận quyền riêng tư đang có xu hướng bị khai thác triệt để, và có nhiều biểu hiện của sự xâm phạm thái quá.[2] Nhưng rõ ràng, pháp luật chẳng thể nào tiếp tục đứng yên, nhìn các cơ chế bảo đảm và bảo vệ quyền riêng tư “chết”. Việt Nam cũng khó có thể có lựa chọn khác.

Không thể phủ nhận thực tế rằng, dữ liệu cá nhân đang được khai thác tối đa, đặc biệt là cho các hoạt động thương mại hóa, thậm chí còn được xem là có khả năng kinh doanh tốt.[3] Xa hơn, hành trình với dữ liệu lớn (bigdata) còn có vẻ vượt qua giai đoạn khởi đầu để tăng tốc mạnh mẽ. Thậm chí, kinh doanh trên thị trường dữ liệu đang vượt ra xa cả những tiên lượng của các bậc kinh tế gia tiền bối về sự hữu ích cũng như giá trị của thông tin trong nền kinh tế. Hoạt động kinh tế hiện tại đã cho thấy “giá trị của dữ liệu tự thân nó gia tăng,”[4] và có thể dễ dàng kinh doanh.[5] Chẳng có gì là khó hiểu nếu như có nhiều vấn đề phát sinh kèm theo, đặc biệt là các xung đột và rủi ro về mặt pháp lý.[6]

Do đó, sẽ chẳng có gì lạ thường nếu bảo mật riêng tư ngày càng được quan tâm nhiều hơn.[7] Ở một khía cạnh nào đó, biểu này còn cho thấy xu hướng phản ứng tích cực của xã hội, đặc biệt là trong thời đại mà kinh tế ứng dụng (app) đang ngày càng chiếm “sóng.” Nhưng cho dù thế nào, vấn đề khai thác, kinh doanh dữ liệu cần phải bảo đảm ở mức tối đa có thể quyền riêng tư của cá nhân có thông tin được sử dụng và tận dụng. Rõ ràng, khó có thể phủ nhận tiến trình hiển nhiên là dữ liệu tinh chế chỉ có thể có được trên cơ sở xử lý từ dữ liệu gốc (thô) và vì vậy bên khai thác trước hết phải có dữ liệu thô. Do đó, khả năng bị vi phạm quyền riêng tư luôn hiện diện và vấn đề pháp lý đầu tiên là bên khai thác, kinh doanh có được phép thu thập hay không, và đặc biệt có được phép thu thập dữ liệu cá nhân một cách âm thầm hay thông qua một cơ chế thiếu minh bạch hay không?[8] Hơn thế, việc sử dụng và khai thác bộ dữ liệu thô có cần được giới hạn và giới hạn tới đâu… cũng cần được thảo luận một cách kỹ lưỡng. Tất cả những vấn đề pháp lý này nhất thiết phải được giải quyết một cách ổn thỏa.

II. Kinh tế dữ liệu và các yêu cầu bảo đảm quyền riêng tư

1. Định vị hoạt động kinh tế dữ liệu: Dữ liệu tinh hay dữ liệu thô?

Thông thường, việc chia sẻ thông tin cá nhân có thể được chấp nhận nếu như nó vô hại, và đặc biệt là vì mục đích hay sự phát triển chung.[9] Ngược lại, không dễ có được sự đồng ý vô điều kiện đối với quá trình sử dụng thông tin cá nhân của người khác để kinh doanh và hưởng lợi, đặc biệt là đối với chính các cá nhân có thông tin được khai thác. Sự phản ứng có thể sẽ gay gắt hơn nếu bộ dữ liệu được khai thác chứa đựng thông tin thuộc bí mật cá nhân.[10] Cho nên, để có thể tiến hành các hoạt động kinh doanh dữ liệu, yêu cầu đầu tiên đặt ra là các đơn vị phải hình thành bộ dữ liệu tinh chế mà ở đó mọi dấu ấn của một cá nhân cụ thể không còn có thể dễ dàng phát lộ.[11]

Hay nói cách khác, dữ liệu sử dụng trong nền kinh tế dữ liệu là sản phẩm mà đơn vị kinh doanh có được sau quá trình phân tích, bổ sung thông tin hay tạo ra “tính mới” cho bộ dữ liệu thô thu thập được. Thú vị là, những cuộc thảo luận và cả pháp luật của các nước cũng sẵn sàng chấp nhận việc sử dụng dữ liệu được “sáng tạo” (creation) trên cơ sở các thông tin sức khỏe được bảo vệ (protected health information – PHI) mà các đơn vị kinh doanh thu thập được.[12] Về mặt kinh tế, đó là thành quả mà họ đáng được nhận sau khoản chi phí tích cực (positive costs) đã bỏ ra. Về mặt pháp lý, quyền tác giả và cả quyền sở hữu của họ đối với bộ dữ liệu thành phẩm riêng biệt cũng cần được ghi nhận, dù đòi hỏi về sự bắt kịp của pháp luật về sở hữu trí tuệ về đối tượng này vẫn cần phải tiếp tục.[13]

Với bigdata, có thể hình dung đây là quá trình trí tuệ nhân tạo (AI) tiếp tục tham gia để làm sạch (cleansing) dữ liệu. Một mặt, điều này giúp cho các hoạt động học máy (machine learning) chắc lọc được dữ liệu chuẩn (right data) và hạn chế được sai sót khi vận hành. Một mặt, khi xu hướng vận động chung của bộ dữ liệu được vạch ra và mọi dấu tích cá nhân được loại bỏ thì chẳng còn quyền riêng tư nào lưu giữ để bị xâm phạm. Điều này tương tự như một cuộc điều tra xã hội truyền thống không quan tâm và loại bỏ yêu cầu khai báo về tên tuổi, địa chỉ… của các cá nhân tham gia cuộc khảo sát ngay từ đầu. Cho nên, có thể nói, kinh tế dữ liệu ghi nhận các hoạt động kinh doanh, chia sẻ dữ liệu tinh chế - loại dữ liệu được xem là “sản phẩm” của chính các chủ thể kinh doanh. Hay nói cách khác, cho dù thế nào, việc trực tiếp sử dụng dữ liệu thô – là thông tin cá nhân “gốc” – để kiếm lời vì vậy là lựa chọn khó có thể được chấp nhận.

Nhưng câu chuyện khai thác và tận hưởng nguồn dữ liệu có thiên hướng tối ưu hoá quá trình thâm dụng như bigdata trên thực tế không phải lúc nào cũng sòng phẳng thật sự. Thứ nhất, vẫn có thực tế là các nhà kinh doanh và đơn vị vận hành đặt mối bận tâm vào từng cá nhân riêng lẻ và chính công nghệ bigdata giúp họ dễ dàng hơn trong việc theo dõi và giám sát hoạt động của người dùng.[14] Điển hình nhất là việc họ đã theo dõi tường tận từng cú nhấp chuột của khách hàng trên các trang bán hàng hay bất kỳ một ứng dụng, thiết bị kết nối internet nào khác để giới thiệu sản phẩm tương tự.[15] Thứ hai, nhiều đơn vị khai thác dữ liệu có thể thu tiền bằng việc chuyển giao ngay bộ dữ liệu thô mà không cần chờ đợi hay “tinh hoá” dữ liệu. Đây có thể là trường hợp bên có nhu cầu sử dụng hay phân tích dữ liệu là một bên thứ ba khác, như Cambrige Analytica trong vụ việc của Facebook vừa xảy ra trước đây. Trong vụ việc này, các nội dung cáo buộc đã chỉ ra rằng, Facebook đã thu thập dữ liệu thô của người sử dụng trang mạng của mình rồi chuyển cho bên có nhu cầu.[16] Rõ ràng, trong cả hai trường hợp này, nguy cơ xâm phạm quyền riêng tư là có, và việc bảo vệ quyền riêng tư vì vậy cần được chú ý.

2. Yêu cầu tiếp tục bảo đảm quyền riêng tư và thông tin cá nhân

Thực ra, quyền riêng tư không còn là vấn đề pháp lý mới, nhưng hiện đang được nhắc lại rất nhiều là do bởi mức độ dễ bị tổn thương của chúng trong nền kinh tế số, thậm có có nguy cơ bị xóa sổ.[17] Chính mức độ ăn xăm của công nghệ trong thế giới vạn vật kết nối đã khiến những cú nhấp chuột của một cá nhân người dùng trên một ứng dụng hay thiết bị này có thể được ghi lại ngay tức thì ở một ứng dụng hay thiết bị khác, bất kể giới hạn về khoảng cách địa lý.[18] Bên cạnh các thông tin khai báo theo nội dung và yêu cầu của giao dịch, chính hành vi thao tác trên các trang mạng gần như có thể phản ánh thói quen, và cả suy nghĩ của người dùng. Vì vậy, với công nghệ hiện đại hiện tại, không khó để các đơn vị kinh doanh phán đoán được hành động của người tiêu dùng.[19] Hay nói cách khác, toàn bộ hồ sơ lý lịch bản thân của một cá nhân đều có thể bị các “cỗ máy” hiện đại rà soát và ghi chép lại một cách tỉ mỉ, không sót một chi tiết nào dù nhỏ nhất.[20] Thực chất, bản thân khái niệm bigdata cũng đã phản ánh rằng, thông tin được thu thập là rất lớn, và rất đa dạng.[21]

Cho nên, nếu không được bảo vệ, cả người tiêu dùng và các phúc lợi nói chung của nền kinh tế dữ liệu đều có thể bị xâm hại.[22] Để đáp lại, nguyên tắc pháp lý tối thượng vẫn là sự ghi nhận về quyền được kiểm soát của cá nhân đối với thông tin thuộc bí mật đời tư của họ.[23] Hay nói cách khác, xung đột pháp lý có thể xảy ra khi có một ai cho rằng quá trình khai thác dữ liệu nói trên đã âm thầm diễn ra và nằm ngoài sự kiểm soát của cá nhân đó. Xác suất này là có, nếu không muốn nói là rất lớn, trước con số người dùng quá khổng lồ của bộ dữ liệu lớn. Kêu gọi sự nhận thức và đồng thuận của hàng triệu triệu người dùng chắc chắn là một đòi hỏi đầy gam go.[24] Nhưng không phải vì vậy mà đơn vị nắm giữ dữ liệu thoát khỏi trách nhiệm, ngay cả khi họ vô tình để thông tin bị rò rỉ. Thậm chí, các ý kiến còn cho rằng, việc thu thập dữ liệu ngoài ý muốn và sự nhận biết của người tiêu dùng đã là một sự vi phạm.[25]Các nghiên cứu về cơ sở lý thuyết về kinh tế dữ liệu cũng đã chỉ ra rằng, thị trường có thể tự sản sinh là các lựa chọn và mức độ bảo vệ quyền riêng tư phù hợp, nhưng với điều kiện là người tiêu dùng phải được cung cấp đầy đủ thông tin, chi tiết và có thể tiên liệu được điều đó.[26] Cho nên, điều quan trọng hơn cả là cần có những quy tắc, đặc biệt là các quy tắc pháp lý, định vị rõ quyền, nghĩa vụ và trách nhiệm của các bên.[27]

Đương nhiên, kinh nghiệm thống kê và sự cẩn trọng cần thiết đã buộc các trang mạng tìm mọi cách có được sự đồng ý từ phía người dùng, vì trong tất cả các tình huống khai thác dữ liệu cá nhân cho hoạt động thương mại đều phải có sự đồng ý của chủ thể của dữ liệu.[28] Hay nói cách khác, trong mọi tình huống, chủ thể dữ liệu có quyền quyết định cho phép ai biết về họ.[29] Nút “chấp nhận” chính sách bảo mật, có cả nội dung chấp nhận chia sẻ thông tin cá nhân cho trang mạng, xuất hiện như một bảo bối. Nhưng nhiều cuộc tranh luận gần đây tiếp tục diễn ra, cá có thể sẽ có hai xu hướng mới được pháp điển hóa trong tương lai. Một là, luật pháp cần hơn một sự đồng thuận thật sự thay vì chỉ đơn giản là một cú nhấp “chấp nhận” vì trên thực tế không ít người dùng đã phải bỏ qua bộ quy tắc rất dài và phức tạp, và đều được soạn sẵn bởi bên đề nghị, để dễ dàng tiến đến nhấp chuột chấp nhận.[30] Hai là, việc nắm giữ dữ liệu cá nhân của người dùng chỉ được xem là hợp lý nếu đó là yêu cầu cần thiết về mặt kỹ thuật để vận hành ứng dụng hay thiết bị. Đặc biệt, ngay cả khi câu trả lời là không thì cũng có thể điều đó xảy ra ở tình huống mà người dùng lơ đễnh hay bỏ qua các mối bận tâm về nguy cơ rủi ro đối với thông tin cá nhân. Thậm chí, trên thực tế tình huống này xảy ra có tính “xu hướng.” Lúc đó, cú nhấp chuột “chấp nhận” như vừa nói rõ ràng đã không phản ánh đầy đủ các hàm ý của nó.

Tất cả những điều này có thể được phản ánh qua sự phản đối của công luận và các khía cạnh được tranh luận liên quan đến vụ việc chia sẻ dữ liệu người dùng của Facebook cho Cambridge Analytica vừa nêu. Cho nên, một lần nữa, và hơn lúc nào hết, vấn đề bảo đảm quyền riêng tư càng được quan tâm nhiều hơn và được giải quyết một cách thấu đáo hơn.

III. Tiếp cận của các nước trước xu hướng khai thác dữ liệu mạnh mẽ

1. Phản ứng chính sách bước đầu ở trong nước

Cho đến nay, câu chuyện bảo vệ quyền riêng tư vẫn tiếp tục dựa trên nền tảng pháp lý truyền thống là chế định bảo vệ quyền nhân thân trong pháp luật dân sự.[31] Xâm phạm thông tin cá nhân trên không gian số gần như chưa được đề cập nhiều.[32] Một vài văn bản pháp lý chuyên ngành, đặc biệt là các sandbox về kinh doanh số gần đây có đề cập đến chính sách bảo mật thông tin người dùng nhưng tất cả các đề cập đó chỉ dừng lại ở mức… nhắc nhở. Mọi chế tài và chính sách bảo hành vi vi phạm bảo mật riêng tư đều không rõ ràng. Ngay cả sắc luật được gây chú ý nhất gần đây là Luật An ninh mạng năm 2018 cũng chỉ điểm qua nguyên tắc bảo vệ “đời sống riêng tư” của cá nhân trên không gian mạng hơn là các công cụ hữu hiệu trong thực thi chính sách ngăn chặn hành vi thu thập và sử dụng thông tin cá nhân bất hợp pháp và bất hợp lý.[33]

Về nguyên tắc, Nghị định mới về chống tin rác và tin nhắn quy định người quảng cáo không được phép gửi quá 3 tin nhắn quảng cáo tới một số điện thoại, 3 thư điện tử quảng cáo tới một địa chỉ thư điện tử, 1 cuộc gọi điện thoại quảng cáo tới một số điện thoại trong vòng 24 giờ, trừ trường hợp đã có thỏa thuận khác với người sử dụng. Ngoài ra, quy định nêu rõ người quảng cáo chỉ được gửi tin nhắn trong khoảng thời gian từ 07 giờ đến 22 giờ mỗi ngày và gọi điện thoại quảng cáo từ 08 giờ đến 17 giờ mỗi ngày nếu giữa người quảng cáo và người sử dụng không có sự thỏa thuận nào khác.[34] Đương nhiên, Nghị định đã cẩn thận đặt ra yêu cầu thiết lập chức năng từ chối nhận tin nhắn, thư quảng cáo trong tin nhắn đầu tiên cũng như quy định về đăng ký và công bố danh sách số điện thoại từ chối tiếp nhận.[35]Theo đó, người người quảng cáo có trách nhiệm chỉ “gửi tin nhắn quảng cáo, thư điện tử quảng cáo, gọi điện thoại quảng cáo đến người sử dụng khi được người sử dụng đồng ý trước về việc nhận quảng cáo” qua một trong các cách đã được liệt kê.[36] Thoạt nhìn, quy định này có về hợp lý. Tuy nhiên, điều gì xảy ra khi một số điện thoại trong một ngày không phải nhận cuộc gọi từ một công ty. Trong lúc tình trạng thông tin cá nhân người dùng di động bị khai thác triệt để, giải pháp này cũng có thể là phương án gây sốc cho người tiêu dùng.

Thực ra, đối tượng điều chỉnh của văn bản này không phải là vấn đề bảo vệ dữ liệu cá nhân. Nhưng rõ ràng, khi các hoạt động tiếp theo có khai thác và sử dụng các thông tin cá nhân chưa được siết chặt thì đồng nghĩa nguy cơ dữ liệu cá nhân bị xâm lấn càng cao. Trong tình huống giả định nêu trên, rõ ràng, số điện thoại và email của một cá nhân được các thông tin, dữ liệu phản ánh là đối tượng tiềm năng cho các hoạt động quảng cáo, kinh doanh thì càng dễ bị tấn công bởi cuộc gọi, tin nhắn, thư rác.

2. Bảo vệ quyền riêng tư ở Singapore và hướng mở phát triển kinh tế dữ liệu ở Nhật Bản

Singapore là một trong số những đại diện tiêu biểu trong khu vực về phát triển chính sách bảo mật cá nhân. Đặc biệt, quốc gia này đã chuẩn bị và thông qua Luật bảo vệ dữ liệu cá nhân gần mười năm trước. [37] Sắc luật đã chính thức đặt ra trách nhiệm của các tổ chức trong việc thu thập, sử dụng, công bố, tiếp cận, lưu giữ, điều chỉnh, bảo vệ và chuyển giao dữ liệu cá nhân. Trách nhiệm trong gửi tin nhắn marketing cũng được được đề cập.[38]

Điều đáng nói là, đạo luật này không tồn tại độc lập. Ngược lại, chính sách bảo vệ thông tin cá nhân này tiếp tục được phát triển bằng các quy tắc, bản hướng dẫn và cả các đạo luật chuyên ngành có liên quan khác, như Luật An ninh mạng, Luật Ngân hàng, Luật Hoạt động y tế tư…[39] Ủy ban Bảo vệ thông tin cá nhân Singapore (PDPC) cũng đã ra đời và đến nay không khó để chúng ta tìm được các vụ cáo buộc vi phạm của không ít doanh nghiệp mỗi năm được PDPC công bố trên website của mình.[40]

Thông thường, theo pháp luật Singapore, mọi hành động tiếp cận và thu thập thông tin không được phép của chủ thể có quyền đều được xem là vi phạm chính sách bảo mật riêng tư, bất kể thông tin đó có thuộc dạng “nhạy cảm” hay không. Tuy nhiên, trên thực tế, các cáo buộc chỉ đưa ra cho các vi phạm đối với thông tin thuộc dạng nhạy cảm, như các dữ liệu về sức khỏe, tài chính và bảo hiểm. Trong nhiều trường hợp, việc sử dụng các thông tin này mà không có biện pháp bảo toàn tương thích, bên vị phạm có thể đối diện với các mức phạt cao hơn.

Khá ấn tượng là Luật Chống thư rác của Singapore còn đặt ra giới hạn và trách nhiệm trong việc gửi thông tin marketing khi chưa có sự đồng ý của bên tiếp nhận qua tin nhắn, email và đương nhiên là kể cả bằng cuộc gọi. Singapore quy định rằng, việc thu thập thông tin cá nhân cho các chiến dịch marketing như vậy phải được sự chấp thuận (consent) của cá nhân.[41] Thậm chí, phương thức không biểu thị không đồng ý có nghĩa là chấp thuận cũng được gạt bỏ ở quốc đảo công nghệ hàng đầu Đông Nam Á này.

Trên thực tế, các ý kiến cỗ vũ phương thức marketing trực tuyến trực tiếp có thể chỉ ra những tác động ngược của giới hạn pháp luật đối với các hoạt động kinh doanh. Ngược lại, dễ để hiểu rằng, ngay cả việc tạo động lực phát triển kinh tế là cần thiết thì điều đó cũng không có nghĩa mọi sự hành vi xâm phạm đến đời sống cá nhân và quyền riêng tư được mặc nhiên tồn tại, và được dung túng.

Không riêng gì Singapore, nhiều quốc gia khác trong khu vực cũng có tiếp cận tương tự, như Hàn Quốc, Đài Loan... Có thể minh họa thêm trường hợp cụ thể của Nhật Bản là quốc gia cũng đã ban hành Luật Bảo vệ thông tin cá nhân gần như cùng lúc với Singapore và nhiều nước.[42] Tương tự như Singapore, sau nhiều lần bổ sung và sửa đổi luật, Nhật Bản đã thành lập cơ quan thực thi trực tiếp là Ủy ban Bảo vệ thông tin cá nhân (PPC) thuộc Nội các vào năm 2016.[43] Khá ấn tượng là Tòa án Nhật Bản luôn bảo vệ, và luật hóa quyền riêng tư và đời sống riêng tư của cá nhân.[44]

Tuy nhiên, so với Singapore,[45] khung pháp lý Nhật Bản về bảo vệ quyền riêng tư phản ánh nhiều thiên hướng kinh tế. Từ các vấn đề pháp lý về thông tin (information) cá nhân, pháp luật Nhật Bản mở rộng đến khả năng khai thác dữ liệu (data) cá nhân và cơ sở dữ liệu (database) cá nhân và đặt ra khung pháp lý về khai thác cơ sở dữ liệu cho các hoạt động kinh doanh. Đương nhiên, đó là dữ liệu đã được chuyển đổi bằng máy tính, mã hóa, và không thể nhận dạng ra người có thông tin được thu thập và thậm chí là không thể khôi phục lại thông tin ban đầu của cá nhân “gốc” đó.[46] Nhật Bản vì vậy thường nhấn mạnh đến các vi phạm về bảo vệ dữ liệu, như làm sai lệch, mất hoặc rò rỉ dữ liệu cá nhân. Ngoài các tình huống hạn định, việc chuyển giao dữ liệu cá nhân cho bên thứ ba khi chưa có sự chấp thuận trước của chủ thể có quyền đối với thông tin cũng bị ngăn cấm.[47] Pháp luật hai nước cũng không kiềm tỏa việc chuyển giao dữ liệu người cho các đơn vị kinh doanh ngoài lãnh thổ, miễn là các điều kiện cho giao dịch được tuân thủ, như bên chuyển giao có được chấp thuận từ những người dùng đó và bên tiếp nhận có chính sách bảo mật hữu hiệu.[48] Kiểm soát của Nhật Bản đối với hoạt động marketing qua tin nhắn, email và cuộc gọi cũng không khác biệt so với Singapore.[49]

Nhìn chung, các quốc gia đều đặt ra các chuẩn mực về tính hợp lý trong khai thác dữ liệu, ví dụ như việc khai thác thông tin chỉ nhằm mục đích phục vụ cho các hoạt động có liên quan. Các quốc gia vì vậy không đưa ra các giới hạn tối thiểu hóa thông tin được khai thác, vì hành động tiếp cận quá mức đã bị phong tỏa. Tuy nhiên, chính sách khai thác, sử dụng và cả bảo mật thông tin người dùng phải được công khai, minh thị. Thậm chí, logo hệ thống đánh dấu quyền riêng tư (privacy mark system), dù không bắt buộc, cũng đã được nhiều đơn vị vận hành kinh doanh Nhật Bản sử dụng như một trong số những tiêu chuẩn công nghiệp ở quốc gia này.[50]

Dù tiếp cận thiên về tính kinh tế trong khai thác dữ liệu, Nhật Bản vẫn đặt ra một số rào cản nhằm bảo toàn quyền riêng tư nhiều hơn. Nếu như Singapore không đặt ra giới hạn thời gian lưu giữ thông tin người dùng (dù thực tế chúng thường được gỡ bỏ sau đó), Nhật Bản, tình từng trường hợp, áp đặt các khung thời gian cụ thể để gỡ bỏ thông tin khi việc sử dụng nó đã không còn cần thiết. Đáng chú ý, quyền được lãng quên (right to forgotten) cũng được Nhật Bản thừa nhận.[51]

3. Thực tiễn tranh chấp và tiếp cận của các cơ quan tư pháp

Lịch sử nền tư pháp Hoa Kỳ là một điển hình, mặc dù vấn đề quyền riêng tư chưa được chính thức ghi nhận trong luật thành văn cũng như Hiến pháp.[52] Nhiều án lệ từ trước và kể cả là mới đây đều đưa ra những phán quyết cáo buộc sự vi phạm của đơn vị thu thập và quản lý dữ liệu khi chia sẻ thông tin cá nhân cho một bên thứ ba.[53] Đặc biệt, nhiều đơn vị trường học đã bị nêu tên do thiếu cẩn trọng, để bên thứ ba tiếp cận hồ sơ giáo dục của người học.[54] Khá thú vị là vụ việc xảy ra vào năm 1976. Khi đó, một phán quyết của Tòa án tối cao Mỹ đã cho rằng, trường học cần có giới hạn trong việc chia sẻ thông tin sinh viên có thai (và cả sinh con) cho chính cha mẹ của họ nếu như chưa có sự đồng thuận của người đó.[55]

Các vụ việc tương tự trong lĩnh vực nhạy cảm thứ hai là y tế cũng không quá khó để tìm. Thậm chí, sau một phán quyết phản bác bản án của Toà án Phần Lan, chấp nhận cáo buộc vi phạm quy định bảo đảm tính độc lập của thông tin cá nhân của một nữ y tá nhiễm HIV vào năm 2008, Toà án quyền con người châu Âu còn nhận định rằng, quy định về quyền được khởi kiện và yêu cầu bồi thường đối với hành động xâm phạm thông tin riêng tư chưa phải là giải pháp hữu hiệu. Giải pháp quan trọng là phải hướng đến khả năng loại trừ sự tiếp cận thông tin trái phép ngay từ đầu.[56]

Đương nhiên, quyền riêng tư là một khái niệm khá trừu tượng, và thậm chí là tối nghĩa.[57] Vì vậy, nó cần được xác định một cách chi tiết và rõ ràng hơn trong từng hệ thống pháp luật. Nhưng chắc chắn, khi quá trình thâm nhập của bigdata càng sâu rộng thì mức độ đụng chạm đến quyền riêng tư càng lớn, và ở nhiều khía cạnh khác nhau.

Có thể kể ra một vụ việc điển hình khác xảy ra gần đây nhất tại Nhật Bản. Phán quyết cuối cùng của Tòa tối cao Nhật Bản vào năm 2016 khẳng định rằng, kể cả việc sử dụng hệ thống định vị GPS trong việc điều tra tội phạm cũng cần phải được cảnh báo trước. Việc bí mật gắn thiết bị định vị để dò la dấu tích được cho rằng có khả năng xâm phạm đến quyền riêng tư của cá nhân.[58] Án lệ này cũng có thể được xem như một cách lý giải thực tế vì sao các camera “chống trộm” được gắn ở các thang máy tòa nhà, cổng ga và cả trên toa tàu… ở Nhật Bản đều có kèm một bản ghi chú, đại loại: Nơi này có thiết bị ghi hình để theo dõi hành vi phạm pháp luật. Xa hơn nữa, việc yêu cầu sinh viên nhập học hay bệnh nhân nhập viện ký vào bản cam kết (pledge/consent) trao quyền quản lý và sử dụng thông tin cá nhân cho các trường học và bệnh viện đã diễn ra thuần thục ở nhiều nơi. Công bố minh bạch chính sách bảo mật trên các website của những đơn vị này cũng lần lượt bắt đầu. Đặc biệt, điều đó cũng diễn ra đối với các website của các cơ quan công quyền, điển hình như Bộ Tư pháp của nhiều nước.

IV. Kết luận

Tất cả những điều này vẫn đang còn mới mẻ đối với Việt Nam. Nguyên nhân có thể có nhiều, kể cả ý thức về quyền riêng tư lẫn hệ thống pháp luật. Nhưng cho dù với nguyên nhân nào, một thói quen mới có trách nhiệm hơn với thông tin cũng cần được thiết lập. Cho dù việc khai thác và sử dụng dữ liệu đó cho hoạt động khoa học hay một mục đích ngoài kinh doanh nào khác thì thói quen đó cũng đều rất cần thiết.

Việt Nam đã bắt đầu cuộc hành trình dấn thân vào AI, và có không ít bộ dữ liệu được đánh giá là có giá trị, nhưng cũng khá nhạy cảm. Đơn cử như bộ thông tin về khách hàng tại các ngân hàng; dữ liệu cá nhân của những người ký hợp đồng với các công ty bảo hiểm nhân thọ; hay hệ thống thông tin bệnh nhân được tập hợp tập trung trong thời gian sắp tới sau khi phương án bệnh án điện từ được triển khai. Khi ý tưởng khai thác, và cả kinh doanh, bộ dữ liệu ấy nảy sinh thì đồng nghĩa các đòi hỏi nêu trên về bộ dữ liệu sạch, tinh và chính sách về quyền riêng tư cần được đảm bảo, ngay từ khâu khởi đầu.

Đòi hỏi về việc tạo dựng một khung pháp lý riêng cho việc sử dụng và kinh doanh dữ liệu là rất cần. Luật An ninh mạng chắc chắn chưa phải là công cụ chính yếu, bởi Luật này hướng đến một mục tiêu khác. Tuy nhiên, bên cạnh các giải pháp cho vấn đề an ninh mạng, văn bản đã không quên nhắc đến trách nhiệm của các đơn vị chủ quản hệ thống thông tin trong việc bảo vệ “bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư” trên hệ thống thông tin đó (khoản 2 Điều 17). Hiện tại, Bộ Công an đang tiếp tục đảm trách việc soạn thảo dự thảo Nghị định về bảo vệ dữ liệu cá nhân và có thể trong tương lai Việt Nam cũng sẽ tiếp tục ban hành Luật Bảo vệ dữ liệu cá nhân. Các quy định và sự chuẩn bị này có thể được xem như một viên gạch quan trọng kế tiếp trong quá trình định hình chính sách pháp lý mới cho nền kinh tế dữ liệu ở Việt Nam./.

[1]Privacy is dead, and social media hold the smocking gun.

[2] Nguyễn Bình Đức, Bảo vệ dữ liệu cá nhân người dùng mạng xã hội trong bối cảnh hội nhập quốc tế, Phát triển Khoa học & Công nghệ: Kinh tế - Luật và Khoa học Quản lý, 3, 1764 (2021); Trần Ngọc Tuấn, Mô hình quản lý quyền riêng tư trong thị trường dữ liệu và một vài gợi ý hoàn thiện quy định pháp luật Việt Nam, Pháp luật và Thực tiễn 48, 75–76 (2021).

[3] Nguyên văn cụm từ được dùng là “privacy makes good business sense.” Xem. Oecd, The Economics of Personal Data and Privacy: 30 Years after the OECD Privacy Guidelines (Oecd, December 1, 2010) đoạn 35; Nguyễn Phan Phương Tần, Một số bất cập của pháp luật việt nam về bảo vệ quyền riêng tư của người dùng trong các hợp đồng cấp quyền người dùng cuối, Khoa học Pháp lý Việt Nam 2, 44 (2021).

[4] Nguyên văn là: “The value of the data itself will go up.” Xem. Oecd, The Economics of Personal Data and Privacy: 30 Years after the OECD Privacy Guidelines (Oecd, December 1, 2010) đoạn 35.

[5] Nguyên văn là: Information is no longer merely power. It is big business. Xem. Raymond Wacks, Privacy: A Very Short Introduction, Oxford University Press, 110 (2sd ed., 2015).

[6] Daniel J. Solove, Understanding Privacy, Harvard University Press, 83 (1st ed., 2008); James R Kalyvas & Michael R Overly, Big data: A business and legal guide, Routledge - Taylor & Francis Group, 126 (1st ed., 2015); Trần Ngọc Tuấn, Mô hình quản lý quyền riêng tư trong thị trường dữ liệu và một vài gợi ý hoàn thiện quy định pháp luật Việt Nam, Pháp luật và Thực tiễn 48, 70 (2021).

[7] Martha Bridegam, The Right to Privacy, Chelsea House Pub, 10 (1st ed., 2003); Ngô Vĩnh Bạch Dương, Bảo vệ thông tin người tiêu dùng, Nghiên cứu lập pháp 12, 19, 20–21 (2019).

[8] Trần Ngọc Tuấn, Mô hình quản lý quyền riêng tư trong thị trường dữ liệu và một vài gợi ý hoàn thiện quy định pháp luật Việt Nam, Pháp luật và Thực tiễn 48, 71 (2021).

[9] THÁI THỊ TUYẾT DUNG, QUYỀN TIẾP CẬN THÔNG TIN VÀ QUYỀN RIÊNG TƯ Ở VIỆT NAM VÀ MỘT SỐ QUỐC GIA, NXB. ĐHQG TP.HCM, 143 (2012); Ngô Vĩnh Bạch Dương, Bảo vệ thông tin người tiêu dùng, Nghiên cứu lập pháp 12, 19, 21 (2019).

[10] Nguyễn Ngọc Điện, Quyền được tiếp cận thông tin và quyền bất khả xâm phạm về cuộc sống riêng tư, Nghiên cứu lập pháp 15/367, 4 (2018).

[11] Nguyên văn là: In certain cases it may be advisable for datasets and reports to be cleansed of formulas and other metadata before being shared with business decision makers to ensure that only the necessary information is shared. Xem. James R Kalyvas & Michael R Overly, Big data: A business and legal guide, Routledge - Taylor & Francis Group, 123 (1st ed., 2015); Trương Trọng Hiểu, Điểm mặt rủi ro pháp lý của nền kinh tế dữ liệu, Tạp Chí Kinh Tế Sài Gòn, 25/4 (2019).

[12] James R Kalyvas & Michael R Overly, Big data: A business and legal guide, Routledge - Taylor & Francis Group, 56-57 (1st ed., 2015).

[13] James R Kalyvas & Michael R Overly, Big data: A business and legal guide, Routledge - Taylor & Francis Group, 35, 91-93 (1st ed., 2015); Trương Trọng Hiểu, Điểm mặt rủi ro pháp lý của nền kinh tế dữ liệu, Tạp Chí Kinh Tế Sài Gòn, 25/4 (2019).

[14] Nguyên văn là: “Big data is important in a privacy context because companies have been using consumer personal data and activities to track and monitor their actions.” Xem. Nidhi Narielwala, Post-Digital Era Reconciliation Between United States and European Union Privacy Law Enforcement, 17 Washington University Global Studies Law Review 707–730, 721 (2018).

[15] James R Kalyvas & Michael R Overly, Big data: A business and legal guide, Routledge - Taylor & Francis Group, 33-34, 47 (1st ed., 2015); Nguyễn Phan Phương Tần, Một số bất cập của pháp luật việt nam về bảo vệ quyền riêng tư của người dùng trong các hợp đồng cấp quyền người dùng cuối, Khoa học Pháp lý Việt Nam 2, 44 (2021).

[16] FTC v. Facebook, Inc., 092 3184/ 182 3109/ C-4365, 2012. Xem. FTC, “Facebook, Inc., In the Matter Of,” Federal Trade Commission, November 29, 2011, http://www.ftc.gov/legal-library/browse/cases-proceedings/092-3184-182-3109-c-4365-facebook-inc-matter; FTC v. Cambridge Analytica, LLC, 182 3107/9383, 2019. Xem. FTC, “Cambridge Analytica, LLC, In the Matter Of,” Federal Trade Commission, July 23, 2019, http://www.ftc.gov/legal-library/browse/cases-proceedings/182-3107-cambridge-analytica-llc-matter; Nguyễn Phan Phương Tần, Một số bất cập của pháp luật việt nam về bảo vệ quyền riêng tư của người dùng trong các hợp đồng cấp quyền người dùng cuối, Khoa học Pháp lý Việt Nam 2, 44 (2021).

[17] Nguyễn Phan Phương Tần, Một số bất cập của pháp luật việt nam về bảo vệ quyền riêng tư của người dùng trong các hợp đồng cấp quyền người dùng cuối, Khoa học Pháp lý Việt Nam 2, 44 (2021).

[18] Trong khi đó, khoảng mười năm trước thì vấn đề xâm phạm quyền riêng tư vẫn chủ yếu được thực hiện qua các thiết bị công nghệ còn “thô”. Xem thêm. THÁI THỊ TUYẾT DUNG, QUYỀN TIẾP CẬN THÔNG TIN VÀ QUYỀN RIÊNG TƯ Ở VIỆT NAM VÀ MỘT SỐ QUỐC GIA, NXB. ĐHQG TP.HCM, 109 (2012); Nidhi Narielwala, Post-Digital Era Reconciliation Between United States and European Union Privacy Law Enforcement, Washington University Global Studies Law Review 17, 520-521 (2018); James R Kalyvas & Michael R Overly, Big data: A business and legal guide, Routledge - Taylor & Francis Group, 5 (1st ed., 2015).

[19] Nguyên văn là: "Companies can then compile all the information they have on a particular individual to predict or skew that individual’s actions." Xem. Nidhi Narielwala, Post-Digital Era Reconciliation Between United States and European Union Privacy Law Enforcement,Washington University Global Studies Law Review 17, 522 (2018).

[20] Ngô Vĩnh Bạch Dương, Bảo vệ thông tin người tiêu dùng, Nghiên cứu lập pháp 12, 19-20 (2019); Nguyễn Phan Phương Tần, Một số bất cập của pháp luật việt nam về bảo vệ quyền riêng tư của người dùng trong các hợp đồng cấp quyền người dùng cuối, Khoa học Pháp lý Việt Nam 2, 44 (2021).

[21] Nguyên văn là: “The term ‘big data’ refers to the collection of diverse data points, from numeric data to emails and videos, that are stored under one big data set.” Xem. Nidhi Narielwala, Post-Digital Era Reconciliation Between United States and European Union Privacy Law Enforcement, Washington University Global Studies Law Review 17, 521 (2018).

[22] Nguyên văn là: “Without privacy protection, consumer and social welfare may suffer.” Xem. Oecd, The Economics of Personal Data and Privacy: 30 Years after the OECD Privacy Guidelines (Oecd, December 1, 2010) đoạn 39.

[23] Paul Lambert, Understanding the New European Data Protection Rules 393 (Routledge - Taylor & Francis Group 1st, 393 (2018); Raymond Wacks, Privacy: A Very Short Introduction, Oxford University Press, 44-45, 116 (2sd ed., 2015); Nguyễn Ngọc Điện, Quyền được tiếp cận thông tin và quyền bất khả xâm phạm về cuộc sống riêng tư, Nghiên cứu lập pháp 15/367, 4 (2018); Lê Thị Nhã, Bảo vệ quyền riêng tư - nhìn từ trách nhiệm của truyền thông, Lý Luận Chính Trị & Truyền Thông 1, 58 (2016); Thái Vĩnh Thắng, Bảo vệ quyền riêng tử ở hoa kỳ, pháp và kinh nghiệm cho Việt nam, Luật học 8, 89 (2017).

[24] Nguyễn Bình Đức, Bảo vệ dữ liệu cá nhân người dùng mạng xã hội trong bối cảnh hội nhập quốc tế, Phát triển Khoa học & Công nghệ: Kinh tế - Luật và Khoa học Quản lý, 3, 1766 (2021).

[25] Nguyên văn là: "This use of consumer data to essentially manipulate consumer actions is a violation of consumer privacy rights." Xem. Nidhi Narielwala, Post-Digital Era Reconciliation Between United States and European Union Privacy Law Enforcement, Washington University Global Studies Law Review 17, 522 (2018).

[26] Nguyên văn là: “Market forces alone could lead to an economically optimal level of privacy protection, but only if consumers are fully informed, sophisticated and forward looking.” Oecd, The Economics of Personal Data and Privacy: 30 Years after the OECD Privacy Guidelines (Oecd, December 1, 2010) đoạn 39.

[27] Trần Ngọc Tuấn, Mô hình quản lý quyền riêng tư trong thị trường dữ liệu và một vài gợi ý hoàn thiện quy định pháp luật Việt Nam, Pháp luật và Thực tiễn 48, 71 (2021).

[28] Lê Thị Giang, Quyền riêng tư đối với thông tin cá nhân, Kiểm sát 17, 18 (2018).

[29] Trần Ngọc Tuấn, Mô hình quản lý quyền riêng tư trong thị trường dữ liệu và một vài gợi ý hoàn thiện quy định pháp luật Việt Nam, Pháp luật và Thực tiễn 48, 73 (2021).

[30] Nguyễn Phan Phương Tần, Một số bất cập của pháp luật việt nam về bảo vệ quyền riêng tư của người dùng trong các hợp đồng cấp quyền người dùng cuối, Khoa học Pháp lý Việt Nam 2, 45 (2021); Trần Ngọc Tuấn, Mô hình quản lý quyền riêng tư trong thị trường dữ liệu và một vài gợi ý hoàn thiện quy định pháp luật Việt Nam, Pháp luật và Thực tiễn 48, 73 (2021).

[31] Nguyễn Phan Phương Tần, Một số bất cập của pháp luật việt nam về bảo vệ quyền riêng tư của người dùng trong các hợp đồng cấp quyền người dùng cuối, Khoa học Pháp lý Việt Nam 2, 47 (2021); Vương Thanh Thúy, Về quyền riêng tư của cá nhân trong pháp luật hiện nay, Quản lý Nhà nước 12, 47 (2017).

[32] Lê Thị Giang, Quyền riêng tư đối với thông tin cá nhân, Kiểm sát 17, 16-17 (2018); Đinh Phan Quỳnh, Một số giải pháp nâng cao hiệu quả bảo vệ thông tin cá nhân ở Việt nam, Giáo dục và Xã hội 120, 115 (2021).

[33] Điều 17, 27 và 29 Luật an ninh mạng 2018.

[34] Điều 13 Nghị định số 91/2020/NĐ-CP về chống tin nhắn rác, thư điện tử rác, cuộc gọi rác. Nghị định này thay Nghị định số 90/2008/NĐ-CP và Nghị định số 77/2012/NĐ-CP sửa đổi, bổ sung một số điều của Nghị định số 90/2008/NĐ-CP trước đó.

[35] Điều 13, 16 và 20 Nghị định số 91/2020/NĐ-CP.

[36] Khoản 2 Điều 11 Nghị định số 91/2020/NĐ-CP.

[37] Lim Chong Kin, “The Chapter of Singapore,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 362 (6th ed. 2019).

[38] Lim Chong Kin, “The Chapter of Singapore,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 236 (6th ed. 2019).

[39] Lim Chong Kin, “The Chapter of Singapore,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 362 (6th ed. 2019).

[40] Lim Chong Kin, “The Chapter of Singapore,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 266 (6th ed. 2019).

[41] Lim Chong Kin, “The Chapter of Singapore,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 264-265 (6th ed. 2019).

[42] Hiromi Hayashi, “The Chapter of Japan,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 230-231 (6th ed. 2019).

[43] Hiromi Hayashi, “The Chapter of Japan,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 230-230 (6th ed. 2019).

[44] Hiromi Hayashi, “The Chapter of Japan,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 230-231, 238 (6th ed. 2019).

[45] Lim Chong Kin, “The Chapter of Singapore,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 262-273 (6th ed. 2019).

[46] Hiromi Hayashi, “The Chapter of Japan,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 230-231-232 (6th ed. 2019).

[47] Hiromi Hayashi, “The Chapter of Japan,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 230-232-234 (6th ed. 2019).

[48] L Lim Chong Kin, “The Chapter of Singapore,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 363 (6th ed. 2019); Hiromi Hayashi, “The Chapter of Japan,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 232(6th ed. 2019).

[49] Hiromi Hayashi, “The Chapter of Japan,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 230-236 (6th ed. 2019).

[50] Hiromi Hayashi, “The Chapter of Japan,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 230-232-233 (6th ed. 2019).

[51] Hiromi Hayashi, “The Chapter of Japan,” in The International Comparative Legal Guide to Data Protection 2019: A Practical Cross-Border Insight into Data Protection Law, Global Legal Group Ltd., London, 230-233-234 (6th ed. 2019).

[52] Sau này, nội dung này được đề cập gián tiếp trong các bản Tu chính, các sắc luật có liên quan. Điều này khác với một pháp luật của các tiểu bang là đã có một số tiểu bang đề cập vấn đề quyền riêng tư ngay trong chính bản hiến pháp của bang mình. Xem thêm. THÁI THỊ TUYẾT DUNG, QUYỀN TIẾP CẬN THÔNG TIN VÀ QUYỀN RIÊNG TƯ Ở VIỆT NAM VÀ MỘT SỐ QUỐC GIA, NXB. ĐHQG TP.HCM, 154 (2012); Thái Vĩnh Thắng, Bảo vệ quyền riêng tử ở hoa kỳ, pháp và kinh nghiệm cho Việt nam, Luật học 8, 90-91 (2017); Stephen E Henderson, Expectations of Privacy in Social Media, 31 Mississippi College Law Review 227–247, 230–231 (2013); Martha Bridegam, The Right to Privacy, Chelsea House Pub, 11-12 (1st ed., 2003).

[53] Quy tắc được đưa ra trên cơ sở học thuyết về bên thứ ba (the thrid party doctrine) với đụng dung cơ bản là không có cơ sở thuyết phục để sử dụng thông tin được cấp cho bên thứ ba. Nguyên văn là: “One retains no reasonable expectation of privacy in information provided for a third party’s use.” Xem. Stephen E Henderson, Expectations of Privacy in Social Media, 31 Mississippi College Law Review 227, 241 (2013).

[54] United States v. Miami Univ., 294 F. 3d 797 (6th Cir. 2002). Trong vụ việc này, Tòa kết luận rằng: Một tờ báo không có quyền truy cập không hạn chế vào hồ sơ kỷ luật học sinh bởi vì hồ sơ đó là "hồ sơ giáo dục". Nguyên văn là: A newspaper does not have unrestricted access to unredacted student disciplinary records because such records are "education records."

[55] Planned Parenthood v. Danforth, 428 U.S. 52 (1976).

[56] I v. Finland [2008] ECHR 20511/03 (17 July 2008), https://www.hrlc.org.au/human-rights-case-summaries/i-v-finland-2008-echr-2051103-17-july-2008

[57] Raymond Wacks, Privacy: A Very Short Introduction, Oxford University Press, 4 (2sd ed., 2015); Daniel J. Solove, Understanding Privacy, Harvard University Press, 1 (1st ed., 2008).

[58] Yuichiro Tsuji, GPS Investigations under Constitution of Japan – Comparison with the U.S Cases, 18 International and Comparative Law Review 179, 180–181 (2018); Japan: Supreme Court Rules GPS-Based Investigation Requires Warrant Library of Congress, https://www.loc.gov/item/global-legal-monitor/2017-03-21/japan-supreme-court-rules-gps-based-investigation-requires-warrant/ (last visited Mar 25, 2022); Japan Supreme Court Limits Police GPS Surveillance, Citing Constitution Article 35 I·CONnect - the International Journal of Constitutional Law, http://www.iconnectblog.com/2017/08/japan-supreme-court-limits-police-gps-surveillance-citing-constitution-article-35/ (last visited Mar 25, 2022); GPS Investigations in Japan, and Privacy Concerns Inside GNSS - Global Navigation Satellite Systems Engineering, Policy, and Design, https://insidegnss.com/gps-investigations-in-japan-and-privacy-concerns/ (last visited Mar 25, 2022).