Luật Bảo vệ dữ liệu cá nhân: Cần làm rõ các quy định về dữ liệu
Kỳ họp thứ 9 Quốc hội khóa XV đang xem xét, thảo luận dự thảo Luật Bảo vệ dữ liệu cá nhân. Tuy nhiên, để hoàn thiện dự luật, các doanh nghiệp và chuyên gia cho rằng cần hoàn thiện các quy định về dữ liệu và một số quy định khác để không ảnh hưởng đến hoạt động kinh doanh của doanh nghiệp.
Ngang nhiên kinh doanh trái phép
Theo báo cáo của Hiệp hội An ninh mạng quốc gia (NCA), năm 2024, Việt Nam đã ghi nhận hơn 10.000 vụ việc liên quan đến lộ lọt thông tin cá nhân. Các trang web rao bán trái phép dữ liệu cá nhân (DLCN) với số lượng lớn, công khai, bất chấp các quy định pháp luật. Có tới hơn 66% người dùng xác nhận thông tin của họ từng bị sử dụng trái phép. Trong năm 2024, thiệt hại từ các vụ lừa đảo trực tuyến tại Việt Nam ước tính lên đến 18.900 tỷ đồng.
Trung tướng Nguyễn Minh Chính - Cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an), Phó chủ tịch thường trực NCA đánh giá, mức độ phổ biến của DLCN trên không gian mạng tỷ lệ thuận với hậu quả xảy ra khi DLCN không được bảo vệ đúng cách.
Đại diện A05 cho biết, nhiều người “vô tư” chia sẻ thông tin cá nhân, đăng hình ảnh trên mạng mà không biết rằng có thể trở thành “mồi” cho hệ thống thu thập tình báo mạng… Cục A05 đã nhận được rất nhiều phản ánh của người dân bị lừa đảo qua mạng. Trong đó, có trường hợp bị lừa đảo số tiền rất lớn.
Theo ông Chính, vấn đề nhận thức về bảo vệ DLCN còn hạn chế; nhiều thông tin cá nhân được chủ thể đăng tải công khai, trở thành nguồn dữ liệu cho các chương trình thu thập thông tin tự động. Ngày càng nhiều chủ thể thu thập, phân tích, xử lý DLCN cho mục đích khác nhau, nhưng không thông báo cho khách hàng, hoặc để xảy ra hành vi vi phạm về bảo vệ DLCN. Bên cạnh đó, nhiều dịch vụ trên không gian mạng mới xuất hiện, có hoạt động thu thập, khai thác, phân tích thông tin, dữ liệu cá nhân, nhưng không có cơ chế quản lý dữ liệu người dùng, đặt ra nhiều vấn đề liên quan tới an ninh quốc gia, trật tự an toàn xã hội, xâm hại đến quyền và lợi ích hợp pháp của tổ chức, cá nhân. Do đó, việc xây dựng Luật Bảo vệ DLCN là nhiệm vụ cấp bách nhằm thể chế hóa quy định Hiến pháp về quyền riêng tư, quyền con người và đáp ứng yêu cầu của cuộc cách mạng công nghiệp lần thứ tư, chuyển đổi số quốc gia. Đồng thời tạo khung pháp lý tương thích để hội nhập và tăng cường hợp tác quốc tế, bảo vệ DLCN gắn liền với an ninh con người, an ninh quốc gia và chủ quyền dữ liệu quốc gia.
Hoàn thiện các quy định về dữ liệu
Tuy nhiên, để luật được ban hành đảm bảo tính minh bạch, khả thi, chuyên gia đề xuất, cần làm rõ định nghĩa “khử nhận dạng dữ liệu cá nhân” và hoàn thiện các quy định về dữ liệu.
Về định nghĩa “khử nhận dạng dữ liệu cá nhân”, ông Bạch Trọng Đức - Trưởng phòng Đào tạo và tuân thủ của Công ty cổ phần An ninh dữ liệu Việt Nam (VNDS) phân tích, có hàng loạt khó khăn với các doanh nghiệp, tổ chức trong việc tuân thủ quy định về bảo vệ DLCN như phải hiểu sâu sắc về quy định bảo vệ DLCN; quy định có sự kết hợp giữa pháp lý và kỹ thuật; phải hoàn thiện hệ thống kỹ thuật để đáp ứng các quyền chủ thể dữ liệu; hay việc các đơn vị lúng túng trong thực hiện thủ tục hành chính, áp dụng tiêu chuẩn để bảo vệ DLCN. Đại diện VNDS cho rằng, dự thảo Luật Bảo vệ DLCN cần làm rõ định nghĩa “khử nhận dạng dữ liệu cá nhân” bởi đây là việc vô cùng cần thiết nhằm đảm bảo tính minh bạch, thống nhất và khả thi trong triển khai thực tế.
Còn bà Lê Nguyễn Thiên Nga - Viện trưởng Viện Quản trị chính sách và Chiến lược phát triển cho rằng, dự thảo Luật Bảo vệ DLCN yêu cầu các tổ chức phải thực hiện các yêu cầu của chủ thể dữ liệu trong vòng 72 giờ là không khả thi, vì trong thời gian quá ngắn, các tổ chức chưa kịp xác minh yêu cầu đến từ chủ thể dữ liệu. Đặc biệt, khi luật mới có hiệu lực, các tổ chức cần thời gian để xây dựng hệ thống và quy trình mới. Vì vậy, cần đổi thời gian yêu cầu thành 7 ngày cho dữ liệu cá nhân nhạy cảm, 15 ngày cho dữ liệu cá nhân cơ bản.
Các chuyên gia đều có chung nhận định, dự thảo Luật Bảo vệ DLCN được xây dựng trên tinh thần kế thừa và phát triển từ Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ DLCN. Trong đó, có nhiều nội dung mới và nhiều nội dung liên quan đến hoạt động xử lý DLCN của các tổ chức, doanh nghiệp sẽ tác động đến hoạt động sản xuất, kinh doanh và chi phí tuân thủ pháp luật. Vì vậy, dự thảo luật này vừa phải đảm bảo gắn liền với bảo vệ an ninh quốc gia, giữ gìn trật tự, an toàn xã hội, vừa phải phục vụ tốt cho hoạt động của các cơ quan, tổ chức, khơi thông nguồn lực, tạo thuận lợi cho sản xuất, kinh doanh của các tổ chức, doanh nghiệp.
Về phía doanh nghiệp, bà Đoàn Thị Thu Nga - Phó ban Pháp chế Tập đoàn Công nghiệp Viễn thông quân đội (Viettel) cho biết, Viettel hoàn toàn ủng hộ việc ban hành Luật Bảo vệ DLCN và đã nghiêm túc tuân thủ các quy định của Nghị định 13/2023/NĐ-CP. Đại diện Viettel cho rằng, dự thảo Luật Bảo vệ DLCN quy định quyền rộng của chủ thể dữ liệu, nhưng chưa có cơ chế bảo vệ quyền hợp pháp của doanh nghiệp, chưa đảm bảo nguyên tắc bình đẳng giữa các bên theo Bộ luật Dân sự 2015 và Quy định bảo vệ dữ liệu chung châu Âu (GDPR). Do đó, bà Nga đề xuất dự thảo nên cân nhắc thêm quyền và lợi ích hợp pháp của bên kiểm soát và xử lý dữ liệu nhằm đảm bảo sự hài hòa với quyền của chủ thể dữ liệu.