Cấm thu thập, lưu trữ, tiết lộ, chuyển giao dữ liệu cá nhân trái pháp luật

Chủ nhiệm Ủy ban Quốc phòng, an ninh và Đối ngoại của Quốc hội Lê Tấn Tới báo cáo tại phiên họp (Ảnh: Hồ Long)

Ngày 5/6, Ủy ban Thường vụ Quốc hội cho ý kiến về việc tiếp thu, giải trình, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân (DLCN). Báo cáo tại phiên họp, về quyền và nghĩa vụ của chủ thể dữ liệu (Điều 4), ông Lê Tấn Tới, Chủ nhiệm Ủy ban Quốc phòng, an ninh và Đối ngoại (UBQPANĐN) của Quốc hội cho biết, một số ý kiến đề quy định các quyền cho rõ ràng hơn, phù hợp với thông lệ quốc tế; đề nghị quy định chặt chẽ để tránh lạm dụng quyền của chủ thể dữ liệu và bổ sung các yêu cầu mà chủ thể dữ liệu cần phải tuân thủ khi thực hiện quyền của mình; đề nghị cân nhắc thời gian thực hiện các quyền của chủ thể dữ liệu trong 72 giờ.

Theo ông Tới, tiếp thu ý kiến của đại biểu Quốc hội (ĐBQH), Thường trực UBQPANĐN đã phối hợp với cơ quan soạn thảo thiết kế lại quy định về quyền của chủ thể dữ liệu cho rõ ràng hơn, phù hợp với thông lệ quốc tế, bao gồm quyền được biết, quyền đồng ý, quyền truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu, quyền rút lại sự đồng ý, quyền yêu cầu hạn chế xử lý, quyền yêu cầu xóa dữ liệu và các quyền khác.

Cùng với đó, bổ sung quy định khi thực hiện quyền, chủ thể dữ liệu phải có nghĩa vụ tuân thủ các nguyên tắc: đúng pháp luật, không cản trở hoạt động của bên xử lý dữ liệu, không xâm phạm quyền, lợi ích hợp pháp của cơ quan, tổ chức và của người khác. Đồng thời, thu hút các quy định về thời hạn thực hiện yêu cầu của chủ thể dữ liệu tại các Điều 8, 16, 17, 18, 34 và Điều 37 về quy định tại Điều này theo hướng linh hoạt hơn, yêu cầu thực hiện “kịp thời” theo quy định pháp luật chuyên ngành và giao Chính phủ quy định chi tiết, không quy định cố định 72 giờ như dự thảo Luật do Chính phủ đề xuất.

Về hành vi bị nghiêm cấm (Điều 7) và xử lý vi phạm quy định về bảo vệ dữ liệu cá nhân (Điều 8), ông Tới thông tin một số ý kiến đề nghị chỉnh sửa các từ ngữ cụ thể của từng hành vi bị nghiêm cấm; đề nghị quy định cấm mua, bán DLCN cho phù hợp với thực tiễn, thống nhất trong hệ thống pháp luật. Nhiều ý kiến đề nghị cân nhắc quy định về mức phạt 1-5% doanh thu; cần quy định mức phạt tương xứng với thiệt hại hoặc lợi ích thu được từ hành vi vi phạm; đề nghị quy định cho thống nhất với pháp luật về xử lý vi phạm hành chính.

Thường trực UBQPANĐN đã phối hợp với cơ quan soạn thảo tiếp thu các ý kiến trên và chỉnh lý như sau: Về hành vi bị nghiêm cấm (Điều 7): Dự thảo Luật dự kiến tiếp thu, chỉnh lý đã tập trung quy định nghiêm cấm các hành vi phổ biến, nguy cơ cao như: xử lý DLCN nhằm chống Nhà nước; cản trở hoạt động bảo vệ DLCN; lợi dụng hoạt động bảo vệ DLCN để vi phạm pháp luật; thu thập, lưu trữ, tiết lộ, chuyển giao DLCN trái pháp luật; mua, bán DLCN (trừ trường hợp luật có quy định khác); chiếm đoạt, cố ý làm lộ, làm mất DLCN.

Về chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài và đánh giá tác động xử lý dữ liệu cá nhân (Điều 45, Điều 46 dự thảo Luật Chính phủ trình, nay là Điều 30 đến Điều 32) có ý kiến đề nghị rà soát để đảm bảo thống nhất với quy định chuyển dữ liệu xuyên biên giới trong Luật Dữ liệu, phù hợp cam kết quốc tế, không tạo rào cản hành chính và để thúc đẩy thương mại số; đề nghị bổ sung các điều kiện khi chuyển dữ liệu ra nước ngoài; đề nghị bổ sung các trường hợp cần cập nhật ngay hồ sơ đánh giá tác động để bảo đảm tính chặt chẽ; quy định phù hợp xu thế hội nhập, giảm chi phí tuân thủ cho doanh nghiệp.

Thường trực UBQPANĐN đã phối hợp với cơ quan soạn thảo tiếp thu các ý kiến trên như sau: Về chuyển DLCN xuyên biên giới (Điều 30): Đã chỉnh sửa tên Điều và thống nhất thuật ngữ “chuyển dữ liệu cá nhân xuyên biên giới” với quy định của Luật Dữ liệu. Áp dụng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới và chỉ kiểm tra khi cần thiết, thay vì yêu cầu xin phép trước trong đa số trường hợp, tạo thuận lợi cho doanh nghiệp.

Về đánh giá tác động khi xử lý DLCN và khi chuyển DLCN xuyên biên giới (từ Điều 30 đến Điều 32): Dự thảo Luật cơ bản kế thừa các nội dung do Chính phủ trình, yêu cầu các bên kiểm soát, xử lý DLCN phải lập Hồ sơ đánh giá tác động xử lý DLCN (Điều 31) và Hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới (Điều 30). Doanh nghiệp chỉ cần lập hồ sơ này một lần cho suốt quá trình hoạt động và cập nhật khi có thay đổi. Cơ quan chuyên trách bảo vệ DLCN sẽ thực hiện kiểm tra hồ sơ khi xét thấy cần thiết. Đối với cả hai loại đánh giá tác động này, nếu đã thực hiện theo quy định của Luật này thì không phải thực hiện việc đánh giá rủi ro tương tự theo quy định của Luật Dữ liệu. Giao Chính phủ quy định chi tiết về hồ sơ, điều kiện, trình tự, thủ tục cho các hoạt động đánh giá này.

Việt Thắng