Chuyên gia kiến nghị bổ sung tội danh về vi phạm nghĩa vụ bảo mật và an toàn dữ liệu cá nhân

Mức bồi thường tổn thất tinh thần tối đa 10 tháng lương cơ sở là chưa tương xứng với mức độ tổn hại

Phát biểu khai mạc Hội thảo, TS. Lê Trường Sơn – Hiệu trưởng Trường Đại học Luật TPHCM nhấn mạnh rằng, trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, bảo vệ dữ liệu cá nhân không còn là vấn đề riêng của lĩnh vực công nghệ mà đã trở thành yêu cầu cấp thiết của một hệ thống pháp luật hiện đại. Theo TS. Lê Trường Sơn, mặc dù đã có Luật Bảo vệ dữ liệu cá nhân (Luật BVDLCN), tuy nhiên, để các quy định của Luật thực sự đi vào cuộc sống và phát huy hiệu quả cần tiếp tục đẩy mạnh các nghiên cứu chuyên sâu liên quan đến hành vi vi phạm pháp luật về dữ liệu cá nhân, cơ chế xử lý, quyền của chủ thể dữ liệu cũng như trách nhiệm của các bên có liên quan trong quá trình xử lý dữ liệu.

TS. Lê Trường Sơn, Hiệu trưởng Trường Đại học Luật TP.HCM phát biểu khai mạc

Trong phần tham luận, các chuyên gia đưa ra cảnh báo về tình trạng mua bán, rò rỉ dữ liệu cá nhân diễn biến ngày càng phức tạp trong khi hệ thống pháp luật hiện tại của Việt Nam còn nhiều khoảng trống. TS. Trần Thanh Thảo, Giảng viên Khoa Luật Hình sự, Trường ĐH Luật TPHCM và một số chuyên gia đánh giá, các quy định của BLHS hiện hành chưa phản ánh đầy đủ tính chất đặc thù cũng như mức độ nguy hiểm ngày càng gia tăng của các hành vi xâm phạm dữ liệu cá nhân. Theo TS. Trần Thanh Thảo, để bảo đảm hiệu quả thực thi Luật BVDLCN năm 2025, cần thiết phải bảo đảm sự thống nhất và tương thích giữa các hành vi bị nghiêm cấm được quy định tại Điều 7 Luật BVDLCN với các tội danh tương ứng trong BLHS.

TS. Trần Thanh Thảo, Giảng viên Khoa Luật Hình sự, Trường ĐH Luật TPHCM

Ông cũng kiến nghị bổ sung tội danh về vi phạm nghĩa vụ bảo mật và an toàn dữ liệu cá nhân nhằm khắc phục khoảng trống pháp lý hiện nay bởi theo ông, nhiều vụ rò rỉ dữ liệu không bắt nguồn từ các cuộc tấn công trực tiếp mà xuất phát từ việc chủ thể quản lý dữ liệu không thực hiện hoặc thực hiện không đầy đủ các nghĩa vụ bảo mật, dẫn đến tình trạng dữ liệu bị truy cập, sao chép hoặc phát tán trái phép. Quy định pháp luật hình sự của Pháp cho phép truy cứu trách nhiệm hình sự đối với chủ thể xử lý dữ liệu không tuân thủ quy định về thủ tục hoặc không bảo đảm an toàn dữ liệu, trong khi pháp luật Nga xử lý hành vi vi phạm quy tắc vận hành hệ thống lưu trữ, truyền tải dữ liệu gây mất hoặc lộ lọt thông tin. Trên cơ sở đó, Việt Nam cần xây dựng một tội danh độc lập để xử lý hành vi vi phạm nghĩa vụ bảo mật dữ liệu cá nhân, áp dụng đối với các chủ thể có trách nhiệm quản lý dữ liệu nhưng không triển khai đầy đủ các biện pháp bảo vệ cần thiết, làm phát sinh hậu quả dữ liệu bị chiếm đoạt, bị lộ hoặc bị mất.

Ở góc độ xử phạt vi phạm hành chính, TS. Trần Thị Thu Hà, Trưởng Bộ môn Luật Hành chính, Nhà nước, cho rằng pháp luật hiện hành chủ yếu tập trung vào các vi phạm thủ tục hành chính, trong khi các hành vi xâm phạm trực tiếp quyền của chủ thể dữ liệu chưa được điều chỉnh đầy đủ. Bà đề xuất cần hoàn thiện cơ chế xử lý đối với các hành vi chuyển dữ liệu cá nhân ra nước ngoài trái pháp luật, đồng thời tăng cường trách nhiệm quản trị của các tổ chức, doanh nghiệp trong hoạt động xử lý dữ liệu. Một số chuyên gia cũng đề xuất bổ sung cơ chế công khai quyết định xử phạt nhằm nâng cao tính răn đe và minh bạch trong thực thi pháp luật.

Về mặt dân sự, các chuyên gia cho rằng, mức bồi thường tổn thất tinh thần hiện nay đang bị giới hạn tối đa 10 tháng lương cơ sở là chưa tương xứng với mức độ tổn hại danh dự, nhân phẩm, uy tín và quyền riêng tư mà chủ thể dữ liệu có thể phải gánh chịu trong môi trường số. Vì vậy, nghiên cứu kiến nghị mở rộng quyền tự quyết của Tòa án trong việc xác định mức bồi thường thiệt hại tinh thần trên cơ sở tính chất, phạm vi và hậu quả thực tế của hành vi vi phạm, thay vì áp dụng mức trần cứng như hiện nay.

Bảo vệ dữ liệu cá nhân - thách thức quan trọng của kỷ nguyên số

Dẫn chiếu kinh nghiệm quốc tế từ quy định của Liên minh Châu Âu, Úc về quy định chủ thể dữ liệu cá nhân được thông báo về vi phạm dữ liệu cá nhân , PGS.TS Nguyễn Thị Phương Hoa đưa ra nhận xét, hiện nay, phạm vi trách nhiệm thông báo vi phạm cho chủ thể dữ liệu cá nhân của Việt Nam còn hẹp, chủ yếu liên quan đến trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng hoặc các hành vi vi phạm liên quan đến dữ liệu vị trí, dữ liệu sinh trắc học. Bà đề xuất mở rộng phạm vi thông báo, theo đó khi xảy ra vi phạm dữ liệu cá nhân có khả năng gây rủi ro đáng kể đến quyền và lợi ích hợp pháp của cá nhân, bên kiểm soát hoặc bên kiểm soát và xử lý dữ liệu có nghĩa vụ thông báo cho chủ thể dữ liệu trong thời hạn hợp lý; nội dung thông báo phải bao gồm bản chất của vi phạm, loại dữ liệu bị ảnh hưởng, khả năng xảy ra các hậu quả và khuyến nghị các biện pháp mà cá nhân nên thực hiện.

Bà Mette Ekeroth, Phó Trưởng phái đoàn Đại sứ quán Đan Mạch tại Việt Nam phát biểu tại hội thảo

TS. Nguyễn Thị Ánh Hồng với tham luận “Trách nhiệm của các bên liên quan, pháp luật nước ngoài và kinh nghiệm cho Việt Nam” đã tập trung phân tích, đánh giá các quy định của Luật Bảo vệ dữ liệu cá nhân năm 2025 liên quan đến trách nhiệm của các chủ thể tham gia vào quá trình xử lý dữ liệu, bao gồm bên kiểm soát dữ liệu, bên xử lý dữ liệu, bên kiểm soát và xử lý dữ liệu, cũng như bên thứ ba. Tham luận phân tích trách nhiệm riêng gắn với từng vai trò cụ thể của các chủ thể này, đồng thời đánh giá các quy định pháp luật hiện hành và thực tiễn áp dụng pháp luật hình sự Việt Nam đối với trách nhiệm pháp lý phát sinh từ hành vi vi phạm trong lĩnh vực bảo vệ dữ liệu cá nhân.

Bà đề xuất cần bổ sung quy định cụ thể về trách nhiệm của bên thứ ba và người quản lý dữ liệu; tăng cường nghĩa vụ công khai, minh bạch trong hoạt động quản lý và xử lý dữ liệu; đồng thời hoàn thiện quy định về trách nhiệm thông báo khi xảy ra vi phạm cũng như cơ chế thông báo cho chủ thể dữ liệu. Ngoài ra, bà cũng kiến nghị sớm ban hành các văn bản hướng dẫn thi hành Luật BVDLCN năm 2025, Bộ luật Hình sự năm 2015 và Bộ luật Tố tụng hình sự năm 2015 đối với những nội dung liên quan đến trách nhiệm bảo vệ dữ liệu cá nhân cũng như trách nhiệm pháp lý phát sinh từ các hành vi vi phạm. Đồng thời, cần tăng cường năng lực cho các cơ quan thực thi, nâng cao nhận thức pháp lý và ý thức tuân thủ của các chủ thể có liên quan, qua đó góp phần bảo đảm hiệu quả bảo vệ dữ liệu cá nhân trong bối cảnh chuyển đổi số ngày càng sâu rộng.

Các chuyên gia tham dự hội thảo

Phát niểu tại Hội thảo, bà Mette Ekeroth – Phó Trưởng phái đoàn Đại sứ quán Đan Mạch tại Việt Nam - nhấn mạnh rằng bảo vệ dữ liệu cá nhân đang trở thành một trong những thách thức quan trọng của kỷ nguyên số, bởi dữ liệu không chỉ là nguồn tài nguyên của nền kinh tế số mà còn gắn trực tiếp với quyền riêng tư và niềm tin của người dân trong môi trường số. Theo bà, việc xây dựng khuôn khổ pháp lý hiệu quả nhằm bảo vệ dữ liệu cá nhân cần vừa phù hợp với điều kiện thực tiễn của mỗi quốc gia, vừa bảo đảm tính tương thích với các chuẩn mực quốc tế để thúc đẩy hội nhập và phát triển bền vững.

Bà đồng thời cho rằng trong bối cảnh công nghệ phát triển nhanh chóng, pháp luật cần thường xuyên được rà soát, cập nhật và đổi mới nhằm bảo đảm hiệu quả thực thi, tạo môi trường an toàn, minh bạch cho người dân và doanh nghiệp trong nền kinh tế số. Ba cho biết, Đan Mạch đã tiên phong trong việc sửa đổi luật bản quyền năm 2025, cho phép quyền sở hữu hình ảnh, giọng nói của cá nhân để đối phó với các mối đe dọa giả mạo danh tính bằng trí tuệ nhân tạo. Bà nhấn mạnh, pháp luật cần được cập nhật liên tục trước tốc độ phát triển nhanh chóng của công nghệ, để tránh các lỗ hổng pháp lý có thể bị lợi dụng.