Chuyển giao dữ liệu cá nhân ra nước ngoài - cần cơ chế kiểm soát chặt chẽ
Cho rằng, các chương của dự án Luật Bảo vệ dữ liệu cá nhân chưa bao quát và chi tiết bằng Nghị định 13/2023 của Chính phủ về bảo vệ dữ liệu cá nhân. Dự án Luật Bảo vệ dữ liệu cá nhân cần cụ thể hóa và tách bạch các quyền của chủ thể dữ liệu, điều kiện, cơ chế kiểm soát chuyển dữ liệu cá nhân ra nước ngoài.
Chiều 18/3, Đoàn Đại biểu Quốc hội TP.HCM tổ chức hội thảo góp ý cho dự án Luật Bảo vệ dữ liệu cá nhân.
Tại hội thảo, các đại biểu là giảng viên Luật, nhà khoa học, đại diện các sở ngành địa phương TP.HCM cho rằng, dữ liệu cá nhân là vấn đề liên quan chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu trong bối cảnh đẩy mạnh chuyển đổi số, cách mạng công nghiệp lần thứ tư, Chính phủ điện tử, kinh tế số...
Quang cảnh hội thảo góp ý dự án Luật Bảo vệ dữ liệu cá nhân (Ảnh: Tỷ Huỳnh)
Theo ông Nguyễn Thái Cường, phụ trách Viện Luật so sánh của trường Đại học Luật TP.HCM, dự án Luật Bảo vệ dữ liệu cá nhân là một thành tựu, nâng tầm Nghị định 13/2023 của Chính phủ về bảo vệ dữ liệu cá nhân. Tuy nhiên, các chương của dự án Luật Bảo vệ dữ liệu cá nhân chưa bao quát và chi tiết bằng Nghị định 13.
Ông Nguyễn Thái Cường cho rằng, các quyền của chủ thể dữ liệu cá nhân được quy định trong dự án Luật Bảo vệ dữ liệu cá nhân rất “mờ nhạt”.
Hội thảo đã lắng nghe 12 ý kiến góp ý của các chuyên gia, nhà khoa học, giảng viên Luật và đại diện các sở ngành TP.HCM góp ý cho dự án Luật (Ảnh: Tỷ Huỳnh)
Theo ông Cường, cần cụ thể hóa và tách bạch các quyền của chủ thể dữ liệu cá nhân như: quyền được biết, quyền đồng ý, quyền rút lại sự đồng ý, quyền xóa dữ liệu (quyền bị lãng quên), quyền phản đối.
Riêng đối với quyền phản đối xử lý dữ liệu, ông Nguyễn Thái Cường nhấn mạnh, cho phép các bên xử lý dữ liệu theo yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu là chưa phù hợp.
“Một quyền quan trọng của chủ thể dữ liệu đó là quyền phản đối xử lý dữ liệu. Ở đây dự thảo Luật cho phép 72 giờ, tôi nghĩ với tốc độ xử lý công nghệ hiện nay thì trong vòng 72 giờ dữ liệu cá nhân đã được chuyển tới đâu rồi. Cho nên phải rút ngắn hơn, quy định trong khoảng 48 giờ thôi. Như vậy, cơ quan Công an và các cơ quan chuyên ngành có thể xử lý một cách nhanh chóng, chứ mà để 72 giờ theo tôi là không phù hợp”, ông Cường góp ý.
Ông Hà Phước Thắng, Phó Trưởng đoàn chuyên trách Đoàn Đại biểu Quốc hội TPHCM chủ trì hội thảo. (Ảnh: Tỷ Huỳnh)
Phân tích và chia sẻ tại hội thảo, nhiều đại biểu cho rằng, việc khai thác, sử dụng dữ liệu cá nhân giữa cá nhân, doanh nghiệp và cơ quan nhà nước vẫn còn nhập nhằng.
Do đó, dự án Luật Bảo vệ dữ liệu cá nhân cần quy định cụ thể hơn về hình thức và thời điểm lấy sự đồng ý của chủ thể dữ liệu. Đặc biệt là quy định các điều kiện, cơ chế kiểm soát chuyển dữ liệu trong hoạt động doanh nghiệp như: tuyển dụng lao động hoặc chuyển dữ liệu ra nước ngoài.
Theo ông Nguyễn Vinh Huy, Phó Chủ tịch Hiệp hội doanh nghiệp TP.HCM, lâu nay pháp luật Việt Nam chưa quy định cụ thể về điều kiện, cơ chế kiểm soát dữ liệu chuyển ra nước ngoài.
Ông Nguyễn Vinh Huy đề xuất: “Doanh nghiệp nước ngoài xử lý dữ liệu cá nhân của công dân Việt Nam phải có trụ sở hoặc đại diện pháp lý tại Việt Nam và tuân thủ luật pháp Việt Nam. Dữ liệu cá nhân muốn chuyển ra nước ngoài phải được báo cáo và được cơ quan quản lý nhà nước phê duyệt trước khi thực hiện. Ngoài ra, việc chuyển dữ liệu cá nhân nước ngoài chỉ được thực hiện nếu như quốc gia tiếp nhận có quy định về bảo vệ dữ liệu cá nhân tương đồng hoặc cao so với Việt Nam. Tiếp đó là doanh nghiệp tiếp nhận dữ liệu cam kết sử dụng dữ liệu cá nhân đúng mục đích và cơ quan quản lý nhà nước có thể kiểm tra, yêu cầu tạm dừng việc chuyển dữ liệu cá nhân bất kỳ lúc nào”.
Ông Nguyễn Vinh Huy, Phó Chủ tịch Hiệp hội doanh nghiệp TP.HCM đề xuất các điều kiện, cơ chế kiểm soát chuyển dữ liệu cá nhân sang nước ngoài (Ảnh: Tỷ Huỳnh)
Ngoài ra, theo các đại biểu, cũng cần xem xét điều chỉnh mức xử phạt vi phạm hành chính từ 1-5% doanh thu năm trước đối với doanh nghiệp vi phạm các quy định về bảo vệ dữ liệu cá nhân để đủ sức răn đe. Thậm chí có ý kiến đề xuất bỏ quy định chế tài xử phạt này và thay thế bằng Nghị định của Chính phủ sau khi Luật Bảo vệ dữ liệu cá nhân đi vào cuộc sống.
Các ý kiến cũng đề xuất bổ sung quy định về quyền của chủ thể dữ liệu trong việc từ chối dữ liệu cá nhân bị hệ thống AI thu thập, phân tích hoặc dự đoán; yêu cầu công khai các tiêu chí sử dụng dữ liệu cá nhân trong hệ thống AI.
