Đề nghị cân nhắc mức phạt 5% doanh thu nếu vi phạm dữ liệu cá nhân
Về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân, nhiều ý kiến đại biểu Quốc hội đề xuất nghiên cứu, chỉnh lý theo hướng có thể quy định mức phạt tối đa đối với tổ chức, doanh nghiệp vi phạm, hoặc quy định mức phạt dựa trên số tiền lãi thu được và mức độ thiệt hại gây ra, thay vì mức phạt 1% đến 5% như phương án Chính phủ trình.
Tiếp tục chương trình Kỳ họp thứ 9, Quốc hội khóa XV, chiều 12/5, Quốc hôịthảo luận ở tổ về dự án Luật Bảo vệ dữ liệu cá nhân.
Làm rõ thế nào là "dữ liêụcá nhân nhạy cảm"
Tham gia ý kiến thảo luận, đạibiểu Trần Quốc Tuấn (đoàn Trà Vinh) cho rằng nội hàm của cụm từ "dữ liêụcá nhân nhạy cảm" trong dự thảo Luật chưa rõ nghĩa, còn định tính vì dữliệu cá nhân theo người này là nhạy cảm nhưng với người khác lại không nhạy cảm.
Đại biểu lấy ví dụ tình trạng sứckhỏe và đời tư được ghi trong hồ sơ bệnh án của ông Nguyễn Văn A bị lộ lọt khiông A đang làm Chủ tịch Hội đồng quản trị của một công ty lớn, công ty đangkinh doanh làm ăn phát đạt, giá trị cổ phiếu rất cao.
Quang cảnh phiên thảo luận ở Tổ TP. Hồ Chí Minh chiều 12/5. (Ảnh: VT)
Tuy nhiên, bà B lại tung tin noiống A bị bệnh ung thư giai đoạn cuối. Nguồn tin này gây tác động tiêu cực, làmcho giá trị cổ phiếu và số vốn hóa của công ty đó giảm sâu.
"Trên thực tế, ông A có bệnhthật, bà B cũng là người tung tin đúng sự thật. Song, nguồn tin đó lại gâythiệt hại lớn cho công ty. Vậy bà B tung tin ông A bị bệnh ung thư có bị cho làvi phạm pháp luật hay không?", đại biểu đặt vấn đề.
Do đó, đại biểu Tuấn đề nghị cầnlàm rõ nghĩa của cụm từ "thông tin nhạy cảm" ngay trong luật để đảmbảo tính khả thi.
Mức phạt 1% đến 5% doanh thu khókhả thi
Về xử lý vi phạm quy định bảo vệ dữ liêụcá nhân, tại khoản 2 Điều 4 dự thảo Luật có nêu: "Áp dụng mức xử phạthành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp cóvi phạm quy định về bảo vệ dữ liệu cá nhân".
Theo đại biểu Tuấn, quy định nàykhó khả thi, đặc biệt là với những doanh nghiệp mới thành lập đầu năm nhưngcuối năm vi phạm thì không thể xử phạt được. Hoặc cũng có trường hợp doanhnghiệp vi phạm xong bị giải thể trước khi phát hiện. Thậm chí có trường hợpdoanh nghiệp có tỷ suất lợi nhuận thấp, nếu xử phạt sẽ thua lỗ nặng.
Có cùng quan điểm, đại biểu ĐỗĐức Hiển (đoàn TP Hồ Chí Minh) cho rằng, mức xử phạt như trên là quá nặng vàkhông khả thi đối với doanh nghiệp, nhất là với các tập đoàn kinh doanh đangành nghề, lĩnh vực thì 1-5% doanh thu là rất lớn.
Đại biểu đề nghị nghiên cứu,chỉnh lý quy định này theo hướng có thể quy định mức phạt tối đa tương ứng vơícác lĩnh vực dữ liệu, công nghiệp công nghệ số. Trên cơ sở đó, Chính phủ quyđịnh chi tiết mức phạt đối với từng hành vi vi phạm cụ thể, các tình tiết tăngnặng, giảm nhẹ, theo nguyên tắc xử lý vi phạm hành chính.
Đại biểu Trương Trọng Nghĩa (đoàn TP Hồ Chí Minh). (Ảnh: VT)
Liên quan nội dung này, đại biêủTrương Trọng Nghĩa (đoàn TP Hồ Chí Minh) đề xuất cân nhắc theo hướng quy địnhmức phạt dựa trên số tiền lãi thu được và mức độ thiệt hại gây ra, thay vì quyđịnh mức phạt theo doanh thu như trong dự thảo.
Bổ sung quy định về thu thập, xửlý dữ liệu sức khỏe trong các ứng dụng y tế
Đối với quy định bảo vệ dữ liêụcá nhân liên quan đến thông tin sức khỏe, bảo hiểm, tại khoản 2 Điều 31 dự thảoLuật nêu rõ: “Các tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe không cungcấp dữ liệu cá nhân cho các tổ chức cung cấp dịch vụ chăm sóc sức khỏe hoặcdịch vụ bảo hiểm sức khỏe, trừ khi có yêu cầu bằng văn bản của chủ thể dữ liệu”.
Theo đại biểu Nguyễn Trí Thức(đoàn TP Hồ Chí Minh), trong quá trình hoạt động chuyên môn của ngành y, nhấtlà những trường hợp khẩn cấp, cấp cứu, hay chuyển tuyến, các bác sĩ khi hôịchẩn đa số là rất gấp, có khi chỉ trao đổi trực tiếp qua điện thoại chứ khôngkịp chuẩn bị đủ giấy tờ.
Đại biểu Nguyễn Trí Thức (đoàn TP Hồ Chí Minh). (Ảnh: VT)
"Trường hợp bệnh nhân hônmê, hay không có người nhà ở đó, các bác sĩ ở hai cơ sở y tế buộc phải traođổi, xử lý dữ liệu sức khỏe không phải chờ sự cho phép của bệnh nhân cũng nhưgia đình người bệnh. Nếu buộc phải có sự đồng ý của chủ thể dữ liệu thì sẽ khôngkịp đáp ứng yêu cầu điều trị", đại biểu nêu thực tế.
Do vậy, đại biểu đoàn TP Hồ ChíMinh đề xuất bổ sung quy định cho phép chia sẻ dữ liệu sức khỏe trong cáctrường hợp khẩn cấp, cấp cứu, hoặc cần hội chẩn chuyên môn mà không cần sự đồngý của bệnh nhân. Điều này rất quan trọng vì liên quan mật thiết đến hoạt động ytế hằng ngày.
Bên cạnh đó, đại biểu Thức cũngcho biết, trên thị trường hiện nay xuất hiện rất nhiều dữ liệu sức khỏe đượccác ứng dụng y tế số thu thập, như nhịp tim, lượng đường trong máu, các chỉ sốvận động... Tuy nhiên, trong dự thảo Luật chưa có quy định cụ thể về kiểm soátcác nền tảng y tế số này.
Đại biểu đề xuất bổ sung quy địnhvề việc thu thập, xử lý dữ liệu sức khỏe trong các ứng dụng y tế, bao gồm cáctiêu chuẩn mã hóa, bảo mật khi lưu trữ dữ liệu sức khỏe trên ứng dụng, quytrình cấp quyền truy cập cho bên thứ 3 (bệnh viện hay bảo hiểm y tế), cơ chếngười dùng kiểm soát dữ liệu của họ trên ứng dụng (quyền xóa dữ liệu, giới hạnthu thập thông tin), giúp bảo mật thông tin dữ liệu khi sử dụng các ứng dụngtheo dõi sức khỏe cá nhân.
