Đề xuất cấm hoàn toàn mua bán dữ liệu cá nhân

Phó Thủ tướng Chính phủ Lê Thành Long trình bày Tờ trình Dự thảo Luật Bảo vệ dữ liệu cá nhân. Ảnh: quochoi.vn

Theo tờ trình, pháp luật có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân, song chưa có quy định chế tài để bảo vệ dữ liệu cá nhân gắn cụ thể với các quyền của chủ thể dữ liệu.

Mặt khác, qua thực tiễn triển khai công tác bảo vệ dữ liệu cá nhân theo Nghị định số 13/2023/NĐ-CP cho thấy có nhiều tổ chức, doanh nghiệp thu thập thừa dữ liệu cá nhân so với ngành nghề, sản phẩm, dịch vụ kinh doanh, thiếu cơ sở pháp lý khi thu thập dữ liệu cá nhân, không xác định được các luồng xử lý dữ liệu.

Nhiều hoạt động thu thập, xử lý dữ liệu cá nhân mà chưa có sự đồng ý của chủ thể dữ liệu, không thể lấy ý kiến về sự đồng ý đối với những dữ liệu cá nhân đã thu thập. Điều đó cho thấy các quyền cơ bản của công dân đối với dữ liệu cá nhân chưa được bảo đảm.

Công dân chưa biết cách tự bảo vệ, chưa biết cách khiếu kiện, phản đối, yêu cầu bồi thường thiệt hại khi có hành vi vi phạm pháp luật, xâm hại tới quyền và lợi ích hợp pháp của mình.

Bên cạnh đó, hoạt động mua, bán dữ liệu cá nhân diễn ra dưới nhiều hình thức như rao bán dữ liệu cá nhân số lượng lớn, có hệ thống, có tổ chức, cam kết "bảo hành" và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua; tấn công, xâm nhập hệ thống thông tin để chiếm đoạt dữ liệu cá nhân, tán phát mã độc thu thập dữ liệu cá nhân trên môi trường mạng…

"Thực trạng trên đặt ra yêu cầu cấp bách trong hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân mang tính thống nhất, đồng bộ trong hệ thống pháp luật," Phó Thủ tướng nêu rõ.

Dự thảo Luật Bảo vệ dữ liệu cá nhân dự kiến gồm 7 Chương, 68 Điều; quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Dự thảo cũng xây dựng 7 nguyên tắc bảo vệ dữ liệu cá nhân, gồm: hợp pháp, minh bạch, đúng mục đích, hạn chế, chính xác, an ninh, giới hạn thời gian lưu trữ, trách nhiệm giải trình.

Đồng thời, Dự luật liệt kê 6 nhóm hành vi bị nghiêm cấm, bao gồm: xử lý dữ liệu cá nhân trái luật, gây ảnh hưởng tiêu cực đến Nhà nước, quốc phòng, an ninh, quyền và lợi ích hợp pháp của tổ chức, cá nhân; cản trở hoạt động bảo vệ dữ liệu của cơ quan chức năng; lợi dụng bảo vệ dữ liệu để vi phạm pháp luật; thu thập, xử lý, chuyển giao dữ liệu trái quy định; mua, bán dữ liệu cá nhân; cố ý chiếm đoạt, làm lộ hoặc làm mất dữ liệu cá nhân.

Thẩm tra nội dung này, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới cho biết Ủy ban nhất trí với sự cần thiết ban hành luật.

Theo đại diện Ủy ban Quốc phòng, An ninh và Đối ngoại, việc xây dựng dự án luật nhằm bảo đảm cơ sở pháp lý, đáp ứng yêu cầu bảo vệ dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân…

Về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân, cơ quan thẩm tra đề nghị cân nhắc quy định "Áp dụng mức xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân".

Cụ thể, một số ý kiến cho rằng mức xử phạt hành chính như vậy là không khả thi và quá nặng đối với tổ chức, doanh nghiệp. Bên cạnh đó, có ý kiến cho rằng quy định này không thống nhất với quan điểm xử phạt vi phạm hành chính hiện nay là "việc xử phạt vi phạm hành chính phải căn cứ vào tính chất, mức độ, hậu quả vi phạm, đối tượng vi phạm và tình tiết giảm nhẹ, tình tiết tăng nặng".

Theo cơ quan thẩm tra, một số ý kiến đề xuất phân loại các loại hành vi vi phạm để có quy định mức xử phạt phù hợp.

Mặt khác, có ý kiến đề nghị giải thích từ ngữ "mua, bán dữ liệu cá nhân". Một số ý kiến cho rằng, nếu cấm hoàn toàn mua, bán dữ liệu cá nhân có thể sẽ làm ảnh hưởng đến hoạt động, sản xuất, kinh doanh của các tổ chức, doanh nghiệp, nên cần phải quy định theo hướng thông thoáng hơn để khơi thông nguồn lực, khuyến khích đổi mới sáng tạo, không cản trở thị trường dữ liệu. Trong khi đó, cũng có ý kiến đề nghị chỉnh sửa thành cấm "mua bán dữ liệu cá nhân trái pháp luật".

Dự thảo Luật Bảo vệ dữ liệu cá nhân được Chính phủ đề xuất trình Quốc hội xem xét, cho ý kiến, thông qua tại kỳ họp thứ 9.

Kiều Chinh