Dự thảo Luật Bảo vệ dữ liệu cá nhân: Phân loại mức độ vi phạm để xử lý phù hợp
Hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân có thể dẫn tới hậu quả nghiêm trọng, vì vậy, quy định mức phạt cao là cần thiết để bảo đảm tính răn đe đối với các doanh nghiệp lớn, đặc biệt là các tập đoàn đa quốc gia liên quan đến xử lý dữ liệu. Thống nhất quan điểm này, song một số Ủy viên Ủy ban Thường vụ Quốc hội cũng cho rằng, cần phân loại mức độ nghiêm trọng để xử phạt phù hợp.
Cần phân loại dựa trên mức độ rủi ro trong xử lý dữ liệu
Quan tâm đến quy định về lực lượng bảo vệ dữ liệu cá nhân, Phó Chủ nhiệm Ủy ban Pháp luật và Tư pháp Nguyễn Trường Giang nêu vấn đề, tại khoản 3, Điều 34 dự thảo Luật quy định: “Cơ quan, tổ chức, doanh nghiệp có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện, năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, chuyên gia bảo vệ dữ liệu cá nhân”.
Tại khoản 2 Điều 46 dự thảo Luật về hiệu lực thi hành quy định: “Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện quy định tại khoản 3 Điều 34, Điều 31 và Điều 32 của Luật này trong thời gian 5 năm đầu kể từ khi thành lập doanh nghiệp hoặc 5 năm đầu kể từ ngày Luật này có hiệu lực thi hành đối với doanh nghiệp thành lập trước ngày Luật này có hiệu lực thi hành. Quy định này không áp dụng cho các doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ phân tích, tổng hợp dữ liệu cá nhân”.
Phó Chủ tịch Quốc hội Vũ Hồng Thanh phát biểu tại phiên họp. Ảnh: Phạm Thắng
Lo ngại quy định trên sẽ làm phát sinh chi phí thủ tục rất lớn cho doanh nghiệp, nhất là những doanh nghiệp nhỏ vốn chiếm phần lớn trong cộng đồng doanh nghiệp nước ta, Phó Chủ nhiệm Ủy ban Pháp luật và Tư pháp đề nghị, cần đánh giá tác động của việc tuân thủ chính sách trên.
“Không phải tất cả doanh nghiệp nhỏ và vừa trên thị trường, các doanh nghiệp khởi nghiệp sáng tạo đều cần đặt ra vấn đề bảo vệ dữ liệu cá nhân. Trong trường hợp quy định bắt buộc nội dung này thì cần có đánh giá đầy đủ, nhất là trong bối cảnh hiện nay chúng ta đang đẩy mạnh cắt giảm chi phí tuân thủ và điều kiện kinh doanh đối với doanh nghiệp”, Phó Chủ nhiệm Ủy ban Pháp luật và Tư pháp nói.
Phó Chủ nhiệm Ủy ban Pháp luật và Tư pháp Nguyễn Trường Giang phát biểu tại phiên họp. Ảnh: Phạm Thắng
Cũng liên quan đến Điều 46, Phó Chủ tịch Quốc hội Vũ Hồng Thanh cho rằng, "quy định như dự thảo Luật chưa thật sự phù hợp". Theo Phó Chủ tịch Quốc hội, cần phân loại dựa trên mức độ rủi ro trong xử lý dữ liệu, không nên phân loại dựa trên tuổi đời hay quy mô của doanh nghiệp bởi thực tế có những doanh nghiệp tuy quy mô nhỏ, mới thành lập nhưng khối lượng xử lý dữ liệu rất lớn như doanh nghiệp về công nghệ thông tin, fintech, công nghệ tài chính, y tế, quảng cáo...
Điều 29 quy định về bảo vệ dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng. Theo Phó Chủ nhiệm Ủy ban Pháp luật và Tư pháp, việc quy định cơ quan, tổ chức, cá nhân có trách nhiệm thông báo hoặc bằng hình thức thông tin khác để chủ thể dữ liệu biết được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác tại khoản 2 Điều 29 là không khả thi.
Bởi hiện nay có tồn tại rất nhiều camera an ninh, camera của người dân và thậm chí là các xe ô tô cũng đều có gắn camera hành trình có thể ghi hình. Do vậy, Phó Chủ nhiệm Ủy ban Pháp luật và Tư pháp đề nghị cần quản lý theo "đầu ra" nhằm kiểm soát việc sử dụng các thông tin về chủ thể dữ liệu từ hoạt động ghi âm, ghi hình". Đồng tình với quan điểm này, Phó Chủ tịch Quốc hội Trần Quang Phương cũng cho rằng, “việc ghi âm, ghi hình bây giờ ở khắp nơi, đường làng, ngõ xóm cũng có. Quan trọng là sử dụng dữ liệu đầu ra của ghi âm, ghi hình như thế nào?”.
Cần hướng dẫn quy định về mức phạt tối đa cho phù hợp với thực tiễn
Về xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân, Báo cáo một số vấn đề lớn giải trình, tiếp thu, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân cho biết, dự thảo Luật dự kiến tiếp thu, chỉnh lý theo hướng thiết kế Điều 8 gồm 7 khoản. Trong đó, xác định nguyên tắc xử lý: tùy theo tính chất, mức độ, hậu quả mà bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường.
Về mức phạt hành chính: do tính chất và hậu quả nghiêm trọng của hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân nên cần quy định mức phạt cao hơn để bảo đảm tính răn đe đối với các doanh nghiệp lớn, đặc biệt là các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng nghìn tỷ đồng.
Các đại biểu tham dự phiên họp. Ảnh: Phạm Thắng
Trên cơ sở tham khảo kinh nghiệm của Liên minh châu Âu và một số quốc gia, dự thảo Luật quy định theo hướng: đối với hành vi mua, bán dữ liệu cá nhân, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm; đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa 5% doanh thu năm liền trước; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 3 tỷ đồng. Đồng thời, quy định mức phạt đối với cá nhân bằng 1/2 mức phạt đối với tổ chức. Giao Chính phủ quy định chi tiết mức phạt, khung tiền phạt và phương pháp tính khoản thu trái pháp luật.
Phó Chủ tịch Quốc hội Vũ Hồng Thanh nhấn mạnh, vi phạm bảo vệ dữ liệu cá nhân có tác động tiêu cực đến xã hội và cá nhân chủ thể dữ liệu bị vi phạm. Nếu xử phạt hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định pháp luật thông thường sẽ không bảo đảm tính răn đe. Do vậy, mức xử phạt vi phạm về bảo vệ dữ liệu cá nhân phải cao hơn.
Các đại biểu tham dự phiên họp. Ảnh: Phạm Thắng
Tán thành với việc dự thảo Luật được chỉnh lý theo hướng phân loại theo từng nhóm vi phạm để xử phạt, Phó Chủ tịch Quốc hội cũng đề nghị, "nếu có thể phân tách ra được nữa những trường hợp vi phạm làm ảnh hưởng tới quyền riêng tư của cá nhân thì cần tăng mức xử phạt nặng hơn, còn đối với những vi phạm không ảnh hưởng nhiều thì có thể xử phạt theo hướng xử lý vi phạm hành chính".
Bên cạnh đó, Phó Chủ tịch Quốc hội cũng đề nghị, cần định nghĩa rõ hơn khái niệm “khoản thu trái pháp luật” tại khoản 3, Điều 8 dự thảo Luật, hoặc trong nghị định của Chính phủ quy định chi tiết thì phải làm rõ để tránh khó khăn trong tổ chức thi hành, tránh nguy cơ thiếu thống nhất trong hệ thống pháp luật và có thể lạm dụng trong việc xử phạt.
Dự thảo Luật quy định, mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu năm liền trước của tổ chức đó; trường hợp không có doanh thu hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền tối đa theo quy định tại khoản 5 Điều này.
Theo Phó Chủ tịch Quốc hội Vũ Hồng Thanh, mức phạt tiền tối đa 5% doanh thu năm liền trước của tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới sẽ là mức phạt “rất khủng” bởi có những doanh nghiệp doanh thu mấy trăm nghìn tỷ đồng. Do vậy, Phó Chủ tịch Quốc hội đề nghị, Chính phủ cần có quy định hướng dẫn nội dung này cho phù hợp hơn với thực tiễn.
Cùng với đó, cần có cơ chế xử lý đối với những tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là những tổ chức nước ngoài không có tư cách pháp nhân tại Việt Nam, các doanh nghiệp mới thành lập chưa có doanh thu của năm trước để làm cơ sở tính mức xử phạt.
