Luật Bảo vệ dữ liệu cá nhân: Cần làm rõ các quy định, cơ sở pháp lý để thực hiện
Dự án Luật Bảo vệ dữ liệu cá nhân mở ra bước ngoặt quan trọng nhằm ngăn chặn tình trạng lộ lọt thông tin, bảo vệ người dân khỏi lừa đảo. Tuy nhiên, cần các quy định, cơ sở pháp lý rõ ràng để triển khai.
Tiếp tục kỳ họp thứ 9, Quốc hội khóa XV, chiều 12/5 Quốc hội thảo luận tại tổ về: Dự án Luật Bảo vệ dữ liệu cá nhân; Dự án Luật sửa đổi, bổ sung một số điều của Luật Mặt trận Tổ quốc Việt Nam, Luật Công đoàn và Luật Thanh niên; Dự án Luật sửa đổi, bổ sung một số điều của Luật Bầu cử đại biểu Quốc hội và đại biểu Hội đồng nhân dân; Việc rút ngắn nhiệm kỳ Quốc hội khóa XV và Hội đồng nhân dân các cấp nhiệm kỳ 2021 – 2026.
Chiều 12/5, Quốc hội thảo luận tại tổ về Dự án Luật Bảo vệ dữ liệu cá nhân.
Góp ý cụ thể về việc thể chế hóa trong Dự thảo Luật Bảo vệ Dữ liệu cá nhân, đa số các đại biểu cho rằng, Bộ Chính trị đã ban hành Nghị quyết số 57-NQ/TW, một Nghị quyết mang tính đột phá tạo xung lực mới cho phát triển quốc gia. Tổng Bí thư cũng chỉ đạo Nhà nước ưu tiên “hoàn thiện thể chế” và “đảm bảo an ninh, an toàn dữ liệu, bảo mật chủ quyền quốc gia.
Băn khoăn mức xử phạt vi phạm từ 1-5% doanh thu
Tham gia ý kiến thảo luận, đại biểu Nguyễn Trường Giang (Đắk Nông) cho biết, ông đồng tình với sự cần thiết phải ban hành luật Luật Bảo vệ dữ liệu cá nhân, tuy nhiên, một số quy định cần được rà soát, làm rõ thêm để đảm bảo tính khả thi và hợp lý khi áp dụng vào thực tiễn.
Thứ nhất, về quy định tại Điều 4 liên quan đến xử phạt vi phạm hành chính đối với hành vi vi phạm quy định bảo vệ dữ liệu cá nhân. Dự thảo quy định mức phạt hành chính có thể lên đến 5% doanh thu năm trước của tổ chức, doanh nghiệp vi phạm. Quy định như vậy là chưa hợp lý.
“Ví dụ, doanh thu hợp nhất của Viettel là khoảng 189.900 tỷ đồng, VNPT là 58.500 tỷ đồng, Mobifone là 23.500 tỷ đồng, như vậy, mức phạt tối thiểu 1% cũng đã là một con số rất lớn, chưa nói đến 5%. Trong khi đó, lợi nhuận trên vốn chủ sở hữu của các doanh nghiệp này chỉ dưới 10%. Như vậy, nếu xử phạt dựa trên doanh thu thì quá nặng, thậm chí có thể ảnh hưởng đến sự tồn tại của doanh nghiệp”, địa biểu lấy ví dụ.
Đại biểu Nguyễn Trường Giang (Đắc Nông) tham gia thảo luận tại tổ.
Theo đại biểu, nguyên tắc xử phạt hành chính phải đảm bảo tính răn đe nhưng cũng phải công bằng và phù hợp với hành vi vi phạm.
“Tôi kiến nghị cơ quan chủ trì soạn thảo cần thuyết minh rõ cơ sở pháp lý, kinh tế để quy định mức phạt cụ thể, đồng thời làm rõ mối quan hệ với các luật chuyên ngành khác như Luật An ninh mạng, Luật Giao dịch điện tử, Luật An toàn thông tin mạng…”, đại biểu nêu ý kiến.
Thứ hai, về quy định cấm mua bán dữ liệu cá nhân, đại biểu cho rằng cần làm rõ hơn. Nếu dữ liệu cá nhân là tài sản, thì theo nguyên tắc dân sự, chủ sở hữu có quyền định đoạt, bao gồm quyền mua bán, tặng cho, thừa kế, thế chấp…
“Vậy tại sao lại cấm hoàn toàn việc mua bán. Nếu cấm, thì cần nêu rõ là cấm trong trường hợp nào: khi thu thập không hợp pháp, hay xử lý sai mục đích. Việc áp dụng lệnh cấm chung chung như vậy có thể vi phạm quyền dân sự của cá nhân đối với tài sản của mình. Chúng ta cần minh bạch hóa vai trò, quyền hạn của từng chủ thể: chủ thể xử lý, sở hữu và bảo vệ dữ liệu cá nhân”, đại biểu đặt câu hỏi.
Về quy định xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình nơi công cộng, theo đại biểu còn bất cập. Vì việc ghi hình nơi công cộng hiện nay rất phổ biến, từ camera an ninh, ghi hình sự kiện, phóng sự truyền hình…
“Nếu bắt buộc mọi người phải thông báo cho chủ thể dữ liệu thì sẽ rất khó thực hiện, thậm chí phi lý. Ở đây phải nhấn mạnh, mục đích sử dụng dữ liệu thu được ở đây là gì, nếu sử dụng sai mục đích thì mới cần xử phạt, không nên cấm một cách máy móc”, đại biểu Giang nói.
Đại biểu cũng cho rằng, việc bắt buộc doanh nghiệp phải có chuyên gia bảo vệ dữ liệu là chưa hợp lý: “Bởi lẽ tùy theo quy mô, khả năng tài chính và tính chất dữ liệu mà doanh nghiệp có thể lựa chọn hình thức bảo vệ phù hợp. Có thể thuê đơn vị chuyên nghiệp nếu thấy cần thiết, hoặc tự tổ chức bảo vệ nếu đủ năng lực. Tránh tình trạng ép buộc gây gánh nặng cho doanh nghiệp nhỏ, trong khi việc đảm bảo an toàn dữ liệu có thể đạt được bằng các phương án linh hoạt hơn”.
Đại biểu Trần Khánh Thu (Thái Bình) phát biểu.
Đại biểu Phạm Nam Tiến (Đắk Nông), cho rằng hiện nay, với sự phát triển mạnh mẽ của khoa học, công nghệ và đặc biệt là trí tuệ nhân tạo, dữ liệu đã trở thành một nguồn tài nguyên vô cùng quan trọng.
Vì vậy, việc xây dựng một hành lang pháp lý minh bạch, công khai cho hoạt động khai thác, sử dụng dữ liệu là hết sức cần thiết, nhằm bảo vệ quyền lợi của người tiêu dùng trước các hành vi thu thập, sử dụng, mua bán dữ liệu trái phép.
Theo ông Tiến, dự thảo Luật Bảo vệ dữ liệu cá nhân lần này đã đề cập đến việc bảo vệ dữ liệu cá nhân trong lĩnh vực kinh doanh dịch vụ tiếp thị và quảng cáo. Tuy nhiên, quy định hiện tại vẫn còn chưa bao quát đầy đủ.
“Vì việc thu thập dữ liệu cá nhân không chỉ diễn ra thông qua các ứng dụng và hành vi theo dõi trực tuyến, mà còn thông qua các báo điện tử, cổng thông tin điện tử, mạng xã hội, nền tảng số và các ứng dụng trực tuyến kết nối internet. Vì vậy, tôi đề nghị cơ quan soạn thảo cần mở rộng phạm vi điều chỉnh để bảo đảm bao phủ toàn diện các hình thức thu thập dữ liệu hiện nay”, địa biểu kiến nghị.
Dữ liệu từng lĩnh vực khác nhau có quy định bảo mật khác nhau
Đối với hoạt động xử lý dữ liệu cá nhân của trẻ em, đại biểu Phạm Nam Tiến cho rằng, cần cân nhắc bổ sung chủ thể “người giám hộ” bên cạnh “người đại diện theo pháp luật” để bảo đảm phù hợp với quy định của Bộ luật Dân sự năm 2015.
Cùng đó, đai biểu Dương Khắc Mai (Đắk Nông) cũng dẫn chứng một số quy định liên quan đến trẻ em trong dự thảo Luật chưa thống nhất với Luật Trẻ em và Bộ luật Dân sự.
Theo đại biểu, thứ nhất là về độ tuổi, theo quy định của Luật Trẻ em thì với trẻ từ đủ 15 tuổi đến dưới 16 tuổi, việc công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em phải có sự đồng ý của trẻ em và của cha, mẹ, người giám hộ của trẻ em. Tuy nhiên, theo quy định của dự thảo Luật Bảo vệ dữ liệu cá nhân, trường hợp này không cần sự đồng ý của trẻ em, cha, mẹ, người giám hộ.
Phó chủ tịch Quốc hội Nguyễn Khắc Định phát biểu.
Thứ hai, chưa thống nhất về phạm vi người đại diện cho trẻ em, vì người đại diện theo pháp luật ngoài cha, mẹ, người giám hộ còn có thêm người đại diện do Tòa án chỉ định (Điều 136 của Bộ luật Dân sự).
“Vì vậy, để bảo đảm thống nhất với quy định của Luật Trẻ em và Bộ luật Dân sự, cần chỉnh lý lại quy định nêu trên theo hướng việc xử lý dữ liệu cá nhân của trẻ em phải được sự đồng ý của trẻ em và cha, mẹ hoặc người giám hộ trong các trường hợp: Trẻ em từ đủ 7 tuổi đến dưới 15 tuổi; trẻ em từ đủ 15 tuổi đến dưới 16 tuổi đối với dữ liệu về đời sống riêng tư, bí mật cá nhân của trẻ em...”, đại biểu Dương Khắc Mai đề nghị.
Còn đại biểu Trần Khánh Thu (Thái Bình) cho rằng, về dữ liệu cá nhân của trẻ em, luật quy định rằng trẻ dưới 7 tuổi cần sự đồng ý của người đại diện pháp luật; từ 7 đến dưới 15 tuổi cần sự đồng ý của cả trẻ em và người đại diện.
Tuy nhiên, cần làm rõ hơn trường hợp trẻ chưa đủ năng lực hành vi dân sự (ví dụ như bị tăng động hoặc khuyết tật tâm lý) thì trách nhiệm thuộc về ai, xử lý ra sao.
Dữ liệu trẻ em cũng là dữ liệu cá nhân, vì vậy hoàn toàn có thể gộp vào một điều khoản chung thay vì tách riêng, trừ khi có lý do thực sự đặc biệt cần nêu rõ.
“Ngoài ra, tôi muốn nhấn mạnh đến việc cần có điều khoản riêng về dữ liệu sức khỏe. Đây là loại dữ liệu nhạy cảm và có khối lượng rất lớn trong hệ thống y tế. Hiện tại, chưa thấy dự thảo đề cập cụ thể đến nội dung này. Trong khi đó, nhiều quốc gia đã có quy định rất nghiêm ngặt về bảo vệ thông tin sức khỏe tại các bệnh viện, phòng khám, nhà thuốc và công ty bảo hiểm, bao gồm việc mã hóa dữ liệu và chỉ cho phép những người có thẩm quyền được truy cập”, địa biểu Trần Khánh Thu nêu ý kiến.
Theo Phó chủ tịch Quốc hội Nguyễn Khắc Định, hiện nay chúng ta đang xem xét 4 nội dung quan trọng trong đó có Luật Bảo vệ dữ liệu cá nhân.
Tất cả các nội dung này đều đã được Ủy ban Thường vụ Quốc hội chỉ đạo các cơ quan chuẩn bị kỹ lưỡng hồ sơ, tài liệu trình Quốc hội theo quy trình rút gọn để thông qua tại một kỳ họp, dự kiến có hiệu lực từ ngày 1/7 tới.
“Trong bốn nội dung nêu trên, khó khăn nhất chính là Luật Bảo vệ dữ liệu cá nhân. Đây là một lĩnh vực hoàn toàn mới, trước đây chúng ta chỉ có Nghị định, và Nghị định này mới ban hành cách đây vài năm.
Do vậy, việc xây dựng luật rất phức tạp, nhưng cũng rất cấp thiết trong bối cảnh đổi mới khoa học, công nghệ, chuyển đổi số, bảo vệ an ninh mạng, an toàn thông tin và đáp ứng yêu cầu của thời kỳ phát triển nhanh chóng như hiện nay”, Phó chủ tịch Quốc hội Nguyễn Khắc Định nói.
Phó chủ tịch Quốc hội Nguyễn Khắc Định cho biết, Ủy ban Thường vụ Quốc hội đã có nhiều ý kiến đóng góp, cơ quan soạn thảo cũng đã tiếp thu chỉnh sửa, tuy nhiên vẫn còn nhiều điểm cần tiếp tục nghiên cứu, hoàn thiện.
“Tôi biết có một số ý kiến cho rằng mô hình này đã được áp dụng tại Châu Âu, Mỹ…Tuy nhiên, chúng ta cần tham khảo một cách chọn lọc, kỹ lưỡng, phù hợp với thực tiễn Việt Nam. Do đó, tôi đề nghị cơ quan soạn thảo tiếp thu và điều chỉnh kỹ nội dung này trước khi thông qua”, Phó chủ tịch Quốc hội Nguyễn Khắc Định nêu ý kiến.
