Luật Bảo vệ dữ liệu cá nhân: Lá chắn pháp lý cho kỷ nguyên số
Tiếp tục Kỳ họp thứ 9, Quốc hội khóa XV, chiều nay (5/5), Chính phủ đã trình Quốc hội xem xét, cho ý kiến Dự án Luật Bảo vệ dữ liệu cá nhân. Đây được xem là bước tiến quan trọng trong việc xây dựng hành lang pháp lý bảo vệ quyền con người trong kỷ nguyên số.
Phó Thủ tướng Chính phủ Lê Thành Long trình bày báo cáo
Đáp ứng thách thức chuyển đổi số
Nhấn mạnh sự cấp thiết của việc ban hành Luật Bảo vệ dữ liệu cá nhân để bảo vệ quyền con người và quyền công dân trong bối cảnh chuyển đổi số sâu rộng, Phó Thủ tướng Chính phủ Lê Thành Long cho biết: Dữ liệu cá nhân không chỉ liên quan đến quyền riêng tư mà còn gắn chặt với an ninh mạng, chính phủ số, kinh tế số, và Cách mạng công nghiệp lần thứ tư. Các chủ trương của Đảng, thể hiện qua Nghị quyết 52-NQ/TW năm 2019, Nghị quyết 27-NQ/TW năm 2022, và Nghị quyết 57-NQ/TW năm 2024, đều xác định cần hoàn thiện thể chế, lấy con người làm trung tâm, khuyến khích đổi mới sáng tạo nhưng đảm bảo an ninh dữ liệu. Quyết định 964/QĐ-TTg năm 2022 của Thủ tướng Chính phủ cũng yêu cầu xây dựng pháp luật về bảo vệ dữ liệu cá nhân để bảo vệ chủ quyền và an ninh quốc gia trên không gian mạng.
Hiến pháp 2013 quy định quyền riêng tư là bất khả xâm phạm, bao gồm bảo vệ bí mật cá nhân và gia đình. Tuy nhiên, hiện nay có 68 văn bản pháp luật liên quan đến dữ liệu cá nhân, nhưng chỉ Nghị định 13/2023/NĐ-CP định nghĩa rõ dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Các quy định này chưa đồng bộ, thiếu bao quát, đặc biệt đối với dữ liệu lưu trữ trên hồ sơ giấy như bệnh án, hồ sơ nhân sự, hay hồ sơ học sinh. Chẳng hạn, trong ngành y tế, bệnh án giấy chứa thông tin nhạy cảm nhưng thiếu quy định bảo vệ chặt chẽ, dẫn đến nguy cơ rò rỉ. Tương tự, hồ sơ nhân sự trong lĩnh vực lao động hay hồ sơ học sinh tại trường học cũng đối mặt với rủi ro truy cập trái phép do thiếu khung pháp lý cụ thể.
Thực tiễn cho thấy tình trạng vi phạm dữ liệu cá nhân ngày càng nghiêm trọng. Năm 2024, 14,5 triệu tài khoản tại Việt Nam bị rò rỉ, chiếm 12% tổng số tài khoản bị lộ toàn cầu, gây thiệt hại ước tính 11 triệu USD. Các hành vi mua bán dữ liệu cá nhân diễn ra công khai dưới nhiều hình thức, từ thu thập trái phép qua mạng đến tấn công hệ thống để chiếm đoạt dữ liệu. Bộ Công an đã phát hiện nhiều đường dây mua bán dữ liệu quy mô lớn, với hàng nghìn GB dữ liệu nhạy cảm bị rao bán trên các nền tảng như Telegram và Facebook. Tuy nhiên, do thiếu quy định cụ thể về chế tài hình sự và dân sự, việc xử lý các hành vi này gặp nhiều khó khăn. Chẳng hạn, Bộ luật Hình sự 2015 chỉ xử lý vi phạm thông tin cá nhân qua hai tội danh tại Điều 159 và 288, nhưng chưa quy định rõ yếu tố cấu thành tội phạm liên quan đến mua bán dữ liệu cá nhân.
Chính phủ nhấn mạnh rằng Luật Bảo vệ dữ liệu cá nhân sẽ thống nhất quy định, nâng cao nhận thức của cá nhân, tổ chức, và doanh nghiệp về trách nhiệm bảo vệ dữ liệu. Dự thảo cũng đảm bảo hài hòa với thông lệ quốc tế, như Công ước quốc tế về các quyền dân sự và chính trị (ICCPR) năm 1966 hay các hiệp định thương mại tự do (FTA) mà Việt Nam tham gia. Luật sẽ tạo nền tảng pháp lý để phát triển kinh tế số, chính phủ số, đồng thời bảo vệ quyền con người và an ninh mạng, đáp ứng yêu cầu hội nhập và phát triển bền vững.
Xây dựng hành lang pháp lý toàn diện
Dự thảo Luật Bảo vệ dữ liệu cá nhân gồm 7 chương, 68 điều, áp dụng cho cơ quan, tổ chức, cá nhân trong và ngoài nước tham gia xử lý dữ liệu tại Việt Nam. Dự thảo xác lập các nội dung cốt lõi để đảm bảo tính đồng bộ và khả thi. Trước hết, Luật thống nhất khái niệm dữ liệu cá nhân, phân biệt dữ liệu cơ bản, nhạy cảm, và phi cá nhân, đồng thời làm rõ các hoạt động xử lý dữ liệu và vai trò của các bên. Dự thảo đề xuất bảy nguyên tắc bảo vệ dữ liệu, như hợp pháp, minh bạch, và giới hạn thời gian lưu trữ, nhằm đảm bảo dữ liệu được sử dụng đúng mục đích và an toàn.
Dự thảo quy định 11 quyền và 3 nghĩa vụ của chủ thể dữ liệu, giúp công dân tự bảo vệ và yêu cầu bồi thường khi bị xâm phạm. Luật cũng đặt điều kiện cho tổ chức kinh doanh dịch vụ xử lý dữ liệu, yêu cầu chứng nhận năng lực và xếp hạng tín nhiệm. Thay vì cơ chế “tiền kiểm” phức tạp, dự thảo áp dụng “hậu kiểm”, yêu cầu tổ chức tự lập hồ sơ đánh giá tác động xử lý và chuyển dữ liệu ra nước ngoài, do Bộ Công an kiểm tra tính tuân thủ. Dự thảo cũng hoàn thiện biện pháp bảo vệ dữ liệu, quy định về cơ quan chuyên trách, Cổng thông tin quốc gia về bảo vệ dữ liệu, và điều kiện kinh doanh dịch vụ dữ liệu.
Về quản lý nhà nước, Chính phủ thống nhất phân công Bộ Công an làm đầu mối, phối hợp với các bộ, ngành, trừ phạm vi của Bộ Quốc phòng. Dự thảo đảm bảo tương thích với các điều ước quốc tế và FTA, tạo điều kiện cho doanh nghiệp trong và ngoài nước hoạt động. Luật cũng ứng phó với rủi ro từ công nghệ mới như trí tuệ nhân tạo, blockchain, và vũ trụ ảo, nơi dữ liệu cá nhân dễ bị lộ do tính phi tập trung hoặc thu thập tự động.
Chính phủ khẳng định luật không làm tăng biên chế, tận dụng nhân lực hiện có tại các cơ quan. Sau khi được thông qua, Nhà nước sẽ đầu tư kinh phí cho tuyên truyền, tập huấn, mua sắm thiết bị, và xây dựng tài liệu hướng dẫn. Dự thảo được xây dựng từ năm 2019, trải qua nhiều giai đoạn lấy ý kiến từ các bộ, ngành, địa phương, và nhân dân. Chính phủ đề nghị Quốc hội thông qua tại Kỳ họp thứ 9 (tháng 5/2025), khẳng định đây là bước đi thận trọng để bảo vệ quyền con người và thúc đẩy kinh tế số.
