Việt Nam xây dựng Luật Bảo vệ dữ liệu cá nhân: Google, Meta khuyến cáo gì?

Việc sử dụng dữ liệu cá nhân đúng pháp luật để phục vụ phát triển kinh tế xã hội và đổi mới sáng tạo là chủ đề được các doanh nghiệp, trong đó có Google và Meta quan tâm đóng góp ý kiến tại Hội thảo xây dựng chính sách bảo vệ dữ liệu cá nhân.

Hội thảo xây dựng chính sách bảo vệ dữ liệu cá nhân diễn ra tại Hà Nội ngày 5/6

Hội thảo xây dựng chính sách bảo vệ dữ liệu cá nhân diễn ra tại Hà Nội ngày 5/6

“Để xây dựng Luật Bảo vệ dữ liệu cá nhân rất cần có một phiên tham vấn tập thể như thế này để đảm bảo mọi tiếng nói đều được lắng nghe. Chúng tôi rất cảm ơn ban tổ chức đã trao cơ hội đóng góp ý kiến” – Ông Kyle Gardner, đại diện của Google chia sẻ tại Hội thảo xây dựng chính sách bảo vệ dữ liệu cá nhân diễn ra ngày 5/6.

Trong bối cảnh Việt Nam đang có tốc độ phát triển và ứng dụng Internet thuộc nhóm cao nhất thế giới, dữ liệu cá nhân đang trở thành tài sản và nguồn tài nguyên quan trọng. Điều này không chỉ đặt ra yêu cầu phòng chống tội phạm chiếm đoạt dữ liệu cá nhân cho mục đích xấu, mà còn phải đẩy mạnh việc sử dụng dữ liệu cá nhân đúng pháp luật để phục vụ phát triển kinh tế xã hội.

Từ những yêu cầu cấp bách, Bộ Công an đã tham mưu Chính phủ, Quốc hội xây dựng Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân với 4 chương và 44 điều. Tuy nhiên, hệ thống pháp luật về bảo vệ dữ liệu cá nhân của Việt Nam vẫn chưa hoàn thiện.

Nghị định 13 mới chỉ đặt ra một số vấn đề nguyên tắc và vẫn còn còn một số bất cập trong quản lý nhà nước về bảo vệ dữ liệu cá nhân. Đặc biệt, việc sử dụng dữ liệu cá nhân đúng pháp luật để phục vụ phát triển kinh tế xã hội và đổi mới sáng tạo là chủ đề được các doanh nghiệp, trong đó có Google và Meta, quan tâm đóng góp ý kiến tại Hội thảo xây dựng chính sách bảo vệ dữ liệu cá nhân.

Đại diện Google, Meta nêu khuyến nghị

Phát biểu tại Hội thảo xây dựng chính sách bảo vệ dữ liệu cá nhân, các đại diện của Google, Meta cùng chung quan điểm rằng Nghị định 13 hiện nay là cơ chế ưu tiên đồng ý của chủ thể dữ liệu. Trong khi đó, Nghị định 13 nêu rất ít trường hợp ngoại lệ và chưa có cơ sở để áp dụng lợi ích chính đáng vào thực tiễn. Điều này gây ảnh hưởng đến việc sử dụng dữ liệu trong đổi mới sáng tạo, thúc đẩy kinh tế xã hội.

Ông Kyle Gardner, Quản lý Quan hệ chính phủ và Chính sách Công khu vực châu Á - Thái Bình Dương của Google

Ông Kyle Gardner, Quản lý Quan hệ chính phủ và Chính sách Công khu vực châu Á - Thái Bình Dương của Google

Các ý kiến đóng góp xoay quanh câu hỏi: Trong mọi trường hợp, có phải lúc nào chúng ta cũng cần phải có sự đồng ý của chủ thể dữ liệu hay không? Cần phải coi các lợi ích chính đáng là căn cứ để xử lý dữ liệu cá nhân và không phải lúc nào cũng phải quay lại xin phép sự đồng ý của chủ thể.

Quản lý Quan hệ chính phủ và Chính sách Công khu vực châu Á - Thái Bình Dương của Google, ông Kyle Gardner cho biết: “Chúng tôi đề xuất sử dụng các lợi ích hợp pháp như một cơ chế bổ sung ngoài sự đồng ý. Điều này đảm bảo tính linh hoạt cho đổi mới sáng tạo và cũng đang được áp dụng trong Quy định về bảo vệ dữ liệu cá nhân (GDPR) của Nghị viện châu Âu”.

Bên cạnh đó, đại diện của Google còn đưa ra các khuyến nghị như điều chỉnh các định nghĩa để đảm bảo sự rõ ràng cho các doanh nghiệp đang hoạt động tại Việt Nam, có các quy định về chuyển dữ liệu xuyên biên giới phù hợp với tiêu chuẩn quốc tế, giới hạn các trường hợp phải lập hồ sơ và báo cáo tác động xử lý dữ liệu cá nhân…

“Điều quan trọng là các quy định không hàm chứa quá nhiều tính áp đặt, để có thể dễ dàng áp dụng ở cấp độ đa quốc gia. Nó sẽ rất hữu ích nếu như Việt Nam áp dụng các khuôn khổ mang tính tương tác như quy tắc bảo mật xuyên biên giới của APEC hoặc các điều khoản hợp đồng mẫu của ASEAN” - Ông Kyle Gardner nêu khuyến nghị.

Bà Raina Yeung, Giám đốc Chính sách dữ liệu và Quyền riêng tư khu vực châu Á - Thái Bình Dương

Bà Raina Yeung, Giám đốc Chính sách dữ liệu và Quyền riêng tư khu vực châu Á - Thái Bình Dương

Về phía đại diện của Meta, Giám đốc Chính sách dữ liệu và Quyền riêng tư khu vực châu Á - Thái Bình Dương, bà Raina Yeung chỉ ra nguy cơ kẻ xấu có thể không đồng thuận cung cấp dữ liệu cá nhân cho các tổ chức thực hiện hoạt động ngăn chặn, ví dụ như để rửa tiền.

Ngoài ra, công nghệ AI đang phát triển rất nhanh chóng và đem lại lợi ích lớn cho xã hội. Các mô hình ngôn ngữ lớn và không thiên lệch đòi hỏi có những bộ dữ liệu rất lớn, đa dạng. Đây là bước cơ bản để tạo ra lợi ích của AI tạo sinh.

Bà Raina Yeung chỉ ra thực tế, Liên minh châu Âu và Vương quốc Anh đã có những cơ sở pháp lý để các nhà phát triển AI có thể dựa vào lợi ích chính đáng thay thế cho đồng thuận của chủ thể dữ liệu nhằm sử dụng dữ liệu cá nhân cho việc huấn luyện các mô hình dữ liệu lớn. Đại diện của Meta cho rằng đây là điểm đáng lưu ý, nếu Việt Nam muốn trở thành cường quốc AI.

“Nếu không có cơ sở pháp lý là lợi ích chính đáng, thì các nhà phát triển AI có thể phải đi xin đồng thuận của các cá nhân trong việc sử dụng dữ liệu. Điều này là hạn chế lớn cho sự phát triển của AI” – Bà Raina Yeung nêu quan điểm.

Đại diện của Meta nói thêm: “Sự đồng thuận không nên là cơ chế mặc định cho tất cả các trường hợp xử lý dữ liệu. Đây nên là một trong số các cách tiếp cận để đảm bảo sự cân bằng giữa các chủ thể xử lý dữ liệu và chủ thể dữ liệu. Điều kiện là các chủ thể xử lý dữ liệu phải minh bạch, được huấn luyện và kiểm soát”.

Bổ sung góc nhìn của đại diện Google, Meta

Khuyến nghị bổ sung “lợi ích chính đáng” làm căn cứ xử lý dữ liệu cá nhân bên cạnh “sự đồng thuận của chủ thể” mà đại diện Google và Meta nêu ra, được làm rõ hơn qua ví dụ từ thực tiễn ở Việt Nam trong tham luận của đại diện Baker McKenzie tại Hội thảo xây dựng chính sách bảo vệ dữ liệu cá nhân.

Ông Trần Mạnh Hùng, Đồng Chủ tịch khu vực châu Á - Thái Bình Dương, phụ trách Baker McKenzie châu Á - Thái Bình Dương

Ông Trần Mạnh Hùng, Đồng Chủ tịch khu vực châu Á - Thái Bình Dương, phụ trách Baker McKenzie châu Á - Thái Bình Dương

Đồng Chủ tịch khu vực châu Á - Thái Bình Dương, phụ trách Baker McKenzie châu Á - Thái Bình Dương, ông Trần Mạnh Hùng cho hay: “Từ góc độ pháp lý, theo pháp luật phòng chống rửa tiền hiện hành, chỉ một số đối tượng nhất định hoạt động trong lĩnh vực tài chính ngân hàng hoặc đối tượng đặc thù mới phải làm KYC - nghĩa là các giao dịch tiền mặt trên 400 triệu đồng phải xác minh hoặc báo cáo ngân hàng nhà nước.

Vậy nếu, người ta mua cái đồng hồ 1 tỷ đồng, thì căn cứ pháp lý nào để KYC? Chẳng lẽ lại xin sự đồng ý từ chủ thể, anh cho phép tôi kiểm tra xem anh là ai, từ đâu đến, nguồn tiền này từ đâu tới? Đây là một bất cập”.

Ông Trần Mạnh Hùng đề xuất: “Ngoài đồng thuận của chủ thể dữ liệu ra, thì trong tương lai khi xây dựng luật Bảo vệ dữ liệu cá nhân thì nên đưa ra một cơ sở pháp lý mới gọi là “lợi ích chính đáng” để bên kiểm soát dữ liệu có thể thực hiện việc xử lý dữ liệu mà không cần đến sự đồng ý của chủ thế dữ liệu”.

Tuy nhiên, ông Trần Mạnh Hùng nhấn mạnh rằng cơ quan có thẩm quyền cần kiểm soát để “bên kiểm soát dữ liệu không lạm dụng để làm tổn hại đến quyền của chủ thể dữ liệu cá nhân”. Thực tế, GDPR cũng đã bổ sung quy định rằng bên kiểm soát không được can thiệp quá mức với các quyền cơ bản của chủ thể dữ liệu. Dẫu vậy, việc xác định thế nào là “can thiệp quá mức” vẫn là bài toán cần thêm lời giải từ các nhà làm luật trong tương lai.

Bên cạnh đó, ông Trần Mạnh Hùng nêu quan ngại về khả năng các cơ quan có thầm quyền bị quá tải còn doanh nghiệp gặp khó, nếu Luật Bảo vệ dữ liệu trong tương lai không có những giới hạn yêu cầu sát với thực tiễn.

“Theo thống kê, Việt Nam có khoảng 1 triệu doanh nghiệp đang hoạt động. Bằng cách này hay cách khác, 1 triệu doanh nghiệp này không chỉ xử lý dữ liệu cá nhân của khách hàng mà còn cả nhân viên của họ. Nếu 1 triệu doanh nghiệp này đều phải làm và nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, thì sẽ là bài toán lớn. Nếu đọc 1 triệu hồ sơ, thì rất khó.

Bởi vậy, chúng tôi đưa ra đề xuất nhằm giảm tải cho các cơ quan có thẩm quyền. Chúng tôi đề xuất, cơ quan soạn thảo cân nhắc chỉ đề ra yêu cầu nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có mức độ rủi ro cao. Xác định rủi ro cao là dựa trên lượng dữ liệu hoặc mức độ nhạy cảm của dữ liệu xử lý. Điều này cũng đã được thể hiện khá rõ trong GDPR” – Ông Trần Mạnh Hùng nói.

Ghi nhận ý kiến đóng góp

Phát biểu bế mạc Hội thảo xây dựng chính sách bảo vệ dữ liệu cá nhân, Trung tướng Nguyễn Minh Chính, Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an, Phó Chủ tịch Thường trực Hiệp hội An ninh mạng quốc gia bày tỏ ghi nhận với những ý kiến đóng góp của các chuyên gia, trong đó có đại diện của Google, Meta, Baker McKenzie.

Trung tướng Nguyễn Minh Chính, Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an, Phó Chủ tịch Thường trực Hiệp hội An ninh mạng quốc gia

Trung tướng Nguyễn Minh Chính, Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an, Phó Chủ tịch Thường trực Hiệp hội An ninh mạng quốc gia

“Việc xây dựng Luật Bảo vệ dữ liệu cá nhân trong điều kiện hiện nay là vô cùng cần thiết. Chúng tôi cũng xác định rằng việc xây dựng Luật Bảo vệ dữ liệu cá nhân nói riêng và xây dựng thể chế nói chung gắn liền với việc ứng dụng công nghệ mới, đi liền với việc đào tạo nguồn nhân lực để nâng cao nhận thức cho người dân và doanh nghiệp tuân thủ pháp luật.

Hội thảo này cho thấy sự quan tâm sâu sắc của các cơ quan quản lý nhà nước, các doanh nghiệp, các chuyên gia với công tác bảo vệ dữ liệu cá nhân và công tác xây dựng chính sách pháp luật để bảo vệ dữ liệu cá nhân tại Việt Nam” - Trung tướng Nguyễn Minh Chính nói.

Trung tướng Nguyễn Minh Chính bày tỏ hy vọng sẽ tiếp tục nhận được những đóng được hiệu quả để xây dựng Luật Bảo vệ dữ liệu cá nhân một cách hoàn chỉnh nhất.

Bảo Long/VOV.VN

Nguồn VOV: https://vov.vn/phap-luat/viet-nam-xay-dung-luat-bao-ve-du-lieu-ca-nhan-google-meta-khuyen-cao-gi-post1099921.vov