Xây dựng cơ chế kiểm soát dữ liệu xuyên biên giới

Các đại biểu tham dự Hội nghị. Ảnh:VPQH

Chưa quy định xử phạt vi phạm hành chính trong lĩnh vực "bảo vệ dữ liệu cá nhân"

Chiều 26/3, tại Hội nghị đại biểu Quốc hội hoạt động chuyên trách lần thứ 7, nhiệm kỳ khóa XV, các đại biểu Quốc hội đã thảo luận về Dự thảo Luật Bảo vệ dữ liệu cá nhân.

Phát biểu tại Hội nghị, đại biểu Dương Khắc Mai (Đoàn ĐBQH tỉnh Đắk Nông) chỉ rõ, về tính thống nhất với Luật Xử lý vi phạm hành chính, khoản 2 Điều 4 của Dự thảo Luật Bảo vệ dữ liệu cá nhân quy định "áp dụng xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân. Chính phủ quy định chi tiết quy định cụ thể về mức phạt, khung tiền phạt đối với từng hành vi vi phạm hành chính".

Theo đại biểu Dương Khắc Mai, Luật Xử lý vi phạm hành chính hiện hành chưa quy định về xử phạt vi phạm hành chính trong lĩnh vực "bảo vệ dữ liệu cá nhân". Vì vậy, để có cơ sở giao Chính phủ quy định cụ thể mức phạt, khung tiền phạt đối với từng hành vi vi phạm trong lĩnh vực này, đồng thời bảo đảm tính thống nhất của hệ thống pháp luật thì cần bổ sung vào Dự thảo Luật việc sửa đổi, bổ sung quy định tại khoản 3 Điều 24 của Luật Xử lý vi phạm hành chính theo hướng mức phạt tiền tối đa trong lĩnh vực "bảo vệ dữ liệu cá nhân" sẽ được thực hiện theo quy định của luật tương ứng.

Đại biểu Quốc hội Nguyễn Trường Giang thảo luận tại Hội nghị. Ảnh: VPQH

Bên cạnh đó, đại biểu đề nghị Cơ quan chủ trì soạn thảo nghiên cứu về thời hiệu xử phạt trong lĩnh vực này có cần quy định thời hiệu riêng hay áp dụng thời hiệu chung là 1 năm; trường hợp cần quy định thời hiệu riêng thì phải sửa quy định tại khoản 1 Điều 6 của Luật Xử lý vi phạm hành chính.

Cùng quan tâm đến quy định này, đại biểu Nguyễn Trường Giang - Phó Chủ nhiệm Ủy ban Pháp luật và Tư pháp - cho rằng, Dự thảo Luật có quy định áp dụng mức xử phạt hành chính từ 1% đến 5% doanh thu năm liền kề của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân là không khả thi và không thống nhất với quan điểm về xử phạt vi phạm hành chính của hệ thống pháp luật Việt Nam.

Đại biểu phân tích, hiện nay về cơ bản, xử phạt vi phạm hành chính là theo hành vi và được quy định rất cụ thể ở Điều 23 và Điều 24 của Luật Xử lý vi phạm hành chính. Tuy nhiên, lĩnh vực về bảo vệ dữ liệu cá nhân hiện nay chưa có mức phạt tối đa, do đó cần có mức phạt tối đa cho lĩnh vực này.

Bên cạnh đó, từ thực tế khảo sát tại một số doanh nghiệp, đại biểu Nguyễn Trường Giang đề nghị cần bóc tách, căn cứ vào các hành vi vi phạm cụ thể trong vi phạm hành chính. Đối với một số loại hành vi mang tính phổ biến thì căn cứ vào hành vi để xử phạt, còn đối với những hành vi mang tính vì lợi ích trước mắt của doanh nghiệp thì phải căn cứ vào thu lợi bất chính để xử lý. “Đánh vào kinh tế thì hiệu quả hơn chứ không nên đánh đồng theo quy định như Dự thảo Luật” – đại biểu nói.

Đảm bảo dữ liệu công dân không bị khai thác trái phép

Phát biểu tại Hội nghị, đại biểu Thạch Phước Bình (Đoàn ĐBQH tỉnh Trà Vinh) cho rằng, cần làm rõ phạm vi điều chỉnh đối với dữ liệu xuyên biên giới. Hiện nay, Dự thảo Luật chưa quy định rõ về việc quản lý dữ liệu cá nhân của công dân Việt Nam khi dữ liệu này được lưu trữ, xử lý hoặc chia sẻ với các tổ chức, cá nhân ở nước ngoài. Điều này đặt ra một số thách thức như thiếu kiểm soát đối với dữ liệu cá nhân của công dân Việt Nam.

"Nhiều công ty công nghệ lớn như Google, Facebook, TikTok lưu trữ dữ liệu người dùng trên các máy chủ đặt ngoài Việt Nam. Nếu không có cơ chế giám sát rõ ràng, nguy cơ dữ liệu bị sử dụng sai mục đích hoặc bị xâm phạm là rất lớn" - đại biểu Thạch Phước Bình thông tin.

Đại biểu Quốc hội Thạch Phước Bình thảo luận tại Hội nghị. Ảnh: VPQH

Mặt khác, việc thiếu cơ chế giám sát gây khó khăn trong thực thi luật pháp. Nếu không có quy định về việc áp dụng luật Việt Nam đối với các tổ chức xử lý dữ liệu nước ngoài, việc yêu cầu xóa dữ liệu, ngăn chặn hành vi vi phạm hoặc xử lý tranh chấp sẽ gặp nhiều trở ngại.

Cũng theo đại biểu Thạch Phước Bình , các quốc gia như EU hay Trung Quốc đều có cơ chế kiểm soát dữ liệu xuyên biên giới nghiêm ngặt. Việt Nam cần có các quy định tương tự để đảm bảo dữ liệu công dân không bị khai thác trái phép. Theo đó, cần quy định rõ ràng về phạm vi điều chỉnh của Luật đối với dữ liệu cá nhân được lưu trữ ở nước ngoài; yêu cầu các tổ chức nước ngoài xử lý dữ liệu công dân Việt Nam phải tuân thủ quy định của pháp luật Việt Nam. Đồng thời, xây dựng cơ chế kiểm soát dữ liệu xuyên biên giới, bao gồm yêu cầu lưu trữ dữ liệu quan trọng trong lãnh thổ Việt Nam hoặc quy trình đánh giá rủi ro trước khi chuyển dữ liệu ra nước ngoài.

Đại biểu Thạch Phước Bình cũng băn khoăn khi sự phát triển nhanh chóng của blockchain, trí tuệ nhân tạo (AI), metaverse đặt ra nhiều thách thức trong việc bảo vệ dữ liệu cá nhân. Tuy nhiên, Dự thảo Luật chưa đề cập cụ thể đến việc quản lý dữ liệu trong các mô hình này. Đại biểu kiến nghị tăng cường bảo vệ dữ liệu trong metaverse.

Bên cạnh đó, đại biểu đề nghị cần có quy định về xử phạt nghiêm minh. Mặc dù Dự thảo Luật có đề cập đến việc xử phạt vi phạm liên quan đến bảo vệ dữ liệu cá nhân, nhưng chưa quy định chi tiết mức phạt và hình thức xử lý vi phạm.

Đại biểu kiến nghị tăng mức xử phạt tài chính có thể lên đến 4% doanh thu toàn cầu của công ty vi phạm. Cùng với đó, bổ sung trách nhiệm hình sự: các hành vi như đánh cắp, mua bán dữ liệu cá nhân nên bị xử lý hình sự với mức án tù cụ thể. Bên cạnh đó, cần xây dựng cơ quan độc lập có chức năng giám sát thực thi Luật Bảo vệ dữ liệu, tương tự Cơ quan Bảo vệ Dữ liệu của EU (EDPB).

Đ. KHOA