Chiều 26/3, tại Hội nghị đại biểu Quốc hội hoạt động chuyên trách lần thứ 7, nhiệm kỳ khoá XV, các đại biểu Quốc hội đã thảo luận về Dự thảo Luật Bảo vệ dữ liệu cá nhân.
Chưa quy định xử phạt vi phạm hành chính "bảo vệ dữ liệu cá nhân"
Nhận xét về tính thống nhất của Dự thảo Luật với hệ thống pháp luật, đại biểu Quốc hội Dương Khắc Mai (Đoàn đại biểu Quốc hội tỉnh Đắk Nông) cho hay, về tính thống nhất với Luật Xử lý vi phạm hành chính, Khoản 2 Điều 4 của Dự thảo Luật Bảo vệ dữ liệu cá nhân quy định "áp dụng xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân. Chính phủ quy định chi tiết quy định cụ thể về mức phạt, khung tiền phạt đối với từng hành vi vi phạm hành chính".
Qua nghiên cứu, đại biểu Dương Khắc Mai cho rằng, Luật Xử lý vi phạm hành chính hiện hành chưa quy định về xử phạt vi phạm hành chính trong lĩnh vực "bảo vệ dữ liệu cá nhân". Vì vậy, để có cơ sở giao Chính phủ quy định cụ thể mức phạt, khung tiền phạt đối với từng hành vi vi phạm trong lĩnh vực này, đồng thời bảo đảm tính thống nhất của hệ thống pháp luật thì cần bổ sung vào Dự thảo Luật việc sửa đổi, bổ sung quy định tại khoản 3 Điều 24 của Luật Xử lý vi phạm hành chính, theo hướng mức phạt tiền tối đa trong lĩnh vực "bảo vệ dữ liệu cá nhân" sẽ được thực hiện theo quy định của luật tương ứng.
Bên cạnh đó, đại biểu đề nghị Cơ quan chủ trì soạn thảo nghiên cứu về thời hiệu xử phạt trong lĩnh vực này có cần quy định thời hiệu riêng hay áp dụng thời hiệu chung là 1 năm; trường hợp cần quy định thời hiệu riêng thì phải sửa quy định tại khoản 1 Điều 6 của Luật Xử lý vi phạm hành chính.
Về tính thống nhất với Luật Trẻ em và Bộ luật Dân sự, đại biểu Dương Khắc Mai cho biết, khoản 4 Điều 23 của Dự thảo Luật quy định "Đối với xử lý dữ liệu cá nhân của trẻ em từ 7 tuổi đến dưới 15 tuổi, cần có sự đồng ý của trẻ em và của người đại diện theo pháp luật. Trường hợp có mâu thuẫn về sự đồng ý của trẻ em từ 6 tuổi đến dưới 15 tuổi với người đại diện theo pháp luật thì ưu tiên sự đồng ý của trẻ em".
Theo quy định của tại Điều 1 của Luật Trẻ em thì "trẻ em là người dưới 16 tuổi"; đồng thời khoản 11 Điều 6 nghiêm cấm "công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em mà không được sự đồng ý của trẻ em từ đủ 7 tuổi trở lên và của cha, mẹ, người giám hộ của trẻ em".
Bên cạnh đó, theo quy định tại khoản 3 Điều 21 của Bộ luật Dân sự thì "người từ đủ 15 tuổi đến chưa đủ 18 tuổi tự mình xác lập, thực hiện giao dịch dân sự, trừ giao dịch dân sự liên quan đến bất động sản, động sản phải đăng ký và giao dịch dân sự khác theo quy định của luật phải được người đại diện theo pháp luật đồng ý".
Theo đại biểu Dương Khắc Mai, quy định nêu trên của Dự thảo Luật là không thống nhất với quy định của Luật Trẻ em. Thứ nhất là về độ tuổi, theo quy định của Luật Trẻ em thì với trẻ từ đủ 15 tuổi đến dưới 16 tuổi, việc công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em phải có sự đồng ý của trẻ em và của cha, mẹ, người giám hộ của trẻ em. Theo quy định của Dự thảo Luật Bảo vệ dữ liệu cá nhân, trường hợp này không cần sự đồng ý của trẻ em, cha, mẹ, người giám hộ; thứ hai là chưa thống nhất về phạm vi người đại diện cho trẻ em, vì người đại diện theo pháp luật ngoài cha, mẹ, người giám hộ còn có thêm người đại diện do Tòa án chỉ định (Điều 136 của Bộ luật Dân sự).
Vì vậy, để bảo đảm thống nhất với quy định của Luật Trẻ em và Bộ luật Dân sự, đại biểu đề nghị chỉnh lý lại quy định nêu trên của Dự thảo Luật theo hướng việc xử lý dữ liệu cá nhân của trẻ em phải được sự đồng ý của trẻ em và cha, mẹ hoặc người giám hộ trong các trường hợp: Trẻ em từ đủ 7 tuổi đến dưới 15 tuổi; Trẻ em từ đủ 15 tuổi đến dưới 16 tuổi đối với dữ liệu về đời sống riêng tư, bí mật cá nhân của trẻ em...
Hành vi tặng, cho dữ liệu cá nhân có bị cấm?
Về các hành vi bị cấm (Điều 7), tại khoản 5 Điều 7 của Dự thảo Luật quy định nghiêm cấm "Mua, bán dữ liệu cá nhân", đại biểu Dương Khắc Mai đề nghị làm rõ, cấm mua bán dữ liệu thì có cấm hành vi tặng, cho hay không?
Dữ liệu mà tổ chức, doanh nghiệp thu thập được của chủ thể dữ liệu cá nhân là dữ liệu đã được xử lý. Theo quy định tại khoản 8 Điều 2 thì "Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, tiết lộ, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan".
Do đó, lúc này dữ liệu do doanh nghiệp, tổ chức thu thập là tập hợp của dữ liệu của nhiều chủ thể dữ liệu cá nhân và chi phí của doanh nghiệp, tổ chức cho hoạt động xử lý dữ liệu cá nhân. Vì vậy, đại biểu cho rằng, việc cấm mua, bán dữ liệu cá nhân cần được cân nhắc.
Về xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết (Điều 22), đại biểu Dương Khắc Mai đề nghị xem lại quy định tại Điều 22 của Dự thảo Luật: "việc xử lý dữ liệu cá nhân liên quan đến dữ liệu cá nhân của người bị tuyên bố mất tích, người đã chết được thực hiện theo quy định tại Điều 25 Bộ luật Dân sự" vì quy định như vậy là chưa rõ.
Điều 25 của Bộ luật Dân sự quy định về quyền nhân thân, trong đó có việc xác lập, thực hiện quan hệ dân sự liên quan đến quyền nhân thân của người bị tuyên bố mất tích, người đã chết; đồng thời, chưa rõ trường hợp không xác định được không có vợ, chồng, con thành niên, cha, mẹ của người bị tuyên bố mất tích, người đã chết thì việc xử lý dữ liệu như thế nào? Đại biểu Dương Khắc Mai đề nghị nghiên cứu kế thừa quy định tại Điều 19 của Nghị định số 13/2023/NĐ-CP.
Chưa có cơ chế bảo vệ dữ liệu trong các mô hình công nghệ mới
Phát biểu tại hội nghị, đại biểu Quốc hội Thạch Phước Bình - Phó Trưởng đoàn chuyên trách Đoàn đại biểu Quốc hội tỉnh Trà Vinh cho rằng, cần làm rõ phạm vi điều chỉnh đối với dữ liệu xuyên biên giới. Hiện nay, Dự thảo Luật chưa quy định rõ về việc quản lý dữ liệu cá nhân của công dân Việt Nam khi dữ liệu này được lưu trữ, xử lý hoặc chia sẻ với các tổ chức, cá nhân ở nước ngoài. Điều này đặt ra một số thách thức như: Thiếu kiểm soát đối với dữ liệu cá nhân của công dân Việt Nam.
"Nhiều công ty công nghệ lớn như Google, Facebook, TikTok lưu trữ dữ liệu người dùng trên các máy chủ đặt ngoài Việt Nam. Nếu không có cơ chế giám sát rõ ràng, nguy cơ dữ liệu bị sử dụng sai mục đích hoặc bị xâm phạm là rất lớn" - đại biểu Thạch Phước Bình thông tin.
Ngoài ra, theo đại biểu Thạch Phước Bình , việc này gây khó khăn trong thực thi luật pháp. Nếu không có quy định về việc áp dụng luật Việt Nam đối với các tổ chức xử lý dữ liệu nước ngoài, việc yêu cầu xóa dữ liệu, ngăn chặn hành vi vi phạm hoặc xử lý tranh chấp sẽ gặp nhiều trở ngại.
Cũng theo đại biểu Thạch Phước Bình , các quốc gia như EU (theo GDPR) hay Trung Quốc (theo PIPL) đều có cơ chế kiểm soát dữ liệu xuyên biên giới nghiêm ngặt. Việt Nam cần có các quy định tương tự để đảm bảo dữ liệu công dân không bị khai thác trái phép.
Từ đó, đại biểu này kiến nghị quy định rõ ràng về phạm vi điều chỉnh của Luật đối với dữ liệu cá nhân được lưu trữ ở nước ngoài. Yêu cầu các tổ chức nước ngoài xử lý dữ liệu công dân Việt Nam phải tuân thủ quy định của pháp luật Việt Nam, tương tự như cách GDPR yêu cầu các công ty ngoài EU tuân thủ luật bảo vệ dữ liệu của họ. Đồng thời, xây dựng cơ chế kiểm soát dữ liệu xuyên biên giới, bao gồm yêu cầu lưu trữ dữ liệu quan trọng trong lãnh thổ Việt Nam hoặc quy trình đánh giá rủi ro trước khi chuyển dữ liệu ra nước ngoài.
Theo đại biểu Thạch Phước Bình, Dự thảo Luật hiện nay chưa định nghĩa rõ ràng về "Bên kiểm soát dữ liệu" và "Bên xử lý dữ liệu", dẫn đến khó khăn trong việc phân định trách nhiệm giữa các tổ chức, cá nhân liên quan. Nếu không có quy định cụ thể, một doanh nghiệp thu thập dữ liệu mang giao cho bên thứ 3 xử lý có thể né tránh trách nhiệm khi có vi phạm.
Vì vậy, đại biểu Thạch Phước Bình kiến nghị trong Dự thảo Luật phải định nghĩa rõ ràng: "Bên kiểm soát dữ liệu" là tổ chức/cá nhân quyết định mục đích và phương pháp xử lý dữ liệu cá nhân; "Bên xử lý dữ liệu" là tổ chức/cá nhân thay mặt bên kiểm soát dữ liệu để xử lý dữ liệu theo hợp đồng hoặc thỏa thuận.
Cần xác định trách nhiệm cụ thể: Bên kiểm soát dữ liệu phải chịu trách nhiệm chính về bảo vệ dữ liệu cá nhân. Bên xử lý dữ liệu có trách nhiệm bảo đảm an toàn và tuân thủ quy định pháp luật khi xử lý dữ liệu. Các tổ chức cần có hợp đồng rõ ràng giữa bên kiểm soát và bên xử lý để tránh tranh chấp pháp lý.
Một vấn đề nữa, theo đại biểu, đó là chưa có cơ chế bảo vệ dữ liệu trong các mô hình công nghệ mới. Sự phát triển nhanh chóng của blockchain, trí tuệ nhân tạo (AI), metaverse đặt ra nhiều thách thức trong việc bảo vệ dữ liệu cá nhân. Tuy nhiên, Dự thảo Luật chưa đề cập cụ thể đến việc quản lý dữ liệu trong các mô hình này.
Từ đó, đại biểu Thạch Phước Bình kiến nghị tăng cường bảo vệ dữ liệu trong metaverse. Các nền tảng VR/AR phải tuân thủ quy định bảo vệ dữ liệu cá nhân, đặc biệt là dữ liệu sinh trắc học.
Đại biểu Thạch Phước Bình cũng cho rằng, cần có quy định về xử phạt nghiêm minh. Mặc dù Dự thảo Luật có đề cập đến việc xử phạt vi phạm liên quan đến bảo vệ dữ liệu cá nhân, nhưng chưa quy định chi tiết mức phạt và hình thức xử lý vi phạm.
Theo đại biểu, mức phạt chưa đủ sức răn đe. Nếu mức phạt hành chính quá thấp, các doanh nghiệp có thể sẵn sàng trả tiền phạt thay vì đầu tư vào bảo vệ dữ liệu. Trong các trường hợp nghiêm trọng như đánh cắp, buôn bán dữ liệu cá nhân, cần có chế tài mạnh hơn như truy cứu trách nhiệm hình sự. Ngoài ra, nếu không có hệ thống thanh tra và kiểm tra định kỳ, các quy định có thể không được thực thí hiệu quả.
Ngoài ra, đại biểu Thạch Phước Bình kiến nghị tăng mức xử phạt tài chính, trong đó nên tham khảo mô hình của GDPR, quy định mức phạt có thể lên đến 4% doanh thu toàn cầu của công ty vi phạm. Cùng đó, bổ sung trách nhiệm hình sự: các hành vi như đánh cắp, mua bán dữ liệu cá nhân nên bị xử lý hình sự với mức án tù cụ thể. Bên canh đó, cần xây dựng cơ quan giám sát chuyên trách. Một cơ quan độc lập có chức năng giám sát thực thi luật bảo vệ dữ liệu, tương tự Cơ quan Bảo vệ Dữ liệu của EU (EDPB).
