Mua bán dữ liệu cá nhân có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm
Kinhtedothi - Sáng 5/6, tại Phiên họp thứ 46, Ủy ban Thường vụ Quốc hội cho ý kiến về việc tiếp thu, giải trình, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân. Trong đó, các ý kiến cho rằng, cần điều chỉnh các hành vi cấm mua, bán dữ liệu cá nhân phù hợp hơn, vừa bảo đảm tính nghiêm minh của pháp luật, vừa có độ mở nhất định cho phát triển kinh tế số.
Báo cáo một số vấn đề lớn giải trình, tiếp thu, chỉnh lý Dự thảo Luật Bảo vệ dữ liệu cá nhân, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại của Quốc hội Lê Tấn Tới cho biết, Dự thảo Luật dự kiến tiếp thu, chỉnh lý gồm 5 chương và 47 điều, giảm 2 chương và 21 điều so với dự thảo Luật do Chính phủ trình.
Về phạm vi điều chỉnh, đối tượng áp dụng (Điều 1), Dự thảo Luật được điều chỉnh để áp dụng đối với mọi cá nhân, cơ quan, tổ chức có liên quan đến xử lý dữ liệu cá nhân, bao gồm cả xử lý dữ liệu cá nhân trên môi trường vật lý, không chỉ môi trường mạng. Đặc biệt, làm rõ đối tượng áp dụng là cơ quan, tổ chức, cá nhân nước ngoài trực tiếp xử lý hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam.
Phó Chủ tịch Quốc hội Trần Quang Phương điều hành nội dung họp. Ảnh: Quochoi.vn
Về quyền và nghĩa vụ của chủ thể dữ liệu (Điều 4), một số ý kiến đề nghị: quy định các quyền cho rõ ràng hơn, phù hợp với thông lệ quốc tế; quy định chặt chẽ để tránh lạm dụng quyền của chủ thể dữ liệu và bổ sung các yêu cầu mà chủ thể dữ liệu cần phải tuân thủ khi thực hiện quyền của mình; cân nhắc thời gian thực hiện các quyền của chủ thể dữ liệu trong 72 giờ.
Thường trực Ủy ban Quốc phòng, An ninh và Đối ngoại đã phối hợp với cơ quan soạn thảo thiết kế lại quy định về quyền của chủ thể dữ liệu cho rõ ràng hơn, phù hợp với thông lệ quốc tế. Trong đó, bao gồm: quyền được biết, quyền đồng ý, quyền truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu, quyền rút lại sự đồng ý, quyền yêu cầu hạn chế xử lý, quyền yêu cầu xóa dữ liệu và các quyền khác.
Dự thảo Luật cũng bổ sung quy định khi thực hiện quyền, chủ thể dữ liệu phải có nghĩa vụ tuân thủ các nguyên tắc: đúng pháp luật, không cản trở hoạt động của bên xử lý dữ liệu, không xâm phạm quyền, lợi ích hợp pháp của cơ quan, tổ chức và của người khác. Đồng thời, đưa các quy định về thời hạn thực hiện yêu cầu của chủ thể dữ liệu tại các Điều 8, 16, 17, 18, 34 và Điều 37 về quy định tại Điều 4 theo hướng linh hoạt hơn, yêu cầu thực hiện “kịp thời” theo quy định pháp luật chuyên ngành và giao Chính phủ quy định chi tiết, không quy định cố định 72 giờ như Dự thảo Luật do Chính phủ trình.
Chủ nhiệm Ủy ban Quốc phòng An ninh và Đối ngoại của Quốc hội Lê Tấn Tới báo cáo tại phiên họp. Ảnh: Quochoi.vn
Chủ nhiệm Ủy ban Quốc phòng An ninh và Đối ngoại của Quốc hội Lê Tấn Tới cho biết, Dự thảo Luật dự kiến tiếp thu, chỉnh lý đã tập trung quy định nghiêm cấm các hành vi phổ biến, nguy cơ cao. Theo đó, quy định nghiêm cấm hành vi: xử lý dữ liệu cá nhân nhằm chống Nhà nước; cản trở hoạt động bảo vệ dữ liệu cá nhân; lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật; thu thập, lưu trữ, tiết lộ, chuyển giao dữ liệu cá nhân trái pháp luật; sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái pháp luật; mua, bán dữ liệu cá nhân (trừ trường hợp luật có quy định khác); chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân, cũng là những hành vi bị nghiêm cấm.
Tổ chức, cá nhân có hành vi vi phạm thì tùy theo tính chất, mức độ, hậu quả mà bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường.
Về mức phạt hành chính, Chủ nhiệm Lê Tấn Tới nhấn mạnh, “do tính chất và hậu quả nghiêm trọng của hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, nên cần quy định mức phạt cao hơn để bảo đảm tính răn đe với các doanh nghiệp lớn, đặc biệt là các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng nghìn tỷ đồng”.
Theo đó, Dự thảo Luật quy định theo hướng: với hành vi mua, bán dữ liệu cá nhân, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm. Tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới, thì có thể bị phạt với mức tiền tối đa 5% doanh thu năm liền trước. Còn các hành vi vi phạm khác mức phạt tiền tối đa là 3 tỷ đồng. Cá nhân có cùng hành vi vi phạm thì mức phạt bằng 1/2 mức phạt với tổ chức. Dự thảo Luật giao Chính phủ quy định chi tiết mức phạt, khung tiền phạt và phương pháp tính khoản thu trái pháp luật.
Thứ trưởng Bộ Công an Lê Quốc Hùng phát biểu tại phiên họp. Ảnh: Quochoi.vn
Phát biểu tại phiên họp, nhấn mạnh cần quy định mức phạt cao hơn để đảm bảo tính răn đe, Thượng tướng Lê Quốc Hùng - Thứ trưởng Bộ Công an nói, “nếu phạt quá nhẹ, các doanh nghiệp lớn, xuyên biên giới sẵn sàng vi phạm để chuyển giao dữ liệu cá nhân xuyên biên giới, thu lợi nhuận khổng lồ”. Dẫn kinh nghiệm quốc tế, theo Thứ trưởng Bộ Công an, nhiều quốc gia quy định mức phạt cao trong lĩnh vực này, như EU, Singapore, Indonesia quy định phạt theo phần trăm doanh thu. Mức phạt tiền tối đa dao động từ 4 tỷ đồng đến 584 tỷ đồng.
Thượng tướng Lê Quốc Hùng - Thứ trưởng Bộ Công an cho biết, trong bối cảnh chuyển đổi số ngày càng sâu rộng, phần lớn hoạt động kinh tế - xã hội chuyển dịch lên không gian mạng, dữ liệu cá nhân của con người ngày càng đối mặt với nhiều nguy cơ xâm phạm nên phải ngăn chặn, xử lý vấn đề xâm phạm dữ liệu cá nhân.
Dữ liệu cá nhân gắn liền con người, quyền con người, quyền nhân thân và quyền riêng tư, nên không thể coi là hàng hóa, tài sản thông thường, theo Thứ trưởng Bộ Công an, đây là một loại tài sản đặc biệt, yêu cầu khai thác sử dụng phải đi đôi với bảo vệ ở mức cao nhất, nghiêm ngặt nhất. “Nếu cho phép mua bán dữ liệu cá nhân thì đồng nghĩa với cho phép mua bán quyền con người, quyền định đoạt thông tin cá nhân của người khác” -Thượng tướng Lê Quốc Hùng khẳng định.
Quan điểm cấm mua bán dữ liệu cá nhân, theo Thứ trưởng Bộ Công an, phù hợp với thông lệ quốc tế và quy định của các nước về bảo vệ dữ liệu cá nhân, ưu tiên phát triển đi đôi với bảo vệ quyền lợi.
Lãnh đạo Bộ Công an cũng cho biết, trong các vụ án lừa đảo chiếm đoạt tài sản quy mô lớn mà Bộ đã triệt phá và đang điều tra, yếu tố lộ lọt, mua bán dữ liệu cá nhân là nguyên nhân chính để hình thành nên những “chợ đen” về dữ liệu cá nhân. Đây là vấn đề rất phức tạp hiện nay.
Nguồn thu thập dữ liệu cá nhân trái phép, theo Thứ trưởng Bộ Công an, có thể đến từ hoạt động tấn công chiếm đoạt, chuyển giao trái phép, mua bán dữ liệu cá nhân hoặc sử dụng công nghệ cao để “cào” dữ liệu cá nhân phục vụ mục đích của các loại tội phạm.
Để đảm bảo sự phân định rõ ràng, tránh việc “lách” luật, Thứ trưởng Bộ Công an nhấn mạnh, Dự thảo Luật đã bổ sung các quy về cấm sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái pháp luật.
Quang cảnh phiên họp. Ảnh: Quochoi.vn
Liên quan đến quy định mua, bán dữ liệu cá nhân, trong phiên thảo luận, các ý kiến cho rằng, trừ trường hợp luật có quy định khác tại Điều 7 cần cân nhắc điều chỉnh cho phù hợp, vừa bảo đảm tính nghiêm minh của pháp luật, vừa có độ mở nhất định cho sự phát triển kinh tế số. Thực tiễn cho thấy, dữ liệu được khai thác để tạo ra giá trị thông qua các mô hình hợp pháp, với sự đồng ý của chủ thể dữ liệu. Vì vậy, có thể làm rõ hơn, diễn giải chi tiết hơn về sự khác biệt, các quy định liên quan đến mua, bán trái phép dữ liệu cá nhân và chuyển giao hợp pháp dữ liệu cá nhân để có thể áp dụng luật một cách thống nhất.
Theo Phó Chủ nhiệm Ủy ban Pháp luật và Tư pháp của Quốc hội Nguyễn Trường Giang, quy định mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác tại Điều 7 còn chung chung, chưa dự tính được hết các trường hợp trong giao dịch dân sự. Ví dụ các chủ thể tham gia giao dịch có thể thực hiện các hành vi để lách luật bằng các giao dịch có lợi ích như tạm cho trao đổi, mượn... Vì vậy cần làm rõ hơn quy định này trong Dự thảo Luật.
Bên cạnh đó, Phó Chủ nhiệm Ủy ban Pháp luật và Tư pháp của Quốc hội Nguyễn Trường Giang cho rằng, quy định yêu cầu cơ quan, tổ chức, cá nhân phải thông báo hoặc có hình thức thông tin phù hợp để chủ thể dữ liệu biết rằng mình đang bị ghi âm, ghi hình tại nơi công cộng là không khả thi trong thực tiễn.
Ông dẫn chứng thực tế hiện nay, khi công nghệ số phát triển mạnh mẽ, nhiều loại thiết bị như camera an ninh, camera cá nhân, camera hành trình gắn trên phương tiện giao thông… được sử dụng phổ biến. Việc yêu cầu người ghi âm, ghi hình phải thông báo cho từng cá nhân bị ghi hình trong các tình huống này là không thực tế. “Thay vì yêu cầu thông báo khi ghi âm, ghi hình ở nơi công cộng, điều quan trọng hơn là cần tập trung vào việc quản lý đầu ra của dữ liệu – tức là cách dữ liệu đó được sử dụng, chia sẻ, lưu trữ hay chuyển giao. Đây mới là vấn đề cốt lõi cần kiểm soát chặt chẽ” - Phó Chủ nhiệm Ủy ban Pháp luật và Tư pháp nhấn mạnh.
Phát biểu kết luận nội dung họp, Phó Chủ tịch Quốc hội Trần Quang Phương đề nghị, Thường trực Ủy ban Quốc phòng, An ninh và Đối ngoại chủ trì, phối hợp với cơ quan soạn thảo, các cơ quan liên quan tiếp tục nghiên cứu, rà soát, tiếp thu, chỉnh lý, hoàn thiện dự thảo Luật bảo đảm thể chế đầy đủ quan điểm của Đảng liên quan đến bảo vệ dữ liệu cá nhân, bám sát yêu cầu đổi mới trong xây dựng pháp luật. Đồng thời, bảo đảm tính hợp hiến, hợp pháp, tính thống nhất trong hệ thống pháp luật và bảo đảm tính khả thi khi luật có hiệu lực thi hành, tạo điều kiện để phát triển công cuộc chuyển đổi số quốc gia và giảm chi phí tuân thủ pháp luật hành chính đối với doanh nghiệp và người dân.
Phó Chủ tịch Quốc hội Trần Quang Phương đề nghị, làm rõ quy định mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác tại Điều 7 đã chặt chẽ hay chưa? Quy định khác là quy định gì? Cần thiết kế lại cho dễ hiểu, dễ thực hiện.
