Dự thảo Nghị định về Bảo vệ dữ liệu cá nhân


Giới thiệu  

  • Trong thời đại công nghệ số, bảo vệ dữ liệu cá nhân được quan tâm và cấp thiết hơn bao giờ hết.
  • Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới, số lượng người sử dụng Internet đã đạt hơn 64 triệu người, xếp thứ 13 trên thế giới.
  • Chính phủ có định hướng đẩy mạnh xây dựng Chính phủ điện tử, chính phủ số, nền kinh tế số.

Yêu cầu cơ bản xây dựng Nghị định

Một là dữ liệu cá nhân là đầu vào và giá trị vô tận của kinh tế số.
  • Rất nhiều ngành, lĩnh vực đã, đang và sẽ sử dụng dữ liệu cá nhân gồm: hành chính, y tế, hình sự, hộ tịch, quốc tịch, chứng thực, thương mại điện tử, công nghệ thông tin, truyền thông, trí tuệ nhân tạo, internet vạn vật, điện toán đám mây, dữ liệu lớn.
  • Do vậy, việc các chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân càng trở nên phổ biến.
  • Nhiều thông tin sinh trắc học, lý lịch cá nhân, mối quan hệ, tình trạng sức khỏe, tài chính được đăng tải công khai, trở thành nguồn để các phần mềm thu thập dữ liệu.
  • Sự xuất hiện của dịch vụ mới, sử dụng thông tin người dùng trên không gian mạng, như: thanh toán trực tuyến, trò chơi trực tuyến, kinh doanh tiền ảo, kinh doanh đa cấp… tiềm ẩn nhiều vấn đề an ninh, an toàn. Một vài ví dụ có thể đề cập như việc Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng.
Hai là Việt Nam chưa có văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân.
  • Nhiều nội dung liên quan tới công nghệ thông tin, viễn thông, internet, an toàn thông tin mạng, an ninh mạng, thông tin cá nhân được quy định ở nhiều văn bản khác nhau như Luật Công nghệ thông tin, Luật An toàn thông tin mạng, Nghị định số 52/2013/NĐ-CP. Điều này dẫn tới trùng chéo, không tập trung, khó áp dụng và thực thi.
  • Một số vấn đề mới như buôn bán, sử dụng dữ liệu cá nhân, vấn đề lưu chuyển dữ liệu cá nhân qua biên giới chưa được đề cập. Trong khi đó, thông tin cá nhân theo quy định của pháp luật Việt Nam có nội hàm hẹp hơn so với định nghĩa về dữ liệu cá nhân của Châu Âu (EU’s General Data Protection Regulation (GPDR)).
  • GDPR quy định chi tiết một số quyền của chủ thể thông tin, mở rộng thêm một số quyền cho chủ thể dữ liệu. Trong khi đó, pháp luật Việt Nam chưa quy định cụ thể về các nguyên tắc về tính hợp pháp, mục đích, tối giản, sử dụng hạn chế, chất lượng dữ liệu, an ninh, cá nhân vào bảo mật trong xử lý thông tin cá nhân.
Ba là chế tài xử lý vi phạm về dữ liệu cá nhân còn thiếu hoặc nhẹ, chưa đủ sức răn đe trong khi nhận thức về bảo vệ thông tin cá nhân còn hạn chế.
  • Cụ thể, mức phạt cao nhất vi phạm hành chính mới chỉ là 70.000.000 đồng. Điều này dẫn tới các đối tượng sẵn sàng vi phạm, chấp nhận mức phạt là một phần của chi phí vận hành và tái phạm.
  • Trong lĩnh vực khoa học và công nghệ chưa có quy định riêng về việc bảo vệ dữ liệu, đặc biệt là dữ liệu được tạo ra trong quá trình nghiên cứu khoa học của các tổ chức, cá nhân.

Một số thay đổi đáng chú ý của Nghị đinh

1: Quy định về dữ liệu cá nhân: Các khái niệm mới rõ ràng hơn, mở rộng hơn so trước kia

-Nghị định xây dựng, sửa đổi, thống nhất các quy định của pháp luật về dữ liệu cá nhân, khái niệm về dữ liệu cá nhân, chủ dữ liệu cá nhân, quyền cơ bản của chủ dữ liệu cá nhân.

  • Dữ liệu cá nhân là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể.
  • Dữ liệu cá nhân cơ bản gồm: Họ, chữ đệm và tên khai sinh, bí danh (nếu có); Ngày, tháng, năm sinh, năm chết hoặc mất tích; Nhóm máu, giới tính; Nơi sinh, nơi thường trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, địa chỉ thư điện tử; Trình độ học vấn; Dân tộc; Quốc tịch; Số điện thoại; Số chứng minh nhân dân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội; Tình trạng hôn nhân; Hoạt động hoặc lịch sử hoạt động trên không gian mạng.

Như vậy ở điểm này, dự thảo mở rộng so với danh sách trong Nghị định 52 về Thương mại điện tử và Nghị định 72 về Dịch vụ Internet và Thông tin Trực tuyến. 

  • Dữ liệu cá nhân nhạy cảm được bổ sung. Cụ thể đó là về quan điểm ​​chính trị, tôn giáo; về tình trạng sức khỏe; về di truyền; về sinh trắc học; về đời sống, xu hướng tình dục; về tội phạm, hành vi phạm; về tài chính; về vị trí địa lý thực tế của cá nhân ở quá khứ và hiện tại; về các mối quan hệ xã hội; Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
  • Quyền của chủ thể dữ liệu liên quan đến xử lý dữ liệu cá nhân: Đồng ý hoặc không đồng ý cho Bên xử lý dữ liệu cá nhân, Bên thứ ba xử lý dữ liệu cá nhân của mình; Nhận thông báo của Bên xử lý dữ liệu cá nhân tại thời điểm xử lý hoặc ngay khi có thể thực hiện được; Yêu cầu Bên xử lý dữ liệu cá nhân chỉnh sửa, xem, cung cấp bản sao dữ liệu cá nhân của mình; Yêu cầu Bên xử lý dữ liệu cá nhân chấm dứt việc xử lý dữ liệu cá nhân; Khiếu nại theo quy định của pháp luật hoặc khiếu nại với Ủy ban bảo vệ dữ liệu cá nhân trong trường hợp: Dữ liệu cá nhân của mình bị xâm phạm; Đòi bồi thường thiệt hại theo quy định của pháp luật khi có căn cứ cho rằng dữ liệu cá nhân của mình bị xâm phạm.
2: Xây dựng quy định chi tiết về bảo vệ dữ liệu cá nhân

-Các quy định về xử lý cũng như kiểm soát dữ liệu cá nhân rất chi tiết, ví dụ: truy cập, tiết lộ, xử lý, lưu trữ, xóa và phá hủy dữ liệu cá nhân.

-Xây dựng các quy định mới của pháp luật về bảo vệ dữ liệu cá nhân, các khái niệm thống nhất công tác bảo vệ dữ liệu cá nhân, về cấp phép chuyển giao dữ liệu cá nhân của công dân Việt Nam ra nước ngoài; sửa đổi, thống nhất một số quy định về bảo vệ dữ liệu cá nhân.

-Dữ liệu cá nhân nhạy cảm phải được đăng ký với Ủy ban bảo vệ dữ liệu cá nhân trước khi tiến hành xử lý. Việc chuyển dữ liệu cá nhân qua biên giới phải được phép của Ủy ban bảo vệ dữ liệu cá nhân.

Quy định mới về Đăng ký dữ liệu cá nhân nhạy cảm

Ủy ban bảo vệ dữ liệu cá nhân trước khi tiến hành xử lý việc Đăng ký dữ liệu cá nhân nhạy cảm.

  • Hồ sơ, thủ tục đăng ký xử lý dữ liệu cá nhân nhạy cảm:
  • Đơn đăng ký xử lý dữ liệu cá nhân nhạy cảm;
  • Báo cáo đánh giá tác động khi xử lý dữ liệu cá nhân nhạy cảm;
  • Văn bản, thông tin liên quan tới nội dung được đề cập trong Đơn xử lý dữ liệu cá nhân và
  • Báo cáo đánh giá tác động khi xử lý dữ liệu cá nhân nhạy cảm.

Ủy ban bảo vệ dữ liệu cá nhân xử lý hồ sơ đăng ký xử lý dữ liệu cá nhân nhạy cảm trong vòng 20 ngày làm việc kể từ ngày nhận hồ sơ hợp lệ.

Ngoại lệ không phải đăng ký xử lý dữ liệu cá nhân nhạy cảm
  • Dữ liệu cá nhân được xử lý nhằm phục vụ công tác phòng ngừa, phát hiện, điều tra, xử lý hành vi vi phạm pháp luật;
  • Thực hiện chức năng chăm sóc sức khỏe của các cơ sở y tế, an sinh xã hội của cơ quan nhà nước theo quy định của pháp luật;
  • Phục vụ chức năng tư pháp của Tòa án;
  • Phục vụ mục đích nghiên cứu, lưu trữ hoặc thống kê của cơ quan nhà nước hoặc tổ chức nghiên cứu khoa học và được Ủy ban bảo vệ dữ liệu cá nhân xác nhận
3: Quy định quyền hạn, trách nhiệm của cơ quan, tổ chức, cá nhân trong bảo vệ dữ liệu cá nhân

-Bộ Công an đề xuất thành lập Ủy ban Bảo vệ Dữ liệu Cá nhân đóng vai trò then chốt.

-Xây dựng các quy định mới, sửa đổi, thống nhất một số quy định của pháp luật về quyền hạn, trách nhiệm của cơ quan, tổ chức, cá nhân (các bộ, ngành liên quan, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương) trong bảo vệ dữ liệu cá nhân.

4: Chế tài xử lý vi phạm quy định bảo vệ dữ liệu cá nhân 
Xử lý vi phạm hành chính từ 50.000.000 đồng đến đến 100.000.000 đồng

Phạt tiền từ 50.000.000 đồng đến đến 100.000.000 đồng đối với một trong các hành vi dưới đây:

  • Không áp dụng biện pháp kỹ thuật và xây dựng quy định về bảo vệ dữ liệu cá nhân;
  • Vi phạm quy định về: đăng ký xử lý dữ liệu cá nhân nhạy cảm, chuyển dữ liệu cá nhân qua biên giới;
  • Tái phạm đối với những hành vi vi phạm quy định về quyền của chủ thể dữ liệu liên quan đến xử lý dữ liệu cá nhân, tiết lộ dữ liệu cá nhân, hạn chế quyền tiếp cận dữ liệu cá nhân, sự đồng ý của chủ thể dữ liệu đối với dữ liệu cá nhân, xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu chết;
  • xử lý dữ liệu cá nhân trong trường hợp không có sự đồng ý của chủ thể dữ liệu;
  • xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê;
  • về xử lý dữ liệu cá nhân tự động;
  • xử lý dữ liệu cá nhân của trẻ em.
Phạt tiền tối đa 5% tổng doanh thu

Việc phạt 5% này của Bên xử lý vi phạm dữ liệu cá nhân tại Việt Nam đối với các hành vi: Vi phạm lần 2-3 đối với những hành vi được quy định ở trên.

Hình thức xử phạt bổ sung:
  • Đình chỉ xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng;
  • Tước quyền sử dụng văn bản đồng ý xử lý dữ liệu cá nhân nhạy cảm và chuyển dữ liệu cá nhân ra khỏi biên giới lãnh thổ Việt Nam.

Biện pháp khắc phục hậu quả: Buộc nộp lại số tiền có được do thực hiện hành vi vi phạm

– Sửa đổi, thống nhất một số quy định của pháp luật về chế tài xử lý các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Bình luận và khuyến nghị (đặc biệt với doanh nghiệp)

Các nguyên tắc và cách làm ở đây được khuyến khích:

  • Nguyên tắc: Tích hợp giải pháp bảo vệ dữ liệu vào từng hoạt động (“privacy by design”),
  • Doanh nghiệp cần phải có sự đánh giá quy trình hoạt động, các hồ sơ và biểu mẫu phù hợp;
  • Một số cách thức: Xác định rõ các nguồn và vị trí lưu trữ dữ liệu, phân cấp quyền truy cập để đánh giá rủi ro, tổn hại đối với dữ liệu;
  • Kiểm tra định kỳ;
  • Rà soát, xem xét lại việc thu thập các dữ liệu hiện hành, quy trình xóa bỏ dữ liệu để xác định độ cần thiết của dữ liệu cũ;
  • Mã hóa dữ liệu;
  • Cập nhật công nghệ và các chứng nhận cần thiết;
  • Có các cơ chế phòng vệ cho toàn hệ thống để ngăn chặn các hành vi vi phạm;
  • Mua phần mềm là giải pháp bảo vệ dữ liệu;
  • Rà soát biểu mẫu hiện hành dùng để lấy chấp thuận của chủ thể dữ liệu;
  • Rà soát/ban hành các chính sách và thủ tục về quyền riêng tư.

Nghị định được đề xuất theo thông lệ quốc tế đặc biệt là của Châu Âu. Nghị định sẽ thay đổi lớn đến hệ thống luật hiện hành về bảo vệ dữ liệu cá nhân ở Việt Nam. Để doanh nghiệp có sự chuẩn bị tốt nhất cho việc tuân thủ Nghị định, gợi ý ở trên có thể hữu ích.

Nguồn: Tham khảo Dự thảo Tờ trình đề nghị xây dựng Nghị định, Tạp chí Nghiên cứu Lập pháp…