Cần xây dựng Luật Bảo vệ dữ liệu cá nhân

"Vừa thiếu hụt, vừa tản mát" 

Tại Tọa đàm “Bảo vệ quyền riêng tư và dữ liệu cá nhân trên môi trường số - Từ thực tiễn đến hoàn thiện hệ thống pháp lý: Bài học và các khuyến nghị chính sách cho Việt Nam” diễn ra ngày 15.7, đại diện Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) cho biết, dữ liệu người dùng ngày càng trở thành “tài nguyên” quý giá, tạo “siêu lợi nhuận” cho nền kinh tế số. Tuy nhiên, tại nhiều quốc gia trên thế giới trong đó có Việt Nam, tài nguyên dữ liệu đang đứng trước nguy cơ bị xâm phạm. Những vụ việc lộ lọt thông tin cá nhân lại nằm ngoài sự quản lý của các cơ quan nhà nước, gây tổn hại nghiêm trọng đến niềm tin của người dùng. Vì vậy, bảo vệ nguồn tài nguyên dữ liệu là một trong những nhiệm vụ quan trọng của quốc gia, cần được quy định rõ ràng và chặt chẽ trong khung pháp lý.

Những điểm yếu trong bảo vệ thông tin và dữ liệu cá nhân hiện nay được luật sư Nguyễn Tiến Lập, chuyên gia của IPS nêu rõ, đó là vẫn còn tình trạng vừa thiếu hụt quy định, đồng thời các quy định nằm tản mát trong nhiều văn bản. Hiện nay, có tới 17 luật, nghị định điều chỉnh vấn đề này nhưng hầu hết dừng ở mức nguyên tắc, đặt yêu cầu chứ chưa có định nghĩa, quy định cụ thể và cơ chế thực thi hiệu quả. Do đó, trên thực tế, quyền và nghĩa vụ của chủ thể thu thập, xử lý, khai thác dữ liệu chưa được quy định rõ.

Cũng theo ông Lập, hiện có nhiều thách thức lớn đối với dữ liệu cần phải làm sáng tỏ. Chẳng hạn, dữ liệu cá nhân thuộc sở hữu của ai và dữ liệu cá nhân là quyền nhân thân hay quyền tài sản? Dữ liệu cá nhân là tài nguyên rất lớn để khai thác nhưng rủi ro cũng rất lớn cho cả bên khách hàng là chủ thể dữ liệu hay người tiêu dùng và cả bên cung cấp dịch vụ, thu thập, xử lý dữ liệu nếu không có công cụ để bảo vệ quyền riêng tư? Và liệu mục tiêu bảo vệ quyền riêng tư có mâu thuẫn với bảo vệ trật tự công cộng?

Viện trưởng Viện Khoa học pháp lý (Bộ Tư pháp) Nguyễn Văn Cương cũng cho rằng đối với vấn đề bảo vệ thông tin cá nhân, phạm vi điều chỉnh của các văn bản pháp luật mới chỉ tập trung trên môi trường mạng, thiếu sự bao phủ trong không gian truyền thống. Trong khi đó, Cách mạng Công nghệ 4.0 sẽ khiến không gian truyền thống và không gian mạng gắn kết, trộn lẫn với nhau. Thêm vào đó, đến nay chưa có sự nhất quán và bao quát khi có tới 3, 4 định nghĩa khác nhau về thông tin cá nhân và chưa có sự phân tầng đều chỉnh theo độ “nhạy cảm” của thông tin cá nhân.

"Ở các quốc gia, họ phân tầng rất rõ những thông tin, danh tính nào sẽ có phân tầng bảo vệ nhất định, còn thông tin về sức khỏe, tài chính lại cần bảo vệ ở một phân tầng khác", ông Cương cho biết. Ngoài ra, việc thu thập dữ liệu thông tin cá nhân của trẻ em chưa được thể hiện rõ tính đặc thù, ví dụ để thu thập thông tin trẻ em thì cần có sự đồng ý của ai? Chế tài về hình sự chưa có - đây là một lỗ hổng rất lớn, đến nay chưa có một vụ việc nào bị xử hình sự liên quan đến xâm phạm thông tin cá nhân. Chế tài hành chính thì chưa thống nhất và mức phạt hành chính còn quá thấp; chưa cụ thể hóa trách nhiệm của các chủ thể trong tổ chức thu thập và xử lý thông tin.

Cần có chế tài thích đáng

Để giải quyết các vấn đề trên, ông Cương nhấn mạnh, Việt Nam nên xây dựng Luật Bảo vệ thông tin cá nhân.

Cùng quan điểm, Phó Giám đốc tổ chức Oxfam tại Việt Nam Phạm Quang Tú cho rằng một khuôn khổ pháp lý hoàn thiện về bảo vệ dữ liệu và quyền riêng tư là rất cần thiết để vừa bảo đảm tôn trọng quyền công dân và góp phần cho nền kinh tế số được vận hành trên cơ sở dữ liệu trong thời đại hiện nay. “Các quy định của pháp luật và chương trình của Nhà nước cần xây dựng các giải pháp bảo vệ quyền riêng tư cho người dân cũng như doanh nghiệp. Dữ liệu do doanh nghiệp và Nhà nước thu thập của công dân cần phải được quản trị đúng đắn, theo các chuẩn mực về quyền con người và tôn trọng quyền riêng tư”, ông Tú nói. Bên cạnh đó, cần có một khung chế tài cho phép người dùng lên tiếng khiếu kiện tập thể khi có vi phạm quyền riêng tư và dữ liệu cá nhân là điều cần thiết. Các tổ chức xã hội, các tổ chức phi lợi nhuận nên có vai trò tích cực đại diện người dân tham gia quá trình đó.

Để có một tầm nhìn dài hạn chuyển đổi sang nền kinh tế số, ông Lập nhấn mạnh, cần thiết phải nghiên cứu, xây dựng một đạo luật về bảo vệ an toàn dữ liệu cá nhân và bảo vệ quyền riêng tư. Đạo luật này khi ban hành sẽ hợp nhất nhiều quy định riêng rẽ có liên quan về bảo đảm an toàn dữ liệu, đặc biệt dữ liệu cá nhân, đồng thời bổ sung các quy định mới theo tiêu chuẩn phổ quát toàn cầu về bảo vệ quyền riêng tư với các điểm nhấn quan trọng. Một là, làm rõ khái niệm và định nghĩa đạt chuẩn quốc tế về dữ liệu nói chung và dữ liệu cá nhân thuộc đối tượng bảo vệ. Tiếp đến, thay vì các quy định có tính nguyên tắc cần quy định các biện pháp cụ thể về bảo vệ các quyền của chủ thể dữ liệu cá nhân trong cả ba khía cạnh gồm: Chính sách và thoả thuận với người dùng hay khách hàng; tuân thủ các quy định của pháp luật; và cách thức quản lý hành xử của bên thứ ba xử lý, sử dụng dữ liệu.

Thêm vào đó, quy định cơ chế khiếu nại và khiếu kiện khi có sự vi phạm quyền của chủ thể dữ liệu và quyền riêng tư trên quy mô lớn, bao gồm vấn đề khởi kiện tập thể, quyền của các tổ chức xã hội được đại diện cho nạn nhân khởi kiện hoặc tự khởi kiện vì lợi ích công cộng. Ngoài ra, quy định cơ chế bảo vệ an toàn dữ liệu cá nhân và quyền riêng tư trong các giao dịch thu thập, lưu trữ và chuyển tải dữ liệu qua biên giới. Cuối cùng là, chỉ định cơ quan đầu mối quốc gia trong việc chủ trì, điều phối và hợp tác quốc tế về bảo đảm an ninh mạng, an toàn dữ liệu cá nhân và bảo vệ quyền riêng tư.