Bảo vệ dữ liệu cá nhân - cần luật hay nghị định? 

Xem với cỡ chữ
Luật sư Nguyễn Tiến Lập - Văn phòng Luật sư NHQuang và Cộng sự
Chính phủ đang chỉ đạo soạn Nghị định quy định bảo vệ dữ liệu cá nhân và công bố dự thảo để lấy ý kiến. Đây là một sáng kiến lập pháp đáng hoan nghênh trong bối cảnh Chính phủ đang thúc đẩy quá trình chuyển đổi số của toàn bộ nền kinh tế.

Tuy nhiên, xét tầm vóc và tính hệ trọng của 2 vấn đề bảo vệ an toàn dữ liệu cá nhân và bảo vệ quyền riêng tư, cùng với an ninh mạng như 3 trụ cột của nền kinh tế số, liệu một văn bản cấp độ nghị định có đáp ứng được nhu cầu đặt ra?

Trong nền kinh tế số, dữ liệu quan trọng nhất chính là dữ liệu cá nhân có thể định dạng của người dùng mạng internet. Nó trở nên hữu ích và có tính sống còn cho mọi tổ chức và doanh nghiệp tới mức được ví như tiền trong ngân hàng hay dầu mỏ trong công nghiệp.

Quá trình chuyển đổi từ thời đại thông tin sang kỷ nguyên số diễn ra quá nhanh dẫn đến việc thay đổi và hoàn thiện pháp luật không theo kịp. Trong khi đó, các doanh nghiệp cung cấp nền tảng công nghệ số nổi lên, điển hình là Google, Amazon, Facebook và Apple đã tranh thủ cơ hội để thu thập và khai thác dữ liệu người dùng từ các thông tin cá nhân đơn lẻ, tạo nên dữ liệu lớn (Big Data) và làm giàu nhiều nhất mà không hoặc chỉ phải trả giá ít nhất. Thậm chí sau một thời gian ngắn, các “ông lớn” công nghệ này đã trở thành các thế lực toàn cầu, chi phối đời sống kinh tế và can thiệp vào các quan hệ chính trị, xã hội.    

Nhìn thấy và ứng phó với sự bất cập này, năm 2018 Liên minh châu Âu tiên phong trong việc ban hành Quy chế bảo vệ dữ liệu chung (GDPR). GDPR như một đạo luật khung về bảo vệ dữ liệu với mục tiêu giành lại quyền kiểm soát thông tin, dữ liệu cá nhân cho người dùng từ các công ty công nghệ, coi đây là quyền dân sự cơ bản cần được tôn trọng, bảo vệ của mỗi cá nhân.

Nhiều người có thể cho rằng khung pháp luật hiện hành của nước ta đã có sự tương thích về cơ bản với GDPR trong mục đích bảo vệ quyền của người dùng hay chủ thể cung cấp dữ liệu. Tuy nhiên, ít nhất có 4 vấn đề cơ bản chưa được đề cập và xử lý.

Đầu tiên, pháp luật dù đã đưa ra các định nghĩa về thông tin cá nhân ở nhiều văn bản khác nhau nhưng lại chưa đề cập đến phạm trù có tính độc lập là “dữ liệu cá nhân” cũng như các quyền và trách nhiệm liên quan đến quản trị dữ liệu, bảo vệ quyền riêng tư. Bên cạnh đó, pháp luật chưa định hình rõ ràng, nhất quán thiết chế giám sát độc lập của cơ quan chính quyền và sự phối hợp giữa các cơ quan có liên quan.  

Về vấn đề chuyển tải dữ liệu qua biên giới, rất tiếc khung pháp lý hiện hành đều chỉ quy định chung về chức năng hợp tác quốc tế của cơ quan nhà nước có thẩm quyền mà không có nội dung cụ thể về các điều kiện khi chuyển tải dữ liệu cá nhân của công dân Việt Nam sang nước thứ ba hoặc tổ chức quốc tế.

Về chế tài và xử phạt vi phạm, pháp luật đã quy định cả 3 hình thức chế tài cho mục đích bảo vệ an toàn dữ liệu cá nhân và quyền riêng tư, gồm dân sự, hành chính, hình sự. Tuy nhiên, điểm còn thiếu là quyền đại diện khởi kiện cho các chủ thể dữ liệu (theo yêu cầu của họ) hoặc chủ động khởi kiện nhằm bảo vệ quyền riêng tư. Vấn đề này có ý nghĩa quan trọng và thiết thực bởi bảo vệ dữ liệu cá nhân và quyền riêng tư luôn phức tạp, đòi hỏi chuyên môn sâu và kỹ năng pháp lý. Các hành vi tự vệ đơn lẻ của các cá nhân là chủ thể dữ liệu sẽ khó thành công nếu không có trợ giúp từ các tổ chức hoạt động chuyên nghiệp trong lĩnh vực này.

Để đáp ứng các nhu cầu cấp thiết về bảo vệ dữ liệu cá nhân, việc ban hành một văn bản pháp luật có tính chuyên ngành là đúng đắn. Tuy nhiên, theo Luật Ban hành văn bản quy phạm pháp luật năm 2015, về nguyên tắc, một Nghị định của Chính phủ được ban hành để quy định chi tiết hoặc biện pháp thi hành các điều luật nhất định. Đặc biệt, những vấn đề liên quan đến quyền và nghĩa vụ của công dân phải được quy định bởi luật do Quốc hội ban hành.

Hơn nữa, bảo vệ dữ liệu cá nhân với 2 nội hàm chủ yếu là bảo đảm an toàn dữ liệu và bảo vệ quyền riêng tư phù hợp với tình hình mới và theo tiêu chuẩn chung của thế giới là vấn đề lớn, có ý nghĩa trụ cột của nền kinh tế số, đồng thời có tính phức tạp cao do có sự đan xen của nhiều lĩnh vực và chế định pháp luật khác nhau. Đặc biệt, bảo vệ dữ liệu cá nhân trên không gian mạng còn đòi hỏi các quan hệ liên kết, hợp tác quốc tế nhằm bảo vệ các quyền công dân và chủ quyền tài phán quốc gia, cũng như sự thiết lập cơ chế quản lý, giám sát và bảo đảm của Nhà nước ở cấp độ liên ngành.

Như vậy để tiến tới một khung pháp luật hoàn chỉnh và đồng bộ phục vụ nền kinh tế số, rất cần có một văn bản pháp luật có cấp độ hiệu lực đủ cao về bảo vệ dữ liệu cá nhân - cụ thể là một đạo luật - để điều chỉnh các vấn đề có tính nguyên tắc lớn thay vì một nghị định.