Bảo vệ dữ liệu cá nhân cho nhóm yếu thế trong môi trường số
Thảo luận tại Tổ 3 về dự thảo Luật Bảo vệ dữ liệu cá nhân chiều 12/5, các ĐBQH Đoàn Hà Tĩnh, Hải Dương và Ninh Thuận đề nghị làm rõ khái niệm, bổ sung nguyên tắc nền tảng và hoàn thiện cơ chế thực thi. Trong đó, nhấn mạnh xử lý nghiêm hành vi vi phạm, bảo vệ nhóm yếu thế và bảo đảm quyền dữ liệu cá nhân trong môi trường số…
Rõ khái niệm, nguyên tắc, chế tài, phạm vi điều chỉnh
Góp ý vào dự thảo luật, đại biểu Nguyễn Văn Thuận (Ninh Thuận) đề nghị bổ sung nội dung giải thích các từ ngữ: “Dữ liệu cá nhân cơ bản”, “Dữ liệu cá nhân nhạy cảm”. Bên cạnh đó, cần định nghĩa, giải thích cụ thể, đầy đủ, rõ ràng và dễ hiểu hơn về từ ngữ “Khử nhận dạng dữ liệu cá nhân”. Bởi đây là một nội dung hết sức cần thiết nhằm bảo đảm tính minh bạch, thống nhất và khả thi trong triển khai thực tế.
Về nguyên tắc bảo vệ dữ liệu cá nhân, đại biểu đề nghị nghiên cứu bổ sung một nguyên tắc rất cơ bản. Đó là: dữ liệu cá nhân là tài sản cá nhân, được quản lý, khai thác, sử dụng theo quy định của pháp luật và được Nhà nước bảo vệ.
Về xử lý vi phạm quy định tại khoản 2 Điều 4, đại biểu đề nghị cơ quan chủ trì soạn thảo dự thảo Luật giải trình cơ sở của việc đề xuất quy định: “Áp dụng mức phạt hành chính từ 1% đến 5% doanh thu năm liền trước của các tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân…”. Mức phạt hành chính trên là quá nhẹ, không bảo đảm tính răn đe của pháp luật. Trong trường hợp tổ chức (không phải là doanh nghiệp, không có doanh thu) vi phạm sẽ bị xử lý thế nào?, đại biểu băn khoăn.
Mặt khác, dữ liệu cá nhân là dữ liệu gắn liền với một con người nên chứa đựng rất nhiều nội dung, nhiều yếu tố cấu thành (nhân thân, gia đình, dòng tộc, tài sản, quan hệ xã hội…), nên chăng Nhà nước cần ban hành danh mục của một dữ liệu cá nhân để quản lý và bảo vệ thống nhất trong phạm vi cả nước - đại biểu đề xuất.
Do phạm vi và đối tượng tác động của Luật rất lớn, đại biểu Nguyễn Văn Thuận cho rằng: cơ quan chủ trì cần đánh giá khoa học, khách quan tác động đến doanh nghiệp trong nước và nhà đầu tư nước ngoài, nhằm bảo đảm vừa bảo vệ dữ liệu cá nhân, vừa không cản trở hoạt động sản xuất kinh doanh.
Theo đại biểu Nguyễn Ngọc Sơn (Hải Dương), dự thảo chưa phân biệt rõ các loại hình dữ liệu: định danh, sinh trắc học, tài chính… Vì vậy, cần làm rõ ranh giới giữa dữ liệu này, đặc biệt là giữa dữ liệu cá nhân và dữ liệu phi cá nhân để có biện pháp quản lý tương ứng; đồng thời, rà soát, sử dụng các khái niệm và phân loại dữ liệu cụ thể sao cho tương thích, nhất quán.
Cơ bản tán thành với các nguyên tắc xử lý dữ liệu quy định tại Điều 3, đại biểu đề nghị tiếp tục rà soát các quy định về nguyên tắc này, bảo đảm tính khả thi, phù hợp với thực tiễn Việt Nam và không trái với thông lệ quốc tế. Đơn cử, như: cần cụ thể hóa tiêu chí đánh giá mức độ tuân thủ các nguyên tắc; bổ sung nguyên tắc về tối thiểu hóa dữ liệu, vì đây là nguyên tắc phổ biến trong các hệ thống bảo vệ dữ liệu cá nhân quốc tế.
“Hiện nay, việc truy cập và khai thác dữ liệu trái phép hoặc do các kẽ hở trong công cụ quản lý vẫn chưa được kiểm soát chặt chẽ, chưa có quy định rõ ràng để bảo vệ những người phát hiện, tố cáo hành vi vi phạm” – nhấn mạnh nội dung này, đại biểu Nguyễn Ngọc Sơn đề nghị bổ sung quy định giao Chính phủ hướng dẫn, quy định chi tiết về cơ chế bảo vệ người tố cáo, cũng như làm rõ phương pháp xác định mức phạt - chẳng hạn như cách tính cụ thể tỷ lệ 1–5% doanh thu 5 năm trước. Nếu không xác định rõ nguyên tắc ngay trong luật, sẽ rất khó để Chính phủ có thể quy định chi tiết thống nhất, minh bạch và khả thi.
Còn theo đại biểu Bùi Sỹ Hoan (Hải Dương), các nguyên tắc xử lý dữ liệu cá nhân đã được quy định khá đầy đủ, song cần bổ sung rõ hai nguyên tắc quan trọng là hợp pháp và công bằng vào Điều 3 dự thảo luật, hoặc có thể lồng ghép vào các khoản hiện có. Vì đây là những nguyên tắc nền tảng, bảo đảm tính đầy đủ, chặt chẽ của luật và phù hợp với thông lệ quốc tế.
Về xử phạt, đại biểu cho rằng hiện dự thảo chỉ áp dụng với tổ chức, trong khi thực tế nhiều vi phạm do cá nhân gây ra. Do đó, cần bổ sung quy định xử phạt hành chính với cá nhân, có thể là phạt tiền cụ thể hoặc giao Chính phủ hướng dẫn… Đồng thời, đại biểu cũng đề nghị làm rõ mối quan hệ với Luật An ninh mạng, Luật An toàn thông tin… Trường hợp pháp luật khác có quy định riêng về bảo vệ an ninh quốc gia thì nên ưu tiên áp dụng. Cần bảo đảm giới hạn, không xâm phạm quyền dữ liệu cá nhân vượt quá yêu cầu.
Về hợp tác quốc tế, đại biểu Bùi Sỹ Hoan cũng đề nghị làm rõ nội dung tại khoản 5: không chỉ ghi nhận chuyển giao công nghệ, mà cần quy định rõ cả trách nhiệm triển khai, tiếp nhận, ứng dụng phục vụ bảo vệ dữ liệu cá nhân. Bảo vệ nhóm yếu thế, kiểm soát rủi ro và ngăn chặn hành vi vi phạm trong môi trường số
.jpg)
Đối với dữ liệu cá nhân của nhóm yếu thế, đại biểu cho rằng: Điều 23 mới chỉ đề cập trẻ em. Trong khi đó, còn người cao tuổi, người khuyết tật, người chưa thành niên chưa đủ năng lực hành vi… Do đó, cần có quy định riêng, ví dụ yêu cầu người giám hộ đồng ý, hoặc hạn chế xử lý dữ liệu nhạy cảm.
Tổ trưởng tổ thảo luận - đại biểu Hoàng Trung Dũng (Hà Tĩnh) cũng đề nghị: ban soạn thảo cần diễn đạt lại khoản 2 Điều 4 về xử phạt hành chính cho dễ hiểu. Cụ thể, trong văn bản hiện nay có sử dụng khái niệm “doanh thu năm liền trước” và “có vi phạm quy định”, thì nên sửa lại là “doanh thu năm gần nhất” để toàn bộ nội dung khi đọc sẽ dễ hiểu hơn.
Kiểm soát rủi ro, ngăn chặn vi phạm trong môi trường số
Tán thành với việc cần thiết phải liệt kê rõ các hành vi nghiêm cấm nhằm định hướng thực thi, tạo cơ sở pháp lý cho xử lý vi phạm, đại biểu Đinh Thị Ngọc Dung (Hải Dương) cho rằng: cụm từ “gây ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân khác” đang được hiểu quá rộng và mang tính định tính. Nếu không quy định rõ mức độ hay tiêu chí ảnh hưởng, sẽ dẫn tới tùy nghi áp dụng và không bảo đảm tính minh bạch, khách quan trong thực thi. Do đó, cần bổ sung ngoại lệ đối với các trường hợp có sự đồng ý rõ ràng của chủ thể dữ liệu hoặc được pháp luật cho phép.
Cũng theo đại biểu, hiện nay tình trạng mua bán dữ liệu cá nhân diễn ra rất phổ biến, từ danh sách khách hàng, người vay tín dụng, cho đến hồ sơ bệnh án, điểm thi của học sinh. Những dữ liệu này bị rao bán công khai trên các nền tảng chợ đen, nhưng việc xử lý lại gặp khó khăn vì thiếu chế tài cụ thể và chưa có quy định xử phạt đủ mạnh. Đại biểu đề nghị cơ quan soạn thảo cần thiết kế chế tài đủ sức răn đe cho hành vi này, và có thể coi đây là hành vi nghiêm cấm trọng điểm.
Về hành vi “làm lộ, làm mất dữ liệu cá nhân” tại khoản 6, đại biểu đề nghị làm rõ yếu tố chủ thể và lỗi. Trong thực tế, việc làm mất dữ liệu có thể là vô ý do lỗi kỹ thuật, thiên tai, hoặc sơ suất nghiệp vụ. Nếu không quy định rõ, thì mọi trường hợp mất dữ liệu đều bị coi là vi phạm pháp luật – điều này sẽ gây lo ngại cho các đơn vị quản lý dữ liệu. Do vậy, cần chỉnh lý theo hướng: nghiêm cấm hành vi cố ý làm lộ, làm mất, phá hoại dữ liệu; đồng thời, bổ sung trách nhiệm khắc phục hậu quả và nghĩa vụ thông báo cho chủ thể dữ liệu khi xảy ra sự cố rò rỉ.
Đại biểu cũng đề nghị bổ sung hành vi “truy cập trái phép dữ liệu cá nhân” vào danh mục nghiêm cấm… Đồng tình với Điều 19 (xử lý không cần đồng ý), đại biểu đề nghị làm rõ tiêu chí “tình huống khẩn cấp”, và cần có quy trình báo cáo – hậu kiểm tránh bị lợi dụng.
Liên quan đến quy định tại Điều 23 (trẻ em), đại biểu Đinh Thị Ngọc Dung đồng tình nguyên tắc “vì lợi ích tốt nhất”, nhưng cần lượng hóa rõ: xử lý tối thiểu, bảo mật cao… Đặc biệt, không nên mặc định “ưu tiên ý kiến trẻ em trong mâu thuẫn”, bởi trẻ từ 7–15 tuổi chưa đủ năng lực nhận thức. Nên quy định: “ưu tiên xem xét theo hướng có lợi nhất cho trẻ, dựa trên đánh giá cụ thể của cơ quan/tổ chức xử lý”…
Nhất trí với các nội dung trong dự thảo, đại biểu Trần Đình Gia (Hà Tĩnh) đề nghị cần xây dựng quy định cụ thể cơ chế đánh giá mức độ bảo vệ dữ liệu của các quốc gia; đồng thời, quy định rõ trách nhiệm và quyền hạn của các cơ quan quản lý để giám sát chặt chẽ hơn việc này. Cùng với đó, bổ sung quy định yêu cầu bên thu thập dữ liệu trình bày rõ ràng, ngắn gọn hoặc tách bạch giữa các nội dung về bảo vệ dữ liệu cá nhân và các điều khoản liên quan đến cung cấp sản phẩm, dịch vụ nhằm bảo vệ quyền lợi của người sử dụng, tăng cường lòng tin và uy tín của tổ chức, doanh nghiệp đối với người tiêu dùng.
Bên cạnh đó, đại biểu đề nghị bổ sung quy định chi tiết về bảo mật và an toàn dữ liệu, đặc biệt là đối với dữ liệu cá nhân nhạy cảm và dữ liệu trẻ em trong nghĩa vụ của bên xử lý dữ liệu. Hiện nay, một số nền tảng trực tuyến có thể tiếp tục truy cập dữ liệu cá nhân ngay cả khi người dùng đã xóa tài khoản, việc này gây nhiều khó khăn trong kiểm soát dữ liệu cá nhân của công dân Việt Nam. Cùng với đó, cần bổ sung quy định về hỗ trợ và bảo vệ nhóm người yếu thế, người dễ bị tổn thương trong xã hội (người già, trẻ em, người khuyết tật chưa am hiểu về công nghệ thông tin).
Đại biểu cũng kiến nghị mở rộng phạm vi điều chỉnh theo hướng bổ sung quy định bảo vệ dữ liệu cá nhân trong từng lĩnh vực cụ thể như tài chính, ngân hàng, y tế, thương mại điện tử, truyền thông – mạng xã hội, trí tuệ nhân tạo và internet; giúp nâng cao hiệu quả bảo vệ dữ liệu cá nhân, phù hợp với đặc thù của từng lĩnh vực và đảm bảo tính thực tiễn trong quá trình triển khai Luật.
Liên quan đến hành vi bị nghiêm cấm, đại biểu Trần Đình Gia cũng cho rằng cần bổ sung quy định các hành vi bị cấm khác, vì đây là luật mới, nhiều nội dung chuyên ngành có thể phát sinh trong hoạt động cũng như xu thế và khoa học kỹ thuật hiện nay. Khi phát sinh thì có thể được bổ sung trong Nghị định quy định chi tiết hướng dẫn thi hành luật.
Bên cạnh đó, cần quy định cụ thể hơn về việc công khai dữ liệu cá nhân, bao gồm các nội dung như thẩm quyền quyết định, quy trình thực hiện, và loại dữ liệu được phép công khai. Việc này nhằm tránh cách hiểu và áp dụng không thống nhất, bảo đảm tính minh bạch và quyền lợi của chủ thể dữ liệu.