Hướng tới các tiêu chuẩn, quy chuẩn bảo vệ dữ liệu cá nhân của quốc tế
Thảo luận tại Tổ 15 (gồm Đoàn ĐBQH các tỉnh Vĩnh Phúc, Quảng Trị, Bình Phước, Bình Thuận) về dự thảo Luật Bảo vệ dữ liệu cá nhân, các đại biểu đề nghị, cần bổ sung nguyên tắc việc bảo vệ dữ liệu cá nhân phải hướng tới các tiêu chuẩn, quy chuẩn bảo vệ dữ liệu cá nhân của quốc tế, tăng cường hợp tác quốc tế trong bảo vệ dữ liệu cá nhân.
Nâng cao ý thức, trách nhiệm trong sử dụng dữ liệu cá nhân
Tán thành với sự cần thiết ban hành Luật Bảo vệ dữ liệu cá nhân, các đại biểu cho rằng, trong bối cảnh chuyển đổi số diễn ra sâu rộng trên hầu hết các lĩnh vực, dữ liệu cá nhân được chuyển lên môi trường điện tử thường xuyên, liên tục dẫn đến tình trạng lộ, mất dữ liệu cá nhân diễn ra phổ biến… Điều này đặt ra yêu cầu phải có cơ chế bảo vệ quyền dữ liệu cá nhân; ngăn chặn, xử lý nghiêm các hành vi xâm phạm dữ liệu cá nhân.
ĐBQH Trần Văn Tiến (Vĩnh Phúc) cho rằng, đây là việc làm hết sức cần thiết nhằm hoàn thiện, tạo cơ sở pháp lý toàn diện về bảo vệ dữ liệu cá nhân, góp phần nâng cao ý thức, trách nhiệm của các cơ quan, tổ chức, cá nhân trong sử dụng dữ liệu cá nhân đúng pháp luật, phục vụ phát triển kinh tế - xã hội.
Về phạm vi điều chỉnh, dự thảo Luật quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
Tuy nhiên, ĐBQH Điểu Huỳnh Sang (Bình Phước) đề nghị, Ban soạn thảo xem xét, mở rộng phạm vi điều chỉnh của Luật Bảo vệ dữ liệu cá nhân theo hướng bổ sung quy định bảo vệ dữ liệu cá nhân trong từng lĩnh vực cụ thể, như tài chính, ngân hàng, y tế, thương mại điện tử, truyền thông - mạng xã hội, trí tuệ nhân tạo và Internet. Điều này giúp nâng cao hiệu quả bảo vệ dữ liệu cá nhân, phù hợp với đặc thù của từng lĩnh vực, bảo đảm tính thực tiễn trong quá trình triển khai.
Về các nguyên tắc bảo vệ dữ liệu cá nhân (Điều 3), cần xem xét, bổ sung nguyên tắc bảo vệ dữ liệu cá nhân tuân thủ Hiến pháp và pháp luật có liên quan, bảo đảm quyền con người, quyền công dân. Vì đây là nguyên tắc cơ bản trong công tác xây dựng pháp luật và phù hợp với khái niệm "bảo vệ dữ liệu cá nhân" cũng như có liên quan đến các quy định của luật khác. Đại biểu cũng đề nghị bổ sung nguyên tắc bảo vệ dữ liệu cá nhân phải hướng tới các tiêu chuẩn, quy chuẩn bảo vệ dữ liệu cá nhân của quốc tế, tăng cường hợp tác quốc tế trong bảo vệ dữ liệu cá nhân.
Cần hướng dẫn cụ thể, tránh chồng chéo khi thi hành Luật
So sánh về dữ liệu cá nhân thuộc phạm vi điều chỉnh của Luật Dữ liệu 2024 và dự thảo Luật Bảo vệ Dữ liệu cá nhân, ĐBQH Hà Sỹ Đồng (Quảng Trị) nhận thấy, mặc dù Luật hiện hành và dự thảo Luật đều đã có quy định về áp dụng pháp luật (Điều 4, Luật Dữ liệu và Điều 5, dự thảo Luật Bảo vệ Dữ liệu cá nhân), song vấn đề mâu thuẫn, chồng chéo vẫn chưa được giải quyết triệt để.
Cụ thể, cả Luật hiện hành và dự thảo Luật trình Quốc hội lần này đều có quy định về việc thu hồi, xóa, hủy dữ liệu, nhưng lại có chỉ dẫn khác nhau khi thực hiện công việc này; quy định về việc chuyển dữ liệu qua biên giới và các doanh nghiệp sẽ phải thực hiện báo cáo đánh giá rủi ro có nội dung trùng lặp; quy định về việc phải thông báo cho cơ quan nhà nước khi xảy ra sự cố hoặc hành vi vi phạm về bảo vệ dữ liệu, nhưng lại xác định mốc thời gian khác nhau…
Theo đại biểu Hà Sỹ Đồng, các doanh nghiệp rất lo ngại sự chồng chéo, xung đột này sẽ khiến họ gặp khó khăn khi tuân thủ cũng như tăng chi phí không đáng có.
Do đó, đại biểu đề nghị cần có hướng dẫn rõ ràng về việc doanh nghiệp sẽ phải tuân thủ quy định của Luật nào? Cùng với đó, cần hợp nhất các hồ sơ, thủ tục đánh giá rủi ro xử lý dữ liệu và chuyển dữ liệu cá nhân qua biên giới giữa Luật hiện hành và dự thảo Luật nhằm tránh việc doanh nghiệp phải "làm đi làm lại cùng một công việc".
Mọi thủ tục liên quan đến dữ liệu cá nhân cần được quản lý thống nhất theo quy định của Luật Bảo vệ dữ liệu cá nhân; trong trường hợp dữ liệu cá nhân được xếp loại là dữ liệu quan trọng hoặc dữ liệu cốt lõi, thì có thể bổ sung yêu cầu và thủ tục ngay trong Luật Bảo vệ dữ liệu cá nhân, thay vì quy định trong Nghị định hướng dẫn Luật Dữ liệu", đại biểu Hà Sỹ Đồng đề xuất.
Cùng với đó, cần cân nhắc thiết lập cơ chế phân loại rủi ro theo cấp độ xử lý dữ liệu cá nhân. Doanh nghiệp, cá nhân có hành vi xử lý dữ liệu với rủi ro thấp, ví dụ như chỉ thu thập và lưu trữ thông tin để phục vụ quan hệ lao động thông thường, hoặc chăm sóc khách hàng cơ bản, thì chỉ cần tuân thủ các nguyên tắc bảo mật tối thiểu và không bị áp các thủ tục nặng nề.
Ngược lại, các hoạt động xử lý dữ liệu có yếu tố phân tích hành vi, dự đoán xu hướng, kết hợp nhiều nguồn dữ liệu, hoặc chia sẻ với bên thứ ba thì mới cần chịu sự quản lý chặt chẽ hơn, đại biểu đề nghị.