Tăng cường kiểm soát và thúc đẩy thu thập dữ liệu có trách nhiệm

Cần có cơ chế giám sát độc lập và ý thức cộng đồng

Các ĐBQH cơ bản đồng tình với việc ban hành Luật Bảo vệ dữ liệu cá nhân và cho rằng đây là một bước tiến rất quan trọng trong quá trình hoàn thiện hệ thống pháp luật nhằm đáp ứng yêu cầu về bảo vệ quyền con người, quyền cá nhân cũng như yêu cầu chuyển đổi số tại Việt Nam.

Điều 9 dự thảo Luật hiện đang quy định về sự đồng ý của chủ thể dữ liệu. ĐBQH Trần Kim Yến (TP. Hồ Chí Minh) nhận thấy, trước khi xử lý dữ liệu cá nhân, doanh nghiệp phải thông báo cho chủ thể dữ liệu và nhận được sự đồng ý của họ.

"Đây là điều kiện tiên quyết để doanh nghiệp thực hiện hoạt động này. Sự đồng ý này chỉ có hiệu lực nếu được đưa ra một cách tự nguyện và chủ thể biết rõ về loại dữ liệu, mục đích xử lý, tổ chức thực hiện xử lý cũng như các quyền và nghĩa vụ của mình. Hơn nữa, sự đồng ý phải được thể hiện qua một hành động rõ ràng như văn bản, giọng nói, đánh dấu vào ô đồng ý hoặc cú pháp qua tin nhắn và có thể được in hoặc sao chép dưới định dạng kiểm chứng được", đại biểu nêu quan điểm.

Nhấn mạnh quy định về sự đồng ý của chủ thể dữ liệu là yếu tố quan trọng nhằm tăng cường kiểm soát của cá nhân và thúc đẩy cơ chế thu thập dữ liệu có trách nhiệm, tuy nhiên, đại biểu Trần Kim Yến cho rằng, việc yêu cầu sự đồng ý từ chủ thể dữ liệu trước khi thực hiện bất kỳ hoạt động xử lý nào cũng có thể tạo ra nhiều trở ngại.

Điều này có thể không chỉ làm tăng khối lượng công việc mà có thể làm ảnh hưởng đến sự linh hoạt của doanh nghiệp. Mặc dù tại Điều 13 dự thảo Luật về chỉnh sửa dữ liệu cá nhân đã nêu một số ngoại lệ đối với yêu cầu của sự đồng ý này nhưng các trường hợp ngoại lệ đó vẫn hẹp hơn nhiều so với các luật về bảo vệ dữ liệu quốc tế.

Do vậy, đại biểu Trần Kim Yến đề nghị, có thể bổ sung các trường hợp ngoại lệ miễn yêu cầu đồng ý như trong trường hợp thực hiện về nghĩa vụ pháp lý, về lợi ích hợp pháp của chủ thể dữ liệu để ngăn chặn sự lừa đảo hoặc các lợi ích phát sinh trong cập nhật sản phẩm, dịch vụ.

Cũng quan tâm đến Điều 9 dự thảo Luật, ĐBQH Tô Văn Tám (Kon Tum) nêu rõ, về nghĩa vụ của chủ thể dữ liệu, khoản 2 Điều này quy định ''cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân''.

Mặt khác, liên quan đến các quyền của chủ thể, tại Điều 8 dự thảo Luật quy định có các quyền như quyền được biết, quyền đồng ý, quyền rút lại sử dụng... nhưng đều có sự loại trừ đó là loại trừ những trường hợp mà luật khác có quy định khác. Ở Điều 19 dự thảo Luật lại có quy định về việc xử lý dữ liệu cá nhân không cần có sự đồng ý của chủ thể, như vậy, trong các trường hợp này thì chủ thể không đồng ý cũng phải cung cấp thông tin dữ liệu khi cơ quan có thẩm quyền yêu cầu.

Từ những phân tích nêu trên, đại biểu Tô Văn Tám đề nghị quy định khoản 2 Điều 9 theo hướng ''cung cấp đầy đủ chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân hoặc khi có yêu cầu của cơ quan nhà nước có thẩm quyền'' để bảo đảm đầy đủ.

Doanh nghiệp cần giải trình cụ thể về thời điểm phát hiện vi phạm

Liên quan đến thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân tại Điều 33 dự thảo Luật, ĐBQH Dương Tấn Quân (Bà Rịa - Vũng Tàu) tán thành nhằm bảo đảm có thể phản ứng nhanh với sự cố dữ liệu, ràng buộc rõ trách nhiệm của các bên liên quan và quy định cụ thể các nội dung cần thông báo.

Song, đại biểu Dương Tấn Quân cũng chỉ rõ, dự thảo Luật chưa có quy định về thông báo cho chính chủ thể dữ liệu, hiện mới chỉ yêu cầu thông báo cho cơ quan nhà nước nhưng không có nghĩa vụ phải thông báo cho người bị ảnh hưởng, tức là chủ thể dữ liệu. Việc này là cần thiết trong các trường hợp có rủi ro cao đến quyền tài sản, danh dự hoặc an toàn của chủ thể.

Bên cạnh đó, quy định cũng chưa thể hiện rõ cơ chế xử lý khi vi phạm nghĩa vụ thông báo; chưa nêu rõ tiêu chuẩn vi phạm nào cần phải thông báo có thể gây nhầm lẫn tất cả những vi phạm đều phải thông báo mặc dù đó có thể là những hành vi vi phạm rất nhỏ, không ảnh hưởng đến chủ thể.

“Theo đó, có thể phân loại các mức độ hành vi vi phạm như từ nhẹ, nghiêm trọng hoặc đặc biệt nghiêm trọng và yêu cầu những hình thức thông báo tương ứng với các mức độ vi phạm”, đại biểu Dương Tấn Quân đề nghị.

Điều 33 dự thảo Luật cũng quy định, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba, bên chuyển dữ liệu cá nhân ra nước ngoài, bên nhận dữ liệu cá nhân của công dân Việt Nam ở nước ngoài thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất 72 giờ kể từ khi phát hiện xảy ra vi phạm, trường hợp thông báo sau 72 giờ phải kèm theo lý do trì hoãn.

Nêu thực tế, ĐBQH Vũ Hồng Luyến (Hưng Yên) cho biết, việc xác định chính xác thời điểm vi phạm dữ liệu còn gặp nhiều khó khăn, nhất là trong những trường hợp tổ chức, cơ quan, doanh nghiệp bị các hacker tấn công mạng đánh cắp thông tin nhưng không phát hiện được ngay, việc rò rỉ số liệu chỉ được nhận biết sau một khoảng thời gian nhất định khi có dấu hiệu bất thường liên quan đến tổ chức, cá nhân, cơ quan, doanh nghiệp hoặc khi cơ quan chuyên trách bảo vệ dữ liệu bên thứ ba phát hiện và cảnh báo.

Vì vậy, đại biểu đề nghị, cơ quan soạn thảo xem xét điều chỉnh theo hướng quy định thời gian thông báo tính từ thời điểm cơ quan, tổ chức, doanh nghiệp phát hiện ra vi phạm thì sẽ phù hợp với thực tế, bảo đảm tính khả thi và hiệu quả khi thực hiện. Đồng thời, doanh nghiệp cần phải giải trình cụ thể về thời điểm phát hiện vi phạm, các biện pháp để thực hiện nhằm bảo đảm tính minh bạch, chính xác và kiểm soát thiệt hại.

Hơn nữa, các đại biểu cho rằng, để bảo vệ dữ liệu cá nhân cần có cơ chế giám sát độc lập và ý thức cộng đồng. Cơ chế giám sát trong xử lý dữ liệu cá nhân là vấn đề rất quan trọng khi các hành vi vi phạm về quyền riêng tư ngày càng gia tăng trong bối cảnh bùng nổ thông tin như hiện nay.

Một số ý kiến đề nghị nên bổ sung thêm các nội dung như thiết lập đường dây nóng hoặc cổng tiếp nhận phản ánh về hành vi vi phạm dữ liệu cá nhân và tạo điều kiện, cơ chế cho người dân phát hiện các dấu hiệu vi phạm. Trong đó, đặc biệt quan tâm đến việc nâng cao nhận thức về quản lý, bảo vệ dữ liệu cá nhân của người dân.

Minh Trang