Rà soát quy định xử phạt theo tỷ lệ doanh thu để bảo đảm tính khả thi

Tạo hành lang pháp lý thống nhất và cao nhất về bảo vệ dữ liệu cá nhân

Tại phiên thảo luận, các đại biểu bày tỏ nhất trí về sự cần thiết ban hành Luật Bảo vệ dữ liệu cá nhân.

“Chúng ta đang kỳ vọng vào một sứ mệnh quan trọng của Luật này, đó là bảo vệ tối đa lợi ích về quyền con người, quyền cá nhân, trong đó có thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình… của mỗi công dân”.

Nhấn mạnh vấn đề nêu trên, ĐBQH Trần Quốc Tuấn (Trà Vinh) nêu rõ, dữ liệu cá nhân hiện nay không chỉ là tài sản riêng tư mà còn là một loại tư liệu sản xuất quan trọng, phục vụ chuyển đổi số, phát triển kinh tế số, xây dựng công dân số và xã hội số.

Tuy nhiên, đây cũng là lĩnh vực tiềm ẩn nhiều rủi ro nếu bị lợi dụng, bởi một khi thông tin bị lộ lọt và sử dụng với mục đích xấu, hậu quả có thể rất nghiêm trọng, ảnh hưởng đến danh dự, uy tín, sự nghiệp, thậm chí là tài chính và hoạt động kinh doanh của cá nhân và tổ chức, đại biểu chỉ rõ.

Dù các cơ quan chức năng đã có nhiều nỗ lực, song tình trạng lộ lọt dữ liệu cá nhân tại Việt Nam vẫn diễn biến phức tạp và gia tăng nhanh chóng. Dẫn báo cáo an toàn thông tin năm 2024 của Công ty An ninh mạng Viettel, đại biểu Trần Quốc Tuấn cho biết: có tới 14,5 triệu tài khoản bị rò rỉ, chiếm 12% tổng số vụ rò rỉ dữ liệu toàn cầu.

Thậm chí, nhiều tài liệu cá nhân và doanh nghiệp đã bị rao bán công khai trên các nền tảng mạng, với phương thức và quy mô ngày càng tinh vi. Thiệt hại ước tính lên tới 11 triệu USD chỉ trong năm 2024.

Vì vậy, "Luật Bảo vệ dữ liệu cá nhân cần sớm được ban hành, nhằm tạo hành lang pháp lý thống nhất, cao nhất về bảo vệ dữ liệu cá nhân, thay vì quy định rải rác ở nhiều văn bản khác nhau. Đây cũng là bước đi cần thiết để đáp ứng yêu cầu thực tiễn và kỳ vọng của đông đảo người dân”, đại biểu Trần Quốc Tuấn nói.

Cũng nhất trí về sự cần thiết ban hành Luật Bảo vệ dữ liệu cá nhân, ĐBQH Đỗ Quang Thành (Cao Bằng) - Phó Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại, cho rằng, nhiều nội dung về dữ liệu cá nhân đã được điều chỉnh trong Luật Dữ liệu năm 2024. Vì vậy, cần rà soát kỹ phạm vi điều chỉnh và quy định về áp dụng pháp luật để xây dựng Luật Bảo vệ dữ liệu cá nhân cho phù hợp.

Đại biểu đề nghị phạm vi điều chỉnh của Luật này chỉ nên tập trung vào các biện pháp bảo vệ dữ liệu cá nhân và trách nhiệm của các chủ thể liên quan trong việc bảo vệ dữ liệu cá nhân. Các quy định liên quan đến xử lý dữ liệu cá nhân nên được kế thừa và tham khảo từ Luật Dữ liệu năm 2024 nhằm bảo đảm tính thống nhất trong hệ thống pháp luật.

Bên cạnh đó, đại biểu đề nghị, cần bổ sung quy định về nguyên tắc áp dụng pháp luật theo hướng: các quy trình, thủ tục xử lý dữ liệu cá nhân nếu đã được thực hiện theo Luật Bảo vệ dữ liệu cá nhân, thì không phải thực hiện lại theo quy định của Luật Dữ liệu. Điều này nhằm bảo vệ quyền, lợi ích của các bên tham gia xử lý dữ liệu cá nhân, đồng thời tránh gây phiền hà, tốn kém do phải thực hiện đồng thời hai hệ thống quy trình, thủ tục.

“Chẳng hạn, khi chuyển dữ liệu cá nhân xuyên biên giới, nếu đã đánh giá tác động theo quy định của Luật Bảo vệ dữ liệu cá nhân, thì không cần thực hiện thêm đánh giá rủi ro theo Luật Dữ liệu”, đại biểu Đỗ Quang Thành đề xuất.

Làm rõ các khái niệm cơ bản

Góp ý vào Điều 2 về giải thích từ ngữ, đại biểu Đỗ Quang Thành đề nghị làm rõ một số khái niệm, như “dữ liệu cá nhân cơ bản”, “dữ liệu cá nhân nhạy cảm”, “bảo vệ dữ liệu cá nhân”, đồng thời giao Chính phủ ban hành danh mục cụ thể để bảo đảm tính khả thi trong triển khai.

Theo đại biểu, “dữ liệu cá nhân cơ bản” cần được hiểu là những dữ liệu phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên được sử dụng trong các giao dịch và quan hệ xã hội; thuộc danh mục do Chính phủ quy định. Trong khi đó, “dữ liệu cá nhân nhạy cảm” là loại dữ liệu gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm có thể gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của tổ chức, cá nhân cũng thuộc danh mục do Chính phủ ban hành.

Về khái niệm “bảo vệ dữ liệu cá nhân”, đại biểu cho rằng, cần được hiểu là hoạt động của cơ quan, tổ chức, cá nhân nhằm sử dụng các lực lượng, phương tiện, biện pháp để phòng ngừa và ngăn chặn hành vi xâm phạm dữ liệu cá nhân.

Việc luật hóa các khái niệm này là cần thiết vì chúng có liên quan trực tiếp đến tên gọi, phạm vi điều chỉnh và toàn bộ nội dung của dự thảo Luật, đại biểu Đỗ Quang Thành nhấn mạnh.

Theo đại biểu Trần Quốc Tuấn, mức độ “nhạy cảm” của dữ liệu rất dễ gây tranh cãi, vì "điều mà một người cho là nhạy cảm thì người khác lại không cho là vậy".

Đơn cử, nếu thông tin về tình trạng sức khỏe của lãnh đạo một doanh nghiệp lớn bị rò rỉ đúng vào thời điểm giá cổ phiếu công ty đang ở mức cao, thì thông tin đó dù đúng sự thật cũng có thể gây tổn thất nghiêm trọng về tài chính và danh tiếng của doanh nghiệp. Vậy thì, người công bố thông tin ấy có vi phạm pháp luật hay không? Đây là câu hỏi chưa được Luật Dữ liệu hiện hành và dự thảo Luật Bảo vệ dữ liệu cá nhân trả lời rõ, đại biểu Trần Quốc Tuấn lưu ý.

Do đó, đại biểu Trần Quốc Tuấn đề nghị, Luật cần giải thích rõ “dữ liệu cá nhân nhạy cảm”, để bảo đảm tính minh bạch, khả thi. Hoặc nên giao Chính phủ ban hành danh mục dữ liệu cá nhân cơ bản và danh mục dữ liệu cá nhân nhạy cảm, từ đó làm căn cứ áp dụng thống nhất trong thực tế.

Việc làm rõ nội hàm của khái niệm này là cần thiết để tránh lúng túng trong xử lý các vụ việc cụ thể và bảo đảm quyền riêng tư của công dân mà không làm ảnh hưởng tới hoạt động bình thường của các tổ chức, doanh nghiệp.

Rà soát quy định xử phạt theo tỷ lệ doanh thu để bảo đảm tính khả thi

Góp ý với Điều 4 về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân, đại biểu Đỗ Quang Thành cho rằng, khoản 2 quy định “áp dụng mức xử phạt hành chính từ 1% - 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm” chưa bảo đảm sự thống nhất với Luật Xử lý vi phạm hành chính hiện hành và có thể khó triển khai trên thực tế.

Lý lẽ, theo đại biểu, là bởi việc xử phạt vi phạm cần tuân thủ quy định của Luật Bảo vệ dữ liệu cá nhân và Luật Xử lý vi phạm hành chính.

Cụ thể, mức phạt tiền tối đa đối với hành vi vi phạm nghiêm trọng nên được xác định là gấp 10 lần khoản thu có được từ hành vi vi phạm. Trường hợp mức phạt này thấp hơn mức phạt tiền tối đa quy định trong Luật Xử lý vi phạm hành chính, thì áp dụng mức phạt theo quy định của Luật hiện hành để đảm bảo sự thống nhất và hiệu lực pháp lý.

Riêng với hành vi vi phạm liên quan đến chuyển dữ liệu cá nhân xuyên biên giới, đại biểu đề xuất áp dụng mức phạt tối đa là 5% doanh thu năm liền trước của tổ chức, doanh nghiệp vi phạm. Tuy nhiên, nếu mức phạt này vẫn thấp hơn mức tối đa quy định tại khoản 3, Điều 4 dự thảo Luật, thì cần áp dụng theo mức cao hơn nhằm tăng tính răn đe và hiệu quả thực thi pháp luật.

Đại biểu Trần Quốc Tuấn cũng bày tỏ băn khoăn về tính khả thi của quy định xử phạt vi phạm hành chính từ 1% - 5% doanh thu năm liền trước đối với tổ chức, doanh nghiệp vi phạm quy định về bảo vệ dữ liệu cá nhân.

Theo đại biểu, nếu giữ nguyên quy định này, sẽ nảy sinh nhiều vướng mắc trong thực tế.

Chẳng hạn, với những doanh nghiệp mới thành lập trong năm và đến cuối năm phát sinh vi phạm, thì không thể căn cứ vào doanh thu năm trước để xử phạt.

Hay, trong một số trường hợp, doanh nghiệp sau khi vi phạm đã nhanh chóng giải thể trước khi bị phát hiện, khiến cơ quan chức năng không có cơ sở để xử lý.

Ngoài ra, cũng có những doanh nghiệp có doanh thu, nhưng tỷ suất lợi nhuận rất thấp, nếu áp mức phạt dựa trên doanh thu sẽ gây thiệt hại lớn, thậm chí đẩy doanh nghiệp vào nguy cơ phá sản.

Từ những phân tích trên, đại biểu Trần Quốc Tuấn đề nghị Ban soạn thảo nghiên cứu lại thiết kế chính sách xử phạt để bảo đảm khả thi, phù hợp với thực tiễn, đồng thời vẫn giữ được tính răn đe.

Bên cạnh đó, khi Chính phủ xây dựng quy định chi tiết về xử phạt, cần chú trọng việc phân loại hành vi vi phạm, xác định rõ mức phạt tương ứng theo tính chất, mức độ của từng vi phạm. Việc này nhằm bảo đảm công bằng, khách quan và hiệu quả trong việc thực thi pháp luật bảo vệ dữ liệu cá nhân.