Xây dựng Luật Bảo vệ dữ liệu cá nhân là bước đi thận trọng, kỹ lưỡng và chuẩn bị công phu
Dự án Luật Bảo vệ dữ liệu cá nhân do Bộ Công an chủ trì xây dựng là một dự án luật quan trọng nhằm đáp ứng yêu cầu thực tiễn trong công tác bảo vệ dữ liệu cá nhân đồng thời cũng là bước đi thận trọng, kỹ lưỡng, có quá trình và sự chuẩn bị công phu của Chính phủ. Báo CAND đã có cuộc trò chuyện với Thượng tá Nguyễn Bá Sơn, Phó Cục trưởng Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an, đơn vị được giao chủ trì tham mưu xây dựng dự án Luật xoay quanh những nội dung của dự án Luật.
PV: Xin đồng chí cho biết sự cần thiết phải xây dựng và ban hành Luật Bảo vệ dữ liệu cá nhân?
Thượng tá Nguyễn Bá Sơn: Việc xây dựng dự án Luật Bảo vệ dữ liệu cá nhân là hết sức cần thiết nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân. Luật sẽ giúp thống nhất, đồng bộ hệ thống pháp luật về bảo vệ dữ liệu cá nhân, nâng cao nhận thức, ý thức về hoạt xử lý dữ liệu cá nhân hiện nay song hành với công tác bảo vệ dữ liệu cá nhân và có các quy định rõ ràng về việc bảo đảm các quyền của chủ thể dữ liệu. Đồng thời giúp nâng cao nhận thức của tất các cả đối tượng về quyền, trách nhiệm, nghĩa vụ bảo vệ dữ liệu cá nhân. Các chế tài được áp dụng sau khi ban hành Luật cũng mang tính răn đe, nâng cao ý thức thượng tôn pháp luật, tôn trọng và tuân thủ các quy định trong hoạt động xử lý dữ liệu cá nhân. Việc xây dựng dự án Luật Bảo vệ dữ liệu cá nhân cũng là bước đi thận trọng, kỹ lưỡng, có quá trình và sự chuẩn bị công phu của Chính phủ, bắt đầu từ khi khảo sát xây dựng nghị định bảo vệ dữ liệu cá nhân (năm 2019) đến khi nghị định có hiệu lực và triển khai trên thực tiễn.
Về cơ sở chính trị, pháp lý, dữ liệu cá nhân là vấn đề liên quan tới chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, chính phủ điện tử, chính phủ số, kinh tế số. Thời gian gần đây, Đảng và Nhà nước đã ban hành nhiều văn bản chỉ đạo vấn đề này theo hướng bảo đảm an ninh mạng lấy con người, trí tuệ con người làm trung tâm, là nhân tố quyết định, hoàn thiện hành lang pháp lý trong bảo vệ dữ liệu cá nhân. Bảo vệ dữ liệu cá nhân được tiến hành song song, đồng thời với sự phát triển kinh tế, xã hội, đi liền với tất cả các khâu, quá trình nhưng phải đảm bảo không hạn chế sự phát triển, đổi mới và sáng tạo. Hiến pháp năm 2013 đã kế thừa các quy định của các bản Hiến pháp trước đây, khẳng định quyền riêng tư của cá nhân là bất khả xâm phạm, đồng thời phát triển mở rộng phạm vi quyền riêng tư không chỉ là quyền bất khả xâm phạm về thân thể, nhà ở, thư tín mà còn bao gồm quyền bảo vệ bí mật cá nhân, trong đó có thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình (Điều 21).
Về cơ sở thực tiễn, hiện có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam nhưng tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân, chỉ có Nghị định số 13/2023/NĐ-CP ngày 17/4/2024 của Chính phủ về bảo vệ dữ liệu cá nhân (Nghị định số 13) đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Tuy nhiên, đây mới chỉ là văn bản Nghị định, chưa phải văn bản luật nên cần thống nhất thực hiện trong thực tiễn, cần có văn bản luật làm "luật gốc", mang tính nguyên tắc, góp phần tiếp tục thể chế hóa quy định của Hiến pháp và pháp luật về quyền bảo vệ bí mật cá nhân, quyền con người, quyền công dân, an ninh mạng bảo đảm sự đồng bộ, thống nhất trong hệ thống pháp luật.
Qua thực tiễn triển khai công tác bảo vệ dữ liệu cá nhân cho thấy, hiện có nhiều tổ chức, doanh nghiệp thu thập thừa dữ liệu cá nhân so với ngành nghề, sản phẩm, dịch vụ kinh doanh, thiếu cơ sở pháp lý khi thu thập dữ liệu cá nhân, không xác định được các luồng xử lý dữ liệu. Nhiều hoạt động thu thập, xử lý dữ liệu cá nhân mà chưa có sự đồng ý của chủ thể dữ liệu, không thể lấy ý kiến về sự đồng ý đối với những dữ liệu cá nhân đã thu thập. Điều đó cho thấy, các quyền cơ bản của công dân đối với dữ liệu cá nhân chưa được bảo đảm, công dân chưa biết cách tự bảo vệ, chưa biết cách khiếu kiện, phản đối, yêu cầu bồi thường thiệt hại khi có hành vi vi phạm pháp luật, xâm hại tới quyền và lợi ích hợp pháp của mình. Luật Bảo vệ dữ liệu cá nhân sẽ là cơ sở pháp lý ghi nhận các quyền của công dân đối với dữ liệu cá nhân, góp phần nâng cao nhận thức và hoàn thiện cơ chế thực thi bảo vệ các quyền công dân.
Bên cạnh đó, việc thực hiện các nghĩa vụ trong quá trình xử lý dữ liệu cá nhân trong các tổ chức chưa được tiến hành thường xuyên. Việc thay đổi quy trình làm việc, chính sách hiện hành của tổ chức, doanh nghiệp phù hợp với quy định về bảo vệ dữ liệu cá nhân đã được quan tâm nhưng chưa được triển khai đúng mức; việc cung cấp các giải pháp kỹ thuật bảo vệ dữ liệu cá nhân còn hạn chế, thiếu tiêu chí đánh giá các giải pháp kỹ thuật đáp ứng được yêu cầu bảo vệ dữ liệu cá nhân. Những hạn chế, thiếu hiệu quả khi triển khai tuân thủ Nghị định số 13 sẽ được giải quyết thông qua việc bổ sung, chỉnh sửa các quy định trong Luật Bảo vệ dữ liệu cá nhân theo hướng đầy đủ, rõ ràng hơn và sẽ được cụ thể hóa trong các văn bản của Chính phủ hướng dẫn chi tiết thi hành Luật.
PV: Quá trình xây dựng dự án Luật, cơ quan chủ trì xây dựng đã tham khảo kinh nghiệm của các quốc gia trên thế giới như thế nào, thưa đồng chí?
Thượng tá Nguyễn Bá Sơn: Bảo vệ dữ liệu cá nhân là vấn đề được các tổ chức và nhiều quốc gia trên thế giới quan tâm và đi trước nước ta trong thời gian khá dài, có nhiều kinh nghiệm pháp lý và thực tiễn triển khai thi hành để tiếp thu. Hiện nay, đã có hơn 140 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân, nhiều văn bản có quy định áp dụng đối với tổ chức, cá nhân Việt Nam. Do hệ thống pháp luật, trình độ nhận thức, kinh tế, xã hội khác nhau nên việc tiếp thu các quy định, tiền lệ về bảo vệ dữ liệu cá nhân cần bảo đảm yếu tố hài hòa, trên cơ sở phù hợp với thực tiễn của nước ta, nhưng cũng bảo đảm sự tương thích về mặt pháp lý cho doanh nghiệp trong và ngoài nước thuận lợi triển khai. Một số công ước, khuyến nghị và tiêu chuẩn khu vực về quyền riêng tư và bảo vệ thông tin và dữ liệu cá nhân mặc dù nước ta chưa phải thành viên nhưng có thể được nghiên cứu, tiếp thu có chọn lọc.
Về cơ bản, quyền được bảo vệ dữ liệu cá nhân trong dự thảo Luật được tiếp cận và phát triển từ quyền riêng tư - với tư cách là quyền cơ bản của con người. Đây cũng là cách tiếp cận đã được pháp luật nhiều nước trên thế giới công nhận và có cơ chế bảo vệ trước sự xâm phạm từ phía nhà nước cũng như từ các chủ thể khác; thống nhất nguyên tắc dữ liệu cá nhân được bảo vệ và các chủ thể khác chỉ được sử dụng dữ liệu cá nhân khi được chủ thể dữ liệu cá nhân cho phép trừ các trường hợp luật định; các hành vi xâm phạm quyền đối với dữ liệu cá nhân bị xử lý hành chính, hình sự và chủ thể dữ liệu cá nhân bị xâm phạm có quyền yêu cầu bồi thường. Dự thảo Luật đảm bảo tương thích với các điều ước quốc tế về quyền con người như: Tuyên ngôn quốc tế nhân quyền năm 1948 (Điều 12), Công ước quốc tế về các quyền dân sự và chính trị năm 1966 (ICCPR, Điều 17), Công ước của Liên hợp quốc về quyền trẻ em (Điều 16), Công ước về quyền của người khuyết tật (Điều 22). Bên cạnh đó, dự thảo Luật quy định quy định về lưu chuyển dữ liệu qua biên giới phù hợp với các hiệp định thương mại tự do thế hệ mới...
Sự phát triển một số công nghệ mới đặt ra yêu cầu phải bảo vệ dữ liệu cá nhân, như: Xử lý dữ liệu lớn, trí tuệ nhân tạo, điện toán đám mây, blockchain, vũ trụ ảo. Với quan điểm bảo vệ để phát triển, Luật Bảo vệ dữ liệu cá nhân sẽ quy định cụ thể các hoạt động kinh doanh liên quan tới sử dụng dữ liệu cá nhân phục vụ phát triển kinh tế, xã hộị.
PV: Vậy, dự thảo Luật bao gồm những nội dung chính nào, thưa đồng chí?
Thượng tá Nguyễn Bá Sơn: Luật Bảo vệ dữ liệu cá nhân quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Luật là luật chung điều chỉnh việc bảo vệ dữ liệu cá nhân trên tất cả các môi trường, bao gồm môi trường truyền thống và môi trường mạng để đảm bảo tính bao quát, thống nhất, phù hợp với thông lệ quốc tế, tránh tạo khoảng trống pháp luật nếu chỉ điều chỉnh đối với môi trường điện tử. Đối tượng áp dụng gồm cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Dự thảo Luật gồm 7 Chương, 68 Điều, với 7 nội dung chính như sau: Thống nhất thuật ngữ và xây dựng một số khái niệm quan trọng về bảo vệ dữ liệu cá nhân; các nguyên tắc bảo vệ dữ liệu cá nhân; quy định 11 quyền của chủ thể dữ liệu, 3 nghĩa vụ của chủ thể dữ liệu; quy định về điều kiện bảo vệ dữ liệu cá nhân đối với các tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân; yêu cầu đánh giá tác động xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân ra nước ngoài như một bản cảm kết trước pháp luật về hoạt động xử lý dữ liệu cá nhân; hoàn thiện quy định về biện pháp bảo vệ dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm, điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân; quy định trách nhiệm của cơ quan, tổ chức, cá nhân.
PV: Một trong những nội dung đáng chú ý của dự thảo Luật là việc quy định quyền, nghĩa vụ của chủ thể dữ liệu. Những quy định này là nền tảng ghi nhận quyền bảo vệ dữ liệu cá nhân, quyền riêng tư của con người, làm cơ sở để triển khai công tác bảo vệ dữ liệu cá nhân toàn diện, thưa đồng chí?
Thượng tá Nguyễn Bá Sơn: Trên cơ sở kế thừa Nghị định số 13 và tiếp thu kinh nghiệm quốc tế, dự thảo Luật quy định 11 quyền của chủ thể dữ liệu (Quyền được biết, Quyền đồng ý, Quyền truy cập, chỉnh sửa, Quyền rút lại sự đồng ý, Quyền xóa dữ liệu, Quyền hạn chế, Quyền cung cấp dữ liệu, Quyền phản đối, Quyền khiếu nại, tố cáo, Quyền yêu cầu bồi thường thiệt hại, Quyền tự bảo vệ) và 3 nghĩa vụ (Tôn trọng, bảo vệ dữ liệu cá nhân của người khác; Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân).
Việc quy định quyền và nghĩa vụ của chủ thể là nền tảng ghi nhận quyền bảo vệ dữ liệu cá nhân, quyền riêng tư của con người, làm cơ sở để triển khai công tác bảo vệ dữ liệu cá nhân toàn diện. Đặc biệt, việc quy định quyền đồng ý và rút lại sự đồng ý đảm bảo nguyên tắc quan trọng nhất là xử lý dữ liệu cá nhân theo đúng mục đích được chủ thể dữ liệu đồng ý. Thực tế, nhận thức về các quyền và nghĩa vụ này của chủ thể dữ liệu tại Việt Nam chưa đồng bộ do đây là vấn đề còn mới. Sau khi Luật được ban hành, Bộ Công an sẽ tăng cường tuyên truyền, phổ biến và tập huấn nâng cao nhận thức của chủ thể dữ liệu về các quyền và nghĩa vụ này, từ đó áp dụng như một công cụ hiệu quả để bảo vệ dữ liệu cá nhân.
PV: Thực trạng lộ lọt, mua bán dữ liệu cá nhân hiện đang diễn ra một cách công khai, gây bức xúc trong dư luận nhưng vẫn chưa có chế tài đủ mạnh để xử lý. Dự thảo Luật đã có những quy định nào để ngăn chặn cũng như xử lý tình trạng này, thưa đồng chí?
Thượng tá Nguyễn Bá Sơn: Trong bối cảnh chuyển đổi số diễn ra sâu rộng trên hầu hết các lĩnh vực, dữ liệu cá nhân được chuyển lên môi trường điện tử thường xuyên, liên tục dẫn đến tình trạng lộ, mất dữ liệu cá nhân diễn ra phổ biến trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai. Mặc dù Nghị định số 13 đã quy định dữ liệu cá nhân không được mua, bán dưới mọi hình thức, thực tế tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Hoạt động mua, bán dữ liệu cá nhân diễn ra dưới nhiều hình thức. Bộ Công an phát hiện, đấu tranh, xử lý một số đường dây chiếm đoạt, mua bán dữ liệu cá nhân quy mô lớn tại Việt Nam (lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm). Trong năm 2023, phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên các nền tảng, diễn đàn (BreachedForums, Telegram, Facebook); cung cấp dịch vụ tra cứu dữ liệu cá nhân công dân Việt Nam (dữ liệu thời gian thực).
Do đó, dự thảo Luật tiếp tục quy định cấm mua bán dữ liệu cá nhân như tài sản, hàng hóa thông thường nhằm bảo vệ quyền riêng tư, quyền nhân thân của chủ thể dữ liệu; bổ sung khái niệm sử dụng dữ liệu cá nhân phục vụ phát triển kinh tế, xã hội để phân định hoạt động khai thác, sử dụng dữ liệu cá nhân hợp pháp, tạo thuận lợi cho phát triển kinh tế số, đổi mới sáng tạo và chuyển đổi số. Quá trình xử lý dữ liệu cá nhân cần tuân thủ đúng luồng xử lý theo mục đích chủ thể dữ liệu đồng ý, thực hiện đúng trách nhiệm, nghĩa vụ theo vai trò của từng bên trong luồng xử lý.
Dự thảo cũng bổ sung các cơ chế quản lý, bảo vệ chặt chẽ hoạt động sử dụng dữ liệu cá nhân trong một số lĩnh vực kinh doanh có hoạt động xử lý dữ liệu cá nhân quy mô lớn; bổ sung chuẩn hóa năng lực của chuyên gia bảo vệ dữ liệu cá nhân; yêu cầu xếp hạng tín nhiệm đối với tổ chức xử lý dữ liệu cá nhân nhạy cảm, kinh doanh dịch vụ xử lý dữ liệu cá nhân, dịch vụ bảo vệ dữ liệu cá nhân. Bên cạnh đó, chế tài xử phạt dự kiến sẽ tăng lên đối với các hành vi vi phạm gây hậu quả, thiệt hại nghiêm trọng nhằm tăng cường tính răn đe, phù hợp với thông lệ quốc tế.
PV: Xin đồng chí cho biết tiến độ xây dựng dự án Luật Bảo vệ dữ liệu cá nhân đến thời điểm này?
Thượng tá Nguyễn Bá Sơn: Dự án Luật đã được Chính phủ trình Quốc hội, đưa vào chương trình họp Kỳ thứ 9 Quốc hội khóa XV xem xét, dự kiến thông qua tháng 5/2025.
PV: Xin cảm ơn ông!