Dù việc xây dựng Luật Bảo vệ dữ liệu cá nhân được cho là hết sức cần thiết, tuy nhiên, để đảm bảo tính minh bạch, khả thi, chuyên gia đề xuất, cần làm rõ định nghĩa “khử nhận dạng dữ liệu cá nhân”.
Theo đó, dữ liệu cá nhân được coi là tài nguyên chiến lược, là tài sản đặc biệt và khi được giao dịch thì trở thành “hàng hóa” đặc biệt. Việc xây dựng Luật Bảo vệ dữ liệu cá nhân được xem là vô cùng cấp thiết để hoàn thiện hành lang pháp lý cơ bản về bảo vệ dữ liệu cá nhân trong bối cảnh tình trạng, lộ, lọt mua bán trái phép đang diễn biến ngày một tinh vi, tiềm ẩn nhiều hệ lụy.
Thực tế cho thấy, mặc dù thời gian qua, cơ quan chức năng cũng như truyền thông liên tục khuyến cáo các phương thức lừa đảo trực tuyến, thế nhưng vẫn xảy ra nhiều vụ lừa đảo với mức thiệt hại đến cả trăm tỷ đồng. Nguyên nhân chủ yếu là do dữ liệu cá nhân bị mua bán tràn lan.
Theo Hiệp hội An ninh mạng quốc gia (NCA), năm 2024 đã ghi nhận hơn 10.000 vụ việc liên quan đến lộ lọt thông tin cá nhân. Các trang web rao bán trái phép dữ liệu cá nhân với số lượng lớn, công khai, bất chấp các quy định pháp luật. Có tới hơn 66% người dùng xác nhận rằng, thông tin của họ từng bị sử dụng trái phép. Trong năm 2024, thiệt hại từ các vụ lừa đảo trực tuyến tại Việt Nam ước tính lên đến 18.900 tỷ đồng.
Còn theo Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an), người dùng còn nhận thức hạn chế về bảo vệ dữ liệu cá nhân. Nhiều người vô tư chia sẻ thông tin cá nhân, đăng hình ảnh trên mạng mà không biết rằng có thể trở thành “mồi” cho hệ thống thu thập tình báo mạng… Cục A05 nhận được rất nhiều phản ánh của người dân bị lừa đảo qua mạng. Trong đó, có trường hợp bị lừa đảo số tiền rất lớn.
Đặc biệt, qua vụ sữa giả mà cơ quan công an vừa khởi tố, điều tra, một câu hỏi đặt ra là tại sao đối tượng làm hàng giả lại biết được thông tin từng nhóm khách hàng, như người có tuổi, phụ nữ có thai hay đang nuôi con nhỏ, để liên hệ, dụ dỗ…? Điều này cho thấy, tình trạng lộ, lọt, đánh cắp, buôn bán thông tin cá nhân trên không gian mạng vẫn đang diễn ra.
Do đó, việc xây dựng Luật Bảo vệ Dữ liệu cá nhân được cho là nhiệm vụ cấp bách nhằm thể chế hóa quy định Hiến pháp về quyền riêng tư, quyền con người và đáp ứng yêu cầu của cuộc cách mạng công nghiệp lần thứ tư, chuyển đổi số quốc gia. Đồng thời tạo ra một khung pháp lý tương thích để hội nhập và tăng cường hợp tác quốc tế, bảo vệ dữ liệu cá nhân gắn liền với an ninh con người, an ninh quốc gia và chủ quyền dữ liệu quốc gia.
Cụ thể, Dự thảo Luật Bảo vệ dữ liệu cá nhân được định hướng xây dựng trên tinh thần tiếp nối Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân, nhưng ở cấp độ cao hơn, đồng bộ và mang tính nền tảng.
Đánh giá cao những nội dung được cơ quan soạn thảo đề xuất, đưa vào Dự thảo Luật, tuy nhiên, để Luật khi được ban hành đảm bảo tính minh bạch, khả thi, chuyên gia đề xuất, cần làm rõ định nghĩa “khử nhận dạng dữ liệu cá nhân”.
Chỉ ra hàng loạt khó khăn với các doanh nghiệp, tổ chức trong việc tuân thủ quy định về bảo vệ dữ liệu cá nhân như: Phải hiểu sâu sắc về quy định bảo vệ dữ liệu cá nhân; quy định có sự kết hợp giữa pháp lý và kỹ thuật; phải hoàn thiện hệ thống kỹ thuật để đáp ứng các quyền chủ thể dữ liệu; hay việc các đơn vị lúng túng trong thực hiện thủ tục hành chính, áp dụng tiêu chuẩn để bảo vệ dữ liệu cá nhân. Ông Bạch Trọng Đức - Trưởng phòng Đào tạo và tuân thủ của Công ty cổ phần An ninh dữ liệu Việt Nam (VNDS) cho rằng, Dự thảo Luật cần làm rõ định nghĩa “khử nhận dạng dữ liệu cá nhân” bởi đây là việc vô cùng cần thiết nhằm đảm bảo tính minh bạch, thống nhất và khả thi trong triển khai thực tế.
Đại diện VNDS đề xuất, tách định nghĩa “khử nhận dạng dữ liệu cá nhân” thành 2 trường hợp cụ thể. Theo đó, dữ liệu sau khi được khử nhận dạng đến mức mà dù áp dụng tất cả biện pháp kỹ thuật và công nghệ hiện có cũng không thể xác định được chủ thể dữ liệu, thì cần được phân loại là “dữ liệu phi cá nhân”.
Với trường hợp dữ liệu đã được khử nhận dạng, chỉ dựa trên bản thân dữ liệu mới được tạo ra đó thì không thể xác định được chủ thể; nhưng nếu kết hợp với các tập dữ liệu khác, vẫn có thể suy luận hoặc xác định cá nhân liên quan. Lúc này, dữ liệu vẫn cần được phân loại là dữ liệu cá nhân, vì nguy cơ tái định danh vẫn tồn tại.
“Việc phân biệt rõ hai cấp độ này không chỉ giúp cơ quan quản lý và doanh nghiệp hiểu đúng bản chất pháp lý của dữ liệu sau khi được xử lý, mà còn tạo nền tảng cho việc xác định nghĩa vụ tuân thủ phù hợp trong từng tình huống cụ thể”, đại diện VNDS chia sẻ.
Xoay quanh nội dung Dự thảo Luật, tham gia góp ý, một số ý kiến cũng cho hay, Dự thảo Luật Bảo vệ dữ liệu cá nhân được xây dựng trên tinh thần kế thừa và phát triển từ Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân. Trong đó, có nhiều nội dung mới và nhiều nội dung liên quan đến hoạt động xử lý dữ liệu cá nhân của các tổ chức, doanh nghiệp sẽ tác động đến hoạt động sản xuất, kinh doanh và chi phí tuân thủ pháp luật. Vì vậy, Dự thảo Luật này vừa phải đảm bảo gắn liền với bảo vệ an ninh quốc gia, giữ gìn trật tự, an toàn xã hội, vừa phải phục vụ tốt cho hoạt động của các cơ quan, tổ chức, khơi thông nguồn lực, tạo thuận lợi cho sản xuất, kinh doanh của các tổ chức, doanh nghiệp.
Được biết, Dự thảo Luật Bảo vệ dữ liệu cá nhân gồm 7 Chương, với 69 Điều, quy định về nguyên tắc xử lý dữ liệu, quyền và nghĩa vụ của chủ thể dữ liệu và bên liên quan, chuyển dữ liệu ra nước ngoài, đánh giá tác động dữ liệu, xếp hạng tín nhiệm bảo vệ dữ liệu, xử lý vi phạm và cơ chế kiểm tra, giám sát. Theo Chương trình dự kiến, chiều 05/5, tại Kỳ họp thứ 9, Quốc hội sẽ nghe Tờ trình và Báo cáo thẩm tra về Dự thảo Luật này.