Dự thảo Luật Bảo vệ dữ liệu cá nhân: Vẫn còn những băn khoăn
Đồng tình với sự cần thiết phải xây dựng, ban hành Luật Bảo vệ dữ liệu cá nhân, tuy nhiên, để đảm bảo tính khả thi, không ít ý kiến cho rằng, một số quy định cần được rà soát, làm rõ.
Theo báo cáo của Hiệp hội An ninh mạng quốc gia (NCA), năm 2024, Việt Nam đã ghi nhận hơn 10.000 vụ việc liên quan đến lộ lọt thông tin cá nhân. Các trang web rao bán trái phép dữ liệu cá nhân với số lượng lớn, công khai, bất chấp các quy định pháp luật. Có tới hơn 66% người dùng xác nhận thông tin của họ từng bị sử dụng trái phép, thiệt hại từ các vụ lừa đảo trực tuyến tại Việt Nam trong năm 2024 ước tính lên đến 18.900 tỷ đồng.
Trước vấn nạn thu thập, mua bán dữ liệu trái phép đang diễn ra tràn lan, gây hệ lụy lớn cho cả cá nhân và tổ chức, việc xây dựng và ban hành Luật này được cho là cần thiết và cấp bách.
Tại Kỳ họp thứ 9, Quốc hội khóa XV, Chính phủ đã trình Quốc hội Dự thảo Luật Bảo vệ dữ liệu cá nhân gồm 7 Chương, 69 Điều, quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
Đánh giá về Dự thảo Luật này, không ít ý kiến cho hay, việc hoàn thiện và sớm ban hành Luật Bảo vệ dữ liệu cá nhân không chỉ cấp thiết nhằm bảo đảm quyền con người trong kỷ nguyên số, mà còn thể hiện quyết tâm của Nhà nước trong xây dựng một xã hội số an toàn, văn minh và thượng tôn pháp luật. Tuy nhiên, để đảm bảo tính khả thi, một số quy định cần được rà soát, làm rõ.
Tham gia góp ý Dự thảo Luật, đại biểu Đỗ Quang Thành - Đoàn đại biểu Quốc hội tỉnh Cao Bằng cho rằng, phạm vi điều chỉnh và nội hàm của các khái niệm như “dữ liệu cá nhân cơ bản” và “dữ liệu cá nhân nhạy cảm” cần được làm rõ hơn để tránh định tính, gây khó khăn khi áp dụng.
Đồng thời kiến nghị, bổ sung thêm khái niệm "bảo vệ dữ liệu cá nhân" để làm rõ trách nhiệm và phạm vi điều chỉnh của luật.
Nêu ví dụ thực tế về việc rò rỉ thông tin bệnh lý của một doanh nhân đã gây hoang mang cổ đông và ảnh hưởng lớn đến giá trị cổ phiếu công ty, dù thông tin là sự thật. Đại biểu bày tỏ: Vậy hành vi này có bị xử lý không? - Đây là vấn đề mà Luật cần giải thích rõ, thậm chí có thể giao Chính phủ ban hành danh mục cụ thể các loại dữ liệu nhạy cảm.
Đồng tình với sự cần thiết phải ban hành Luật, tham gia góp ý, đại biểu Nguyễn Trường Giang – Đoàn đại biểu Quốc hội tỉnh Đắk Nông cho rằng, quy định tại Điều 4 liên quan đến xử phạt vi phạm hành chính đối với hành vi vi phạm quy định bảo vệ dữ liệu cá nhân với mức phạt hành chính có thể lên đến 5% doanh thu năm trước của tổ chức, doanh nghiệp vi phạm là chưa hợp lý.
“Ví dụ, doanh thu hợp nhất của Viettel là khoảng 189.900 tỷ đồng, VNPT là 58.500 tỷ đồng, Mobifone là 23.500 tỷ đồng, như vậy, mức phạt tối thiểu 1% cũng đã là một con số rất lớn, chưa nói đến 5%. Trong khi đó, lợi nhuận trên vốn chủ sở hữu của các doanh nghiệp này chỉ dưới 10%. Như vậy, nếu xử phạt dựa trên doanh thu thì quá nặng, thậm chí có thể ảnh hưởng đến sự tồn tại của doanh nghiệp”, đại biểu viện dẫn.
Theo đại biểu, nguyên tắc xử phạt hành chính phải đảm bảo tính răn đe nhưng cũng phải công bằng và phù hợp với hành vi vi phạm. Vì vậy, cơ quan chủ trì soạn thảo cần thuyết minh rõ cơ sở pháp lý, kinh tế để quy định mức phạt cụ thể, đồng thời làm rõ mối quan hệ với các luật chuyên ngành khác như Luật An ninh mạng, Luật Giao dịch điện tử, Luật An toàn thông tin mạng…
Về quy định cấm mua bán dữ liệu cá nhân, đại biểu cũng cho rằng, cần làm rõ hơn.
“Nếu dữ liệu cá nhân là tài sản, thì theo nguyên tắc dân sự, chủ sở hữu có quyền định đoạt, bao gồm quyền mua bán, tặng cho, thừa kế, thế chấp… vậy tại sao lại cấm hoàn toàn việc mua bán. Nếu cấm, thì cần nêu rõ là cấm trong trường hợp nào: khi thu thập không hợp pháp, hay xử lý sai mục đích.
Việc áp dụng lệnh cấm chung chung như vậy có thể vi phạm quyền dân sự của cá nhân đối với tài sản của mình. Chúng ta cần minh bạch hóa vai trò, quyền hạn của từng chủ thể: chủ thể xử lý, sở hữu và bảo vệ dữ liệu cá nhân”, đại biểu bày tỏ.
Cũng theo đại biểu, về quy định xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình nơi công cộng còn bất cập. Vì việc ghi hình nơi công cộng hiện nay rất phổ biến, từ camera an ninh, ghi hình sự kiện, phóng sự truyền hình… nếu bắt buộc mọi người phải thông báo cho chủ thể dữ liệu thì sẽ rất khó thực hiện, thậm chí phi lý.
“Ở đây phải nhấn mạnh, mục đích sử dụng dữ liệu thu được ở đây là gì, nếu sử dụng sai mục đích thì mới cần xử phạt, không nên cấm một cách máy móc”, đại biểu góp ý.
Đồng thời cho rằng, việc bắt buộc doanh nghiệp phải có chuyên gia bảo vệ dữ liệu là chưa hợp lý. Bởi, tùy theo quy mô, khả năng tài chính và tính chất dữ liệu mà doanh nghiệp có thể lựa chọn hình thức bảo vệ phù hợp. Có thể thuê đơn vị chuyên nghiệp nếu thấy cần thiết, hoặc tự tổ chức bảo vệ nếu đủ năng lực. Tránh tình trạng ép buộc gây gánh nặng cho doanh nghiệp nhỏ, trong khi việc đảm bảo an toàn dữ liệu có thể đạt được bằng các phương án linh hoạt hơn.
Được biết, theo Chương trình Kỳ họp thứ 9, Quốc hội khóa XV, Dự án Luật Bảo vệ dữ liệu cá nhân sau tiếp thu, chỉnh lý sẽ tiếp tục được Quốc hội đưa ra thảo luận ở hội trường tại phiên họp ngày 24/5 tới đây.