Các văn bản pháp luật về dữ liệu cá nhân hiện nay
Các văn bản pháp luật về bảo vệ dữ liệu cá nhân trên, về cơ bản tiếp cận vấn đề bảo vệ dữ liệu cá nhân theo hướng đề cao nguyên tắc bảo đảm bí mật đời tư của chủ thể, tuy nhiên lại có các quy định khác nhau về thông tin liên quan đến dữ liệu cá nhân, đề cập đến những vấn đề về quyền và nghĩa vụ của các chủ thể, việc xử lý thông tin, các phương thức bảo vệ dữ liệu cá nhân.
Pháp luật điều chỉnh vấn đề bảo vệ dữ liệu cá nhân của Việt Nam đã đạt được một số kết quả đáng ghi nhận đặc biệt là ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 12/2023/NĐ-CP về bảo vệ dữ liệu cá nhân - đây là văn bản riêng quy định về vấn đề này ở nước ta. Các văn bản quy phạm pháp luật này đã tạo thành hành lang pháp lý trong công tác bảo vệ dữ liệu cá nhân; quy định cụ thể quyền của chủ thể dữ liệu cũng nhưng các bên xử lý, quy định các hình thức chế tài đối với hành vi vi phạm bảo vệ dữ liệu cá nhân cũng như xác định cơ quan chuyên môn về bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an…
Thực tế với hoạt động của tội phạm mạng hiện nay, các văn bản trên đã bộc lộ nhiều hạn chế như văn bản quy phạm pháp luật riêng biệt hiện tại mới chỉ ở cấp Nghị định, chưa đáp ứng được tính quan trọng của việc bảo vệ dữ liệu cá nhân, nhiều nội dung hiện nay được quy định chung chung chưa rõ khiến việc áp dụng chưa có hướng dẫn cụ thể cho từng trường hợp cụ thể, chế tài xử lý còn nhẹ chưa đủ sức răn đe…
Vì thế, tiếp tục hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân ở Việt Nam là cần thiết và đang là vấn đề cần được quan tâm nghiên cứu trên cơ sở sự tham khảo kinh nghiệm từ các nước. Cụ thể:
Thứ nhất, xây dựng Luật Bảo vệ dữ liệu cá nhân. Trước bối cảnh cách mạng công nghiệp 4.0, ở quy mô khu vực và quốc gia đã có 80 quốc gia ban hành văn bản quy phạm pháp luật riêng bảo vệ dữ liệu cá nhân. Việt Nam cần sớm nghiên cứu và ban hành đạo luật chung, chuyên biệt về dữ liệu như Luật bảo mật dữ liệu như: EU và Trung Quốc hay Singarpore, trong đó xác định những vấn đề cơ bản, nguyên tắc cho việc bảo vệ dữ liệu cá nhân. Việc ban hành một đạo luật riêng về dữ liệu cá nhân sẽ là cơ sở pháp lý quan trọng trong việc bảo vệ dữ liệu cá nhân khi hiện nay các văn bản quy phạm pháp luật liên quan đến vấn đề này ở nước ta chưa có sự thống nhất ngay cả trong sử dụng thuật ngữ cũng như các quy định nội dung.
Thứ hai, sửa đổi, bổ sung các chế tài xử lý các hành vi vi phạm về dữ liệu cá nhân theo hướng tăng nặng để tương xứng với tính chất, mức độ của hành vi vi phạm. Mặc dù đã quy định các chế tài xử lý đối với hành vi vi phạm dữ liệu cá nhân ở nước ta bao gồm hành chính, dân sự và hình sự nhưng nhìn chung còn khá nhẹ, chưa có sức răn đe cao. Phương thức chủ yếu hiện nay vẫn là áp dụng chế tài xử phạt vi phạm hành chính tuy nhiên quy định rải rác ở nhiều Nghị định với mức phạt khá thấp, cao nhất là: 100 triệu đồng đối với cá nhân và 200 triệu đồng đối với tổ chức.
Trong khi những thiệt hại mà vi phạm hành chính về dữ liệu cá nhân có thể gây ra không chỉ là những thiệt hại về vật chất mà còn về danh dự và nhân phẩm. Bên cạnh xử phạt hành chính, chế tài hình sự đối với hành vi vi phạm về dữ liệu cá nhân mới chỉ được thể hiện trong các chế định về quyền riêng tư và lĩnh vực công nghệ thông tin, an ninh mạng tại Điều 159, Điều 288 Bộ luật Hình sự hiện hành với mức phạt tù tương đối thấp không quá 7 năm tù, phạt tiền cũng không quá 1 tỷ đồng. Mức phạt này khi so sánh với mức của EU là 20 triệu Euro, 1 triệu SGD của Singapore hay mức phạt chung thân của Trung Quốc thì còn rất thấp, chưa tương xứng với nhiều hành vi vi phạm.
Đồng thời, cần quy định thêm nhiều nhóm hành vi hiện chưa nêu trong luật như mua bán dữ liệu quy mô lớn, thiết lập hệ thống nhằm vi phạm dữ liệu, vi phạm trong kinh doanh dịch vụ tiếp thị…
Thứ ba, về mô hình cơ quan bảo vệ dữ liệu cá nhân ở Việt Nam. Hiện, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an là cơ quan chuyên môn về bảo vệ dữ liệu cá nhân. Tham chiếu với quy định quốc tế, chúng ta có thể xem xét xây dựng cơ quan bảo vệ dữ liệu các nhân độc lập chịu trách nhiệm thực thi Luật Bảo vệ dữ liệu cá nhân, tiến hành thanh tra, kiểm tra, ban hành hướng dẫn và đưa ra các khuyến nghị cũng như áp dụng các biện pháp trừng phạt vi phạm nếu có.
Chúng ta có thể tham khảo các mô hình này tại EU hay Singapore… để hoạt động thực thi pháp luật bảo vệ dữ liệu cá nhân đạt hiệu quả cao, cân bằng việc bảo vệ quyền cá nhân và bảo đảm an ninh mạng.
Pháp luật quốc tế
Bộ quy tắc chung của Liên minh Châu Âu (EU) về bảo vệ dữ liệu (GDPR). GDPR được đánh giá là một bước tiến pháp lý lớn, tạo ra cơ chế bảo vệ thông tin cá nhân khắt khe nhất thế giới hiện nay và được áp dụng cho mọi tổ chức, doanh nghiệp đang xử lý dữ liệu cá nhân của các công dân trong EU.
GDPR áp dụng các hình thức xử phạt vi phạm doanh nghiệp đồng bộ cho cả khối. Cụ thể, mức phạt là tối đa 2% doanh thu hoặc 10 triệu euro cho những vi phạm nhỏ, và 4% doanh thu hoặc 20 triệu Euro cho những vi phạm lớn. Ngoài phạt tiền, các doanh nghiệp vi phạm GDPR còn có thể bị áp dụng các biện pháp trừng phạt khác như buộc ngừng hoạt động xử lý dữ liệu hoặc xóa dữ liệu đã được xử lý vi phạm GDPR.
Cơ quan bảo vệ dữ liệu cá nhân của EU là Cơ quan giám sát về bảo vệ dữ liệu của EU (EDPS) - cơ quan độc lập với thành viên là các luật sư, chuyên gia công nghệ thông tin và quản trị viên có kinh nghiệm.
Cơ quan này có chức năng chính trong việc giám sát việc xử lý dữ liệu cá nhân trong các cơ quan, tổ chức thuộc EU cũng như tham mưu về những vấn đề liên quan đến dữ liệu cá nhân. GDPR cũng đặt yêu cầu cho việc thành lập Cơ quan bảo vệ dữ liệu cá nhân ở mỗi quốc gia thành viên như Ủy ban quốc gia bảo vệ dữ liệu cá nhân (Pháp, Ireland…) hay cơ quan thanh tra bảo vệ dữ liệu (Phần Lan, Latvia…).
Cùng với EDPS, EU còn thành lập Ủy ban bảo vệ dữ liệu Châu Âu (EDPB) gồm đại diện các cơ quan bảo vệ dữ liệu quốc gia của các quốc gia thành viên và đại diện của với chức năng là cơ quan tư vấn độc lập chính về các vấn đề bảo vệ dữ liệu cá nhân, chịu trách nhiệm áp dụng nhất quán GDPR trên toàn liên minh.
GDPR đưa ra chế tài xử lý mang tính răn đe cao cả về vật chất lẫn phi vật chất. Thêm vào đó cơ quan bảo vệ dữ liệu cá nhân của EU được thực hiện theo mô hình Ủy ban/Ủy viên nên có quyền hạn lớn và độc lập khi có thể áp dụng các biện pháp trừng phạt nếu các tổ chức vi phạm quy định về bảo vệ dữ liệu cá nhân và có khả năng đánh giá và quyết định độc lập về việc xử lý dữ liệu cá nhân.
Luật Bảo vệ Thông tin cá nhân của Trung Quốc (PIPL) ban hành năm 2021 được đánh giá là luật bảo vệ thông tin cá nhân toàn diện, cấp quốc gia đầu tiên ở Trung Quốc. PIPL đưa ra quan điểm tương đối thống nhất về dữ liệu cá nhân/Thông tin cá nhân là thông tin nhằm xác định hay nhận dạng một cá nhân cụ thể, hướng tới đối tượng hẹp là cá nhân trên lãnh thổ Trung Quốc (Điều 4 Chương 1 PIPL). Đồng thời, quy định về vấn đề dữ liệu cá nhân nhạy cảm để từ đó thiết lập quy định về quyền và nghĩa vụ của các bên đối với các nhóm dữ liệu cụ thể hơn.
Chế tài xử lý đối với đối với hành vi vi phạm quyền dữ liệu cá nhân theo quy định của PIPL rất nghiêm, như buộc khắc phục hậu quả, tịch thu thu nhập bất hợp pháp, đình chỉ dịch vụ, thu hồi giấy phép hoạt động hoặc kinh doanh, phạt tiền với mức phạt lên tới 50 triệu NDT hoặc 5% doanh thu hàng năm của một tổ chức trong năm tài chính trước đó. Ngoài ra, các vi phạm cũng có thể được ghi vào “hồ sơ tín dụng” của đơn vị xử lý theo hệ thống tín dụng xã hội quốc gia.
Luật Bảo vệ dữ liệu cá nhân của Singapore (PDPA) thông qua năm 2012 (sửa đổi năm 2020). Pháp luật Singapore công nhận quyền bảo vệ dữ liệu cá nhân cũng như sự cần thiết của việc tổ chức thu thập, sử dụng và tiết lộ thông tin vì những mục đích phù hợp với những hoàn cảnh nhất định.
PDPA cũng quy định các hình phạt tài chính nghiêm khắc đối với các hành vi vi phạm dữ liệu. Đối với cá nhân vi phạm sẽ bị áp dụng các hình thức phạt tiền hoặc tù giam. Mức phạt tiền tùy thuộc vào tính chất, mức độ hành vi trong đó phạt tiền từ 2.000 tới 100.000 SGD (tương đương 1,6 tỷ đồng) hoặc/và phạt tù không quá 12 tháng, nếu nghiêm trọng có thể lên đến 3 năm1; đối với cơ quan, công ty vi phạm có thể bị phạt lên tới 10% doanh thu hàng năm.
Cơ quan có vai trò quan trọng trong việc bảo đảm thực thi PDPA là Ủy ban bảo vệ dữ liệu cá nhân (PDPC). Đây là cơ quan chuyên trách có quyền hạn lớn và khả năng thực thi rộng rãi khi có quyền yêu cầu cá nhân, tổ chức cung cấp thông tin, tài liệu liên quan đến xử lý dữ liệu cá nhân, phạt tài chính với các vi phạm cũng như xử lý bằng các biện pháp khác.
Với việc thành lập cơ quan chuyên trách Ủy ban Bảo vệ dữ liệu cá nhân của Singapore làm việc một cách độc lập, chủ động trong việc phát hiện, xử lý vi phạm, áp dụng biện pháp trừng phạt cũng là một trong những điều kiện để bảo vệ dữ liệu cá nhân ở Singapore được thực thi một cách có hiệu quả.
H.Dương (t/h)