Luật Bảo vệ dữ liệu cá nhân: Cân nhắc mức phạt “1-5% doanh thu năm liền trước”

Chiều 5/5, Phó Thủ tướng Lê Thành Long thừa ủy quyền Thủ tướng Chính phủ trình Quốc hội dự án Luật Bảo vệ dữ liệu cá nhân.

Theo tờ trình, pháp luật có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân song chưa có quy định chế tài để bảo vệ dữ liệu cá nhân gắn cụ thể với các quyền của chủ thể dữ liệu.

Mặt khác, qua thực tiễn triển khai công tác bảo vệ dữ liệu cá nhân theo Nghị định số 13/2023/NĐ-CP thấy hiện có nhiều tổ chức, doanh nghiệp thu thập thừa dữ liệu cá nhân so với ngành nghề, sản phẩm, dịch vụ kinh doanh, thiếu cơ sở pháp lý khi thu thập dữ liệu cá nhân, không xác định được các luồng xử lý dữ liệu.

HOÀN THIỆN PHÁP LUẬT VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN

Nhiều hoạt động thu thập, xử lý dữ liệu cá nhân mà chưa có sự đồng ý của chủ thể dữ liệu, không thể lấy ý kiến về sự đồng ý đối với những dữ liệu cá nhân đã thu thập. Điều đó cho thấy các quyền cơ bản của công dân đối với dữ liệu cá nhân chưa được bảo đảm.

Công dân chưa biết cách tự bảo vệ, chưa biết cách khiếu kiện, phản đối, yêu cầu bồi thường thiệt hại khi có hành vi vi phạm pháp luật, xâm hại tới quyền và lợi ích hợp pháp của mình.

Bên cạnh đó, hoạt động mua, bán dữ liệu cá nhân diễn ra dưới nhiều hình thức như rao bán dữ liệu cá nhân số lượng lớn, có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua; tấn công, xâm nhập hệ thống thông tin để chiếm đoạt dữ liệu cá nhân, tán phát mã độc thu thập dữ liệu cá nhân trên môi trường mạng…

Bộ Công an đã phát hiện, đấu tranh, xử lý một số đường dây chiếm đoạt, mua bán dữ liệu cá nhân quy mô lớn tại Việt Nam (lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm).

Thực trạng trên đặt ra yêu cầu cấp bách trong hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân mang tính thống nhất, đồng bộ trong hệ thống pháp luật…

Dự thảo Luật Bảo vệ dữ liệu cá nhân gồm 7 Chương, 68 Điều; quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.

Trong đó, quy định thống nhất thuật ngữ và xây dựng một số khái niệm quan trọng về bảo vệ dữ liệu cá nhân, như: dữ liệu cá nhân; bảo vệ dữ liệu cá nhân; làm rõ khái niệm và nội hàm của dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm, dữ liệu phi cá nhân, khử nhận dạng dữ liệu cá nhân…

Dự thảo cũng xây dựng 7 nguyên tắc bảo vệ dữ liệu cá nhân, gồm: hợp pháp, minh bạch, đúng mục đích, hạn chế, chính xác, an ninh, giới hạn thời gian lưu trữ, trách nhiệm giải trình.

ĐỀ XUẤT PHÂN LOẠI CÁC LOẠI HÀNH VI VI PHẠM

Thẩm tra về dự thảo luật trên, Ủy ban Quốc phòng, An ninh và Đối ngoại nhất trí với sự cần thiết ban hành Luật Bảo vệ Dữ liệu cá nhân. Tuy nhiên, cần phải giới hạn phạm vi điều chỉnh của luật này để tập trung vào các biện pháp bảo vệ dữ liệu cá nhân và trách nhiệm của các chủ thể có liên quan trong bảo vệ dữ liệu cá nhân.

Khoản 2, Điều 4 dự thảo quy định: “áp dụng mức xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân”. Theo Ủy ban Quốc phòng, An ninh và Đối ngoại cần cân nhắc quy định này. Bởi lẽ, một số ý kiến cho rằng mức xử phạt hành chính như vậy là không khả thi và quá nặng đối với tổ chức, doanh nghiệp.

Một số ý kiến cho rằng quy định này không thống nhất với quan điểm xử phạt vi phạm hành chính hiện nay là “việc xử phạt vi phạm hành chính phải căn cứ vào tính chất, mức độ, hậu quả vi phạm, đối tượng vi phạm và tình tiết giảm nhẹ, tình tiết tăng nặng”.

Có ý kiến cho rằng quy định phạt theo doanh thu năm liền trước không phù hợp với tổ chức, doanh nghiệp mới thành lập và trường hợp tổ chức, doanh nghiệp không có doanh thu hoặc có doanh thu mà không có lợi nhuận. Một số ý kiến đề xuất phân loại các loại hành vi vi phạm để có quy định mức xử phạt phù hợp.

Về Điều 7 quy định các hành vi nghiêm cấm, có ý kiến đề nghị rà soát, bổ sung các hành vi bị nghiêm cấm khác cho đầy đủ theo từng nhóm hoạt động và từng loại chủ thể bảo vệ dữ liệu cá nhân.

Có ý kiến đề nghị giải thích từ ngữ “mua, bán dữ liệu cá nhân”. Một số ý kiến cho rằng, nếu cấm hoàn toàn mua, bán dữ liệu cá nhân có thể sẽ làm ảnh hưởng đến hoạt động, sản xuất, kinh doanh của các tổ chức, doanh nghiệp, nên cần phải quy định theo hướng thông thoáng hơn để khơi thông nguồn lực, khuyến khích đổi mới sáng tạo, không cản trở thị trường dữ liệu... Có ý kiến đề nghị chỉnh sửa thành cấm “mua bán dữ liệu cá nhân trái pháp luật”.

Liên quan đến các quyền của chủ thể dữ liệu, một số ý kiến cho rằng quy định tại các điều luật tuyệt đối hóa quyền của chủ thể dễ dẫn đến lạm dụng quyền mà gây cản trở, khó khăn cho quá trình xử lý dữ liệu của các bên kiểm soát, xử lý dữ liệu cá nhân…

Ủy ban Quốc phòng, An ninh và Đối ngoại cũng đề nghị rà soát kỹ lưỡng các quy định về Chuyên gia bảo vệ dữ liệu cá nhân (Điều 39), Tổ chức bảo vệ dữ liệu cá nhân (Điều 41), Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân (Điều 42), Xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân (Điều 43) nhằm triệt để cắt giảm, đơn giản hóa thủ tục hành chính, điều kiện đầu tư sản xuất, kinh doanh...