Ngày 26/6, với đa số đại biểu có mặt biểu quyết tán thành, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân. Luật quy định rõ về phân cấp trong quản lý nhà nước; trách nhiệm của các bên kiểm soát, xử lý dữ liệu cá nhân, bên thứ ba, lực lượng bảo vệ dữ liệu cá nhân; cắt giảm 4 dịch vụ trong tổng số 5 dịch vụ do Chính phủ trình xuống còn 1 dịch vụ là Dịch vụ xử lý dữ liệu cá nhân.

Luật không còn quy định về thủ tục hành chính, trình tự, hồ sơ mà giao Chính phủ quy định; bỏ quy định về điều kiện kinh doanh dịch vụ tổ chức bảo vệ dữ liệu cá nhân, dịch vụ chuyên gia bảo vệ dữ liệu cá nhân; bỏ các trình tự, thủ tục cung cấp dữ liệu cá nhân, xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân và cấp chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân.

MỨC XỬ LÝ VI PHẠM VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN THEO TÍNH CHẤT, MỨC ĐỘ, HẬU QUẢ CỦA HÀNH VI

Báo cáo giải trình, tiếp thu, chỉnh lý dự thảo luật, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại của Quốc hội Lê Tấn Tới, cho biết nhiều ý kiến góp ý về phạm vi điều chỉnh và đối tượng áp dụng, giải thích từ ngữ, nguyên tắc bảo vệ dữ liệu cá nhân, áp dụng pháp luật, hành vi bị nghiêm cấm, xử lý vi phạm và hợp tác quốc tế.

Trước ý kiến góp ý của đại biểu, Ủy ban Thường vụ Quốc hội đã chỉ đạo nghiên cứu, tiếp thu. Trong đó, đã chỉnh sửa khái niệm “dữ liệu cá nhân” và bổ sung định nghĩa “dữ liệu cá nhân cơ bản”, “dữ liệu cá nhân nhạy cảm”, “bảo vệ dữ liệu cá nhân”, “đánh giá tác động xử lý dữ liệu cá nhân”; chỉnh lý quy định cấm mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác và bổ sung quy định về chuyển giao dữ liệu cá nhân.

Luật cũng tiết kết lại quy định xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo tính chất, mức độ, hậu quả của hành vi vi phạm. Theo đó, đối với hành vi mua, bán dữ liệu cá nhân, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm.

Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa 5% doanh thu năm liền trước. Đối với các hành vi vi phạm khác mức phạt tiền tối đa là 03 tỷ đồng; cá nhân vi phạm thì mức xử phạt bằng một phần hai đối với tổ chức.

Cụ thể, luật quy định, tổ chức, cá nhân có hành vi vi phạm quy định của Luật này và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này (mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỷ đồng).

Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.

Mức phạt tiền tối đa quy định trên được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức. Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG QUÁ TRÌNH XỬ LÝ, SỬ DỤNG

Nhiều ý kiến góp ý về việc cơ chế bảo đảm thực hiện các yêu cầu của chủ thể dữ liệu cá nhân, các hoạt động xử lý dữ liệu cá nhân cụ thể, các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu, chuyển dữ liệu cá nhân ra nước ngoài, đánh giá tác động xử lý dữ liệu cá nhân, bảo vệ dữ liệu cá nhân trong một số lĩnh vực, hoạt động cụ thể.

Ông Tới cho biết Ủy ban Thường vụ Quốc hội đã chỉ đạo nghiên cứu, tiếp thu các ý kiến, trong đó, quy định chặt chẽ cơ chế thực hiện các quyền của chủ thể dữ liệu, các hoạt động xử lý dữ liệu cá nhân cụ thể như thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân. Các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu;

Luật cũng thống nhất thuật ngữ “chuyển dữ liệu cá nhân xuyên biên giới” cho phù hợp với quy định của Luật Dữ liệu và áp dụng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và chỉ kiểm tra khi cần thiết, thay vì yêu cầu xin phép trước trong đa số trường hợp, tạo thuận lợi cho doanh nghiệp;

Về đánh giá tác động khi xử lý dữ liệu cá nhân và khi chuyển dữ liệu cá nhân xuyên biên giới cơ bản kế thừa các nội dung do Chính phủ trình. Theo đó cơ quan, tổ chức chỉ cần lập hồ sơ này một lần cho suốt quá trình hoạt động và cập nhật khi có thay đổi và cơ quan chức năng sẽ thực hiện kiểm tra hồ sơ khi xét thấy cần thiết. Đối với cả hai loại đánh giá tác động này, nếu đã thực hiện theo quy định của Luật này thì không phải thực hiện việc đánh giá rủi ro tương tự theo quy định của Luật Dữ liệu.

Luật cũng bổ sung bảo vệ dữ liệu cá nhân đối với các đối tượng là người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi để bảo đảm đầy đủ, bao quát.

Các đại biểu cũng góp ý về các biện pháp bảo vệ dữ liệu cá nhân, tiêu chuẩn, quy chuẩn kỹ thuật về bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân, nghiên cứu, phát triển về bảo vệ dữ liệu cá nhân, đề nghị quy định rõ lực lượng bảo vệ dữ liệu cá nhân và miễn trừ thuê chuyên gia bảo vệ dữ liệu cho doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp.

Tiếp thu các ý kiến đại biểu, luật đã bỏ các quy định không rõ ràng, không cần thiết do đã được điều chỉnh ở các văn bản quy phạm pháp luật chuyên ngành khác như về các biện pháp bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân, nghiên cứu, phát triển về bảo vệ dữ liệu cá nhân…

Luật cũng quy định lực lượng bảo vệ dữ liệu cá nhân gồm: Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an; bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân; tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân.

Bên cạnh đó, nhằm giảm gánh nặng tuân thủ pháp luật, ông Tới cho biết Ủy ban Thường vụ Quốc hội đã chỉ đạo bổ sung quy định doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các quy định về lập hồ sơ đánh giá tác động, chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong thời hạn 5 năm kể từ ngày Luật này có hiệu lực thi hành và miễn thực hiện với các hộ kinh doanh, doanh nghiệp siêu nhỏ.