Διεθνές δίκαιο για την προστασία των προσωπικών δεδομένων και οι επιπτώσεις για το Βιετνάμ

Ως μία από τις χώρες με την υψηλότερη ταχύτητα ανάπτυξης και εφαρμογών Διαδικτύου στον κόσμο , με σχεδόν το 80% του πληθυσμού να το χρησιμοποιεί, τα προσωπικά δεδομένα των 2/3 του πληθυσμού του Βιετνάμ αποθηκεύονται, δημοσιεύονται, κοινοποιούνται και συλλέγονται στον κυβερνοχώρο σε πολλές διαφορετικές μορφές και επίπεδα λεπτομέρειας.

Το 2022 και το 2023, το Βιετνάμ άσκησε διώξεις σε 5 ποινικές υποθέσεις που αφορούσαν χιλιάδες GB δεδομένων και δισεκατομμύρια προσωπικά δεδομένα που αγοράστηκαν και πωλήθηκαν. Αυτό δείχνει ότι η ανάγκη βελτίωσης του νόμου για την προστασία των προσωπικών δεδομένων με βάση την έρευνα και την αναφορά στο διεθνές δίκαιο είναι επείγουσα.

Διεθνές δίκαιο για την προστασία των προσωπικών δεδομένων

Ο ΓΚΠΔ θεωρείται ένα σημαντικό νομικό βήμα προόδου, δημιουργώντας τον αυστηρότερο μηχανισμό προστασίας προσωπικών δεδομένων στον κόσμο σήμερα.

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης (ΕΕ) θεωρείται ένα σημαντικό νομικό βήμα προόδου, δημιουργώντας τον αυστηρότερο μηχανισμό προστασίας προσωπικών δεδομένων στον κόσμο σήμερα και εφαρμόζεται σε όλους τους οργανισμούς και τις επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα πολιτών της ΕΕ.

Ο ΓΚΠΔ επιβάλλει ενιαίες κυρώσεις στις επιχειρήσεις σε ολόκληρο το μπλοκ. Συγκεκριμένα, τα πρόστιμα ανέρχονται έως και στο 2% του κύκλου εργασιών ή 10 εκατομμύρια ευρώ για μικρές παραβάσεις και στο 4% του κύκλου εργασιών ή 20 εκατομμύρια ευρώ για σοβαρές παραβάσεις. Εκτός από τα πρόστιμα, οι επιχειρήσεις που παραβιάζουν τον ΓΚΠΔ ενδέχεται επίσης να υπόκεινται σε άλλες κυρώσεις, όπως η αναγκαστική διακοπή της επεξεργασίας δεδομένων ή η διαγραφή δεδομένων που έχουν υποβληθεί σε επεξεργασία κατά παράβαση του ΓΚΠΔ.

Η αρχή προστασίας δεδομένων προσωπικού χαρακτήρα της ΕΕ είναι ο Επόπτης Προστασίας Δεδομένων της ΕΕ (ΕΕΠΔ) - ένας ανεξάρτητος φορέας του οποίου τα μέλη περιλαμβάνουν έμπειρους δικηγόρους, ειδικούς πληροφορικής και διοικητικούς υπαλλήλους.

Αυτός ο φορέας έχει την κύρια λειτουργία της εποπτείας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε οργανισμούς και υπηρεσίες της ΕΕ, καθώς και της παροχής συμβουλών για θέματα που σχετίζονται με τα προσωπικά δεδομένα. Ο ΓΚΠΔ απαιτεί επίσης τη σύσταση Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα σε κάθε κράτος μέλος, όπως μια Εθνική Επιτροπή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Γαλλία, Ιρλανδία...) ή μια Επιθεώρηση Προστασίας Δεδομένων (Φινλανδία, Λετονία...).

Παράλληλα με τον ΕΕΠΔ, η ΕΕ ίδρυσε επίσης το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ), το οποίο αποτελείται από εκπροσώπους των εθνικών αρχών προστασίας δεδομένων των κρατών μελών και εκπροσώπους της ΕΕ, και λειτουργεί ως το κύριο ανεξάρτητο συμβουλευτικό όργανο για θέματα προστασίας δεδομένων προσωπικού χαρακτήρα, υπεύθυνο για τη συνεπή εφαρμογή του ΓΚΠΔ σε ολόκληρη την ένωση.

Ο ΓΚΠΔ προβλέπει εξαιρετικά αποτρεπτικές κυρώσεις, τόσο ουσιώδεις όσο και άυλες. Επιπλέον, η αρχή προστασίας δεδομένων προσωπικού χαρακτήρα της ΕΕ, η οποία εφαρμόζεται με βάση το μοντέλο Επιτροπής/Επιτρόπου, έχει ευρείες και ανεξάρτητες εξουσίες επιβολής κυρώσεων σε περίπτωση που οργανισμοί παραβιάζουν τους κανονισμούς προστασίας δεδομένων προσωπικού χαρακτήρα και είναι σε θέση να αξιολογεί και να αποφασίζει ανεξάρτητα για την επεξεργασία δεδομένων προσωπικού χαρακτήρα.

Ο Νόμος περί Προστασίας Προσωπικών Δεδομένων της Κίνας (PIPL) που θεσπίστηκε το 2021 θεωρείται ο πρώτος ολοκληρωμένος νόμος περί προστασίας προσωπικών δεδομένων σε εθνικό επίπεδο στην Κίνα. Ο PIPL παρέχει μια σχετικά ενιαία άποψη για τα προσωπικά δεδομένα/προσωπικές πληροφορίες ως πληροφορίες που ταυτοποιούν ή ταυτοποιούν ένα συγκεκριμένο άτομο, στοχεύοντας σε μια στενή ομάδα ατόμων εντός της επικράτειας της Κίνας (Άρθρο 4 Κεφάλαιο 1 PIPL). Ταυτόχρονα, ρυθμίζει το ζήτημα των ευαίσθητων προσωπικών δεδομένων για τη θέσπιση κανονισμών σχετικά με τα δικαιώματα και τις υποχρεώσεις των μερών σε σχέση με πιο συγκεκριμένες ομάδες δεδομένων.

Οι κυρώσεις για παραβιάσεις των δικαιωμάτων περί προσωπικών δεδομένων βάσει του PIPL είναι πολύ αυστηρές, συμπεριλαμβανομένης της αναγκαστικής αποκατάστασης, της δήμευσης παράνομου εισοδήματος, της αναστολής υπηρεσιών, της ανάκλησης αδειών λειτουργίας ή επιχειρηματικής δραστηριότητας και προστίμων έως και 50 εκατομμυρίων γιουάν ή του 5% των ετήσιων εσόδων ενός οργανισμού κατά το προηγούμενο οικονομικό έτος. Επιπλέον, οι παραβιάσεις μπορούν επίσης να καταγράφονται στο «πιστωτικό αρχείο» της μονάδας επεξεργασίας βάσει του εθνικού συστήματος κοινωνικής πίστωσης.

Επιπλέον, οι μονάδες επεξεργασίας θα είναι υπεύθυνες για την αποζημίωση για ζημίες σε περίπτωση που παραβιάζουν τα δικαιώματα και τα συμφέροντα οργανισμών και ατόμων. Οι ποινικές κυρώσεις για τέτοιου είδους παραβιάσεις ρυθμίζονται επίσης ειδικά από τον Κινεζικό Ποινικό Νόμο, ο οποίος ορίζει βαρύτερη ποινική ευθύνη για όσους υποχρεούνται να διατηρούν τις πληροφορίες εμπιστευτικές, προσθέτει τη μορφή δήμευσης περιουσίας και ορίζει την ισόβια κάθειρξη ως την υψηλότερη ποινή φυλάκισης.

Ο Νόμος περί Προστασίας Προσωπικών Δεδομένων της Σιγκαπούρης (PDPA) ψηφίστηκε το 2012 (τροποποιήθηκε το 2020). Η νομοθεσία της Σιγκαπούρης αναγνωρίζει το δικαίωμα στην προστασία των προσωπικών δεδομένων, καθώς και την ανάγκη οργάνωσης της συλλογής, χρήσης και γνωστοποίησης πληροφοριών για κατάλληλους σκοπούς υπό ορισμένες συνθήκες.

Ο PDPA προβλέπει επίσης αυστηρές οικονομικές κυρώσεις για παραβιάσεις δεδομένων. Οι μεμονωμένοι παραβάτες θα υπόκεινται σε πρόστιμα ή φυλάκιση. Τα πρόστιμα εξαρτώνται από τη φύση και τη σοβαρότητα της παράβασης και κυμαίνονται από 2.000 SGD έως 100.000 SGD (ισοδύναμο με 1,6 δισεκατομμύρια VND) ή/και φυλάκιση που δεν υπερβαίνει τους 12 μήνες ή έως και 3 έτη σε σοβαρές περιπτώσεις1. Για τους οργανισμούς και τις εταιρείες που παραβιάζουν, μπορούν να τους επιβληθεί πρόστιμο έως και 10% του ετήσιου κύκλου εργασιών τους.

Ο φορέας που διαδραματίζει σημαντικό ρόλο στη διασφάλιση της εφαρμογής του PDPA είναι η Επιτροπή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (PDPC). Πρόκειται για έναν εξειδικευμένο φορέα με ευρείες εξουσίες και ευρείες δυνατότητες επιβολής του νόμου, με το δικαίωμα να ζητά από άτομα και οργανισμούς να παρέχουν πληροφορίες και έγγραφα σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, να επιβάλλει οικονομικές κυρώσεις για παραβάσεις, καθώς και να τις χειρίζεται με άλλα μέτρα.

Η σύσταση μιας εξειδικευμένης υπηρεσίας, της Επιτροπής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα της Σιγκαπούρης, η οποία εργάζεται ανεξάρτητα και προληπτικά για την ανίχνευση, τον χειρισμό παραβιάσεων και την επιβολή κυρώσεων, αποτελεί επίσης μία από τις προϋποθέσεις για την αποτελεσματική επιβολή της προστασίας των προσωπικών δεδομένων στη Σιγκαπούρη.

Συστάσεις για τη βελτίωση της νομοθεσίας περί προστασίας προσωπικών δεδομένων στο Βιετνάμ

Αυτή τη στιγμή στο Βιετνάμ, υπάρχουν 69 νομικά έγγραφα που σχετίζονται άμεσα με το ζήτημα της προστασίας των προσωπικών δεδομένων και ορίζονται σε διάφορα έγγραφα, όπως το Σύνταγμα, ο Κώδικας (4), ο Νόμος (39), το Διάταγμα (1), το Διάταγμα (2), η Εγκύκλιος/Κοινή Εγκύκλιος (4), η Απόφαση του Υπουργού (1).

Αυτά τα έγγραφα προσεγγίζουν ουσιαστικά το ζήτημα της προστασίας των προσωπικών δεδομένων προς την κατεύθυνση της προώθησης της αρχής της διασφάλισης της ιδιωτικότητας του υποκειμένου, αλλά έχουν διαφορετικούς κανονισμούς σχετικά με τις πληροφορίες που σχετίζονται με τα προσωπικά δεδομένα, αναφερόμενοι σε ζητήματα δικαιωμάτων και υποχρεώσεων των υποκειμένων, επεξεργασίας πληροφοριών και μεθόδων προστασίας προσωπικών δεδομένων. Ο νόμος που ρυθμίζει το ζήτημα της προστασίας των προσωπικών δεδομένων στο Βιετνάμ έχει επιτύχει αξιοσημείωτα αποτελέσματα, ιδίως στις 17 Απριλίου 2023, η κυβέρνηση εξέδωσε το διάταγμα αριθ. 12/2023/ND-CP για την προστασία των προσωπικών δεδομένων - πρόκειται για ξεχωριστό έγγραφο που ρυθμίζει αυτό το ζήτημα στη χώρα μας. Αυτά τα νομικά έγγραφα έχουν δημιουργήσει έναν νομικό διάδρομο στο έργο της προστασίας των προσωπικών δεδομένων. Καθορίζουν τα δικαιώματα των υποκειμένων των δεδομένων καθώς και των μερών επεξεργασίας, ορίζουν κυρώσεις για παραβιάσεις της προστασίας των προσωπικών δεδομένων και προσδιορίζουν την εξειδικευμένη υπηρεσία για την προστασία των προσωπικών δεδομένων ως το Τμήμα Κυβερνοασφάλειας και Πρόληψης Εγκλημάτων Υψηλής Τεχνολογίας στο Υπουργείο Δημόσιας Ασφάλειας ...

Το Βιετνάμ αντιμετωπίζει πολλούς κινδύνους, προκλήσεις και κινδύνους από τον κυβερνοχώρο, ιδίως τη διαρροή και την οικειοποίηση προσωπικών πληροφοριών και δεδομένων, προκαλώντας πολλές επιβλαβείς επιπτώσεις στους πολίτες και την κοινωνία.

Ωστόσο, η πραγματική εφαρμογή αυτών των εγγράφων αποκάλυψε επίσης πολλούς περιορισμούς, όπως ότι τα τρέχοντα ξεχωριστά νομικά έγγραφα βρίσκονται μόνο σε επίπεδο Διατάγματος, μη ανταποκρίνοντας τη σημασία της προστασίας των προσωπικών δεδομένων, πολλά περιεχόμενα ρυθμίζονται επί του παρόντος γενικά και ασαφή, με αποτέλεσμα την έλλειψη συγκεκριμένης καθοδήγησης για κάθε συγκεκριμένη περίπτωση, και οι κυρώσεις εξακολουθούν να είναι ελαφριές και όχι αρκετά αποτρεπτικές...

Υπό αυτές τις συνθήκες, η συνεχής βελτίωση της νομοθεσίας για την προστασία των προσωπικών δεδομένων στο Βιετνάμ ήταν και είναι ένα ζήτημα που πρέπει να μελετηθεί με βάση την εμπειρία άλλων χωρών. Συγκεκριμένα:

Πρώτον, να θεσπιστεί ένας νόμος για την προστασία των προσωπικών δεδομένων . Στο πλαίσιο της βιομηχανικής επανάστασης 4.0, σε περιφερειακό και εθνικό επίπεδο, 80 χώρες έχουν εκδώσει ξεχωριστά νομικά έγγραφα για την προστασία των προσωπικών δεδομένων. Το Βιετνάμ πρέπει σύντομα να διερευνήσει και να εκδώσει έναν γενικό, εξειδικευμένο νόμο για τα δεδομένα, όπως ο Νόμος περί Προστασίας Προσωπικών Δεδομένων, όπως η ΕΕ, η Κίνα ή η Σιγκαπούρη, ο οποίος να προσδιορίζει βασικά ζητήματα και αρχές για την προστασία των προσωπικών δεδομένων. Η έκδοση ξεχωριστού νόμου για τα προσωπικά δεδομένα θα αποτελέσει σημαντική νομική βάση για την προστασία των προσωπικών δεδομένων, καθώς επί του παρόντος, τα νομικά έγγραφα που σχετίζονται με αυτό το ζήτημα στη χώρα μας δεν είναι ενιαία όσον αφορά την ορολογία και τους κανονισμούς περιεχομένου.

Δεύτερον, τροποποίηση και συμπλήρωση των κυρώσεων για παραβιάσεις προσωπικών δεδομένων με αυστηρότερο τρόπο, ώστε να αντιστοιχούν στη φύση και τη σοβαρότητα της παράβασης. Παρόλο που οι κυρώσεις για παραβιάσεις προσωπικών δεδομένων στη χώρα μας περιλαμβάνουν διοικητικές, αστικές και ποινικές κυρώσεις, είναι γενικά αρκετά ελαφριές και δεν έχουν υψηλό αποτρεπτικό αποτέλεσμα. Η κύρια μέθοδος προς το παρόν εξακολουθεί να είναι η επιβολή κυρώσεων για διοικητικές παραβάσεις, αλλά οι κανονισμοί είναι διάσπαρτοι σε πολλά Διατάγματα με αρκετά χαμηλά πρόστιμα, τα υψηλότερα από τα οποία είναι: 100 εκατομμύρια VND για ιδιώτες και 200 ​​εκατομμύρια VND για οργανισμούς.

Ενώ η ζημία που μπορούν να προκαλέσουν οι διοικητικές παραβιάσεις προσωπικών δεδομένων δεν είναι μόνο υλική ζημία, αλλά και προσβολή της τιμής και της αξιοπρέπειας. Εκτός από τις διοικητικές κυρώσεις, οι ποινικές κυρώσεις για παραβιάσεις προσωπικών δεδομένων αντικατοπτρίζονται μόνο στους κανονισμούς για την προστασία της ιδιωτικής ζωής και τον τομέα της τεχνολογίας των πληροφοριών και της ασφάλειας δικτύων, στα άρθρα 159 και 288 του ισχύοντος Ποινικού Κώδικα, με σχετικά χαμηλή ποινή φυλάκισης που δεν υπερβαίνει τα 7 έτη και πρόστιμο που δεν υπερβαίνει το 1 δισεκατομμύριο VND. Αυτό το πρόστιμο, σε σύγκριση με το επίπεδο της ΕΕ των 20 εκατομμυρίων ευρώ, το 1 εκατομμύριο SGD της Σιγκαπούρης ή την ισόβια κάθειρξη της Κίνας, εξακολουθεί να είναι πολύ χαμηλό, μη ισότιμο με πολλές παραβιάσεις.

Ταυτόχρονα, είναι απαραίτητο να ρυθμιστούν πολλές ομάδες συμπεριφορών που δεν αναφέρονται επί του παρόντος στο νόμο, όπως η εμπορία δεδομένων μεγάλης κλίμακας, η δημιουργία συστημάτων για την παραβίαση δεδομένων, οι παραβιάσεις στις επιχειρήσεις υπηρεσιών μάρκετινγκ κ.λπ.

Τρίτον, στο μοντέλο της υπηρεσίας προστασίας προσωπικών δεδομένων στο Βιετνάμ . Επί του παρόντος, το Τμήμα Κυβερνοασφάλειας και Πρόληψης Εγκλημάτων Υψηλής Τεχνολογίας στο Υπουργείο Δημόσιας Ασφάλειας είναι η εξειδικευμένη υπηρεσία για την προστασία των προσωπικών δεδομένων. Αναφερόμενοι στους διεθνείς κανονισμούς, μπορούμε να εξετάσουμε το ενδεχόμενο δημιουργίας μιας ανεξάρτητης υπηρεσίας προστασίας προσωπικών δεδομένων, υπεύθυνης για την επιβολή του Νόμου για την Προστασία Προσωπικών Δεδομένων, τη διεξαγωγή επιθεωρήσεων, εξετάσεων, την έκδοση κατευθυντήριων γραμμών και συστάσεων και την επιβολή κυρώσεων για τυχόν παραβάσεις.

Μπορούμε να ανατρέξουμε σε αυτά τα μοντέλα στην ΕΕ ή τη Σιγκαπούρη... για την αποτελεσματική εφαρμογή των νόμων περί προστασίας των προσωπικών δεδομένων, εξισορροπώντας την προστασία των προσωπικών δικαιωμάτων και διασφαλίζοντας την ασφάλεια του δικτύου.

Η προστασία των προσωπικών δεδομένων δεν είναι απλό ζήτημα, ειδικά όταν εντάσσεται στο πλαίσιο της ολοκλήρωσης, όταν οι δραστηριότητες παρακολούθησης και συλλογής προσωπικών δεδομένων λαμβάνουν χώρα σε μεγάλη κλίμακα και το βιετναμέζικο νομικό σύστημα που ρυθμίζει αυτό το ζήτημα βρίσκεται ακόμη στο στάδιο της οικοδόμησης και της τελειοποίησης.

Η έρευνα του διεθνούς δικαίου σχετικά με αυτό το ζήτημα σε σχέση με την πρακτική κατάσταση στο Βιετνάμ θα μας βοηθήσει σύντομα να δημιουργήσουμε ένα νομικό πλαίσιο για ολοκληρωμένη προστασία των προσωπικών δεδομένων, συμβατό με το διεθνές δίκαιο και αποτελεσματική επιβολή του.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html