החוק הבינלאומי בנושא הגנת מידע אישי והשלכותיו על וייטנאם

הגנה על מידע אישי אינה נושא פשוט, במיוחד כאשר היא מוצגת בהקשר של אינטגרציה, כאשר פעילויות ניטור ואיסוף מידע אישי מתרחשות בקנה מידה גדול ומערכת המשפט הוייטנאמית המסדירה נושא זה עדיין נמצאת בתהליך של בנייה ושכלול.

כאחת המדינות עם פיתוח האינטרנט ומהירות היישומים הגבוהות ביותר בעולם , עם כמעט 80% מהאוכלוסייה המשתמשת בו, מידע אישי של שני שלישים מאוכלוסיית וייטנאם מאוחסן, מתפרסם, משותף ונאסף במרחב הקיברנטי בצורות וברמות פירוט רבות ושונות.

בשנים 2022 ו-2023, וייטנאם הגישה תביעה בחמישה תיקים פליליים שכללו אלפי ג'יגה-בייט של נתונים ומיליארדי מידע אישי שנרכש ונמכר. ממצא זה מראה כי הצורך בשיפור החוק בנושא הגנת מידע אישי המבוסס על מחקר והתייחסות למשפט הבינלאומי הוא דחוף.

החוק הבינלאומי בנושא הגנת מידע אישי

Pháp luật quốc tế về bảo vệ dữ liệu cá nhân và gợi mở cho Việt Nam

תקנת ה-GDPR נחשבת לצעד משפטי משמעותי קדימה, ויוצרת את מנגנון ההגנה על מידע אישי המחמיר ביותר בעולם כיום.

תקנת הגנת המידע הכללית (GDPR) של האיחוד האירופי (EU) נחשבת לצעד משפטי משמעותי קדימה, היוצרת את מנגנון ההגנה על מידע אישי המחמיר ביותר בעולם כיום, והיא מוחלת על כל הארגונים והעסקים המעבדים מידע אישי של אזרחי האיחוד האירופי.

ה-GDPR מטיל עונשים אחידים על עסקים ברחבי הגוש. באופן ספציפי, קנסות הם עד 2% מהמחזור או 10 מיליון יורו עבור הפרות קלות, ו-4% מהמחזור או 20 מיליון יורו עבור הפרות משמעותיות. בנוסף לקנסות, עסקים המפרים את ה-GDPR עשויים להיות כפופים גם לסנקציות אחרות, כגון אילוץ להפסיק לעבד נתונים או מחיקת נתונים שעובדו תוך הפרת ה-GDPR.

רשות הגנת המידע האישי של האיחוד האירופי היא המפקח על הגנת המידע של האיחוד האירופי (EDPS) - גוף עצמאי שחבריו כוללים עורכי דין מנוסים, מומחי IT ומנהלים.

גוף זה מתפקד בעיקר כפיקוח על עיבוד נתונים אישיים בסוכנויות ובארגונים של האיחוד האירופי, וכן ייעוץ בנושאים הקשורים לנתונים אישיים. תקנת ה-GDPR דורשת גם הקמת רשות להגנה על נתונים אישיים בכל מדינה חברה, כגון ועדה לאומית להגנה על נתונים אישיים (צרפת, אירלנד...) או פיקוח על הגנת נתונים (פינלנד, לטביה...).

לצד ה-EDPS, האיחוד האירופי הקים גם את המועצה האירופית להגנת נתונים (EDPB), המורכבת מנציגים של רשויות הגנת המידע הלאומיות של המדינות החברות ונציגים של האיחוד האירופי, ומתפקדת כגוף מייעץ עצמאי מרכזי בנושאים של הגנת מידע אישי, האחראי על יישום עקבי של ה-GDPR ברחבי האיחוד.

ה-GDPR קובע סנקציות מרתיעות ביותר, הן מהותיות והן לא מהותיות. בנוסף, לרשות הגנת המידע האישי של האיחוד האירופי, המיושמת במודל של נציבות/נציב, יש סמכויות רחבות ועצמאיות להטיל סנקציות אם ארגונים מפרים תקנות הגנת המידע האישי, והיא מסוגלת להעריך ולהחליט באופן עצמאי על עיבוד מידע אישי.

חוק הגנת המידע האישי של סין (PIPL) שחוקק בשנת 2021 נחשב לחוק הגנת המידע האישי המקיף הראשון ברמה הלאומית בסין. חוק הגנת המידע האישי מספק תפיסה אחידה יחסית של נתונים אישיים/מידע אישי כמידע המזהה או מזהה אדם ספציפי, המכוון לקבוצה מצומצמת של אנשים בתוך שטח סין (סעיף 4 פרק 1 לחוק הגנת המידע האישי). במקביל, הוא מסדיר את נושא הנתונים האישיים הרגישים כדי לקבוע תקנות לגבי זכויותיהם וחובותיהם של צדדים ביחס לקבוצות נתונים ספציפיות יותר.

הסנקציות על הפרות זכויות מידע אישי במסגרת חוק PIPL הן חמורות מאוד, כולל תיקון כפוי, החרמת הכנסה בלתי חוקית, השעיית שירותים, ביטול רישיונות הפעלה או עסק וקנסות של עד 50 מיליון יואן או 5% מההכנסות השנתיות של ארגון בשנה הכספית הקודמת. בנוסף, הפרות עשויות להירשם גם ב"קובץ האשראי" של יחידת העיבוד במסגרת מערכת האשראי החברתית הלאומית.

יתר על כן, יחידות העיבוד יהיו אחראיות לפצות על נזקים אם הם פוגעים בזכויות ובאינטרסים של ארגונים ויחידים. סנקציות פליליות על הפרות מסוג זה מוסדרות במפורש גם על ידי החוק הפלילי הסיני, הקובע אחריות פלילית כבדה יותר למי שחייבים לשמור על סודיות מידע, מוסיף צורה של החרמת רכוש וקובע מאסר עולם כעונש המאסר הגבוה ביותר.

חוק הגנת המידע האישי של סינגפור (PDPA) נחקק בשנת 2012 (תוקן בשנת 2020). החוק הסינגפורי מכיר בזכות להגנה על מידע אישי וכן בצורך לארגן את איסוף, השימוש והגילוי של מידע למטרות מתאימות בנסיבות מסוימות.

חוק PDPA קובע גם קנסות כספיים חמורים על פרצות נתונים. מפירי מידע בודדים יהיו כפופים לקנסות או מאסר. הקנסות תלויים באופי ובחומרת ההפרה, ונעים בין 2,000 ל-100,000 דולר סינגפורי (שווה ערך ל-1.6 מיליארד דונג וייטנאמי) ו/או מאסר של לא יותר מ-12 חודשים, או עד 3 שנים במקרים חמורים1; סוכנויות וחברות המפרות את החוק עלולות להיקנס בשיעור של עד 10% ממחזור המכירות השנתי שלהן.

הגוף הממלא תפקיד חשוב בהבטחת יישום חוק הגנת המידע האישי (PDPA) הוא ועדת הגנת המידע האישי (PDPC). זהו גוף ייעודי בעל סמכויות רחבות ויכולות אכיפה רחבות, עם הזכות לבקש מאנשים פרטיים וארגונים לספק מידע ומסמכים הקשורים לעיבוד מידע אישי, להטיל קנסות כספיים על הפרות וכן לטפל בהן באמצעים אחרים.

הקמת סוכנות ייעודית, ועדת הגנת המידע האישי של סינגפור, הפועלת באופן עצמאי ופרואקטיבי בגילוי, טיפול בהפרות ויישום סנקציות, היא גם אחד התנאים לאכיפה יעילה של הגנת המידע האישי בסינגפור.

המלצות לשיפור חוקי הגנת המידע האישי בווייטנאם

כיום, בווייטנאם, ישנם 69 מסמכים משפטיים הקשורים ישירות לנושא הגנת המידע האישי, אשר נקבעו במסמכים שונים, כולל החוקה, הקודקס (4), החוק (39), הצו (1), הצו (2), חוזר/חוזר משותף (4), והחלטת השר (1).

מסמכים אלה ניגשים בעיקרם לנושא הגנת המידע האישי בכיוון של קידום עקרון הבטחת פרטיותו של הנושא, אך כוללים תקנות שונות בנוגע למידע הקשור למידע אישי, המתייחסות לסוגיות של זכויות וחובות של נושאים, עיבוד מידע ושיטות הגנת מידע אישי. החוק המסדיר את נושא הגנת המידע האישי בווייטנאם השיג כמה תוצאות יוצאות דופן, במיוחד ב-17 באפריל 2023, פרסמה הממשלה צו מס' 12/2023/ND-CP בנושא הגנת מידע אישי - זהו מסמך נפרד המסדיר נושא זה במדינתנו. מסמכים משפטיים אלה יצרו מסדרון משפטי בעבודת ההגנה על מידע אישי; מציינים את זכויותיהם של נושאי המידע וכן את גורמי העיבוד, קובעים סנקציות על הפרות הגנת המידע האישי, ומזהים את הסוכנות המיוחדת להגנת מידע אישי כמחלקת אבטחת הסייבר ומניעת פשעי היי-טק תחת משרד הביטחון הציבורי ...

וייטנאם מתמודדת עם סיכונים, אתגרים וסכנות רבים מהמרחב הקיברנטי, ובמיוחד דליפה והפקעה של מידע ונתונים אישיים, הגורמים להשפעות מזיקות רבות על אזרחים ועל החברה.

עם זאת, היישום בפועל של מסמכים אלה חשף גם מגבלות רבות, כגון המסמכים המשפטיים הנפרדים הנוכחיים הם רק ברמת הצו, אינם עומדים בחשיבות ההגנה על מידע אישי, תכנים רבים מוסדרים כיום באופן כללי ואינם ברורים, מה שמוביל לחוסר בהנחיות ספציפיות לכל מקרה ספציפי, והסנקציות עדיין קלות ואינן מרתיעות מספיק...

במצב זה, השיפור המתמשך של החוק להגנת מידע אישי בווייטנאם היה ונשאר נושא שיש לחקור אותו על סמך ניסיונן של מדינות אחרות. באופן ספציפי:

ראשית, לבנות חוק להגנה על מידע אישי . בהקשר של המהפכה התעשייתית 4.0, בקנה מידה אזורי ולאומי, 80 מדינות פרסמו מסמכים משפטיים נפרדים להגנה על מידע אישי. וייטנאם צריכה בקרוב לחקור ולפרסם חוק כללי ומיוחד בנושא נתונים, כגון חוק פרטיות המידע כמו האיחוד האירופי, סין או סינגפור, אשר מזהה סוגיות ועקרונות בסיסיים להגנה על מידע אישי. פרסום חוק נפרד בנושא מידע אישי יהווה בסיס משפטי חשוב להגנה על מידע אישי, כאשר כיום, מסמכים משפטיים הקשורים לנושא זה במדינתנו אינם מאוחדים מבחינת טרמינולוגיה ותקנות תוכן.

שנית, יש לתקן ולהוסיף סנקציות על הפרות של מידע אישי באופן חמור יותר, בהתאם לאופי ולחומרת ההפרה. למרות שסנקציות על הפרות של מידע אישי במדינתנו כוללות סנקציות מנהליות, אזרחיות ופליליות, הן בדרך כלל קלות למדי ואין להן השפעה מרתיעה גבוהה. השיטה העיקרית כיום היא עדיין להחיל סנקציות על הפרות מנהליות, אך התקנות מפוזרות בצווים רבים עם קנסות נמוכים למדי, הגבוה ביותר שבהם הוא: 100 מיליון דונג וייטנאמי ליחידים ו-200 מיליון דונג וייטנאמי לארגונים.

בעוד שהנזק שהפרות מנהליות של מידע אישי עלולות לגרום אינו רק נזק חומרי אלא גם פגיעה בכבוד ובכבוד. בנוסף לסנקציות מנהליות, סנקציות פליליות על הפרות של מידע אישי משתקפות רק בתקנות בנושא פרטיות ותחום טכנולוגיית המידע ואבטחת הרשת בסעיפים 159 ו-288 לחוק העונשין הנוכחי, עם עונש מאסר נמוך יחסית של לא יותר מ-7 שנות מאסר וקנס של לא יותר ממיליארד דונג וייטנאמי. קנס זה, בהשוואה לגובה של 20 מיליון אירו באיחוד האירופי, מיליון דונג וייטנאמי בסינגפור או עונש מאסר עולם בסין, עדיין נמוך מאוד, ואינו תואם את ההפרות הרבות.

במקביל, יש צורך לווסת קבוצות רבות של התנהגויות שאינן מוזכרות כיום בחוק, כגון סחר בנתונים בקנה מידה גדול, הקמת מערכות להפרת נתונים, הפרות בעסקי שירותי שיווק וכו'.

שלישית, על פי מודל הסוכנות להגנה על מידע אישי בווייטנאם . נכון לעכשיו, מחלקת אבטחת הסייבר ומניעת פשעי היי-טק תחת משרד הביטחון הציבורי היא הסוכנות המתמחה בהגנה על מידע אישי. בהתייחס לתקנות בינלאומיות, ניתן לשקול הקמת סוכנות עצמאית להגנה על מידע אישי שתהיה אחראית על אכיפת חוק הגנת המידע האישי, ביצוע בדיקות, בדיקות, הנפקת הנחיות והמלצות, והחלת סנקציות על הפרות, אם בכלל.

אנחנו יכולים להתייחס למודלים האלה באיחוד האירופי או בסינגפור... כדי לאכוף ביעילות את חוקי הגנת המידע האישי, תוך איזון בין ההגנה על זכויות הפרט והבטחת אבטחת הרשת.

הגנה על מידע אישי אינה סוגיה פשוטה, במיוחד כאשר היא מוצגת בהקשר של אינטגרציה, כאשר פעילויות ניטור ואיסוף מידע אישי מתרחשות בקנה מידה גדול ומערכת המשפט הוייטנאמית המסדירה נושא זה עדיין נמצאת בתהליך בנייה ושכלול.

מחקר המשפט הבינלאומי בנושא זה בהתייחס למצב המעשי בווייטנאם יסייע לנו לבנות בקרוב מסגרת משפטית להגנה מקיפה על מידע אישי, התואמת את המשפט הבינלאומי ואכיפה יעילה.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html

[מודעה_2]
מָקוֹר