Undang-undang antarabangsa mengenai perlindungan data peribadi dan implikasi untuk Vietnam

Sebagai salah satu negara yang mempunyai pembangunan Internet dan kelajuan aplikasi tertinggi di dunia dengan hampir 80% penduduk menggunakannya, data peribadi 2/3 penduduk Vietnam sedang disimpan, disiarkan, dikongsi dan dikumpulkan di ruang siber dalam pelbagai bentuk dan tahap perincian.

Pada 2022 dan 2023, Vietnam mendakwa 5 kes jenayah yang melibatkan beribu-ribu GB data dan berbilion maklumat peribadi yang dibeli dan dijual. Ini menunjukkan bahawa keperluan untuk menambah baik undang-undang mengenai perlindungan data peribadi berdasarkan penyelidikan dan rujukan kepada undang-undang antarabangsa adalah mendesak.

Undang-undang antarabangsa mengenai perlindungan data peribadi

GDPR dianggap sebagai langkah undang-undang yang besar ke hadapan, mewujudkan mekanisme perlindungan maklumat peribadi yang paling ketat di dunia hari ini.

Peraturan Perlindungan Data Am (GDPR) Kesatuan Eropah (EU) dianggap sebagai langkah besar undang-undang ke hadapan, mewujudkan mekanisme perlindungan maklumat peribadi yang paling ketat di dunia hari ini dan digunakan untuk semua organisasi dan perniagaan yang memproses data peribadi warga EU.

GDPR mengenakan penalti seragam ke atas perniagaan di seluruh blok. Secara khusus, denda adalah sehingga 2% daripada perolehan atau 10 juta euro untuk pelanggaran kecil, dan 4% daripada perolehan atau 20 juta euro untuk pelanggaran besar. Selain denda, perniagaan yang melanggar GDPR juga mungkin dikenakan sekatan lain, seperti dipaksa untuk berhenti memproses data atau memadamkan data yang telah diproses yang melanggar GDPR.

Pihak berkuasa perlindungan data peribadi EU ialah Penyelia Perlindungan Data EU (EDPS) - sebuah badan bebas yang ahlinya termasuk peguam berpengalaman, pakar IT dan pentadbir.

Badan ini mempunyai fungsi utama menyelia pemprosesan data peribadi dalam agensi dan organisasi EU serta memberi nasihat tentang isu berkaitan data peribadi. GDPR juga memerlukan penubuhan Pihak Berkuasa Perlindungan Data Peribadi di setiap negara anggota seperti Suruhanjaya Perlindungan Data Peribadi Kebangsaan (Perancis, Ireland...) atau Inspektorat Perlindungan Data (Finland, Latvia...).

Di samping EDPS, EU juga menubuhkan Lembaga Perlindungan Data Eropah (EDPB), yang dianggotai oleh wakil pihak berkuasa perlindungan data kebangsaan negara anggota dan wakil EU, dan berfungsi sebagai badan penasihat bebas utama mengenai isu perlindungan data peribadi, yang bertanggungjawab untuk aplikasi konsisten GDPR di seluruh kesatuan.

GDPR menyediakan sekatan yang sangat menghalang, baik material mahupun tidak material. Selain itu, pihak berkuasa perlindungan data peribadi EU, yang dilaksanakan pada model Suruhanjaya/Pesuruhjaya, mempunyai kuasa yang luas dan bebas untuk mengenakan sekatan jika organisasi melanggar peraturan perlindungan data peribadi dan mampu menilai dan memutuskan secara bebas tentang pemprosesan data peribadi.

Undang-undang Perlindungan Maklumat Peribadi China (PIPL) yang digubal pada 2021 dianggap sebagai undang-undang perlindungan maklumat peribadi peringkat kebangsaan pertama yang komprehensif di China. PIPL menyediakan pandangan yang agak bersatu tentang data peribadi/maklumat peribadi sebagai maklumat yang mengenal pasti atau mengenal pasti individu tertentu, menyasarkan kumpulan individu yang sempit dalam wilayah China (Perkara 4 Bab 1 PIPL). Pada masa yang sama, ia mengawal isu data peribadi sensitif untuk mewujudkan peraturan mengenai hak dan kewajipan pihak berkenaan dengan kumpulan data yang lebih khusus.

Sekatan untuk pelanggaran hak data peribadi di bawah PIPL adalah sangat berat, termasuk pemulihan paksa, rampasan pendapatan haram, penggantungan perkhidmatan, pembatalan lesen operasi atau perniagaan, dan denda sehingga 50 juta yuan atau 5% daripada hasil tahunan organisasi pada tahun fiskal sebelumnya. Selain itu, pelanggaran juga boleh direkodkan dalam "fail kredit" unit pemprosesan di bawah sistem kredit sosial negara.

Tambahan pula, unit pemprosesan akan bertanggungjawab untuk membayar ganti rugi jika mereka melanggar hak dan kepentingan organisasi dan individu. Sekatan jenayah untuk jenis pelanggaran ini juga dikawal secara khusus oleh Undang-undang Jenayah China, yang menetapkan tanggungjawab jenayah yang lebih berat bagi mereka yang wajib merahsiakan maklumat, menambah bentuk rampasan harta benda, dan menetapkan hukuman penjara seumur hidup sebagai hukuman penjara tertinggi.

Akta Perlindungan Data Peribadi Singapura (PDPA) diluluskan pada 2012 (dipinda pada 2020). Undang-undang Singapura mengiktiraf hak untuk perlindungan data peribadi serta keperluan untuk mengatur pengumpulan, penggunaan dan pendedahan maklumat untuk tujuan yang sesuai dalam keadaan tertentu.

PDPA juga memperuntukkan penalti kewangan yang teruk untuk pelanggaran data. Pelanggar individu akan dikenakan denda atau penjara. Denda bergantung pada jenis dan keterukan pelanggaran, antara SGD 2,000 hingga SGD 100,000 (bersamaan dengan VND 1.6 bilion) dan/atau penjara tidak lebih 12 bulan, atau sehingga 3 tahun dalam kes serius1; bagi agensi dan syarikat yang melanggar, mereka boleh didenda sehingga 10% daripada perolehan tahunan mereka.

Badan yang memainkan peranan penting dalam memastikan pelaksanaan PDPA ialah Suruhanjaya Perlindungan Data Peribadi (PDPC). Ini adalah badan khusus yang mempunyai kuasa yang luas dan keupayaan penguatkuasaan yang luas, dengan hak untuk meminta individu dan organisasi untuk memberikan maklumat dan dokumen yang berkaitan dengan pemprosesan data peribadi, mengenakan penalti kewangan untuk pelanggaran serta mengendalikannya dengan langkah lain.

Penubuhan sebuah agensi khusus, Suruhanjaya Perlindungan Data Peribadi Singapura, yang bekerja secara bebas dan proaktif dalam mengesan, mengendalikan pelanggaran, dan mengenakan sekatan juga merupakan salah satu syarat untuk penguatkuasaan berkesan perlindungan data peribadi di Singapura.

Syor untuk menambah baik undang-undang perlindungan data peribadi di Vietnam

Pada masa ini di Vietnam, terdapat 69 dokumen undang-undang yang berkaitan secara langsung dengan isu perlindungan data peribadi yang ditetapkan dalam dokumen berbeza termasuk Perlembagaan, Kod (4), Undang-undang (39), Ordinan (1), Dekri (2), Pekeliling/Pekeliling Bersama (4), Keputusan Menteri (1).

Dokumen ini pada asasnya mendekati isu perlindungan data peribadi ke arah mempromosikan prinsip memastikan privasi subjek, tetapi mempunyai peraturan yang berbeza mengenai maklumat yang berkaitan dengan data peribadi, merujuk kepada isu hak dan kewajipan subjek, pemprosesan maklumat dan kaedah perlindungan data peribadi. Undang-undang yang mengawal selia isu perlindungan data peribadi di Vietnam telah mencapai beberapa keputusan yang luar biasa, terutamanya pada 17 April 2023, Kerajaan mengeluarkan Dekri No. 12/2023/ND-CP mengenai perlindungan data peribadi - ini adalah dokumen berasingan yang mengawal selia isu ini di negara kita. Dokumen undang-undang ini telah mewujudkan koridor undang-undang dalam kerja melindungi data peribadi; Nyatakan hak subjek data serta pihak yang memproses, tetapkan sekatan untuk pelanggaran perlindungan data peribadi, dan kenal pasti agensi khusus untuk perlindungan data peribadi sebagai Jabatan Keselamatan Siber dan Pencegahan Jenayah Berteknologi Tinggi di bawah Kementerian Keselamatan Awam ...

Vietnam menghadapi banyak risiko, cabaran dan bahaya dari alam siber, terutamanya kebocoran dan pengagihan maklumat dan data peribadi, menyebabkan banyak kesan berbahaya kepada rakyat dan masyarakat.

Walau bagaimanapun, pelaksanaan sebenar dokumen ini juga telah mendedahkan banyak batasan seperti dokumen undang-undang berasingan semasa hanya pada peringkat Dekri, tidak memenuhi kepentingan melindungi data peribadi, banyak kandungan pada masa ini dikawal secara umum dan tidak jelas, menyebabkan kekurangan panduan khusus untuk setiap kes tertentu, dan sekatan masih ringan dan tidak cukup menghalang...

Dalam situasi ini, penambahbaikan berterusan undang-undang mengenai perlindungan data peribadi di Vietnam telah dan merupakan isu yang perlu dikaji berdasarkan pengalaman negara lain. Secara khusus:

Pertama, bina Undang-undang mengenai perlindungan data peribadi . Dalam konteks revolusi perindustrian 4.0, pada skala serantau dan nasional, 80 negara telah mengeluarkan dokumen undang-undang yang berasingan untuk melindungi data peribadi. Vietnam perlu segera menyelidik dan mengeluarkan undang-undang am dan khusus mengenai data seperti Undang-undang Privasi Data seperti EU, China atau Singapura, yang mengenal pasti isu dan prinsip asas untuk melindungi data peribadi. Pengeluaran undang-undang berasingan mengenai data peribadi akan menjadi asas undang-undang yang penting untuk melindungi data peribadi apabila pada masa ini, dokumen undang-undang yang berkaitan dengan isu ini di negara kita tidak bersatu dari segi istilah dan peraturan kandungan.

Kedua, meminda dan menambah sekatan untuk pelanggaran data peribadi dengan cara yang lebih teruk agar sepadan dengan sifat dan keterukan pelanggaran. Walaupun sekatan untuk pelanggaran data peribadi di negara kita termasuk sekatan pentadbiran, sivil dan jenayah, ia biasanya agak ringan dan tidak mempunyai kesan pencegahan yang tinggi. Kaedah utama pada masa ini masih menggunakan sekatan untuk pelanggaran pentadbiran, tetapi peraturan itu tersebar dalam banyak Dekri dengan denda yang agak rendah, yang tertinggi ialah: 100 juta VND untuk individu dan 200 juta VND untuk organisasi.

Manakala kerosakan yang boleh ditimbulkan oleh pelanggaran pentadbiran data peribadi bukan sahaja kerosakan material tetapi juga kerosakan kepada kehormatan dan maruah. Sebagai tambahan kepada sekatan pentadbiran, sekatan jenayah untuk pelanggaran data peribadi hanya dicerminkan dalam peraturan mengenai privasi dan bidang teknologi maklumat dan keselamatan rangkaian dalam Perkara 159 dan Perkara 288 Kanun Keseksaan semasa dengan hukuman penjara yang agak rendah tidak lebih daripada 7 tahun penjara dan denda tidak lebih daripada 1 bilion VND. Denda ini, jika dibandingkan dengan tahap EU sebanyak 20 juta Euro, 1 juta SGD Singapura atau hukuman penjara seumur hidup China, masih sangat rendah, tidak sepadan dengan banyak pelanggaran.

Pada masa yang sama, adalah perlu untuk mengawal selia banyak kumpulan tingkah laku yang pada masa ini tidak disebut dalam undang-undang, seperti perdagangan data berskala besar, menyediakan sistem untuk melanggar data, pelanggaran dalam perniagaan perkhidmatan pemasaran, dsb.

Ketiga, mengenai model agensi perlindungan data peribadi di Vietnam . Pada masa ini, Jabatan Keselamatan Siber dan Pencegahan Jenayah Berteknologi Tinggi di bawah Kementerian Keselamatan Awam adalah agensi khusus untuk perlindungan data peribadi. Merujuk kepada peraturan antarabangsa, kami boleh mempertimbangkan untuk menubuhkan agensi perlindungan data peribadi bebas yang bertanggungjawab untuk menguatkuasakan Undang-undang mengenai Perlindungan Data Peribadi, menjalankan pemeriksaan, pemeriksaan, mengeluarkan garis panduan dan pengesyoran, dan mengenakan sekatan untuk pelanggaran, jika ada.

Kita boleh merujuk kepada model ini di EU atau Singapura... untuk menguatkuasakan undang-undang perlindungan data peribadi dengan berkesan, mengimbangi perlindungan hak peribadi dan memastikan keselamatan rangkaian.

Melindungi data peribadi bukanlah satu isu yang mudah, terutamanya apabila ia diletakkan dalam konteks penyepaduan, apabila aktiviti pemantauan dan pengumpulan data peribadi berlaku secara besar-besaran dan sistem perundangan Vietnam yang mengawal selia isu ini masih dalam proses pembinaan dan penyempurnaan.

Penyelidikan undang-undang antarabangsa mengenai isu ini merujuk kepada situasi praktikal di Vietnam akan membantu kami membina rangka kerja undang-undang untuk perlindungan data peribadi yang komprehensif, serasi dengan undang-undang antarabangsa dan penguatkuasaan yang berkesan tidak lama lagi.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html