Internasjonal lov om beskyttelse av personopplysninger og implikasjoner for Vietnam

Som et av landene med den høyeste internettutviklingen og applikasjonshastigheten i verden, med nesten 80 % av befolkningen som bruker det, lagres, legges ut, deles og samles personopplysninger for 2/3 av Vietnams befolkning på nett i mange forskjellige former og detaljnivåer.

I 2022 og 2023 reiste Vietnam tiltale i fem straffesaker som involverte tusenvis av GB med data og milliarder av personopplysninger som ble kjøpt og solgt. Dette viser at behovet for å forbedre loven om beskyttelse av personopplysninger basert på forskning og henvisning til internasjonal lov er presserende.

Internasjonal lov om beskyttelse av personopplysninger

GDPR regnes som et stort juridisk skritt fremover, og skaper den strengeste mekanismen for beskyttelse av personopplysninger i verden i dag.

EUs personvernforordning (GDPR) regnes som et stort juridisk skritt fremover, og skaper den strengeste mekanismen for beskyttelse av personopplysninger i verden i dag, og den gjelder for alle organisasjoner og bedrifter som behandler personopplysninger til EU-borgere.

GDPR pålegger ensartede straffer for bedrifter over hele blokken. Mer spesifikt er bøtene opptil 2 % av omsetningen eller 10 millioner euro for mindre brudd, og 4 % av omsetningen eller 20 millioner euro for større brudd. I tillegg til bøter kan bedrifter som bryter GDPR også bli ilagt andre sanksjoner, for eksempel å bli tvunget til å stoppe behandlingen av data eller slette data som er behandlet i strid med GDPR.

EUs personvernmyndighet er EUs datatilsynsmyndighet (EDPS) – et uavhengig organ med erfarne advokater, IT-eksperter og administratorer blant medlemmene.

Dette organet har som hovedfunksjon å føre tilsyn med behandlingen av personopplysninger i EU-byråer og -organisasjoner, samt gi råd om spørsmål knyttet til personopplysninger. GDPR krever også etablering av en personvernmyndighet i hver medlemsstat, for eksempel en nasjonal kommisjon for personvern (Frankrike, Irland...) eller et datatilsyn (Finland, Latvia...).

Ved siden av EDPS opprettet EU også Det europeiske databeskyttelsesrådet (EDPB), som består av representanter for de nasjonale databeskyttelsesmyndighetene i medlemslandene og representanter for EU, og fungerer som det viktigste uavhengige rådgivende organet i spørsmål om vern av personopplysninger, med ansvar for ensartet anvendelse av GDPR i hele unionen.

GDPR gir svært avskrekkende sanksjoner, både materielle og immaterielle. I tillegg har EUs personvernmyndighet, som er implementert etter kommisjons-/kommisjonærmodellen, brede og uavhengige fullmakter til å ilegge sanksjoner dersom organisasjoner bryter regelverket for personvern, og er i stand til uavhengig å vurdere og avgjøre behandlingen av personopplysninger.

Kinas lov om beskyttelse av personopplysninger (PIPL), som ble vedtatt i 2021, regnes som den første omfattende loven om beskyttelse av personopplysninger på nasjonalt nivå i Kina. PIPL gir et relativt enhetlig syn på personopplysninger/personopplysninger som informasjon som identifiserer eller identifiserer en spesifikk person, rettet mot en smal gruppe individer innenfor Kinas territorium (artikkel 4 kapittel 1 i PIPL). Samtidig regulerer den spørsmålet om sensitive personopplysninger for å etablere forskrifter om partenes rettigheter og plikter med hensyn til mer spesifikke datagrupper.

Sanksjonene for brudd på personopplysningsrettigheter i henhold til PIPL er svært strenge, inkludert tvungen sanering, inndragning av ulovlig inntekt, suspensjon av tjenester, tilbakekalling av drifts- eller forretningslisenser og bøter på opptil 50 millioner yuan eller 5 % av en organisasjons årlige inntekt i foregående regnskapsår. I tillegg kan brudd også registreres i «kredittfilen» til behandlingsenheten under det nasjonale sosiale kredittsystemet.

Videre vil behandlingsenhetene være ansvarlige for å kompensere for skader dersom de krenker rettighetene og interessene til organisasjoner og enkeltpersoner. Strafferettslige sanksjoner for denne typen brudd er også spesifikt regulert av kinesisk straffelov, som fastsetter strengere strafferettslig ansvar for de som er forpliktet til å holde informasjon konfidensiell, legger til formen inndragning av eiendom og fastsetter livsvarig fengsel som den høyeste fengselsstraffen.

Singapores personopplysningslov (PDPA) ble vedtatt i 2012 (endret i 2020). Singapores lov anerkjenner retten til vern av personopplysninger samt behovet for å organisere innsamling, bruk og utlevering av informasjon for passende formål under visse omstendigheter.

PDPA gir også bestemmelser om strenge økonomiske straffer for datainnbrudd. Individuelle overtredere vil bli ilagt bøter eller fengsel. Bøtene avhenger av overtredelsens art og alvorlighetsgrad, og varierer fra 2000 til 100 000 SGD (tilsvarende 1,6 milliarder VND) og/eller fengsel i inntil 12 måneder, eller opptil 3 år i alvorlige tilfeller. Byråer og selskaper som bryter dataene, kan bli bøtelagt med opptil 10 % av sin årlige omsetning.

Det organet som spiller en viktig rolle i å sikre implementeringen av PDPA er Personopplysningskommisjonen (PDPC). Dette er et spesialisert organ med brede fullmakter og bred håndhevingskapasitet, med rett til å be enkeltpersoner og organisasjoner om å gi informasjon og dokumenter knyttet til behandling av personopplysninger, ilegge økonomiske straffer for brudd samt håndtere dem med andre tiltak.

Opprettelsen av et spesialisert byrå, Singapore Personal Data Protection Commission, som arbeider uavhengig og proaktivt med å oppdage, håndtere brudd og iverksette sanksjoner, er også en av betingelsene for effektiv håndheving av personvern i Singapore.

Anbefalinger for forbedring av personvernlover i Vietnam

I Vietnam finnes det for tiden 69 juridiske dokumenter som er direkte knyttet til spørsmålet om beskyttelse av personopplysninger, og som er fastsatt i forskjellige dokumenter, inkludert grunnloven, kodeksen (4), loven (39), forordningen (1), dekretet (2), rundskrivet/fellesrundskrivet (4) og ministervedtaket (1).

Disse dokumentene tar i hovedsak for seg spørsmålet om vern av personopplysninger i retning av å fremme prinsippet om å sikre den registrertes personvern, men har forskjellige forskrifter om informasjon knyttet til personopplysninger, med henvisning til spørsmål om rettigheter og plikter for registrerte, informasjonsbehandling og metoder for vern av personopplysninger. Loven som regulerer spørsmålet om vern av personopplysninger i Vietnam har oppnådd noen bemerkelsesverdige resultater, spesielt 17. april 2023 utstedte regjeringen dekret nr. 12/2023/ND-CP om vern av personopplysninger - dette er et eget dokument som regulerer dette spørsmålet i vårt land. Disse juridiske dokumentene har skapt en juridisk korridor i arbeidet med å beskytte personopplysninger; Spesifiserer rettighetene til registrerte samt behandlende parter, foreskriver sanksjoner for brudd på vern av personopplysninger, og identifiserer det spesialiserte byrået for vern av personopplysninger som Department of Cyber ​​Security and High-Tech Crime Prevention under Ministry of Public Security ...

Vietnam står overfor mange risikoer, utfordringer og farer fra cyberspace, spesielt lekkasje og tilegnelse av personlig informasjon og data, noe som forårsaker mange skadelige effekter for borgere og samfunnet.

Den faktiske implementeringen av disse dokumentene har imidlertid også avdekket mange begrensninger, slik som at de nåværende separate juridiske dokumentene kun er på dekretnivå og ikke oppfyller viktigheten av å beskytte personopplysninger, mye innhold er for tiden generelt regulert og uklart, noe som fører til mangel på spesifikk veiledning for hver enkelt sak, og sanksjonene er fortsatt lette og ikke avskrekkende nok ...

I denne situasjonen har og er den fortsatte forbedringen av loven om vern av personopplysninger i Vietnam et spørsmål som må studeres basert på erfaringer fra andre land. Mer spesifikt:

Først, utarbeid en lov om beskyttelse av personopplysninger . I forbindelse med den industrielle revolusjonen 4.0 har 80 land på regional og nasjonal skala utstedt separate juridiske dokumenter for å beskytte personopplysninger. Vietnam må snart undersøke og utstede en generell, spesialisert lov om data, som for eksempel personvernloven i EU, Kina eller Singapore, som identifiserer grunnleggende problemstillinger og prinsipper for beskyttelse av personopplysninger. Utstedelsen av en egen lov om personopplysninger vil være et viktig juridisk grunnlag for å beskytte personopplysninger når juridiske dokumenter knyttet til dette problemet i landet vårt for tiden ikke er enhetlige når det gjelder terminologi og innholdsregler.

For det andre, endre og supplere sanksjoner for brudd på personopplysninger på en strengere måte for å samsvare med arten og alvorlighetsgraden av bruddet. Selv om sanksjoner for brudd på personopplysninger i vårt land inkluderer administrative, sivile og strafferettslige sanksjoner, er de generelt ganske lette og har ikke en høy avskrekkende effekt. Hovedmetoden for øyeblikket er fortsatt å anvende sanksjoner for administrative brudd, men regelverket er spredt i mange dekreter med ganske lave bøter, den høyeste er: 100 millioner VND for enkeltpersoner og 200 millioner VND for organisasjoner.

Selv om skaden som administrative brudd på personopplysninger kan forårsake ikke bare er materiell skade, men også skade på ære og verdighet. I tillegg til administrative sanksjoner gjenspeiles strafferettslige sanksjoner for brudd på personopplysninger kun i regelverket om personvern og informasjonsteknologi og nettverkssikkerhet i artikkel 159 og artikkel 288 i gjeldende straffelov, med en relativt lav fengselsstraff på ikke mer enn 7 år og en bot på ikke mer enn 1 milliard VND. Denne boten, sammenlignet med EUs nivå på 20 millioner euro, Singapores 1 million SGD eller Kinas livstidsdom, er fortsatt svært lav, ikke i samsvar med mange brudd.

Samtidig er det nødvendig å regulere mange grupper av atferd som ikke er nevnt i loven i dag, slik som storskala datahandel, etablering av systemer for å krenke data, brudd i markedsføringstjenestevirksomhet, osv.

For det tredje, basert på modellen til et personvernbyrå i Vietnam . For tiden er departementet for cybersikkerhet og forebygging av høyteknologisk kriminalitet underlagt departementet for offentlig sikkerhet det spesialiserte byrået for beskyttelse av personopplysninger. Med henvisning til internasjonale forskrifter kan vi vurdere å opprette et uavhengig personvernbyrå som er ansvarlig for å håndheve loven om beskyttelse av personopplysninger, gjennomføre inspeksjoner, undersøkelser, utstede retningslinjer og anbefalinger, og iverksette sanksjoner for brudd, om noen.

Vi kan bruke disse modellene i EU eller Singapore ... for å håndheve personvernlover effektivt, og balansere beskyttelsen av personlige rettigheter og sikring av nettverkssikkerhet.

Beskyttelse av personopplysninger er ikke et enkelt spørsmål, spesielt når det settes i sammenheng med integrering, når overvåking og innsamling av personopplysninger foregår i stor skala, og det vietnamesiske rettssystemet som regulerer dette spørsmålet fortsatt er under oppbygging og perfeksjonering.

Å undersøke internasjonal lov om dette spørsmålet med henvisning til den praktiske situasjonen i Vietnam vil hjelpe oss med å snart bygge et juridisk rammeverk for omfattende beskyttelse av personopplysninger, som er kompatibelt med internasjonal lov og effektiv håndheving.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html