Pháp luật quốc tế về bảo vệ dữ liệu cá nhân và gợi mở cho Việt Nam

Là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới với gần 80% dân số sử dụng, dữ liệu cá nhân của 2/3 dân số Việt Nam đang Việt Nam được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ chi tiết khác nhau.

Trong hai năm 2022, 2023, Việt Nam đã khởi tố 5 vụ án hình sự với hàng nghìn GB dữ liệu và hàng tỷ thông tin cá nhân bị mua bán. Điều này cho thấy cần hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân trên cơ sở nghiên cứu, tham khảo pháp luật quốc tế đang đặt ra cấp thiết.

Pháp luật quốc tế về bảo vệ dữ liệu cá nhân

GDPR được đánh giá là một bước tiến pháp lý lớn, tạo ra cơ chế bảo vệ thông tin cá nhân khắt khe nhất thế giới hiện nay.

Bộ quy tắc chung của Liên minh châu Âu (EU) về bảo vệ dữ liệu (GDPR). GDPR được đánh giá là một bước tiến pháp lý lớn, tạo ra cơ chế bảo vệ thông tin cá nhân khắt khe nhất thế giới hiện nay và được áp dụng cho mọi tổ chức, doanh nghiệp đang xử lý dữ liệu cá nhân của các công dân trong EU.

GDPR áp dụng các hình thức xử phạt vi phạm doanh nghiệp đồng bộ cho cả khối. Cụ thể, mức phạt là tối đa 2% doanh thu hoặc 10 triệu euro cho những vi phạm nhỏ, và 4% doanh thu hoặc 20 triệu Euro cho những vi phạm lớn. Ngoài phạt tiền, các doanh nghiệp vi phạm GDPR còn có thể bị áp dụng các biện pháp trừng phạt khác như buộc ngừng hoạt động xử lý dữ liệu hoặc xóa dữ liệu đã được xử lý vi phạm GDPR.

Cơ quan bảo vệ dữ liệu cá nhân của EU là Cơ quan giám sát về bảo vệ dữ liệu của EU (EDPS) – cơ quan độc lập với thành viên là các luật sư, chuyên gia công nghệ thông tin và quản trị viên có kinh nghiệm.

Cơ quan này có chức năng chính trong việc giám sát việc xử lý dữ liệu cá nhân trong các cơ quan, tổ chức thuộc EU cũng như tham mưu về những vấn đề liên quan đến dữ liệu cá nhân. GDPR cũng đặt yêu cầu cho việc thành lập Cơ quan bảo vệ dữ liệu cá nhân ở mỗi quốc gia thành viên như Ủy ban quốc gia bảo vệ dữ liệu cá nhân (Pháp, Ireland…) hay cơ quan thanh tra bảo vệ dữ liệu (Phần Lan, Latvia…).

Cùng với EDPS, EU còn thành lập Ủy ban bảo vệ dữ liệu châu Âu (EDPB) gồm đại diện các cơ quan bảo vệ dữ liệu quốc gia của các quốc gia thành viên và đại diện của với chức năng là cơ quan tư vấn độc lập chính về các vấn đề bảo vệ dữ liệu cá nhân, chịu trách nhiệm áp dụng nhất quán GDPR trên toàn liên minh.

GDPR đưa ra chế tài xử lý mang tính răn đe cao cả về vật chất lẫn phi vật chất. Thêm vào đó cơ quan bảo vệ dữ liệu cá nhân của EU được thực hiện theo mô hình Ủy ban/Ủy viên nên có quyền hạn lớn và độc lập khi có thể áp dụng các biện pháp trừng phạt nếu các tổ chức vi phạm quy định về bảo vệ dữ liệu cá nhân và có khả năng đánh giá và quyết định độc lập về việc xử lý dữ liệu cá nhân.

Luật Bảo vệ Thông tin cá nhân của Trung Quốc (PIPL) ban hành năm 2021 được đánh giá là luật bảo vệ thông tin cá nhân toàn diện, cấp quốc gia đầu tiên ở Trung Quốc. PIPL đưa ra quan điểm tương đối thống nhất về dữ liệu cá nhân/Thông tin cá nhân là thông tin nhằm xác định hay nhận dạng một cá nhân cụ thể, hướng tới đối tượng hẹp là cá nhân trên lãnh thổ Trung Quốc (Điều 4 Chương 1 PIPL). Đồng thời, quy định về vấn đề dữ liệu cá nhân nhạy cảm để từ đó thiết lập quy định về quyền và nghĩa vụ của các bên đối với các nhóm dữ liệu cụ thể hơn.

Chế tài xử lý đối với đối với hành vi vi phạm quyền dữ liệu cá nhân theo quy định của PIPL rất nghiêm, như buộc khắc phục hậu quả, tịch thu thu nhập bất hợp pháp, đình chỉ dịch vụ, thu hồi giấy phép hoạt động hoặc kinh doanh, phạt tiền với mức phạt lên tới 50 triệu NDT hoặc 5% doanh thu hàng năm của một tổ chức trong năm tài chính trước đó. Ngoài ra, các vi phạm cũng có thể được ghi vào “hồ sơ tín dụng” của đơn vị xử lý theo hệ thống tín dụng xã hội quốc gia.

Hơn nữa, các đơn vị xử lý sẽ phải chịu trách nhiệm bồi thường thiệt hại nếu họ xâm phạm quyền và lợi ích của tổ chức, cá nhân. Các chế tài hình sự đối với các loại vi phạm này cũng được Bộ luật Hình sự Trung Quốc quy định cụ thể, trong đó quy định trách nhiệm hình sự nặng nề hơn đối với người có nghĩa vụ trong việc bảo mật thông tin, bổ sung thêm hình thức tịch thu tài sản, quy định tù chung thân là mức phạt tù cao nhất.

Luật Bảo vệ dữ liệu cá nhân của Singapore (PDPA) thông qua năm 2012 (sửa đổi năm 2020). Pháp luật Singapore công nhận quyền bảo vệ dữ liệu cá nhân cũng như sự cần thiết của việc tổ chức thu thập, sử dụng và tiết lộ thông tin vì những mục đích phù hợp với những hoàn cảnh nhất định.

PDPA cũng quy định các hình phạt tài chính nghiêm khắc đối với các hành vi vi phạm dữ liệu. Đối với cá nhân vi phạm sẽ bị áp dụng các hình thức phạt tiền hoặc tù giam. Mức phạt tiền tùy thuộc vào tính chất, mức độ hành vi trong đó phạt tiền từ 2.000 tới 100.000 SGD (tương đương 1,6 tỷ đồng) hoặc/và phạt tù không quá 12 tháng, nếu nghiêm trọng có thể lên đến 3 năm1; đối với cơ quan, công ty vi phạm có thể bị phạt lên tới 10% doanh thu hàng năm.

Cơ quan có vai trò quan trọng trong việc bảo đảm thực thi PDPA là Ủy ban bảo vệ dữ liệu cá nhân (PDPC). Đây là cơ quan chuyên trách có quyền hạn lớn và khả năng thực thi rộng rãi khi có quyền yêu cầu cá nhân, tổ chức cung cấp thông tin, tài liệu liên quan đến xử lý dữ liệu cá nhân, phạt tài chính với các vi phạm cũng như xử lý bằng các biện pháp khác.

Với việc thành lập cơ quan chuyên trách Ủy ban bảo vệ dữ liệu cá nhân của Singapore làm việc một cách độc lập, chủ động trong việc phát hiện, xử lý vi phạm, áp dụng biện pháp trừng phạt cũng là một trong những điều kiện để bảo vệ dữ liệu cá nhân ở Singapore được thực thi một cách có hiệu quả.

Khuyến nghị hoàn thiện pháp luật bảo vệ dữ liệu cá nhân ở Việt Nam

Hiện nay tại Việt Nam có 69 văn bản quy phạm pháp luật liên quan trực tiếp đến vấn đề bảo vệ dữ liệu cá nhân được quy định ở các văn bản khác nhau bao gồm Hiến pháp, Bộ luật (4), Luật (39), Pháp lệnh (1), Nghị định (2), Thông tư/Thông tư liên tịch (4), Quyết định của Bộ trưởng (1).

Các văn bản này về cơ bản tiếp cận vấn đề bảo vệ dữ liệu cá nhân theo hướng đề cao nguyên tắc bảo đảm bí mật đời tư của chủ thể, tuy nhiên lại có các quy định khác nhau về thông tin liên quan đến dữ liệu cá nhân, đề cập đến những vấn đề về quyền và nghĩa vụ của các chủ thể, việc xử lý thông tin, các phương thức bảo vệ dữ liệu cá nhân. Pháp luật điều chỉnh vấn đề bảo vệ dữ liệu cá nhân của Việt Nam đã đạt được một số kết quả đáng ghi nhận đặc biệt là ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 12/2023/NĐ-CP về bảo vệ dữ liệu cá nhân – đây là văn bản riêng quy định về vấn đề này ở nước ta. Các văn bản quy phạm pháp luật này đã tạo thành hành lang pháp lý trong công tác bảo vệ dữ liệu cá nhân; quy định cụ thể quyền của chủ thể dữ liệu cũng nhưng các bên xử lý, quy định các hình thức chế tài đối với hành vi vi phạm bảo vệ dữ liệu cá nhân cũng như xác định cơ quan chuyên môn về bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an…

Việt Nam đang phải đối phó với nhiều nguy cơ, thách thức, hiểm họa từ không gian mạng, đặc biệt là tình trạng lộ lọt chiếm đoạt thông tin, dữ liệu cá nhân, gây nhiều tác hại cho công dân và xã hội.

Tuy nhiên, thực tế thực thi các văn bản này cũng đã bộc lộ nhiều hạn chế như văn bản quy phạm pháp luật riêng biệt hiện tại mới chỉ ở cấp Nghị định, chưa đáp ứng được tính quan trọng của việc bảo vệ dữ liệu cá nhân, nhiều nội dung hiện nay được quy định chung chung chưa rõ khiến việc áp dụng chưa có hướng dẫn cụ thể cho từng trường hợp cụ thể, chế tài xử lý còn nhẹ chưa đủ sức răn đe…

Trước tình trạng này, việc tiếp tục hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân ở Việt Nam đã và đang là vấn đề cần được quan tâm nghiên cứu trên cơ sở sự tham khảo kinh nghiệm từ các nước. Cụ thể:

Thứ nhất, xây dựng Luật bảo vệ dữ liệu cá nhân. Trước bối cảnh cách mạng công nghiệp 4.0, ở quy mô khu vực và quốc gia đã có 80 quốc gia ban hành văn bản quy phạm pháp luật riêng bảo vệ dữ liệu cá nhân. Việt Nam cần sớm nghiên cứu và ban hành đạo luật chung, chuyên biệt về dữ liệu như Luật bảo mật dữ liệu như EU và Trung Quốc hay Singarpore, trong đó xác định những vấn đề cơ bản, nguyên tắc cho việc bảo vệ dữ liệu cá nhân. Việc ban hành một đạo luật riêng về dữ liệu cá nhân sẽ là cơ sở pháp lý quan trọng trong việc bảo vệ dữ liệu cá nhân khi hiện nay các văn bản quy phạm pháp luật liên quan đến vấn đề này ở nước ta chưa có sự thống nhất ngay cả trong sử dụng thuật ngữ cũng như các quy định nội dung.

Thứ hai, sửa đổi, bổ sung các chế tài xử lý các hành vi vi phạm về dữ liệu cá nhân theo hướng tăng nặng để tương xứng với tính chất, mức độ của hành vi vi phạm. Mặc dù đã quy định các chế tài xử lý đối với hành vi vi phạm dữ liệu cá nhân ở nước ta bao gồm hành chính, dân sự và hình sự nhưng nhìn chung còn khá nhẹ, chưa có sức răn đe cao. Phương thức chủ yếu hiện nay vẫn là áp dụng chế tài xử phạt vi phạm hành chính tuy nhiên quy định rải rác ở nhiều Nghị định với mức phạt khá thấp, cao nhất là: 100 triệu đồng đối với cá nhân và 200 triệu đồng đối với tổ chức.

Trong khi những thiệt hại mà vi phạm hành chính về dữ liệu cá nhân có thể gây ra không chỉ là những thiệt hại về vật chất mà còn về danh dự và nhân phẩm. Bên cạnh xử phạt hành chính, chế tài hình sự đối với hành vi vi phạm về dữ liệu cá nhân mới chỉ được thể hiện trong các chế định về quyền riêng tư và lĩnh vực công nghệ thông tin, an ninh mạng tại Điều 159, Điều 288 Bộ luật Hình sự hiện hành với mức phạt tù tương đối thấp không quá 7 năm tù, phạt tiền cũng không quá 1 tỷ đồng. Mức phạt này khi so sánh với mức của EU là 20 triệu Euro, 1 triệu SGD của Singapore hay mức phạt chung thân của Trung Quốc thì còn rất thấp, chưa tương xứng với nhiều hành vi vi phạm.

Đồng thời, cần quy định thêm nhiều nhóm hành vi hiện chưa nêu trong luật như mua bán dữ liệu quy mô lớn, thiết lập hệ thống nhằm vi phạm dữ liệu, vi phạm trong kinh doanh dịch vụ tiếp thị…

Thứ ba, về mô hình cơ quan bảo vệ dữ liệu cá nhân ở Việt Nam. Hiện, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an là cơ quan chuyên môn về bảo vệ dữ liệu cá nhân. Tham chiếu với quy định quốc tế, chúng ta có thể xem xét xây dựng cơ quan bảo vệ dữ liệu các nhân độc lập chịu trách nhiệm thực thi Luật Bảo vệ dữ liệu cá nhân, tiến hành thanh tra, kiểm tra, ban hành hướng dẫn và đưa ra các khuyến nghị cũng như áp dụng các biện pháp trừng phạt vi phạm nếu có.

Chúng ta có thể tham khảo các mô hình này tại EU hay Singapore… để hoạt động thực thi pháp luật bảo vệ dữ liệu cá nhân đạt hiệu quả cao, cân bằng việc bảo vệ quyền cá nhân và bảo đảm an ninh mạng.

Bảo vệ dữ liệu cá nhân không phải là vấn đề đơn giản, đặc biệt khi nó được đặt trong bối cảnh hội nhập, khi các hoạt động giám sát và thu thập dữ liệu cá nhân đang diễn ra quy mô lớn cũng như hệ thống pháp luật Việt Nam điều chỉnh vấn đề này còn đang trong quá trình xây dựng và hoàn thiện.

Việc nghiên cứu pháp luật quốc tế về vấn đề này tham chiếu với tình hình thực tiễn ở Việt Nam sẽ giúp chúng ta sớm xây dựng khung pháp lý cho việc bảo vệ dữ liệu cá nhân toàn diện, tương thích với pháp luật quốc tế và thực thi có hiệu quả.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html