Internationell rätt om skydd av personuppgifter och konsekvenser för Vietnam

Vietnam är ett av de länder i världen med den högsta internetutvecklingen och applikationshastigheten, med nästan 80 % av befolkningen som använder det. Personuppgifter för två tredjedelar av Vietnams befolkning lagras, publiceras, delas och samlas in i cyberrymden i många olika former och på många olika detaljnivåer.

Under 2022 och 2023 väckte Vietnam åtal i fem fall som involverade tusentals GB data och miljarder personuppgifter som köptes och såldes. Detta visar att behovet av att förbättra lagen om skydd av personuppgifter baserat på forskning och hänvisning till internationell rätt är brådskande.

Internationell rätt om skydd av personuppgifter

GDPR anses vara ett stort juridiskt steg framåt, vilket skapar den strängaste mekanismen för skydd av personuppgifter i världen idag.

Europeiska unionens (EU) allmänna dataskyddsförordning (GDPR) anses vara ett stort rättsligt steg framåt, eftersom den skapar den strängaste mekanismen för skydd av personuppgifter i världen idag och tillämpas på alla organisationer och företag som behandlar EU-medborgares personuppgifter.

GDPR inför enhetliga påföljder för företag i hela unionen. Mer specifikt är böterna upp till 2 % av omsättningen eller 10 miljoner euro för mindre överträdelser, och 4 % av omsättningen eller 20 miljoner euro för större överträdelser. Utöver böter kan företag som bryter mot GDPR också bli föremål för andra sanktioner, såsom att tvingas sluta behandla data eller radera data som har behandlats i strid med GDPR.

EU:s myndighet för personuppgifter är EU:s dataskyddstillsynsman (EDPS) – ett oberoende organ vars medlemmar inkluderar erfarna jurister, IT-experter och administratörer.

Detta organ har som huvuduppgift att övervaka behandlingen av personuppgifter i EU:s myndigheter och organisationer samt att ge råd i frågor som rör personuppgifter. GDPR kräver också inrättandet av en personuppgiftsskyddsmyndighet i varje medlemsland, såsom en nationell kommission för personuppgiftsskydd (Frankrike, Irland...) eller en dataskyddsinspektion (Finland, Lettland...).

Vid sidan av datatillsynsmannen inrättade EU även Europeiska dataskyddsstyrelsen (EDPB), som består av representanter för medlemsstaternas nationella dataskyddsmyndigheter och representanter för EU, och fungerar som det huvudsakliga oberoende rådgivande organet i frågor som rör skydd av personuppgifter och ansvarar för en konsekvent tillämpning av GDPR i hela unionen.

GDPR föreskriver mycket avskräckande sanktioner, både materiella och immateriella. Dessutom har EU:s personuppgiftsmyndighet, som implementeras enligt kommissionärsmodellen, breda och oberoende befogenheter att ålägga sanktioner om organisationer bryter mot personuppgiftsskyddsreglerna och har förmåga att självständigt bedöma och besluta om behandling av personuppgifter.

Kinas lag om skydd av personuppgifter (PIPL) som antogs 2021 anses vara den första heltäckande lagen om skydd av personuppgifter på nationell nivå i Kina. PIPL ger en relativt enhetlig syn på personuppgifter/personlig information som information som identifierar eller identifierar en specifik individ, riktad mot en smal grupp individer inom Kinas territorium (artikel 4 kapitel 1 i PIPL). Samtidigt reglerar den frågan om känsliga personuppgifter för att fastställa bestämmelser om parters rättigheter och skyldigheter med avseende på mer specifika grupper av uppgifter.

Sanktionerna för brott mot personuppgiftsrättigheter enligt PIPL är mycket stränga, inklusive tvångsåtgärder, konfiskering av olagliga inkomster, avstängning av tjänster, återkallelse av drifts- eller affärslicenser och böter på upp till 50 miljoner yuan eller 5 % av en organisations årliga intäkter under föregående räkenskapsår. Dessutom kan överträdelser också registreras i "kreditfilen" hos bearbetningsenheten enligt det nationella sociala kreditsystemet.

Dessutom kommer bearbetningsenheterna att vara ansvariga för att ersätta skador om de kränker organisationers och individers rättigheter och intressen. Straffrättsliga påföljder för dessa typer av överträdelser regleras också specifikt av den kinesiska strafflagen, som föreskriver ett strängare straffrättsligt ansvar för dem som är skyldiga att hålla information konfidentiell, lägger till formen förverkande av egendom och föreskriver livstids fängelse som det högsta fängelsestraffet.

Singapores lag om personuppgifter (PDPA) antogs 2012 (ändrad 2020). Singapores lag erkänner rätten till skydd av personuppgifter samt behovet av att organisera insamling, användning och utlämnande av information för lämpliga ändamål under vissa omständigheter.

PDPA föreskriver också stränga ekonomiska påföljder för dataintrång. Enskilda överträdare kan bli föremål för böter eller fängelse. Böterna beror på överträdelsens art och allvarlighetsgrad och varierar från 2 000 till 100 000 SGD (motsvarande 1,6 miljarder VND) och/eller fängelse i högst 12 månader, eller upp till 3 år i allvarliga fall. För myndigheter och företag som bryter mot detta kan de bli bötfällda med upp till 10 % av sin årsomsättning.

Det organ som spelar en viktig roll i att säkerställa genomförandet av PDPA är personuppgiftsskyddskommissionen (PDPC). Detta är ett specialiserat organ med breda befogenheter och omfattande verkställighetsmöjligheter, med rätt att begära att individer och organisationer lämnar information och dokument relaterade till behandling av personuppgifter, ålägga ekonomiska påföljder för överträdelser samt hantera dem med andra åtgärder.

Inrättandet av en specialiserad myndighet, Singapores kommission för skydd av personuppgifter, som arbetar oberoende och proaktivt med att upptäcka, hantera överträdelser och tillämpa sanktioner är också en av förutsättningarna för en effektiv tillämpning av personuppgiftsskyddet i Singapore.

Rekommendationer för att förbättra lagstiftningen om personuppgiftsskydd i Vietnam

För närvarande finns det i Vietnam 69 rättsdokument som direkt rör frågan om skydd av personuppgifter och som anges i olika dokument, inklusive konstitutionen, kodexen (4), lagen (39), förordningen (1), dekretet (2), cirkuläret/gemensamt cirkuläret (4) och ministerbeslutet (1).

Dessa dokument närmar sig i grunden frågan om skydd av personuppgifter i riktning mot att främja principen om att säkerställa den registrerades integritet, men har olika regleringar om information relaterad till personuppgifter, med hänvisning till frågor om registrerades rättigheter och skyldigheter, informationsbehandling och metoder för skydd av personuppgifter. Lagen som reglerar frågan om skydd av personuppgifter i Vietnam har uppnått några anmärkningsvärda resultat, särskilt den 17 april 2023 utfärdade regeringen dekret nr 12/2023/ND-CP om skydd av personuppgifter - detta är ett separat dokument som reglerar denna fråga i vårt land. Dessa rättsliga dokument har skapat en rättslig korridor i arbetet med att skydda personuppgifter; Specificerar rättigheterna för registrerade samt behandlande parter, föreskriver sanktioner för brott mot personuppgiftsskyddet och identifierar den specialiserade myndigheten för skydd av personuppgifter som avdelningen för cybersäkerhet och högteknologisk brottsförebyggande under ministeriet för allmän säkerhet ...

Vietnam står inför många risker, utmaningar och faror från cyberrymden, särskilt läckage och tillägnande av personlig information och data, vilket orsakar många skadliga effekter för medborgare och samhället.

Det faktiska genomförandet av dessa dokument har dock också avslöjat många begränsningar, såsom att de nuvarande separata rättsdokumenten endast är på dekretnivå och inte uppfyller vikten av att skydda personuppgifter, att mycket innehåll för närvarande är reglerat generellt och oklart, vilket leder till brist på specifik vägledning för varje specifikt fall, och att sanktionerna fortfarande är milda och inte tillräckligt avskräckande...

I denna situation har och är fortsatt förbättring av lagen om skydd av personuppgifter i Vietnam en fråga som behöver studeras baserat på erfarenheter från andra länder. Mer specifikt:

Först, utarbeta en lag om skydd av personuppgifter . Mot bakgrund av den industriella revolutionen 4.0 har 80 länder utfärdat separata rättsdokument för att skydda personuppgifter på regional och nationell nivå. Vietnam behöver snart undersöka och utfärda en allmän, specialiserad datalag, såsom dataskyddslagen i EU, Kina eller Singapore, som identifierar grundläggande frågor och principer för skydd av personuppgifter. Utfärdandet av en separat lag om personuppgifter kommer att vara en viktig rättslig grund för att skydda personuppgifter, eftersom rättsdokument relaterade till denna fråga i vårt land för närvarande inte är enhetliga vad gäller terminologi och innehållsregler.

För det andra, ändra och komplettera sanktioner för personuppgiftsbrott på ett strängare sätt för att matcha överträdelsens art och allvar. Även om sanktioner för personuppgiftsbrott i vårt land inkluderar administrativa, civilrättsliga och straffrättsliga sanktioner, är de i allmänhet ganska lindriga och har inte en hög avskräckande effekt. Den huvudsakliga metoden för närvarande är fortfarande att tillämpa sanktioner för administrativa överträdelser, men reglerna är spridda i många dekret med ganska låga böter, de högsta är: 100 miljoner VND för individer och 200 miljoner VND för organisationer.

Även om den skada som administrativa brott mot personuppgifter kan orsaka inte bara är materiell skada utan även skada på heder och värdighet, återspeglas straffrättsliga påföljder för brott mot personuppgifter, utöver administrativa sanktioner, endast i bestämmelserna om integritet och informationsteknik och nätverkssäkerhet i artikel 159 och artikel 288 i den nuvarande strafflagen med ett relativt lågt fängelsestraff på högst 7 års fängelse och böter på högst 1 miljard VND. Detta bötesbelopp är, jämfört med EU:s nivå på 20 miljoner euro, Singapores 1 miljon SGD eller Kinas livstidsstraff, fortfarande mycket lågt och inte i proportion till många brott.

Samtidigt är det nödvändigt att reglera många grupper av beteenden som för närvarande inte nämns i lagen, såsom storskalig datahandel, upprättande av system för att kränka data, kränkningar inom marknadsföringstjänstverksamhet etc.

För det tredje, enligt modellen för en dataskyddsmyndighet i Vietnam . För närvarande är departementet för cybersäkerhet och högteknologisk brottsförebyggande under ministeriet för offentlig säkerhet den specialiserade myndigheten för dataskydd. Med hänvisning till internationella bestämmelser kan vi överväga att inrätta en oberoende dataskyddsmyndighet som ansvarar för att upprätthålla lagen om dataskydd, genomföra inspektioner, granskningar, utfärda riktlinjer och rekommendationer samt tillämpa sanktioner för överträdelser, om några.

Vi kan hänvisa till dessa modeller i EU eller Singapore... för att effektivt upprätthålla lagar om skydd av personuppgifter, och balansera skyddet av personliga rättigheter och säkerställande av nätverkssäkerhet.

Att skydda personuppgifter är ingen enkel fråga, särskilt när det sätts i samband med integration, när övervakning och insamling av personuppgifter sker i stor skala och det vietnamesiska rättssystemet som reglerar denna fråga fortfarande håller på att byggas upp och finslipas.

Att undersöka internationell rätt i denna fråga med hänvisning till den praktiska situationen i Vietnam kommer att hjälpa oss att snart bygga en rättslig ram för ett omfattande skydd av personuppgifter, förenligt med internationell rätt och effektivt verkställande.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html