กฎหมายระหว่างประเทศว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและข้อเสนอแนะสำหรับเวียดนาม

ในฐานะหนึ่งในประเทศที่มีการพัฒนาและแอปพลิเคชั่นอินเทอร์เน็ตความเร็วสูงสุดในโลก โดยมีประชากรเกือบ 80% ใช้อินเทอร์เน็ต ข้อมูลส่วนบุคคล 2/3 ของประชากรเวียดนามถูกจัดเก็บ โพสต์ แบ่งปัน และรวบรวมในไซเบอร์สเปซในรูปแบบที่แตกต่างกันมากมาย และระดับรายละเอียด

ในปี 2022 และ 2023 เวียดนามดำเนินคดีอาญา 5 คดี โดยมีข้อมูลหลายพัน GB และข้อมูลส่วนบุคคลหลายพันล้านถูกซื้อและขาย แสดงให้เห็นว่าเป็นเรื่องเร่งด่วนที่จะต้องปรับปรุงกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลโดยอาศัยการวิจัยและอ้างอิงถึงกฎหมายระหว่างประเทศ

กฎหมายระหว่างประเทศว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

GDPR ถือเป็นก้าวสำคัญทางกฎหมายในการสร้างกลไกการปกป้องข้อมูลส่วนบุคคลที่เข้มงวดที่สุดในโลกปัจจุบัน

กฎระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (EU) (GDPR)- GDPR ถือเป็นก้าวสำคัญทางกฎหมาย โดยสร้างกลไกการปกป้องข้อมูลส่วนบุคคลที่เข้มงวดที่สุดในโลกในปัจจุบัน และใช้ได้กับทุกองค์กรและธุรกิจที่ประมวลผลข้อมูลส่วนบุคคลของบริษัทในสหภาพยุโรป

GDPR ใช้บทลงโทษที่สม่ำเสมอสำหรับการละเมิดองค์กรทั่วทั้งกลุ่ม โดยเฉพาะอย่างยิ่ง ค่าปรับคือสูงสุด 2% ของรายได้หรือ 10 ล้านยูโรสำหรับการละเมิดเล็กน้อย และ 4% ของรายได้หรือ 20 ล้านยูโรสำหรับการละเมิดครั้งใหญ่ นอกเหนือจากค่าปรับแล้ว ธุรกิจที่ละเมิด GDPR ยังอาจถูกลงโทษอื่นๆ เช่น การถูกบังคับให้หยุดกิจกรรมการประมวลผลข้อมูล หรือลบข้อมูลที่ได้รับการประมวลผลโดยละเมิด GDPR

หน่วยงานคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปคือ EU Data Protection Supervisor (EDPS) ซึ่งเป็นองค์กรอิสระที่มีสมาชิกเป็นทนายความ ผู้เชี่ยวชาญด้านไอที และผู้ดูแลระบบที่มีประสบการณ์

หน่วยงานนี้มีหน้าที่หลักในการกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลในหน่วยงานและองค์กรของสหภาพยุโรปตลอดจนให้คำปรึกษาในประเด็นที่เกี่ยวข้องกับข้อมูลส่วนบุคคล GDPR ยังกำหนดให้มีการจัดตั้งหน่วยงานคุ้มครองข้อมูลส่วนบุคคลในแต่ละประเทศสมาชิก เช่น คณะกรรมการแห่งชาติเพื่อการคุ้มครองข้อมูลส่วนบุคคล (ฝรั่งเศส ไอร์แลนด์...) หรือผู้ตรวจการแผ่นดินของการคุ้มครองข้อมูล (ฝรั่งเศส ไอร์แลนด์...) ฟินแลนด์ ลัตเวีย ...)

นอกเหนือจาก EDPS แล้ว สหภาพยุโรปยังได้จัดตั้งคณะกรรมการคุ้มครองข้อมูลแห่งยุโรป (EDPB) ซึ่งประกอบด้วยตัวแทนของหน่วยงานคุ้มครองข้อมูลระดับชาติของประเทศสมาชิกและตัวแทนของสหภาพยุโรป โดยมีหน้าที่เป็นหน่วยงานที่ปรึกษาอิสระในการปกป้องข้อมูลส่วนบุคคล ปัญหาที่รับผิดชอบในการประยุกต์ใช้ GDPR อย่างสม่ำเสมอทั่วทั้งสหภาพ

GDPR มีมาตรการคว่ำบาตรที่มีการยับยั้งอย่างมาก ทั้งทางวัตถุและทางไม่ใช่ทางกายภาพ นอกจากนี้ หน่วยงานคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปได้รับการดำเนินการตามแบบจำลองของคณะกรรมาธิการ/กรรมาธิการ ดังนั้นจึงมีอำนาจและความเป็นอิสระที่ยิ่งใหญ่ในการใช้มาตรการคว่ำบาตรหากองค์กรฝ่าฝืนกฎระเบียบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและมีความสามารถในการประเมินและตัดสินใจได้อย่างอิสระ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของจีน (สพฐ.) ที่ประกาศใช้ในปี 2021 ถือเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลระดับชาติฉบับแรกในประเทศจีน PIPL เสนอมุมมองที่ค่อนข้างเป็นเอกภาพเกี่ยวกับข้อมูลส่วนบุคคล/ข้อมูลส่วนบุคคล ในฐานะข้อมูลที่มีวัตถุประสงค์เพื่อระบุหรือระบุตัวบุคคลโดยเฉพาะ โดยกำหนดเป้าหมายไปที่กลุ่มบุคคลในวงแคบภายในอาณาเขตของจีน (มาตรา 4 บทที่ 1 PIPL) ในขณะเดียวกัน กฎระเบียบเกี่ยวกับปัญหาข้อมูลส่วนบุคคลที่ละเอียดอ่อนจะกำหนดกฎระเบียบเกี่ยวกับสิทธิ์และภาระหน้าที่ของฝ่ายต่างๆ เกี่ยวกับกลุ่มข้อมูลที่เฉพาะเจาะจงมากขึ้น

การลงโทษสำหรับการละเมิดสิทธิ์ข้อมูลส่วนบุคคลตามกฎระเบียบ PIPL นั้นเข้มงวดมาก เช่น การบังคับแก้ไข การยึดรายได้ที่ผิดกฎหมาย การระงับบริการ การเพิกถอนใบอนุญาตประกอบกิจการหรือธุรกิจ ปรับสูงสุด 50 ล้านหยวนหรือ 5% รายได้ประจำปีขององค์กรในปีการเงินก่อนหน้า นอกจากนี้ การละเมิดยังสามารถบันทึกไว้ใน "ไฟล์เครดิต" ของผู้ประมวลผลภายใต้ระบบเครดิตทางสังคมแห่งชาติ

นอกจากนี้ หน่วยประมวลผลจะต้องรับผิดชอบค่าชดเชยหากละเมิดสิทธิและผลประโยชน์ขององค์กรและบุคคล การลงโทษทางอาญาสำหรับการละเมิดประเภทนี้ยังกำหนดไว้โดยเฉพาะในประมวลกฎหมายอาญาของจีน ซึ่งกำหนดความรับผิดทางอาญาที่หนักกว่าสำหรับผู้ที่รับผิดชอบด้านความปลอดภัยของข้อมูล นอกเหนือจากการยึดทรัพย์สินแล้ว การจำคุกตลอดชีวิตถือเป็นโทษสูงสุด

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของสิงคโปร์ (พีดีพีเอ) นำมาใช้ในปี 2012 (แก้ไขในปี 2020) กฎหมายสิงคโปร์ตระหนักถึงสิทธิในการปกป้องข้อมูลส่วนบุคคลตลอดจนความจำเป็นสำหรับองค์กรในการรวบรวม ใช้ และเปิดเผยข้อมูลเพื่อวัตถุประสงค์ที่เหมาะสมกับสถานการณ์ที่กำหนด

PDPA ยังกำหนดบทลงโทษทางการเงินที่เข้มงวดสำหรับการละเมิดข้อมูลอีกด้วย ผู้ฝ่าฝืนจะถูกปรับหรือจำคุก ระดับค่าปรับขึ้นอยู่กับลักษณะและความร้ายแรงของการกระทำ โดยมีโทษปรับตั้งแต่ 2.000 ถึง 100.000 ดอลลาร์สิงคโปร์ (เทียบเท่า 1,6 พันล้านเวียดนามดอง) หรือ/และจำคุกไม่เกิน 12 เดือน หากร้ายแรงอาจถึง 3 ปี1 ; หน่วยงานและบริษัทที่ละเมิดอาจถูกปรับมากถึง 10% ของรายได้ต่อปี

หน่วยงานที่มีบทบาทสำคัญในการบังคับใช้ PDPA คือ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) นี่คือหน่วยงานเฉพาะทางที่มีอำนาจอันยิ่งใหญ่และมีความสามารถในการบังคับใช้ในวงกว้าง เมื่อมีสิทธิ์ร้องขอให้บุคคลและองค์กรจัดเตรียมข้อมูลและเอกสารที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล และกำหนดบทลงโทษทางการเงินสำหรับการละเมิดตลอดจนการจัดการโดยมาตรการอื่น ๆ .

ด้วยการจัดตั้งหน่วยงานเฉพาะทาง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของสิงคโปร์ทำงานอย่างอิสระและเชิงรุกในการตรวจจับและจัดการกับการละเมิด และการใช้มาตรการคว่ำบาตรก็เป็นหนึ่งในเงื่อนไขเช่นกัน เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลในสิงคโปร์ได้รับการบังคับใช้อย่างมีประสิทธิภาพ

คำแนะนำในการปรับปรุงกฎหมายคุ้มครองข้อมูลส่วนบุคคลในเวียดนาม

ปัจจุบันในเวียดนามมีเอกสารทางกฎหมาย 69 ฉบับที่เกี่ยวข้องโดยตรงกับปัญหาการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดไว้ในเอกสารต่างๆ รวมถึงรัฐธรรมนูญ ประมวลกฎหมาย (4) กฎหมาย (39) กฤษฎีกา (1) พระราชกฤษฎีกา (2) หนังสือเวียน/หนังสือเวียนร่วม (๔) คำวินิจฉัยของรัฐมนตรี (๑)

โดยพื้นฐานแล้วเอกสารเหล่านี้จะกล่าวถึงประเด็นการคุ้มครองข้อมูลส่วนบุคคลในทิศทางของการส่งเสริมหลักการในการรับรองความเป็นส่วนตัวของชีวิตส่วนตัวของบุคคลดังกล่าว อย่างไรก็ตาม มีกฎระเบียบที่แตกต่างกันเกี่ยวกับข้อมูลที่เกี่ยวข้องกับบุคคล ในประเด็นเกี่ยวกับสิทธิและภาระผูกพันของอาสาสมัคร การประมวลผลข้อมูลและวิธีการปกป้องข้อมูลส่วนบุคคล กฎหมายของเวียดนามที่ควบคุมการคุ้มครองข้อมูลส่วนบุคคลได้รับผลลัพธ์ที่น่าทึ่ง โดยเฉพาะอย่างยิ่งในวันที่ 17 เมษายน 4 รัฐบาลได้ออกพระราชกฤษฎีกาหมายเลข 2023/12/ND-CP เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นเอกสารแยกต่างหากที่ควบคุมปัญหานี้ในประเทศของเรา เอกสารทางกฎหมายเหล่านี้ได้สร้างช่องทางทางกฎหมายในการปกป้องข้อมูลส่วนบุคคล ระบุสิทธิของเจ้าของข้อมูลตลอดจนฝ่ายประมวลผล กำหนดบทลงโทษสำหรับการละเมิดการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนระบุหน่วยงานเฉพาะด้านในการคุ้มครองข้อมูลส่วนบุคคล ได้แก่ กรมรักษาความปลอดภัยทางไซเบอร์และป้องกันอาชญากรรมทางเทคโนโลยีขั้นสูง สังกัดกระทรวง ของฝ่ายความมั่นคงสาธารณะ...

เวียดนามต้องเผชิญกับความเสี่ยง ความท้าทาย และอันตรายมากมายจากไซเบอร์สเปซ โดยเฉพาะการรั่วไหลและการจัดสรรข้อมูลส่วนบุคคลและข้อมูล ก่อให้เกิดผลเสียมากมายต่อประชาชนและสังคม

อย่างไรก็ตาม การดำเนินการจริงของเอกสารเหล่านี้ยังเผยให้เห็นถึงข้อจำกัดหลายประการ เช่น เอกสารทางกฎหมายในปัจจุบันที่แยกออกมานั้นอยู่ในระดับกฤษฎีกาเท่านั้น ไม่บรรลุถึงความสำคัญของการปกป้องข้อมูลส่วนบุคคล ปัจจุบันเนื้อหาจำนวนมากได้รับการควบคุมในลักษณะทั่วไปและไม่ชัดเจน ทำให้เกิด ยื่นคำร้องโดยไม่มีคำสั่งเฉพาะเจาะจงแต่ละกรณี และบทลงโทษยังเบาและไม่เพียงพอที่จะป้องปราม...

เมื่อเผชิญกับสถานการณ์เช่นนี้ การปรับปรุงกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในเวียดนามอย่างต่อเนื่องจึงเป็นประเด็นที่ต้องให้ความสนใจและการวิจัยโดยอิงจากประสบการณ์จากประเทศอื่น ๆ โดยเฉพาะ:

ขั้นแรก ให้จัดทำกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล- ในบริบทของการปฏิวัติอุตสาหกรรม 4.0 ในระดับภูมิภาคและระดับชาติ 80 ประเทศได้ออกเอกสารทางกฎหมายของตนเองเพื่อปกป้องข้อมูลส่วนบุคคล เวียดนามจำเป็นต้องวิจัยและประกาศใช้กฎหมายเฉพาะทางทั่วไปเกี่ยวกับข้อมูล เช่น กฎหมายความเป็นส่วนตัวของข้อมูล เช่น สหภาพยุโรป จีน หรือสิงคโปร์ ซึ่งกำหนดประเด็นพื้นฐานและหลักการในการปกป้องข้อมูลแต่ละบุคคล การประกาศใช้กฎหมายแยกต่างหากเกี่ยวกับข้อมูลส่วนบุคคลจะเป็นพื้นฐานทางกฎหมายที่สำคัญในการปกป้องข้อมูลส่วนบุคคล เมื่อปัจจุบันไม่มีเอกสารทางกฎหมายที่เกี่ยวข้องกับปัญหานี้ในประเทศของเรา ซึ่งสอดคล้องกันแม้ในการใช้คำศัพท์ตลอดจนกฎระเบียบด้านเนื้อหา

ประการที่สอง แก้ไขและเสริมมาตรการคว่ำบาตรเพื่อจัดการกับการละเมิดข้อมูลส่วนบุคคลในลักษณะที่รุนแรงยิ่งขึ้นเพื่อให้เหมาะสมกับลักษณะและขอบเขตของการละเมิด แม้ว่าจะมีการกำหนดมาตรการคว่ำบาตรสำหรับการละเมิดข้อมูลส่วนบุคคลในประเทศของเราแล้ว ทั้งทางปกครอง ทางแพ่ง และทางอาญา แต่โดยทั่วไปแล้วมาตรการดังกล่าวค่อนข้างเบาและไม่มีอำนาจในการป้องปรามสูง วิธีการหลักในปัจจุบันยังคงใช้มาตรการคว่ำบาตรสำหรับการละเมิดทางการบริหาร แต่กฎระเบียบยังกระจัดกระจายอยู่ในกฤษฎีกาหลายฉบับโดยมีค่าปรับค่อนข้างต่ำ โดยสูงสุดคือ 100 ล้านดองเวียดนามสำหรับบุคคล และ 200 ล้านดองเวียดนามสำหรับบุคคลในองค์กร

ในขณะที่ความเสียหายที่เกิดจากการละเมิดข้อมูลส่วนบุคคลด้านการบริหารไม่เพียงแต่ความเสียหายที่เป็นสาระสำคัญเท่านั้น แต่ยังรวมถึงเกียรติและศักดิ์ศรีด้วย นอกจากการลงโทษทางปกครองแล้ว การลงโทษทางอาญาสำหรับการละเมิดข้อมูลส่วนบุคคลจะแสดงเฉพาะในข้อบังคับเกี่ยวกับความเป็นส่วนตัวและด้านเทคโนโลยีสารสนเทศและความปลอดภัยเครือข่ายในมาตรา 159 มาตรา 288 ของประมวลกฎหมายอาญาฉบับปัจจุบัน มีโทษจำคุกค่อนข้างต่ำไม่เกิน จำคุก 7 ปี และปรับไม่เกิน 1 พันล้านดอง ค่าปรับนี้เมื่อเปรียบเทียบกับ 20 ล้านยูโรของสหภาพยุโรป หรือ 1 ล้านดอลลาร์สิงคโปร์ หรือโทษจำคุกตลอดชีวิตของจีน ยังถือว่าต่ำมาก และไม่สมส่วนกับการละเมิดหลายๆ ครั้ง

ขณะเดียวกันจำเป็นต้องควบคุมกลุ่มพฤติกรรมที่ไม่ได้กล่าวถึงในกฎหมายให้มากขึ้น เช่น การซื้อขายข้อมูลขนาดใหญ่ การจัดตั้งระบบเพื่อละเมิดข้อมูล การละเมิดในธุรกิจบริการการตลาด...

ประการที่สาม เกี่ยวกับรูปแบบของหน่วยงานคุ้มครองข้อมูลส่วนบุคคลในเวียดนาม- ปัจจุบัน กรมความมั่นคงปลอดภัยไซเบอร์และป้องกันและควบคุมอาชญากรรมเทคโนโลยีขั้นสูง สังกัดกระทรวงความมั่นคงสาธารณะ เป็นหน่วยงานที่เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล ด้วยการอ้างอิงถึงกฎระเบียบระหว่างประเทศ เราสามารถพิจารณาสร้างหน่วยงานคุ้มครองข้อมูลส่วนบุคคลอิสระที่รับผิดชอบในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ดำเนินการตรวจสอบ ทดสอบ และออกคำแนะนำ ให้คำแนะนำและคำแนะนำ รวมถึงใช้มาตรการคว่ำบาตรสำหรับการละเมิด หากมี

เราสามารถอ้างถึงโมเดลเหล่านี้ในสหภาพยุโรปหรือสิงคโปร์... เพื่อการบังคับใช้กฎหมายที่มีประสิทธิภาพสูงในการปกป้องข้อมูลส่วนบุคคล สร้างสมดุลในการปกป้องสิทธิ์ส่วนบุคคล และรับประกันความปลอดภัยของเครือข่าย

การปกป้องข้อมูลส่วนบุคคลไม่ใช่เรื่องง่าย โดยเฉพาะอย่างยิ่งเมื่ออยู่ในบริบทของการบูรณาการ เมื่อกิจกรรมการเฝ้าระวังและการรวบรวมข้อมูลส่วนบุคคลเกิดขึ้นในวงกว้าง เช่นเดียวกับระบบกฎหมายของเวียดนามที่ควบคุมปัญหานี้ยังคงอยู่ใน กระบวนการพัฒนาและแล้วเสร็จ

การค้นคว้ากฎหมายระหว่างประเทศในประเด็นนี้โดยอ้างอิงถึงสถานการณ์ในทางปฏิบัติในเวียดนามจะช่วยให้เราสร้างกรอบทางกฎหมายสำหรับการปกป้องข้อมูลส่วนบุคคลที่ครอบคลุม สอดคล้องกับกฎหมายระหว่างประเทศและกฎหมายระหว่างประเทศที่มีประสิทธิผล

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html