В'єтнам є однією з країн з найвищим рівнем розвитку та впровадження Інтернету у світі , де майже 80% населення користується Інтернетом, тому персональні дані двох третин населення зберігаються, завантажуються, поширюються та збираються онлайн у різних формах та з різним рівнем деталізації.
У 2022 та 2023 роках у В'єтнамі було порушено п'ять кримінальних справ, пов'язаних з купівлею та продажем тисяч гігабайт даних та мільярдів одиниць персональної інформації. Це підкреслює нагальну потребу вдосконалення законів про захист персональних даних на основі досліджень та посилань на міжнародне право.
Міжнародне право про захист персональних даних
 |
| GDPR вважається важливим правовим кроком вперед, створюючи найсуворіший у світі механізм захисту персональної інформації на сьогодні. |
Загальний регламент Європейського Союзу (ЄС) про захист даних (GDPR) вважається важливим правовим кроком вперед, створюючи найсуворіший у світі механізм захисту персональної інформації та застосовуючись до всіх організацій та підприємств, які обробляють персональні дані громадян ЄС.
GDPR застосовує єдині штрафи за порушення з боку бізнесу по всьому блоку. Зокрема, максимальний штраф становить 2% від доходу або 10 мільйонів євро за незначні порушення та 4% від доходу або 20 мільйонів євро за серйозні порушення. Окрім штрафів, підприємства, які порушують GDPR, також можуть зіткнутися з іншими санкціями, такими як примусове припинення операцій з обробки даних або видалення даних, оброблених з порушенням GDPR.
Органом ЄС із захисту персональних даних є Наглядовий орган ЄС із захисту даних (ЄКЗП) – незалежний орган, членами якого є досвідчені юристи, ІТ-фахівці та адміністратори.
Основна функція цього агентства полягає в нагляді за обробкою персональних даних в інституціях ЄС та консультуванні з питань, пов’язаних з персональними даними. GDPR також вимагає створення Органу захисту персональних даних у кожній державі-члені, такого як Національна комісія із захисту персональних даних (Франція, Ірландія тощо) або інспекція із захисту даних (Фінляндія, Латвія тощо).
Поряд з Європейським директором з захисту даних, ЄС також створив Європейську комісію із захисту даних (ЄДЗД), до складу якої входять представники національних агентств із захисту даних держав-членів та представники ЄС. Її функція полягає в тому, щоб діяти як головний незалежний консультативний орган з питань захисту персональних даних, відповідальний за послідовне застосування GDPR по всьому Союзу.
GDPR передбачає суворі стримувальні санкції, як матеріальні, так і нематеріальні. Крім того, агентство ЄС із захисту персональних даних працює за моделлю Комісії/Уповноваженого, що надає йому значні повноваження та незалежність у накладанні санкцій на організації, які порушують правила захисту персональних даних, а також у незалежній оцінці та прийнятті рішень щодо обробки персональних даних.
Закон Китаю про захист персональної інформації (ЗПІ), прийнятий у 2021 році, вважається першим комплексним законом про захист персональної інформації на національному рівні в Китаї. ЗПІ забезпечує відносно уніфікований погляд на персональні дані/персональну інформацію як інформацію, призначену для ідентифікації або розпізнавання конкретної особи, зокрема, на осіб у Китаї (стаття 4, розділ 1 ЗПІ). Одночасно він регулює конфіденційні персональні дані, встановлюючи тим самим правила щодо прав та обов'язків сторін щодо більш конкретних груп даних.
Штрафи за порушення прав на персональні дані згідно з правилами PIPL є дуже суворими, включаючи обов'язкове відшкодування збитків, конфіскацію незаконного доходу, призупинення послуг, анулювання ліцензій на діяльність або підприємницьку діяльність, а також штрафи у розмірі до 50 мільйонів юанів або 5% річного доходу організації за попередній фінансовий рік. Крім того, порушення також можуть бути зафіксовані в «кредитній історії» підрозділу обробки даних згідно з національною системою соціального кредитування.
Крім того, підрозділи обробки інформації будуть нести відповідальність за збитки, якщо вони порушують права та інтереси організацій та окремих осіб. Кримінальне покарання за такі порушення також спеціально передбачено Кримінальним кодексом Китаю, який передбачає суворішу кримінальну відповідальність для тих, хто зобов'язаний зберігати конфіденційність, додає форму конфіскації активів та встановлює довічне ув'язнення як найвищу міру покарання.
Закон Сінгапуру про захист персональних даних (PDPA), прийнятий у 2012 році (з поправками у 2020 році), визнає право на захист персональних даних та необхідність для організацій збирати, використовувати та розкривати інформацію для цілей, що відповідають конкретним обставинам.
Закон про захист даних також передбачає суворі фінансові покарання за витік даних. Особи, які порушують закон, стикаються з штрафами або позбавленням волі. Розмір штрафу залежить від характеру та тяжкості правопорушення та коливається від 2000 до 100 000 сингапурських доларів (приблизно 1,6 мільярда донгів) та/або позбавлення волі на строк до 12 місяців або до 3 років у серйозних випадках; для організацій та компаній-порушників штраф може сягати 10% їхнього річного доходу.
Вирішальну роль у забезпеченні виконання Закону про захист персональних даних (PDPA) відіграє Комісія із захисту персональних даних (PDPC). Це спеціалізоване агентство має широкі повноваження та широкі можливості правозастосування, включаючи повноваження вимагати від осіб та організацій надання інформації та документів, пов’язаних з обробкою персональних даних, накладати фінансові штрафи за порушення та вживати інших заходів щодо усунення порушень.
Створення спеціального агентства, Комісії із захисту персональних даних Сінгапуру, яка працює незалежно та проактивно у виявленні та розгляді порушень, а також у застосуванні санкцій, є однією з умов ефективного захисту персональних даних у Сінгапурі.
Рекомендації щодо вдосконалення законів про захист персональних даних у В'єтнамі
Наразі у В'єтнамі існує 69 правових документів, що безпосередньо стосуються питання захисту персональних даних, що регулюються різними документами, включаючи Конституцію, Кодекс (4), Закон (39), Указ (1), Декрет (2), Циркуляр/Спільний циркуляр (4), Рішення Міністра (1).
Ці документи, по суті, розглядають питання захисту персональних даних, наголошуючи на принципі забезпечення конфіденційності фізичних осіб; проте вони містять різні положення щодо інформації, пов’язаної з персональними даними, що стосуються питань прав та обов’язків фізичних осіб, обробки інформації та методів захисту персональних даних. В’єтнамське законодавство, що регулює захист персональних даних, досягло деяких помітних результатів, зокрема, видання Декрету № 12/2023/ND-CP про захист персональних даних від 17 квітня 2023 року – унікального документа, що регулює це питання в нашій країні. Ці правові документи створили правову базу для захисту персональних даних. Визначають права суб’єктів даних, а також сторін, що здійснюють обробку, встановлюють санкції за порушення захисту персональних даних та визначають спеціалізований орган із захисту персональних даних як Департамент кібербезпеки та запобігання високотехнологічним злочинам при Міністерстві громадської безпеки ...
 |
| В'єтнам стикається з численними ризиками, викликами та загрозами з кіберпростору, зокрема з витоком та крадіжкою особистої інформації та даних, що завдає значної шкоди громадянам та суспільству. |
Однак практичне впровадження цих документів також виявило багато обмежень, таких як той факт, що чинні окремі правові документи існують лише на рівні Указів, що не відповідає важливості захисту персональних даних; багато чинних положень є розпливчастими та нечіткими, що призводить до відсутності конкретних вказівок для кожного випадку; а покарання все ще занадто м’які та недостатньо стримують…
З огляду на цю ситуацію, подальше вдосконалення правової бази захисту персональних даних у В'єтнамі було і залишається питанням, що потребує уваги та досліджень, спираючись на досвід інших країн. Зокрема:
По-перше, необхідно прийняти закон про захист персональних даних . У контексті Четвертої промислової революції 80 країн на регіональному та національному рівнях вже прийняли власні правові документи, що захищають персональні дані. В'єтнаму необхідно терміново дослідити та прийняти загальний спеціалізований закон про дані, подібний до законів про конфіденційність даних у ЄС, Китаї та Сінгапурі, який би визначав основні питання та принципи захисту персональних даних. Прийняття окремого закону про персональні дані забезпечить вирішальну правову основу для захисту персональних даних, оскільки чинні правові документи у В'єтнамі не мають однаковості в термінології та змісті.
По-друге, покарання за порушення захисту персональних даних слід переглянути та доповнити, щоб зробити їх суворішими, співмірними з характером та тяжкістю порушень. Хоча покарання за порушення захисту персональних даних у нашій країні включають адміністративні, цивільні та кримінальні санкції, вони загалом досить м’які та не мають сильного стримуючого ефекту. Основним методом наразі залишається застосування адміністративних стягнень, але вони розпорошені по багатьох указах з відносно низькими штрафами, найвищий з яких становить 100 мільйонів донгів для фізичних осіб та 200 мільйонів донгів для організацій.
Хоча шкода, завдана адміністративними порушеннями захисту персональних даних, не обмежується матеріальними збитками, а також впливає на честь та гідність, кримінальні санкції за порушення захисту персональних даних наразі містяться лише в положеннях про конфіденційність, інформаційні технології та кібербезпеку, зокрема у статтях 159 та 288 чинного Кримінального кодексу, з відносно низькими термінами покарання у вигляді позбавлення волі не більше 7 років та штрафів, що не перевищують 1 мільярда донгів. Порівняно з 20 мільйонами євро в ЄС, 1 мільйоном сингапурських донгів у Сінгапурі або довічним ув'язненням у Китаї, ці покарання все ще дуже низькі та непропорційні багатьом порушенням.
Водночас необхідно регулювати більше категорій поведінки, які наразі не згадані в законі, таких як масштабна торгівля даними, створення систем для вчинення порушень даних, порушення в маркетингових послугах тощо.
По-третє, щодо моделі агентства захисту персональних даних у В'єтнамі : наразі Департамент кібербезпеки та запобігання високотехнологічним злочинам Міністерства громадської безпеки є спеціалізованим агентством із захисту персональних даних. Посилаючись на міжнародні норми, ми могли б розглянути можливість створення незалежного агентства захисту персональних даних, відповідального за забезпечення дотримання Закону про захист персональних даних, проведення перевірок та аудитів, видачу інструкцій, надання рекомендацій та застосування санкцій за порушення.
Ми можемо повчитися на цих моделях ЄС чи Сінгапуру… щоб забезпечити високу ефективність правоохоронних органів, що захищають персональні дані, збалансувавши захист прав особистості та гарантування кібербезпеки.
Захист персональних даних – непросте питання, особливо в контексті інтеграції, де відбувається масштабний моніторинг та збір персональних даних, а в'єтнамська правова система, що регулює це питання, все ще перебуває на стадії розробки та вдосконалення.
Вивчення міжнародного права з цього питання у поєднанні з практичною ситуацією у В'єтнамі допоможе нам швидко розробити комплексну правову базу для захисту персональних даних, яка буде сумісна з міжнародним правом та ефективно застосовуватиметься.
1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html
Джерело
![[ОФІЦІЙНО] MISA GROUP ОГОЛОШУЄ ПРО СВОЄ ПЕРШЕ ПОЗИЦІОНУВАННЯ БРЕНДУ В ОБЛАСТІ СТВОРЕННЯ АГЕНТНОГО ШТУЧНОГО ВИКОРИСТАННЯ ДЛЯ БІЗНЕСУ, ДОМОГОСПОДАРСТВА ТА УРЯДУ](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/11/1765444754256_agentic-ai_postfb-scaled.png)
Коментар (0)