Đề nghị xây dựng cơ chế kiểm soát dữ liệu xuyên biên giới

Dự thảo Luật Bảo vệ dữ liệu cá nhân chưa quy định rõ về việc quản lý dữ liệu cá nhân của công dân Việt Nam khi dữ liệu này được lưu trữ, xử lý hoặc chia sẻ với các tổ chức, cá nhân ở nước ngoài.

Quy định rõ đối với dữ liệu cá nhân được lưu trữ ở nước ngoài

Đây là vấn đề được đại biểu Thạch Phước Bình (Đoàn tỉnh Trà Vinh) đưa ra tại hội nghị đại biểu Quốc hội hoạt động chuyên trách lần thứ 7 thảo luận một số nội dung trình Quốc hội tại Kỳ họp thứ 9, khi thảo luận về dự án Luật Bảo vệ dữ liệu cá nhân.

Đại biểu Thạch Phước Bình nhìn nhận, dự thảo Luật được xây dựng trong bối cảnh dữ liệu cá nhân ngày càng trở thành tài sản quan trọng, đồng thời cũng phải đối diện với nhiều nguy cơ lạm dụng, xâm phạm, đặc biệt là tình trạng vi phạm dữ liệu cá nhân, rò rỉ thông tin khách hàng, lạm dụng dữ liệu trong quảng cáo, tiếp thị. Vì vậy, việc ban hành Luật này là hết sức cần thiết.

Đại biểu cho rằng, các quy định liên quan đến dữ liệu y tế, tài chính, sinh trắc học và trí tuệ nhân tạo là cần thiết để kiểm soát các hành vi lạm dụng dữ liệu. Việc xác định rõ trách nhiệm các cơ quan quản lý và cơ chế giám sát sẽ giúp Luật được thực thi một cách hiệu quả hơn.

Tuy nhiên, về phạm vi điều chỉnh đối với dữ liệu xuyên biên giới, dự thảo Luật chưa quy định rõ về việc quản lý dữ liệu cá nhân của công dân Việt Nam khi dữ liệu này được lưu trữ, xử lý hoặc chia sẻ với các tổ chức, cá nhân ở nước ngoài. Điều này đặt ra một số thách thức như nhiều công ty công nghệ lớn như Google, Facebook, Tiktok lưu trữ dữ liệu người dùng trên các máy chủ đặt ngoài Việt Nam nếu không có cơ chế giám sát rõ ràng, nguy cơ dữ liệu bị sử dụng sai mục đích hoặc bị xâm phạm là rất lớn.

Đại biểu Thạch Phước Bình (Đoàn tỉnh Trà Vinh). Ảnh: Quốc hội

Đồng thời, nếu không có quy định về việc áp dụng luật Việt Nam đối với các tổ chức xử lý dữ liệu nước ngoài, việc yêu cầu xóa dữ liệu, ngăn chặn hành vi vi phạm hoặc xử lý tranh chấp sẽ gặp nhiều trở ngại.

“Các quốc gia châu Âu hay Trung Quốc đều có cơ chế kiểm soát dữ liệu xuyên biên giới hết sức nghiêm ngặt cho nên nước ta cần có quy định tương tự để bảo vệ dữ liệu công dân không bị khai thác trái phép. Tôi đề nghị quy định rõ ràng về phạm vi điều chỉnh của Luật đối với dữ liệu cá nhân được lưu trữ ở nước ngoài.

Yêu cầu các tổ chức nước ngoài xử lý dữ liệu của công dân Việt Nam phải tuân thủ quy định của pháp luật Việt Nam tương tự như cách các nước châu Âu yêu cầu công ty ngoài châu Âu tuân thủ luật bảo vệ dữ liệu của họ”, đại biểu Thạch Phước Bình nêu rõ.

Bên cạnh đó, đại biểu đề nghị xây dựng cơ chế kiểm soát dữ liệu xuyên biên giới, bao gồm yêu cầu lưu trữ dữ liệu quan trọng trong lãnh thổ Việt Nam hoặc quy trình đánh giá rủi ro trước khi chuyển dữ liệu ra nước ngoài.

Bổ sung trách nhiệm hình sự

Ông Bình cũng bày tỏ băn khoăn khi dự thảo Luật chưa quy định rõ ràng về bên kiểm soát dữ liệu và bên xử lý dữ liệu, dẫn đến khó khăn trong việc phân định trách nhiệm giữa các tổ chức, cá nhân liên quan.

Từ đó, đại biểu đề nghị định nghĩa rõ ràng hơn bên kiểm soát dữ liệu là tổ chức, cá nhân quyết định mục đích và phương pháp xử lý dữ liệu cá nhân. Bên xử lý dữ liệu là tổ chức, cá nhân thay mặt bên kiểm soát dữ liệu để xử lý dữ liệu theo hợp đồng hoặc thỏa thuận. Bên kiểm soát dữ liệu phải chịu trách nhiệm chính về bảo vệ dữ liệu cá nhân, phải đảm bảo an toàn, tuân thủ quy định pháp luật khi xử lý dữ liệu. Bên xử lý dữ liệu có trách nhiệm bảo đảm an toàn và tuân thủ quy định pháp luật khi xử lý dữ liệu.

Đáng quan tâm, đại biểu Thạch Phước Bình đề cập đến các mô hình công nghệ mới nhưng dự thảo Luật chưa đề cập đến việc quản lý dữ liệu trong các mô hình này.

“Các nền tảng thực tế ảo có thể thu thập dữ liệu và cử chỉ, giọng nói, hành vi của người dùng, tạo ra nguy cơ rò rỉ các dữ liệu nhạy cảm. Tôi kiến nghị Ban soạn thảo nên nghiên cứu xây dựng quy định bảo vệ dữ liệu trong blockchain, ví dụ có thể yêu cầu các hệ thống blockchain áp dụng cơ chế mã hóa hoặc phân quyền kiểm soát dữ liệu cá nhân. Hai là quy định về minh bạch trong AI yêu cầu các công ty sử dụng AI phải thông báo cho người dùng về dữ liệu bị thu thập và cơ chế xử lý”, đại biểu nói.

Đại biểu đoàn Trà Vinh cũng cho rằng, dự thảo Luật lại chưa quy định chi tiết mức phạt và hình thức xử lý vi phạm, một số vấn đề đặt ra như mức phạt thì chưa đủ răn đe, nếu mức phạt hành chính quá thấp hoặc các doanh nghiệp có thể sẵn sàng trả tiền phạt thay vì đầu tư và bảo vệ dữ liệu.

Đồng thời, chưa có quy định về trách nhiệm hình sự trong các trường hợp nghiêm trọng như đánh cắp, buôn bán dữ liệu cá nhân thì cần có chế tài mạnh hơn như truy cứu trách nhiệm hình sự.

Vì vậy cần tăng mức xử phạt, nên chăng nghiên cứu tham khảo mô hình của các nước châu Âu quy định mức phạt có thể lên đến 4% doanh thu toàn cầu của công ty vi phạm. Đồng thời bổ sung trách nhiệm hình sự, quy định các hành vi như đánh cắp, mua bán dữ liệu cá nhân thì nên bị xử lý hình sự với mức án tù cụ thể.

Phát biểu kết luận nội dung thảo luận sau đó, Phó Chủ tịch Quốc hội Trần Quang Phương đề nghị cơ quan soạn thảo và các cơ quan liên quan tiếp thu có chọn lọc kinh nghiệm quốc tế và có tính khả thi, trong đó kinh nghiệm của quốc tế là bảo đảm cân bằng giữa bảo vệ quyền riêng tư và phát triển kinh tế - xã hội, có chế tài nghiêm khắc để răn đe.

Phó Chủ tịch Quốc hội lưu ý tăng cường quyền lợi cá nhân của người dân, như quyền kiểm soát dữ liệu cá nhân, hạn chế hoặc chuyển dữ liệu cá nhân xuyên biên giới để tránh nguy cơ rò rỉ thông tin dữ liệu; nghiên cứu có thể quy định trong Luật hoặc giao cho Chính phủ quy định chi tiết các hành vi và mức xử phạt cho phù hợp...