Trình Quốc hội dự thảo Luật Bảo vệ dữ liệu cá nhân

Trong chương trình làm việc Kỳ họp thứ 9, chiều 05/5, Quốc hội đã nghe Tờ trình và Báo cáo thẩm tra Dự án Luật Bảo vệ dữ liệu cá nhân.

Thừa ủy quyền của Thủ tướng Chính phủ, trình bày Tờ trình dự án Luật Bảo vệ dữ liệu cá nhân, Phó Thủ tướng Lê Thành Long cho biết việc xây dựng Luật Bảo vệ dữ liệu cá nhân nhằm hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân của nước ta, tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân trong nước tiếp cận trình độ quốc tế, khu vực; đẩy mạnh sử dụng dữ liệu cá nhân đúng pháp luật phục vụ phát triển kinh tế, xã hội.

Dự thảo cũng nhằm cụ thể hóa các quy định của Hiến pháo, các chính sách, pháp luật của Đảng, Nhà nước về quyền con người, quyền công dân, quyền riêng tư, an ninh mạng, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, Chính phủ điện tử, Chính phủ số, kinh tế số, trực tiếp là Nghị quyết 30-NQ/TW của Bộ Chính trị về Chiến lược An ninh mạng quốc gia, Nghị quyết số 57-NQ/TW của Bộ Chính trị về đột phá phát triển khoa học công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia, Luật Dữ liệu 2024, Luật An ninh mạng 2018, Luật An toàn thông tin mạng 2015. Theo đó, dự thảo Luật Bảo vệ dữ liệu cá nhân trên cơ sở phát triển quy định của Nghị định số 13/2023/NĐ-CP gồm 07 Chương, 68 Điều.

Phó Thủ tướng Lê Thành Long cho biết, có 4 cơ sở thực tiễn lớn trong đề xuất xây dựng dự án Luật Bảo vệ dữ liệu cá nhân:

- Thứ nhất là hạn chế, bất cập của quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân, có tới 69 văn bản liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam nhưng tất cả đều chưa thống nhất về khái niệm, nội dung, nội hàm và biện pháp bảo vệ, mới chỉ có 01 văn bản là Nghị định số 13/2023/NĐ-CP quy định về bảo vệ dữ liệu cá nhân nhưng chưa có văn bản Luật.

- Thứ hai, những vấn đề mới phát sinh về bảo vệ dữ liệu cá nhân đặt ra yêu cầu giải quyết thông qua việc ban hành Luật, như thực trạng thu thập thừa dữ liệu cá nhân so với ngành nghề, sản phẩm, dịch vụ kinh doanh, thiếu cơ sở pháp lý khi thu thập dữ liệu cá nhân, thu thập, xử lý dữ liệu cá nhân mà chưa có sự đồng ý của chủ thể dữ liệu; tình trạng chiếm đoạt, chuyển giao trái phép, mua, bán dữ liệu cá nhân diễn ra dưới nhiều hình thức, tràn lan, ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân.

- Thứ ba, hài hòa với thông lệ, quy định quốc tế về bảo vệ dữ liệu cá nhân khi đã có hơn 140 quốc gia ban hành văn bản quy phạm luật về bảo vệ dữ liệu cá nhân, nhiều văn bản có quy định áp dụng đối với tổ chức, cá nhân Việt Nam.

- Thứ tư, tạo nền tảng pháp lý cho hoạt động sử dụng dữ liệu cá nhân phục vụ phát triển kinh tế, xã hội khi dữ liệu cá nhân được coi là một trong những tư liệu sản xuất chính để thực hiện chuyển đổi số, phát triển kinh tế số, xây dựng xã hội số, ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân.

Trình bày Báo cáo thẩm tra dự án Luật, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại của Quốc hội Lê Tấn Tới nhất trí với sự cần thiết ban hành Luật; cho rằng, việc xây dựng dự án Luật nhằm bảo đảm cơ sở pháp lý; đáp ứng yêu cầu bảo vệ dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân. Việc xây dựng, ban hành Luật này là phù hợp với chủ trương, đường lối, quan điểm chỉ đạo của Đảng về chuyển đổi số quốc gia, phát triển kinh tế số, xây dựng xã hội số, đáp ứng yêu cầu hội nhập quốc tế, góp phần tạo đà đưa đất nước bước vào kỷ nguyên vươn mình của dân tộc.

Về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân, Ủy ban Quốc phòng, An ninh và Đối ngoại của Quốc hội đề nghị cân nhắc quy định tại khoản 2: “Áp dụng mức xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân”. Bởi, một số ý kiến cho rằng, mức xử phạt hành chính như vậy là không khả thi và quá nặng đối với tổ chức, doanh nghiệp. Một số ý kiến cho rằng, quy định này không thống nhất với quan điểm xử phạt vi phạm hành chính hiện nay là “Việc xử phạt vi phạm hành chính phải căn cứ vào tính chất, mức độ, hậu quả vi phạm, đối tượng vi phạm và tình tiết giảm nhẹ, tình tiết tăng nặng”. Một số ý kiến cho rằng, quy định phạt theo doanh thu năm liền trước không phù hợp với tổ chức, doanh nghiệp mới thành lập và trường hợp tổ chức, doanh nghiệp không có doanh thu hoặc có doanh thu mà không có lợi nhuận...

Về quyền của chủ thể dữ liệu, một số ý kiến cho rằng, quy định tại các điều luật trên đang tuyệt đối hóa quyền của chủ thể dữ liệu cá nhân dễ dẫn đến lạm dụng quyền mà gây cản trở, khó khăn cho quá trình xử lý dữ liệu của các bên kiểm soát, xử lý dữ liệu cá nhân; đề nghị bổ sung các quy định nhằm bảo vệ quyền, lợi ích của các bên kiểm soát, xử lý dữ liệu cá nhân khi thực hiện các yêu cầu của chủ thể dữ liệu cá nhân để bảo đảm hài hòa về quyền và lợi ích của các bên có liên quan.

Một số ý kiến nêu, các quy định bắt buộc thực hiện yêu cầu về hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, cung cấp dữ liệu, chỉnh sửa dữ liệu, xóa dữ liệu trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu cá nhân tại điểm b khoản 6 và điểm c khoản 8 Điều 8, khoản 3 Điều 16, khoản 2 Điều 17 và khoản 5 Điều 18 là không phù hợp với thông lệ quốc tế DPR và không bảo đảm tính khả thi, vì điều kiện hạ tầng, kỹ thuật và con người không đáp ứng được...

Về xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu, Ủy ban Quốc phòng, An ninh và Đối ngoại của Quốc hội cơ bản nhất trí với các quy định về xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu tại Điều 19, vì cho rằng các quy định này cơ bản được kế thừa từ Nghị định 13/2023/NĐ-CP, là sự bổ sung cho các quy định về xử lý dữ liệu cá nhân khi được sự đồng ý của chủ thể dữ liệu trong dự thảo Luật này.

Tuy nhiên, có ý kiến đề nghị rà soát các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu để bổ sung cho đầy đủ, kết hợp với các trường hợp xử lý dữ liệu cá nhân phải có sự đồng ý của chủ thể dữ liệu, tạo thành một thể thống nhất, toàn diện.

Có ý kiến cho rằng, hiện nay có nhiều luật và văn bản dưới luật quy định về một số trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu, do đó đề nghị rà soát bổ sung, đồng thời chỉnh sửa cụm từ “theo quy định của luật” tại các khoản 2, 3, 4 và 5 thành cụm từ “theo quy định của pháp luật”.

Ủy ban Quốc phòng, An ninh và Đối ngoại của Quốc hội đề nghị rà soát kỹ lưỡng các quy định về Chuyên gia bảo vệ dữ liệu cá nhân (Điều 39), Tổ chức bảo vệ dữ liệu cá nhân (Điều 41), Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân (Điều 42), Xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân (Điều 43) nhằm triệt để cắt giảm, đơn giản hóa thủ tục hành chính, điều kiện đầu tư sản xuất, kinh doanh và không quy định trong Luật những nội dung về thủ tục hành chính, trình tự, hồ sơ mà giao Chính phủ, các Bộ quy định theo thẩm quyền.