Tăng cường quyền kiểm soát của người dân đối với dữ liệu cá nhân

Tăng cường bảo vệ dữ liệu cá nhân xuyên biên giới và trong các mô hình công nghệ mới

Dự án Luật Bảo vệ dữ liệu cá nhân được xây dựng trong bối cảnh dữ liệu cá nhân ngày càng trở thành tài sản quan trọng, đồng thời cũng đối diện với nhiều nguy cơ bị lạm dụng, xâm phạm. Nêu vấn đề này, ĐBQH Thạch Phước Bình (Trà Vinh) nhấn mạnh, trước sự gia tăng các rủi ro về bảo mật dữ liệu cá nhân, rò rỉ thông tin khách hàng, lạm dụng dữ liệu trong quảng cáo, tiếp thị; thiếu hành lang pháp lý đồng bộ về bảo vệ dữ liệu cá nhân, bảo vệ quyền lợi của công dân trong môi trường số, việc xây dựng và ban hành Luật Bảo vệ dữ liệu cá nhân là đặc biệt cần thiết.

Phó Chủ tịch Quốc hội, Thượng tướng Trần Quang Phương điều hành phiên thảo luận. Ảnh: Hồ Long

Tuy nhiên, đại biểu Thạch Phước Bình nhận thấy, dự thảo Luật chưa quy định rõ về việc quản lý dữ liệu cá nhân của công dân Việt Nam khi dữ liệu này được lưu trữ, xử lý hoặc chia sẻ bởi các tổ chức, cá nhân ở nước ngoài. Điều này đặt ra một số thách thức, như sẽ thiếu cơ chế kiểm soát đối với dữ liệu cá nhân của công dân Việt Nam. Trên thực tế, nhiều công ty công nghệ lớn của nước ngoài như Google, Facebook, TikTok… lưu trữ dữ liệu người dùng trên các máy chủ đặt ngoài Việt Nam. Nếu không có cơ chế giám sát rõ ràng, nguy cơ dữ liệu bị sử dụng sai mục đích hoặc bị xâm phạm là rất lớn. Hơn nữa, nếu không có quy định về việc áp dụng luật Việt Nam đối với các tổ chức xử lý dữ liệu nước ngoài, việc yêu cầu xóa dữ liệu, ngăn chặn hành vi vi phạm hoặc xử lý tranh chấp sẽ gặp nhiều trở ngại.

Phó Chủ tịch Quốc hội, Thượng tướng Trần Quang Phương điều hành phiên thảo luận. Ảnh: Hồ Long

Từ phân tích nêu trên, đại biểu Thạch Phước Bình đề nghị, cần quy định rõ ràng về phạm vi điều chỉnh của Luật đối với dữ liệu cá nhân được lưu trữ ở nước ngoài; yêu cầu các tổ chức nước ngoài xử lý dữ liệu công dân Việt Nam phải tuân thủ quy định của pháp luật Việt Nam và xây dựng cơ chế kiểm soát dữ liệu xuyên biên giới, bao gồm yêu cầu lưu trữ dữ liệu quan trọng trong lãnh thổ Việt Nam hoặc quy trình đánh giá rủi ro trước khi chuyển dữ liệu ra nước ngoài.

Trong kỷ nguyên số, sự phát triển nhanh chóng của các công nghệ mới như blockchain, trí tuệ nhân tạo (AI), Metaverse… đặt ra nhiều thách thức trong lĩnh vực bảo vệ dữ liệu cá nhân. Tuy vậy, dự thảo Luật chưa đề cập cụ thể đến việc quản lý dữ liệu trong các mô hình công nghệ mới này. Đơn cử, công nghệ blockchain có đặc điểm bất biến, không thể chỉnh sửa hoặc xóa các dữ liệu đã được xác nhận trên blockchain. Điều này mâu thuẫn với quyền “được quên” mà nhiều luật về bảo vệ dữ liệu cá nhân quốc tế quy định.

ĐBQH Thạch Phước Bình (Trà Vinh) phát biểu. Ảnh: Hồ Long

Tương tự, các mô hình AI thu thập và xử lý khối lượng lớn dữ liệu cá nhân tự động mà đôi khi người dùng không hề hay biết. Hay với Metaverse, các nền tảng thực tế ảo (RV), thực tế tăng cường (AR) có thể thu thập dữ liệu về sinh trắc học như cử chỉ, giọng nói, hành vi của người dùng, tạo ra nguy cơ rò rỉ dữ liệu nhạy cảm.

Nêu những nguy cơ trên, đại biểu Thạch Phước Bình đề nghị, cần xây dựng quy định bảo vệ dữ liệu trong những mô hình công nghệ mới, như: yêu cầu các hệ thống blockchain áp dụng cơ chế mã hóa hoặc phân quyền kiểm soát dữ liệu cá nhân; yêu cầu các công ty sử dụng AI phải thông báo cho người dùng về dữ liệu bị thu thập và cơ chế xử lý; yêu cầu các nền tảng VR/AR phải tuân thủ quy định bảo vệ dữ liệu cá nhân, đặc biệt là dữ liệu sinh trắc học...

Bảo đảm chế tài, mức xử phạt có tính răn đe với vi phạm về bảo vệ dữ liệu cá nhân

Báo cáo của Bộ Công an về tổng kết thực tiễn thi hành công tác bảo vệ dữ liệu cá nhân cho biết, chế tài xử phạt đối với các hành vi không tuân thủ quy định về bảo vệ dữ liệu cá nhân vẫn chưa được ban hành, chưa đủ sức răn đe, xử lý thích đáng đối với hành vi vi phạm; chưa có quy định cụ thể, rõ ràng về việc tổ chức, cá nhân phải chịu trách nhiệm bồi thường khi để lộ, lọt thông tin khách hàng. Xuất phát từ thực tế đó, một số đại biểu Quốc hội đề nghị, cần có quy định về xử phạt nghiêm minh đối với những hành vi vi phạm liên quan đến bảo vệ dữ liệu cá nhân. Đại biểu Thạch Phước Bình đề nghị, cần tăng mức xử phạt tài chính đối với tổ chức, cá nhân vi phạm; bổ sung trách nhiệm hình sự đối với các hành vi: đánh cắp, mua bán dữ liệu cá nhân…

ĐBQH Dương Khắc Mai (Đắk Nông) phát biểu. Ảnh: Hồ Long

Khoản 2, Điều 4 dự thảo Luật quy định “áp dụng xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân. Chính phủ quy định chi tiết quy định cụ thể về mức phạt, khung tiền phạt đối với từng hành vi vi phạm hành chính”. Góp ý vào nội dung này, đại biểu Quốc hội Dương Khắc Mai (Đắk Nông) thấy rằng, Luật Xử lý vi phạm hành chính hiện hành chưa quy định về xử phạt vi phạm hành chính trong lĩnh vực “bảo vệ dữ liệu cá nhân”. Vì vậy, để có cơ sở giao Chính phủ quy định cụ thể mức phạt, khung tiền phạt đối với từng hành vi vi phạm trong lĩnh vực này.

Để bảo đảm tính thống nhất của hệ thống pháp luật, đại biểu Dương Khắc Mai đề nghị, cần bổ sung vào dự thảo Luật việc sửa đổi, bổ sung quy định tại khoản 3 Điều 24 của Luật Xử lý vi phạm hành chính theo hướng mức phạt tiền tối đa trong lĩnh vực “bảo vệ dữ liệu cá nhân” sẽ được thực hiện theo quy định của luật tương ứng. Bên cạnh đó, đề nghị cơ quan chủ trì soạn thảo nghiên cứu về thời hiệu xử phạt trong lĩnh vực này có cần quy định thời hiệu riêng hay áp dụng thời hiệu chung là một năm; trường hợp cần quy định thời hiệu riêng thì phải sửa quy định tại khoản 1 Điều 6 của Luật Xử lý vi phạm hành chính.

ĐBQH Nguyễn Trường Giang (Đắk Nông) phát biểu. Ảnh: Hồ Long

Cũng quan tâm đến nội dung này, ĐBQH Nguyễn Trường Giang (Đắk Nông) cho rằng, quy định tại Khoản 2, Điều 4 dự thảo Luật không khả thi và không thống nhất với quan điểm về xử phạt vi phạm hành chính của hệ thống pháp luật Việt Nam.

Hiện nay, về cơ bản chúng ta xử phạt vi phạm hành chính là theo hành vi và được quy định rất cụ thể ở Điều 23 và Điều 24 Luật Xử lý vi phạm hành chính. Tuy nhiên, lĩnh vực về bảo vệ dữ liệu cá nhân hiện nay chưa có mức phạt tối đa. Trong khi đó, tại Điều 23 Luật Xử lý vi phạm chính quy định mức phạt đối với cá nhân tối đa từ 100.000 đồng đến 1.000.000.000 đồng và mức phạt đối với tổ chức là 100.000 đồng đến 2.000.000.000 đồng.

Đại biểu Nguyễn Trường Giang đề nghị, cần có quy định về mức phạt tối đa cho lĩnh vực này. Mặt khác, việc xử phạt cơ bản không căn cứ vào hành vi vi phạm mà nên quy định theo hướng: đối với một số loại hành vi vi phạm mang tính phổ biến, cần căn cứ vào hành vi để xử phạt; đối với những hành vi mang tính vì lợi ích trước mắt của doanh nghiệp thì lại phải căn cứ vào thu lợi bất chính để xử phạt.

Kết luận nội dung này, Phó Chủ tịch Quốc hội Trần Quang Phương đề nghị, cơ quan chủ trì soạn thảo cần tiếp tục nghiên cứu, rà soát kỹ các văn bản quy phạm pháp luật có liên quan, các điều ước quốc tế mà Việt Nam là thành viên, các vấn đề thực tiễn phát sinh để quy định cho thống nhất trong dự thảo Luật; tiếp thu có chọn lọc kinh nghiệm quốc tế về bảo vệ dữ liệu cá nhân. Trong đó lưu ý, bảo đảm cân bằng giữa bảo vệ quyền riêng tư và phát triển kinh tế - xã hội, có chế tài nghiêm khắc để răn đe các hành vi vi phạm liên quan đến bảo vệ dữ liệu cá nhân.

Nhật An