9
điều cần biết về dự thảo nghị định bảo vệ dữ liệu cá nhân
TRỊNH HỮU LONG - LUẬT
KHOA
18/02/2021
https://www.luatkhoa.org/2021/02/9-dieu-can-biet-ve-du-thao-nghi-dinh-bao-ve-du-lieu-ca-nhan/
Dự thảo nghị
định hướng dẫn Luật An ninh mạng lại xuất hiện, nhưng dưới một cái tên khác.
Ảnh
minh họa: Emotiv.com
Sau khi xuất
hiện chóng vánh cuối năm 2018 rồi không thấy được ban hành, một dự
thảo nghị định hướng dẫn Luật An ninh mạng nữa lại mới được Bộ Công an công bố,
lần này quy định riêng về dữ liệu cá nhân.
Nghị định này không chỉ hướng dẫn Luật An ninh mạng
mà còn cả Bộ luật Dân sự và Luật An ninh Quốc gia.
Xem toàn văn dự thảo nghị định theo link Google
Drive ở đây. Bộ Công an đang lấy ý kiến góp ý dự thảo trong vòng hai tháng, từ ngày
9/2 đến ngày 9/4/2021.
Dự
thảo Nghị định quy định về bảo vệ dữ liệu cá nhân đang được lấy ý kiến góp ý
thông qua cổng thông tin điện tử của Bộ Công an. Ảnh chụp màn hình.
Sau đây là 9 điều đáng chú ý trong dự thảo này.
1. Hai loại dữ
liệu cá nhân
Dự thảo nghị định chia dữ liệu cá nhân ra làm hai
loại: cơ bản và nhạy cảm.
Dữ
liệu cá nhân cơ bản gồm có các thông tin nhân thân cơ bản như họ
tên, ngày sinh, nơi sinh, địa chỉ, quốc tịch, dân tộc, hôn nhân, các loại mã số
định danh. Nhưng lại có một loại dữ liệu cơ bản chưa rõ ràng: “dữ liệu phản ánh
hoạt động hoặc lịch sử hoạt động trên không gian mạng”.
Dữ
liệu cá nhân nhạy cảm gồm có: quan điểm chính trị, tôn giáo; sức
khỏe, di truyền, giới tính, sinh trắc học; tài chính; tình dục; cư trú; quan hệ
xã hội; dữ liệu khác.
2. Quyền của cá
nhân với dữ liệu của mình
Nghị định quy định quyền của cá nhân khá rộng lớn,
bao gồm:
- Quyền cho phép hay không cho phép người khác thu thập, lưu trữ, sử
dụng dữ liệu cá nhân của mình (gọi tắt là xử lý dữ liệu);
- Nhận thông báo nếu có người khác xử lý dữ liệu cá nhân của mình
(có thể là chính quyền, doanh nghiệp…);
- Yêu cầu chấm dứt việc xử lý dữ liệu, khiếu nại về hành vi vi phạm;
- Đòi bồi thường nếu có vi phạm;
- Không bị tiết lộ dữ liệu cá nhân nhạy cảm hoặc dữ liệu cơ bản
nhưng gây tổn hại cho chủ thể. Nghị định không nói rõ thế nào là “tiết lộ
dữ liệu” và có tiết lộ cho ai ngoài trường hợp tiết lộ cho công chúng hay
không (như quy định trong Điều 6).
3. Các trường hợp
dữ liệu bị xử lý mà không cần chủ thể dữ liệu đồng ý
Theo Điều 10, tất cả các loại dữ liệu cá nhân, dù
là cơ bản hay nhạy cảm, đều có thể bị chính quyền, tổ chức khác thu thập, lưu
trữ, sử dụng mà không cần chủ thể đồng ý trong một số trường hợp sau:
- Vì lợi ích an ninh quốc gia, trật tự an toàn xã hội;
- Trường hợp khẩn cấp về tự do của chủ thể; tính mạng, sức khỏe của
chủ thể lẫn cộng đồng;
- Phục vụ điều tra, xử lý hành vi vi phạm pháp luật;
- Nghiên cứu khoa học, thống kê (sau khi đã khử thông tin nhận dạng
cá nhân);
- Theo quy định của pháp luật và các điều ước quốc tế.
Khoản cuối cùng, “theo quy định của pháp luật”, là
lỗ hổng để ngỏ khả năng diễn giải gần như không giới hạn cho các cơ quan nhà
nước khác như các bộ, cơ quan ngang bộ (thông qua các thông tư, quyết định).
4. Người có dữ
liệu cá nhân bị xử lý có thể không được thông báo trong một số trường hợp
Thông thường, chủ thể dữ liệu sẽ được thông báo khi
có cơ quan, tổ chức thu thập, lưu trữ, sử dụng dữ liệu cá nhân của mình.
Tuy vậy, nghị định dẫn ra ba trường hợp ngoại lệ,
và đáng chú ý hơn cả là trường hợp thứ hai (Điểm b, Khoản 3, Điều 11): “Nếu
việc xử lý dữ liệu cá nhân được quy định bởi pháp luật, thỏa thuận quốc tế,
điều ước quốc tế”.
Đó là một lỗ hổng nữa được cài vào nghị định trong
một vấn đề quan trọng liên quan đến tính minh bạch của hoạt động xử lý dữ liệu.
5. Lập Ủy ban Bảo
vệ Dữ liệu Cá nhân trực thuộc Chính phủ
Một cơ quan mới sẽ được lập ra theo nghị định này,
đó là Ủy ban Bảo vệ Dữ liệu Cá nhân (Điều 23), trực thuộc Chính phủ.
Ủy ban này có không quá sáu người, do Bộ Công an bổ
nhiệm sau khi được Chính phủ đồng ý.
Chủ tịch Ủy ban là Cục trưởng Cục An ninh mạng và
Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an. Trụ sở Ủy ban cũng
được đặt tại Cục này.
https://2xjs7y10oiyz26vqxu2hok6y-wpengine.netdna-ssl.com/wp-content/uploads/2021/02/image-17.png
Cục trưởng Cục An ninh mạng và Phòng, chống
tội phạm sử dụng công nghệ cao hiện là Thiếu tướng Nguyễn Minh Chính (phải).
Ông được bổ nhiệm năm 2018. Ảnh: VGP.
6. Muốn xử lý dữ
liệu nhạy cảm thì phải đăng ký với chính quyền
Điều 20 đưa ra quy định bắt buộc phải đăng ký nếu
tiến hành thu thập, lưu trữ, sử dụng dữ liệu cá nhân nhạy cảm. Cơ quan cấp phép
là Ủy ban Bảo vệ Dữ liệu Cá nhân.
Tuy vậy, Điều 20 loại trừ gần như hầu hết hoạt động
xử lý dữ liệu nhạy cảm của các cơ quan nhà nước liên quan đến xử lý vi phạm
pháp luật, y tế, an sinh xã hội, nghiên cứu khoa học. Nghĩa là họ không phải
đăng ký. Điều khoản này, một lần nữa, để ngỏ khả năng mở rộng các trường hợp
không phải đăng ký bằng cách thòng quy định “các hoạt động khác theo quy định
của pháp luật”.
Loại trừ các cơ quan nhà nước xong thì đối tượng
còn lại phải đăng ký là các doanh nghiệp, tổ chức phi chính phủ cả trong lẫn
ngoài nước. Như vậy, Zalo, Tiktok, Facebook, Google, ngân hàng, bệnh viện… sẽ
phải đăng ký.
7. Muốn chuyển dữ
liệu cá nhân ra nước ngoài thì phải đăng ký
Điều này trực tiếp nhắm tới các doanh nghiệp nước
ngoài có cung cấp dịch vụ cho người dùng, khách hàng Việt Nam; hoặc các công ty
Việt Nam cung cấp dịch vụ ra nước ngoài; đặc biệt là các công ty công nghệ.
Bên trong một trung tâm dữ liệu của Facebook
tại bang Iowa, Mỹ. Công ty công nghệ này không có trung tâm dữ liệu tại Việt
Nam. Ảnh: AFP/Getty Images.
Điều 21 của nghị định nêu rõ bốn điều kiện để được
phép chuyển dữ liệu cá nhân của công dân Việt Nam qua biên giới:
- Chủ thể dữ liệu đồng ý;
- Lưu trữ dữ liệu gốc ở Việt Nam;
- Có văn bản chứng minh nơi chuyển dữ liệu tới có quy định bảo vệ dữ
liệu cá nhân ở mức độ bằng hoặc hơn nghị định này;
- Có văn bản đồng ý của Ủy ban Bảo vệ Dữ liệu Cá nhân.
Yêu cầu thứ hai và ba nêu trên có thể được miễn nếu
bên xử lý có văn bản cam kết bảo vệ dữ liệu.
Bên chuyển dữ liệu phải xây dựng hệ thống lưu trữ
lịch sử chuyển dữ liệu trong thời gian ba năm, và ngừng chuyển dữ liệu nếu xảy
ra sự cố lạm dụng, lộ dữ liệu, hoặc không còn đủ khả năng bảo vệ dữ liệu, hoặc
chủ thể dữ liệu không thể hoặc khó bảo vệ quyền lợi hợp pháp của mình.
Ủy ban Bảo vệ Dữ liệu Cá nhân sẽ định kỳ đánh giá
đơn vị chuyển dữ liệu mỗi năm một lần.
Việc yêu cầu lưu dữ liệu gốc ở Việt Nam sẽ khiến
các công ty mạng xã hội, dịch vụ email, dịch vụ thương mại điện tử nước ngoài
gặp khó khăn. Theo chuyên gia Dương Ngọc Thái, nhiều khả năng Facebook không
lưu dữ liệu riêng tư của người dùng ở Việt Nam mà chỉ lưu những nội
dung ai cũng xem được để giúp cho tốc độ truy cập của người dùng nhanh hơn.
8. Mức xử phạt
hành chính có thể lên tới 5% tổng doanh thu tại Việt Nam
Nếu vi phạm các quy định của nghị định này, bên xử
lý dữ liệu có thể bị phạt tiền từ 50 triệu đồng đến 5% tổng doanh thu tại thị
trường Việt Nam.
Đồng thời, họ có thể bị đình chỉ xử lý dữ liệu từ 1
đến 3 tháng, bị tước quyền sử dụng văn bản đồng ý của Ủy ban Bảo vệ Dữ liệu Cá
nhân.
Nếu không được thu thập, lưu trữ, sử dụng dữ liệu
cá nhân thì các doanh nghiệp Internet gần như không thể hoạt động bình thường
như hiện nay họ đang hoạt động.
Nghị định không nói rõ cấm xử lý dữ liệu bằng cách
nào, nhưng Luật An ninh mạng có các điều khoản yêu cầu các công
ty viễn thông chặn các dịch vụ và nguồn thông tin gây nguy hiểm cho xã hội.
9. Hiệu lực
Nghị định dự kiến có hiệu lực từ ngày 1/12/2021.
No comments:
Post a Comment