Bảo vệ dữ liệu cá nhân trên môi trường mạng:Yêu cầu cấp thiết!

Cần ban hành một luật riêng

Kỹ sư của Tập đoàn Công nghiệp - Viễn thông Quân đội vận hành hệ thống giám sát an toàn an ninh mạng giúp bảo đảm chuyển đổi số cho doanh nghiệp và khách hàng. Ảnh: Hữu Thọ

Theo Hiệp hội An ninh mạng quốc gia, dữ liệu cá nhân ngày càng phổ biến trên không gian mạng khi tình trạng lộ, lọt, mua bán dữ liệu cá nhân diễn ra tràn lan, gây mất an ninh và xâm phạm quyền lợi cá nhân. Cùng với đó, hệ thống pháp luật hiện hành còn thiếu các quy định đồng bộ, thống nhất và cụ thể về bảo vệ dữ liệu cá nhân. Hiện có khoảng 68 văn bản quy phạm pháp luật liên quan tới dữ liệu cá nhân, như thông tin cá nhân, bí mật cá nhân, dữ liệu số... và chưa tạo thành một hệ thống hoàn chỉnh. Do vậy, việc xây dựng, ban hành một luật riêng về bảo vệ dữ liệu cá nhân là rất cấp thiết.

Đại diện cơ quan soạn thảo là Bộ Công an (Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao - A05) cho biết, Dự thảo Luật Bảo vệ dữ liệu cá nhân được xây dựng trên tinh thần kế thừa Nghị định số 13/2023/NĐ-CP ngày 17-4-2023 của Chính phủ về Bảo vệ dữ liệu cá nhân, nhưng sẽ nâng lên một cấp độ cao hơn, toàn diện hơn, đóng vai trò như một nền tảng pháp lý căn bản trong kỷ nguyên số.

Dự thảo Luật gồm 7 chương, 69 điều, quy định đầy đủ về nguyên tắc xử lý dữ liệu, quyền và nghĩa vụ của chủ thể dữ liệu và bên liên quan, chuyển dữ liệu ra nước ngoài, đánh giá tác động dữ liệu, xếp hạng tín nhiệm bảo vệ dữ liệu, xử lý vi phạm và cơ chế kiểm tra, giám sát. Dự thảo cũng điều chỉnh cả các tổ chức, cá nhân nước ngoài có hoạt động thu thập, xử lý dữ liệu công dân Việt Nam. Nếu được thông qua tại kỳ họp Quốc hội tháng 5-2025, luật có hiệu lực từ tháng 1-2026.

Theo các chuyên gia, Luật Bảo vệ dữ liệu cá nhân sẽ tác động đến mọi người, tất cả hoạt động trên không gian mạng. Dự thảo luật có quy định 11 quyền cơ bản với chủ thể dữ liệu (quyền biết, đồng ý, truy cập, xóa); nghĩa vụ của bên xử lý dữ liệu (biện pháp bảo vệ, đánh giá tác động, chỉ định nhân sự phụ trách, thông báo vi phạm). Dự thảo còn quy định riêng cho việc xử lý dữ liệu cá nhân của trẻ em, người mất tích, đã chết; phân biệt việc sử dụng dữ liệu cá nhân như tài nguyên với việc mua bán như hàng hóa và đề xuất cơ chế chứng nhận, xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân cho doanh nghiệp.

Trong đó, có một số vấn đề tại dự thảo luật, nếu không có sự nhất quán với thực tiễn, với quốc tế về bảo mật và quản trị dữ liệu, sẽ ảnh hưởng trực tiếp và thách thức không hề nhỏ với bên xử lý dữ liệu - là các doanh nghiệp.

Những vấn đề đặt ra

Đồng tình cao với việc cần thiết phải ban hành Luật Bảo vệ dữ liệu cá nhân, tuy nhiên, đại diện các cơ quan, doanh nghiệp liên quan cũng đã có nhiều đóng góp vào nội dung dự thảo luật. Theo Viện trưởng Viện quản trị chính sách và chiến lược phát triển Lê Nguyễn Thiên Nga, một số quy định trong dự thảo có thể làm tăng gánh nặng về chi phí cho chủ thể sử dụng dữ liệu. Chẳng hạn, Khoản 3 Điều 47 dự thảo nên sửa quy định thành tổ chức, doanh nghiệp sử dụng dữ liệu gửi văn bản ở dạng số hóa, gửi qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân cho cơ quan chuyên trách, nhằm đạt mục tiêu số hóa dữ liệu và không giấy tờ. Điều 23 về xử lý dữ liệu cá nhân của trẻ em yêu cầu các tổ chức phải xác minh tuổi của trẻ em là không khả thi, vì điều này sẽ yêu cầu thu thập thêm dữ liệu từ chủ thể…

Đại diện Tập đoàn Công nghiệp - Viễn thông Quân đội (Viettel) Đào Thị Thu Nga cho biết, một số quy định trong dự thảo luật có tác động rất lớn đến doanh nghiệp cả về nguồn lực con người và tài chính. Cụ thể, theo quy định dự thảo, Viettel ước tính, năm 2025 doanh thu giảm khoảng 1.300 tỷ đồng, tương đương 30% doanh thu của các dịch vụ có sử dụng dữ liệu cá nhân. Năm 2030, doanh thu giảm 8.800 tỷ đồng, tương đương khoảng 46% doanh thu các dịch vụ có sử dụng dữ liệu cá nhân. Vì vậy, trong 11 quyền của chủ thể dữ liệu, Viettel đề xuất bổ sung cơ chế kiểm soát việc lạm dụng quyền của chủ thể dữ liệu, cho phép thỏa thuận thời hạn thực hiện quyền yêu cầu của chủ thể dữ liệu, thu phí hợp lý và từ chối yêu cầu vô lý.

Tại Điều 15 dự thảo luật có yêu cầu mã hóa dữ liệu cá nhân. Trong thực tế, dữ liệu lưu trữ trên hệ thống của Viettel hiện được bảo vệ chặt chẽ 4 lớp (lớp người dùng, lớp mạng, lớp máy chủ và lớp ứng dụng); nếu có thể vượt qua tất cả các lớp bảo vệ này thì cả dữ liệu và thông tin về mã hóa (như khóa giải mã) đều có thể bị đánh cắp. Vậy rõ ràng, mã hóa không làm tăng hiệu quả trong việc bảo vệ dữ liệu, mà còn gây tốn kém, làm giảm hiệu suất hệ thống. Do vậy, Viettel đề xuất, ban soạn thảo nên quy định cho phép doanh nghiệp tự quyết biện pháp kỹ thuật phù hợp Điều 22 Luật Dữ liệu 2024 và thông lệ quốc tế.

Trong khi đó, đại diện Công ty cổ phần An ninh dữ liệu Việt Nam (VNDS) Bạch Trọng Đức đề xuất cần định nghĩa rõ ràng về dữ liệu phi cá nhân và cá nhân...

Cho biết cơ quan soạn thảo sẽ tiếp thu và tiếp tục nghiên cứu bổ sung, sửa đổi, Thượng tá Nguyễn Bá Sơn, Phó Cục trưởng Cục A05 nhấn mạnh, việc ban hành Luật Bảo vệ dữ liệu cá nhân hiện được coi là cấp thiết vì Đảng, Nhà nước, Chính phủ và Quốc hội đặc biệt quan tâm đến việc thúc đẩy chuyển đổi số, ứng dụng khoa học công nghệ và đổi mới sáng tạo. Do vậy, khi luật được ban hành sẽ giúp hoàn thiện hệ thống pháp luật và đóng vai trò tạo sự hoạt động hiệu quả của cơ quan, doanh nghiệp và người dân trên môi trường mạng.

Việt Nga