Cần xác lập cơ quan chuyên trách về bảo vệ dữ liệu cá nhân

Các nội dung được thảo luận chiều nay gồm: dự án Luật Bảo vệ dữ liệu cá nhân; dự án Luật sửa đổi, bổ sung một số điều của Bộ luật Tố tụng dân sự, Luật Tố tụng hành chính, Luật Tư pháp người chưa thành niên, Luật Phá sản và Luật Hòa giải, đối thoại tại Tòa án; dự án Luật sửa đổi, bổ sung một số điều của Luật Bầu cử đại biểu Quốc hội và đại biểu Hội đồng nhân dân.

Chủ tịch Quốc hội Trần Thanh Mẫn dự phiên thảo luận tại Tổ 13. Ảnh: Lâm Hiển

Quốc hội cũng thảo luận việc rút ngắn nhiệm kỳ Quốc hội Khóa XV và HĐND các cấp nhiệm kỳ 2021 – 2026.

Thiết lập một hành lang pháp lý đủ mạnh bảo vệ quyền công dân, chủ quyền số quốc gia

Thảo luận về dự án Luật Bảo vệ dữ liệu cá nhân, các ĐBQH tổ 13 thống nhất cao với sự cần thiết ban hành luật.

Theo các đại biểu, trong bối cảnh toàn cầu hóa, chuyển đổi số và sự bùng nổ của các công nghệ số thế hệ mới, dữ liệu cá nhân không chỉ là tài sản riêng tư của mỗi công dân, mà còn là tài nguyên chiến lược quốc gia, gắn chặt với quyền con người, quyền công dân và an ninh quốc gia.

Bảo vệ dữ liệu cá nhân vì thế là yêu cầu tất yếu của một Nhà nước pháp quyền, của một nền kinh tế số an toàn và một xã hội số văn minh.

Thực tiễn đã cho thấy, khoảng trống pháp lý trong lĩnh vực bảo vệ dữ liệu cá nhân không chỉ làm suy giảm hiệu lực quản lý nhà nước, mà còn khiến quyền riêng tư của người dân bị xâm phạm, niềm tin vào môi trường số bị bào mòn, và cơ hội phát triển kinh tế số đứng trước nhiều rủi ro.

ĐBQH Nguyễn Thị Hà (Bắc Ninh) phát biểu tại tổ. Ảnh: Lâm Hiển

Trong khi đó, thế giới đã đi rất nhanh, nhiều quốc gia đã có đạo luật riêng về dữ liệu cá nhân từ hàng chục năm trước, và coi đó là một phần cốt lõi trong chiến lược chuyển đổi số, bảo vệ chủ quyền số quốc gia.

"Chính vì vậy, việc xây dựng và ban hành Luật Bảo vệ dữ liệu cá nhân không chỉ là một yêu cầu cấp bách từ thực tiễn, mà còn là một đòi hỏi tất yếu về chính trị và pháp lý nhằm thiết lập một hành lang pháp lý đủ mạnh để bảo vệ quyền công dân, bảo đảm chủ quyền số quốc gia và thúc đẩy sự phát triển bền vững của đất nước trong thời đại số", ĐBQH Nguyễn Thị Hà (Bắc Ninh) nhấn mạnh.

Nghiêm khắc về hình thức, nhưng khó triển khai?

Góp ý cụ thể, đại biểu Nguyễn Thị Hà đề nghị cần xem xét thấu đáo tính khả thi và hợp lý của quy về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân. Tại khoản 2 Điều 4 dự thảo quy định: Mức xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân.

Theo đại biểu, đây là một quy định nghiêm khắc về mặt hình thức, nhưng trên thực tế lại tiềm ẩn nhiều bấp cập và khó triển khai.

Bởi lẽ, đối với các doanh nghiệp mới thành lập, chưa phát sinh doanh thu trong năm liền trước thì quy định này hoàn toàn không có cơ sở áp dụng. Điều này không chỉ gây lúng túng trong thực thi mà còn có thể tạo khoảng trống pháp lý hoặc dẫn tới tùy tiện trong thực thi.

Cùng với đó, doanh thu cũng không phản ánh đúng năng lực tài chính thực tế của doanh nghiệp. Một doanh nghiệp có thể có doanh thu cao nhưng lợi nhuận âm do đang đầu tư mở rộng hoặc phải chịu chi phí lớn.

Nếu áp dụng mức xử phạt theo tỷ lệ doanh thu, doanh nghiệp có thể rơi vào tình trạng mất cân đối tài chính, gián đoạn sản xuất. Điều này đi ngược chủ trương bảo đảm môi trường kinh doanh an toàn, bền vững cho doanh nghiệp.

Trong bối cảnh chúng ta đang tích cực đẩy mạnh cải cách, hoàn thiện, nâng cao chất lượng thể chế, chính sách tạo môi trường kinh doanh thông thoáng cho doanh nghiệp theo tinh thần của Nghị quyết 68-NQ/TW của Bộ Chính trị, thì việc áp dụng cơ chế xử phạt cứng nhắc, không dựa trên năng lực thực tế, theo đại biểu, là chưa phù hợp, gây tác động tiêu cực đến doanh nghiệp.

Do vậy, đại biểu Nguyễn Thị Hà đề nghị cân nhắc điều chỉnh lại cách xác định mức phạt theo hướng linh hoạt hơn, gắn với tính chất, mức độ vi phạm và năng lực tài chính thực tế của tổ chức, doanh nghiệp.

Cũng quan tâm đến vấn đề này, ĐBQH Sùng A Lềnh (Lào Cai) cho rằng, Điều 4 về xử lý vi phạm quy định về bảo vệ dữ liệu cá nhân đã thể hiện rõ định hướng tăng cường xử lý vi phạm về bảo vệ dữ liệu cá nhân.

ĐBQH Sùng A Lềnh (Lào Cai) phát biểu tại tổ. Ảnh: Lâm Hiển

"Việc quy định mức phạt hành chính theo tỷ lệ phần trăm doanh thu năm liền trước, cho thấy cách tiếp cận tiến bộ và phù hợp với thông lệ quốc tế, đồng thời tạo một cơ chế răn đe hiệu quả với các tổ chức, doanh nghiệp hoạt động trong lĩnh vực xử lý dữ liệu", đại biểu Sùng A Lềnh nhận định.

Tuy nhiên, đại biểu Sùng A Lềnh cũng cho rằng, việc quy định "doanh thu năm liền trước" là chưa thực sự rõ ràng. Cần làm rõ các nguồn thu năm trước của doanh nghiệp cụ thể là những nguồn thu gì cho phù hợp; làm rõ cách tính doanh thu để làm căn cứ xử phạt.

Cùng với đó, cần quy định rõ về cơ quan có thẩm quyền xử lý vi phạm, quy trình phát hiện, xác minh, điều tra, xử phạt, khiếu nại để đảm bảo tính minh bạch, tránh chồng chéo. Quy định rõ về cơ chế xử lý đối với các doanh nghiệp toàn cầu không có pháp nhân, chủ thể tại Việt Nam nhưng vẫn tiến hành thu thập, xử lý dữ liệu để tránh làm lộ, lọt dữ liệu thông tin của cá nhân Việt Nam.

Dự thảo Luật quy định Chính phủ quy định chi tiết mức phạt hành vi vi phạm giúp đảm bảo tính linh hoạt trong áp dụng thực tiễn.ĐBQH Nguyễn Thị Thu Nguyệt (Đắk Lắk), đại biểu Sùng A Lềnh đều cho rằng, khi xây dựng các văn bản thi hành luật thì cần nghiên cứu, xem xét một số nội dung như: xác định rõ tiêu chí áp dụng từng mức xử phạt, có thể căn cứ theo mức độ vi phạm, phạm vi ảnh hưởng, số lượng dữ liệu bị xâm phạm, tính chất của từng vụ việc.

Quyền cần đi kèm với nghĩa vụ và giới hạn

ĐBQH Lê Thu Hà (Lào Cai) phát biểu Ảnh: Lâm Hiển

Hoan nghênh việc dự thảo Luật ghi nhận 11 quyền cơ bản của chủ thể dữ liệu (Điều 8), cho rằng, đây là một bước tiến đáng kể trong bảo vệ quyền con người, song ĐBQH Lê Thu Hà (Lào Cai) lưu ý, "quyền cần đi kèm với nghĩa vụ và giới hạn, để không gây khó khăn cho các tổ chức, doanh nghiệp đang xử lý dữ liệu hợp pháp".

Trên tinh thần đó, đại biểu đề nghị: bổ sung trách nhiệm của chủ thể dữ liệu khi thực hiện quyền, tránh yêu cầu trùng lặp, thiếu căn cứ hoặc gây cản trở; cho phép bên thu thập được từ chối yêu cầu thiếu cơ sở, trùng lặp hoặc trái pháp luật chuyên ngành.

Đại biểu Lê Thu Hà cũng đề nghị làm rõ các trường hợp “trừ trường hợp luật khác có quy định khác” để tránh xung đột pháp luật; quy định cụ thể quy trình thực hiện quyền: thời hạn phản hồi yêu cầu xóa dữ liệu, cơ chế khiếu nại, nghĩa vụ thông báo khi rò rỉ dữ liệu.

Về căn cứ xử lý hợp pháp, sự đồng ý của chủ thể dữ liệu là trung tâm, song theo đại biểu Lê Thu Hà, cần bảo đảm sự hiểu biết và tự nguyện thực chất.

Dẫn Quy định bảo vệ dữ liệu chung của EU (GDPR), đại biểu cho biết, sự đồng ý phải rõ ràng, cụ thể, được thông tin đầy đủ và có thể rút lại bất cứ lúc nào. OECD cũng khuyến nghị không nên coi “đồng ý” là căn cứ duy nhất.

Do vậy, "Luật cần quy định rõ tiêu chí xác lập sự đồng ý hợp lệ; đồng thời mở rộng các căn cứ xử lý hợp pháp theo hướng “quản lý theo rủi ro” – linh hoạt, thực chất, nhất là trong các lĩnh vực y tế, giáo dục, nghiên cứu khoa học, cung cấp dịch vụ công", đại biểu Lê Thu Hà nhấn mạnh.

Về xử lý vi phạm, cơ chế thực thi và cơ quan quản lý nhà nước, đại biểu Lê Thu Hà cho rằng, bảo vệ dữ liệu không chỉ là ban hành luật, mà còn là thiết lập cơ chế thực thi hiệu quả.

"Do đó, cần xác lập cơ quan chuyên trách về bảo vệ dữ liệu cá nhân - độc lập, có thẩm quyền điều tra, thanh tra, xử phạt, hướng dẫn thi hành và phối hợp liên ngành".

Đơn cử như, EU có Cơ quan Giám sát dữ liệu và hệ thống cơ quan độc lập tại các nước thành viên; Nhật Bản có Ủy ban Thông tin cá nhân quốc gia; Hàn Quốc đã nâng cấp cơ quan Bảo vệ dữ liệu lên cấp quốc gia từ năm 2020.

Tại Việt Nam, đại biểu Lê Thu Hà nhấn mạnh, cần xác định rõ cơ quan chủ trì - có thể là đơn vị độc lập hoặc thuộc Bộ Công an – nhưng phải được trao đủ năng lực và nguồn lực. "Cơ quan này cần làm đầu mối điều phối giữa các bộ, ngành và thực hiện vai trò quốc gia trong hợp tác quốc tế".

Quỳnh Chi