Đề xuất phạt đến 10 lần khoản thu có được từ hành vi chuyển dữ liệu cá nhân xuyên biên giới

Sáng 5/6, tiếp tục chương trình phiên họp thứ 46, Ủy ban Thường vụ Quốc hội cho ý kiến dự án Luật Bảo vệ dữ liệu cá nhân (DLCN). Thượng tướng Trần Quang Phương, Ủy viên Trung ương Đảng, Phó Chủ tịch Quốc hội điều hành phiên họp.

Dự phiên họp có các đồng chí lãnh đạo Quốc hội; các ủy viên Ủy ban Thường vụ Quốc hội; đại diện các cơ quan, đơn vị chức năng. Thượng tướng Lê Quốc Hùng, Ủy viên Trung ương Đảng, Thứ trưởng Bộ Công an đại diện Bộ Công an dự, báo cáo tiếp thu, giải trình ý kiến đại biểu.

Báo cáo tiếp thu giải trình dự án Luật Bảo vệ DLCN, Trung tướng Lê Tấn Tới, Ủy viên Trung ương Đảng, Chủ nhiệm Ủy ban Quốc phòng – An ninh và Đối ngoại của Quốc hội cho biết, Thường trực Ủy ban đã chủ trì, phối hợp chặt chẽ với Bộ Công an và các cơ quan hữu quan nghiên cứu kỹ lưỡng, tiếp thu tối đa các ý kiến đại biểu Quốc hội. Dự thảo luật sau khi tiếp thu, chỉnh lý gồm 5 chương và 47 điều, giảm 2 chương và 21 điều so với dự thảo luật do Chính phủ trình.

Chủ nhiệm Ủy ban Quốc phòng – An ninh và Đối ngoại của Quốc hội trình bày báo cáo tiếp thu giải trình dự án Luật Bảo vệ DLCN.

Xử lý DLCN cả môi trường truyền thống và môi trường mạng

Về phạm vi điều chỉnh, đối tượng áp dụng, giải thích từ ngữ, Trung tướng Lê Tấn Tới cho biết, Thường trực Ủy ban đã phối hợp với cơ quan soạn thảo tiếp thu các ý kiến. Cụ thể, về phạm vi điều chỉnh, đối tượng áp dụng (Điều 1): Dự thảo luật được điều chỉnh để áp dụng đối với mọi cá nhân, cơ quan, tổ chức có liên quan đến xử lý DLCN, bao gồm cả xử lý DLCN trên môi trường vật lý, không chỉ môi trường mạng. Đặc biệt, làm rõ đối tượng áp dụng là cơ quan, tổ chức, cá nhân nước ngoài trực tiếp xử lý hoặc có liên quan đến hoạt động xử lý DLCN của công dân Việt Nam.

Dự luật bổ sung định nghĩa “DLCN cơ bản” và “DLCN nhạy cảm” theo hướng quy định khái quát và giao Chính phủ quy định danh mục cụ thể; bổ sung định nghĩa “bảo vệ DLCN”, “đánh giá tác động xử lý DLCN” phù hợp với nội dung điều chỉnh của luật. Đối với một số khái niệm chỉ được sử dụng một lần trong dự thảo Luật thì thu hút vào các điều cụ thể cho phù hợp, dễ tra cứu.

Phó Chủ tịch Quốc hội Trần Quang Phương điều hành phiên họp.

Về quyền và nghĩa vụ của chủ thể dữ liệu (Điều 4) được thiết kế lại quy định về quyền của chủ thể dữ liệu cho rõ ràng hơn, phù hợp với thông lệ quốc tế, bao gồm quyền được biết, quyền đồng ý, quyền truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu, quyền rút lại sự đồng ý, quyền yêu cầu hạn chế xử lý, quyền yêu cầu xóa dữ liệu và các quyền khác. Bổ sung quy định khi thực hiện quyền, chủ thể dữ liệu phải có nghĩa vụ tuân thủ các nguyên tắc: đúng pháp luật, không cản trở hoạt động của bên xử lý dữ liệu, không xâm phạm quyền, lợi ích hợp pháp của cơ quan, tổ chức và của người khác. Đồng thời, thu hút các quy định về thời hạn thực hiện yêu cầu của chủ thể dữ liệu tại các Điều 8, 16, 17, 18, 34 và Điều 37 về quy định tại Điều này theo hướng linh hoạt hơn, yêu cầu thực hiện “kịp thời” theo quy định pháp luật chuyên ngành và giao Chính phủ quy định chi tiết, không quy định cố định 72 giờ như dự thảo Luật do Chính phủ đề xuất.

Luật quy định nghiêm cấm các hành vi phổ biến, nguy cơ cao như: xử lý DLCN nhằm chống Nhà nước; cản trở hoạt động bảo vệ DLCN; lợi dụng hoạt động bảo vệ DLCN để vi phạm pháp luật; thu thập, lưu trữ, tiết lộ, chuyển giao DLCN trái pháp luật; mua, bán DLCN (trừ trường hợp luật có quy định khác); chiếm đoạt, cố ý làm lộ, làm mất DLCN.

Về xử lý vi phạm pháp luật về bảo vệ DLCN (Điều 8): Dự thảo luật dự kiến tiếp thu, chỉnh lý đã thiết kế điều này gồm 7 khoản. Trong đó, xác định nguyên tắc xử lý: Tùy theo tính chất, mức độ, hậu quả mà bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường. Về mức phạt hành chính: Do tính chất và hậu quả nghiêm trọng của hành vi vi phạm quy định về bảo vệ DLCN nên cần quy định mức phạt cao hơn để bảo đảm tính răn đe đối với các doanh nghiệp lớn, đặc biệt là các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng nghìn tỷ đồng. Trên cơ sở tham khảo kinh nghiệm của Liên minh Châu Âu và một số quốc gia, dự thảo quy định theo hướng: Đối với hành vi mua, bán DLCN, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm; đối với hành vi vi phạm quy định chuyển DLCN xuyên biên giới, mức phạt tiền tối đa 5% doanh thu năm liền trước; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 3 tỷ đồng. Đồng thời, quy định mức phạt đối với cá nhân bằng một phần hai mức phạt đối với tổ chức. Giao Chính phủ quy định chi tiết mức phạt, khung tiền phạt và phương pháp tính khoản thu trái pháp luật.

Cho phép doanh nghiệp có thể chỉ định nhân sự nội bộ bảo vệ DLCN

Về đánh giá tác động khi xử lý DLCN và khi chuyển DLCN xuyên biên giới (từ Điều 30 đến Điều 32): Dự thảo luật cơ bản kế thừa các nội dung do Chính phủ trình, yêu cầu các bên kiểm soát, xử lý DLCN phải lập Hồ sơ đánh giá tác động xử lý DLCN (Điều 31) và Hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới (Điều 30). Doanh nghiệp chỉ cần lập hồ sơ này một lần cho suốt quá trình hoạt động và cập nhật khi có thay đổi. Cơ quan chuyên trách bảo vệ DLCN sẽ thực hiện kiểm tra hồ sơ khi xét thấy cần thiết. Đối với cả hai loại đánh giá tác động này, nếu đã thực hiện theo quy định của luật này thì không phải thực hiện việc đánh giá rủi ro tương tự theo quy định của Luật Dữ liệu. Giao Chính phủ quy định chi tiết về hồ sơ, điều kiện, trình tự, thủ tục cho các hoạt động đánh giá này.

Thứ trưởng Lê Quốc Hùng báo cáo tiếp thu, giải trình ý kiến tại phiên họp.

Lực lượng bảo vệ DLCN gồm: lực lượng chuyên trách thuộc Cơ quan chuyên trách của Bộ Công an; bộ phận hoặc nhân sự phụ trách bảo vệ DLCN trong các cơ quan, tổ chức, doanh nghiệp; các tổ chức và chuyên gia cung cấp dịch vụ bảo vệ dữ liệu (Chính phủ sẽ quy định chi tiết về các dịch vụ này). Nhằm giảm gánh nặng tuân thủ pháp luật, quy định về việc phải có chuyên gia bảo vệ DLCN đã được điều chỉnh từ bắt buộc sang hình thức lựa chọn, cho phép doanh nghiệp có thể chỉ định nhân sự nội bộ thực hiện nhiệm vụ này hoặc lựa chọn dịch vụ phù hợp.

Đặc biệt, tại Điều 46 về hiệu lực thi hành của dự thảo luật đã bổ sung quy định miễn trừ và tạo điều kiện linh hoạt, thuận lợi cho doanh nghiệp, đó là: Doanh nghiệp siêu nhỏ và hộ kinh doanh được miễn trừ hoàn toàn nghĩa vụ phải có nhân sự, chuyên gia bảo vệ DLCN cũng như yêu cầu về đánh giá tác động xử lý DLCN. Đối với doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp, được quyền lựa chọn thực hiện hoặc không thực hiện các yêu cầu này trong thời hạn 5 năm kể từ khi thành lập hoặc kể từ khi luật này có hiệu lực.

Phương Thủy