Dự án Luật Bảo vệ dữ liệu cá nhân: Tiếp thu tối đa các ý kiến đại biểu Quốc hội

Sáng nay (5/6), tiếp tục chương trình phiên họp thứ 46, Ủy ban Thường vụ Quốc hội cho ý kiến dự án Luật Bảo vệ dữ liệu cá nhân (DLCN).

Báo cáo tiếp thu giải trình dự án Luật Bảo vệ DLCN, Trung tướng Lê Tấn Tới, Chủ nhiệm Ủy ban Quốc phòng – An ninh và Đối ngoại của Quốc hội cho biết, Thường trực Ủy ban đã chủ trì, phối hợp chặt chẽ với Bộ Công an và các cơ quan hữu quan nghiên cứu kỹ lưỡng, tiếp thu tối đa các ý kiến đại biểu Quốc hội.

Dự thảo luật sau khi tiếp thu, chỉnh lý gồm 5 chương và 47 điều, giảm 2 chương và 21 điều so với dự thảo luật do Chính phủ trình.

Theo đó, về phạm vi điều chỉnh, Dự thảo luật sẽ áp dụng đối với mọi cá nhân, cơ quan, tổ chức có liên quan đến xử lý DLCN, bao gồm cả xử lý DLCN trên môi trường vật lý, không chỉ môi trường mạng. Đặc biệt, làm rõ đối tượng áp dụng là cơ quan, tổ chức, cá nhân nước ngoài trực tiếp xử lý hoặc có liên quan đến hoạt động xử lý DLCN của công dân Việt Nam.

Chủ nhiệm Ủy ban Quốc phòng – An ninh và Đối ngoại của Quốc hội trình bày báo cáo tiếp thu giải trình dự án Luật Bảo vệ DLCN.

Về quyền và nghĩa vụ của chủ thể dữ liệu, Điều 4 dự thảo Luật quy định gồm quyền được biết, quyền đồng ý, quyền truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu, quyền rút lại sự đồng ý, quyền yêu cầu hạn chế xử lý, quyền yêu cầu xóa dữ liệu và các quyền khác.

Dự thảo luật cũng bổ sung quy định khi thực hiện quyền, chủ thể dữ liệu phải có nghĩa vụ tuân thủ các nguyên tắc: đúng pháp luật, không cản trở hoạt động của bên xử lý dữ liệu, không xâm phạm quyền, lợi ích hợp pháp của cơ quan, tổ chức và của người khác.

Đồng thời, quy định theo hướng linh hoạt hơn, yêu cầu thực hiện kịp thời theo quy định pháp luật chuyên ngành và giao Chính phủ quy định chi tiết, không quy định cố định 72 giờ như dự thảo Luật do Chính phủ đề xuất.

Dự thảo Luật cũng nghiêm cấm các hành vi phổ biến, nguy cơ cao như: xử lý DLCN nhằm chống Nhà nước; cản trở hoạt động bảo vệ DLCN; lợi dụng hoạt động bảo vệ DLCN để vi phạm pháp luật; thu thập, lưu trữ, tiết lộ, chuyển giao DLCN trái pháp luật; mua, bán DLCN (trừ trường hợp luật có quy định khác); chiếm đoạt, cố ý làm lộ, làm mất DLCN.

Về xử lý vi phạm pháp luật về bảo vệ DLCN, dự thảo luật dự kiến tiếp thu, chỉnh lý theo nguyên tắc: Tùy theo tính chất, mức độ, hậu quả mà bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường.

Về mức phạt hành chính, do tính chất và hậu quả nghiêm trọng của hành vi vi phạm quy định về bảo vệ DLCN nên cần quy định mức phạt cao hơn để bảo đảm tính răn đe đối với các doanh nghiệp lớn, đặc biệt là các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng ngàn tỷ đồng.

Trên cơ sở tham khảo kinh nghiệm của Liên minh Châu Âu và một số quốc gia, dự thảo quy định theo hướng: Đối với hành vi mua, bán DLCN, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm; đối với hành vi vi phạm quy định chuyển DLCN xuyên biên giới, mức phạt tiền tối đa 5% doanh thu năm liền trước; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 3 tỷ đồng.

Đồng thời, quy định mức phạt đối với cá nhân bằng một phần hai mức phạt đối với tổ chức; giao Chính phủ quy định chi tiết mức phạt, khung tiền phạt và phương pháp tính khoản thu trái pháp luật.

Thứ trưởng Lê Quốc Hùng báo cáo tiếp thu, giải trình ý kiến tại phiên họp.

Về đánh giá tác động khi xử lý DLCN và khi chuyển DLCN xuyên biên giới, dự thảo Luật cơ bản kế thừa các nội dung do Chính phủ trình, yêu cầu các bên kiểm soát, xử lý DLCN phải lập Hồ sơ đánh giá tác động xử lý DLCN và Hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới.

Doanh nghiệp chỉ cần lập hồ sơ này một lần cho suốt quá trình hoạt động và cập nhật khi có thay đổi. Cơ quan chuyên trách bảo vệ DLCN sẽ thực hiện kiểm tra hồ sơ khi xét thấy cần thiết.

Đối với cả hai loại đánh giá tác động này, nếu đã thực hiện theo quy định của luật này thì không phải thực hiện việc đánh giá rủi ro tương tự theo quy định của Luật Dữ liệu.

Dự thảo Luật cũng quy định, lực lượng bảo vệ DLCN gồm: lực lượng chuyên trách thuộc Cơ quan chuyên trách của Bộ Công an; bộ phận hoặc nhân sự phụ trách bảo vệ DLCN trong các cơ quan, tổ chức, doanh nghiệp; các tổ chức và chuyên gia cung cấp dịch vụ bảo vệ dữ liệu (Chính phủ sẽ quy định chi tiết về các dịch vụ này).

Nhằm giảm gánh nặng tuân thủ pháp luật, quy định về việc phải có chuyên gia bảo vệ DLCN đã được điều chỉnh từ bắt buộc sang hình thức lựa chọn, cho phép doanh nghiệp có thể chỉ định nhân sự nội bộ thực hiện nhiệm vụ này hoặc lựa chọn dịch vụ phù hợp.

Đặc biệt, tại Điều 46 về hiệu lực thi hành của dự thảo luật đã bổ sung quy định miễn trừ và tạo điều kiện linh hoạt, thuận lợi cho doanh nghiệp, đó là: Doanh nghiệp siêu nhỏ và hộ kinh doanh được miễn trừ hoàn toàn nghĩa vụ phải có nhân sự, chuyên gia bảo vệ DLCN cũng như yêu cầu về đánh giá tác động xử lý DLCN.

Đối với doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp, được quyền lựa chọn thực hiện hoặc không thực hiện các yêu cầu này trong thời hạn 5 năm kể từ khi thành lập hoặc kể từ khi luật này có hiệu lực.

Thanh Hòa