“Chào anh chị, em gọi đến từ Công ty ABC chuyên hỗ trợ tư vấn đầu tư chứng khoán”, “Dạ chào anh chị, tại Quận X đang có dự án phân lô bán nền”. Đây là một trong số ít ví dụ cho thấy rằng chúng ta liên tục bị làm phiền bởi các cuộc gọi “rác” từ các tổ chức/cá nhân khác. Câu hỏi được đặt ra là vấn đề xử lý, bảo mật các thông tin mà chúng ta cung cấp cho các đơn vị khác như các nhà mạng, tổ chức tín dụng, bệnh viện, các trang thương mại điện tử, mạng xã hội,… liệu có thật sự được tốt và họ có được quyền cung cấp/mua bán các dữ liệu cá nhân của chúng ta cho đơn vị khác? Bài viết này sẽ phân tích một số điểm mới theo Dự thảo Nghị định về Bảo vệ Dữ liệu Cá nhân (“Dự thảo Nghị định”) được Bộ Công an công bố để lấy ý kiến toàn dân và dự kiến có hiệu lực vào tháng 12 năm 2021. Tuy nhiên, đến thời điểm hiện tại, Chính phủ vẫn chưa công bố toàn văn Nghị định về Bảo vệ Dữ liệu Cá nhân chính thức.
Về tổng quan, nội dung của Dự thảo Nghị định tiếp cận theo hướng phù hợp với các tiêu chuẩn quốc tế, đặc biệt là Quy định chung về bảo vệ dữ liệu (viết tắt là “GDPR”) của Liên minh Châu âu. Một số nội dung nổi bật đáng lưu ý như sau:
Một là phạm vi điều chỉnh. Phạm vi điều chỉnh của Dự thảo Nghị định được đánh giá là tương đối rộng và toàn diện. Dự thảo Nghị định điều chỉnh mọi hoạt động của cơ quan, tổ chức, cá nhân có liên quan tới dữ liệu cá nhân của công dân Việt Nam.1 Theo đó, chúng ta có thể hiểu rằng bất kỳ cơ quan, tổ chức, cá nhân nào (dù là trong nước hay nước ngoài) khi có bất kỳ hoạt động nào liên quan đến dữ liệu cá nhân của công dân Việt Nam đều thuộc phạm vi điều chỉnh của Dự thảo Nghị định này. Tuy nhiên, có một số trường hợp đặc biệt mà có thể ảnh hưởng đến tính khả thi đối với phạm vi điều chỉnh của Dự thảo Nghị định. Điều này có một số điểm khác biệt so với quy định của GDPR. GDPR quy định một số trường hợp được loại trừ khỏi phạm vi điều chỉnh:2
- Việc xử lý dữ liệu cá nhân nằm ngoài phạm vi của luật Liên minh;
- Việc xử lý dữ liệu cá nhân được các Quốc gia thành viên thực hiện theo các quy định chung về chính sách đối ngoài và an ninh chung (quy định tại Chương I Mục V của TEU);
- Việc xử lý dữ liệu cá nhân của một cá nhân trong quá trình hoạt động của cá nhân hoặc hộ gia đình thuần túy;
- Việc xử lý dữ liệu cá nhân của các cơ quan có thẩm quyền cho các mục đích công cộng như để phòng ngừa, điều tra, phát hiện hoặc truy tố tội phạm hình sự.
Hai là khái niệm “Dữ liệu cá nhân”. Dữ liệu cá nhân là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể.3 Dự thảo nghị định chia Dữ liệu cá nhân thành hai (02) nội dung:
- Dữ liệu cá nhân cơ bản: Họ, chữ đệm và tên khai sinh; ngày tháng năm sinh; giới tính,…
- Dữ liệu cá nhân nhạy cảm: Dữ liệu cá nhân về quan điểm chính trị, tôn giáo, sinh trắc học, đời sống, tài chính, vị trí,…
Việc chia Dữ liệu cá nhân thành hai nội dung nêu trên sẽ thể hiện sự khác biệt về mức độ bảo vệ dữ liệu cá nhân. Nghĩa là tương ứng với từng loại dữ liệu cá nhân thì các nghĩa vụ của các cơ quan, tổ chức, cá nhân khi tiến hành xử lý dữ liệu cá nhân đó sẽ khác nhau. Ví dụ, các cơ quan, tổ chức, cá nhân muốn xử lý dữ liệu cá nhân nhạy cảm phải tuân thủ các quy định nghiêm ngặt hơn, phải giải thích cho chủ thể dữ liệu rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm và sự đồng ý của chủ thể dữ liệu ở định dạng có thể được in, sao chép bằng văn bản,4 phải đăng ký với Ủy ban bảo vệ dữ liệu cá nhân. Bên cạnh đó, việc phân chia loại dữ liệu cá nhân còn giúp các cơ quan chức năng dễ dàng quản lý, thanh tra, xác định mức độ vi phạm và xử phạt các chủ thể có hành vi sai phạm.
Ba là việc thành lập Ủy ban bảo vệ dữ liệu cá nhân. Ủy ban bảo vệ dữ liệu cá nhân là tổ chức trực thuộc Chính phủ, đặt tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.5 Về tổng quan, Ủy ban bảo vệ dữ liệu cá nhân là tổ chức thực hiện chức năng quản lý, giám sát và đảm bảo việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân được quy định tại Dự thảo Nghị định. Ngoài ra, Ủy ban bảo vệ dữ liệu cá nhân còn là tổ chức phụ trách việc xây dựng và vận hành Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.6
Bốn là việc chuyển dữ liệu cá nhân xuyên biên giới. Điều 21 của Dự thảo Nghị định quy định, trước khi chuyển dữ liệu cá nhân của công dân Việt Nam ra khỏi lãnh thổ Việt Nam, phải đáp ứng bốn điều kiện sau (trừ một số trường hợp nhất định):
- Có sự đồng ý của chủ thể dữ liệu về việc chuyển giao;
- Dữ liệu gốc được lưu trữ tại Việt Nam;
- Có văn bản chứng minh quốc gia, vùng lãnh thổ hoặc một khu vực cụ thể trong quốc gia hoặc vùng lãnh thổ chuyển đến đã ban hành quy định bảo vệ dữ liệu cá nhân ở mức độ bằng hoặc cao hơn với quy định tại Dự thảo Nghị định; và
- Có văn bản đồng ý bằng văn bản của Ủy ban bảo vệ dữ liệu cá nhân.
Cần lưu ý rằng để được Ủy ban bảo vệ dữ liệu cá nhân chấp thuận bằng văn bản, đơn đăng ký phải bao gồm một báo cáo đánh giá tác động khi đăng ký chuyển dữ liệu cá nhân qua biên giới mô tả chi tiết về hoạt động chuyển dữ liệu cá nhân qua biên giới, mục đích chuyển dữ liệu cá nhân qua biên giới; đánh giá nguy cơ, tác hại có thể xảy ra; các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Năm là việc xử lý vi phạm hành chính. Hiện tại, Nghị định số 91/2020/NĐ-CP về việc chống tin nhắn rác, thư điện tử rác, cuộc gọi rác đã có hiệu lực, Bộ Thông tin và Truyền thông đã áp dụng các chính sách hỗ trợ người dùng báo tin nhắn, cuộc gọi rác,… Tuy nhiên, tình trạng này vẫn chưa được xử lý triệt để. Đồng thời Nghị định số 91/2020/NĐ-CP cũng chưa điều chỉnh đầy đủ về bảo vệ dữ liệu cá nhân. Theo quy định tại Điều 22 Dự thảo Nghị định, tùy theo tính chất và mức độ của hành vi vi phạm mà chủ thể vi phạm có thể bị xử phạt vi phạm hành chính hay thậm chí là xử lý hình sự. Mức xử phạt hành chính sẽ được áp dụng từ 50.000.000 VND đến 100.000.000 VND. Ngoài ra, bên vi phạm còn có thể bị cấm thực hiện xử lý hoặc chuyển dữ liệu tạm thời hoặc vĩnh viễn. Trong trường hợp vi phạm nhiều lần, bên vi phạm có thể bị tước quyền xử lý dữ liệu và xử phạt với mức phạt lên đến 5% tổng doanh thu tại Việt Nam. Đối với mức xử phạt lên đến 5% tổng doanh thu tại Việt Nam, Dự thảo Nghị định chưa nêu rõ tỉ lệ phần trăm này sẽ được tính trên doanh thu từ hành vi vi phạm hay doanh thu hàng tháng/quý/năm. Trong khi đó GDPR xác định tỉ lệ phần trăm doanh thu được tính trên tổng doanh thu toàn cầu năm tài chính trước đó của chủ thể vi phạm. Có thể thấy mức xử phạt vi phạm hành chính theo quy định tại Dự thảo Nghị định chưa mang tính răng đe cao vì số tiền xử phạt còn quá nhỏ so với khoản lợi thu được từ hành vi vi phạm. Cụ thể, bất kỳ doanh nghiệp nào vi phạm các điều luật GDPR sẽ có nguy cơ đối mặt với án phạt lên đến 20 triệu euro (khoảng 550 tỷ đổng) hoặc lên tới 4% tổng doanh thu hàng năm trên toàn thế giới của năm tài chính trước đó, tùy theo giá trị nào cao hơn.8
Trong thời đại chuyển đổi số và công nghệ thông tin ngày càng phát triển, thông tin luôn đóng vai trò rất quan trọng. Việc lạm dụng và sử dụng thông tin cá nhân sai mục đích có thể gây ra những hậu quả nghiêm trọng. Do đó, việc Chính phủ ban hành một hành lang pháp lý nghiêm ngặt hơn về việc bảo vệ dữ liệu cá nhân trong thời gian sắp tới sẽ là góp phần quan trọng trong việc ngăn chặn tình trạng đánh cắp, mua bán dữ liệu cá nhân.
Khuyến cáo: Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý nào. Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Tư vấn thường xuyên. Vui lòng tham khảo về dịch vụ của chúng tôi tại đây và liên hệ với đội ngũ luật sư tại Việt Nam của chúng tôi thông qua email info@apolatlegal.com.