Khái quát các quy định pháp luật Việt Nam liên quan đến vấn đề bảo vệ dữ liệu cá nhân

Bảo vệ dữ liệu cá nhân ngày càng trở thành một trong những ưu tiên hàng đầu khi Việt Nam tiến sâu hơn vào nền kinh tế số. Hệ thống pháp luật về bảo vệ dữ liệu cá nhân, dù mới trong giai đoạn hoàn thiện, đã có những bước tiến quan trọng trong việc đảm bảo quyền riêng tư và an ninh thông tin, đồng thời đề cao trách nhiệm của các tổ chức, cá nhân liên quan đến việc thu thập và xử lý dữ liệu. Bài viết này sẽ đề cập ngắn gọn các quy định pháp luật hiện hành có liên quan đến vấn đề bảo vệ dữ liệu cá nhân tại các văn bản quy phạm pháp luật như Luật Công nghệ thông tin 2006, Bộ Luật Dân sự 2015, Luật An ninh mạng 2018, Nghị định 13/2023/NĐ-CP và Luật Bảo vệ quyền lợi người tiêu dùng 2023, nhằm mục giới thiệu sơ lược khung pháp lý hiện nay của Việt Nam về bảo vệ dữ liệu cá nhân.

1. Luật Công nghệ thông tin năm 2006

Điều 21 Luật Công nghệ thông tin năm 2006 quy định về cách thức thu thập, xử lý và sử dụng “thông tin cá nhân” trên môi trường mạng. Cụ thể, việc thu thập, xử lý và sử dụng thông tin cá nhân được tiến hành trên cơ sở sự đồng ý của người có thông tin được thu thập, xử lý và sử dụng, trừ khi pháp luật có quy định khác. Tổ chức hoặc cá nhân thực hiện việc này phải thông báo về mục đích, phạm vi và thời gian sử dụng thông tin, đồng thời áp dụng các biện pháp bảo mật đối với thông tin cá nhân được thu thập, xử lý và sư rdungj. Một số trường hợp như thực hiện hợp đồng, tính giá cước, hoặc thực hiện nghĩa vụ pháp lý có thể không cần sự đồng ý của người có thông tin được thu thập, xử lý và sử dụng.  

Với quy định tại Điều 21 Luật Công nghệ thông tin năm 2006, đây là lần đầu tiên vấn đề bảo vệ thông tin cá nhân được quy định trong một văn bản pháp luật tại Việt Nam, đóng vai trò nền tảng quan trọng cho việc phát triển các quy định về bảo vệ dữ liệu cá nhân trong tương lai. 

2. Bộ Luật Dân Sự năm 2015 

Thuật ngữ “dữ liệu cá nhân” chưa được trực tiếp ghi nhận tại Bộ Luật Dân Sự 2015 . Tuy nhiên, Bộ Luật Dân Sự 2015 có quy định về việc bảo vệ “đời sống riêng tư, bí mật cá nhân, bí mật gia đình” tại Điều 38, cụ thể như sau: 

Điều 38. Quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình 

1. Đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ.
2. Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến bí mật gia đình phải được các thành viên gia đình đồng ý, trừ trường hợp luật có quy định khác.
3. Thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của cá nhân được bảo đảm an toàn và bí mật.

Việc bóc mở, kiểm soát, thu giữ thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của người khác chỉ được thực hiện trong trường hợp luật quy định. 

4. Các bên trong hợp đồng không được tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình của nhau mà mình đã biết được trong quá trình xác lập, thực hiện hợp đồng, trừ trường hợp có thỏa thuận khác.

Theo đó, Bộ Luật Dân Sự 2015 quy định rằng “đời sống riêng tư”, “bí mật cá nhân”, “bí mật gia đình” là bất khả xâm phạm và được pháp luật bảo vệ. Tương tự với cách tiếp cận tại Điều 21 Luật Công nghệ thông tin 2006, việc thu thập, sử dụng, công khai các thông tin liên quan đến đời sống riêng tư và bí mật phải có sự đồng ý của người liên quan hoặc các thành viên trong gia đình, trừ khi luật có quy định khác. Một số hình thức biểu hiện của “quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình” có thể bao gồm thư tín, điện thoại, và các hình thức trao đổi thông tin riêng tư khác được bảo mật, và việc kiểm soát hoặc thu giữ chỉ được phép theo quy định của pháp luật. Liên quan đến việc bảo vệ “đời sống riêng tư, bí mật cá nhân và gia đình” trong bối cảnh thực hiện hợp đồng, Bộ Luật Dân Sự quy định các bên trong hợp đồng cũng không được tiết lộ thông tin bí mật của nhau trừ khi có thỏa thuận khác. 

3. Luật An ninh mạng năm 2018

Luật An ninh mạng năm 2018 đưa ra các quy định chi tiết hơn về việc bảo vệ “bí mật cá nhân”, “bí mật gia đình” và “đời sống riêng tư” trên không gian mạng tại Điều 17. Đồng thời, các vấn đề liên quan đến “dữ liệu thông tin cá nhân” được quy định tại Điều 26.3, và “dữ liệu thông tin người sử dụng” tại Điều 41 của Luật này.  

Cụ thể, Điều 17 Luật An ninh mạng 2018 yêu cầu các tổ chức, cá nhân và doanh nghiệp phải bảo vệ thông tin bí mật (nhà nước, cá nhân, gia đình) và dữ liệu cá nhân trên không gian mạng. Các hành vi chiếm đoạt, làm lộ, thay đổi hoặc xóa thông tin trái phép bị nghiêm cấm và sẽ bị xử lý theo quy định của pháp luật. Bên cạnh đó, đối với doanh nghiệp cung cấp dịch vụ trên mạng viễn thông và Internet tại Việt Nam, Điều 26.3 quy định các doanh nghiệp này có nghĩa vụ phải lưu trữ dữ liệu cá nhân và thông tin người dùng tại Việt Nam theo thời gian do Chính phủ quy định. Đồng thời, các doanh nghiệp này có trách nhiệm áp dụng các biện pháp kỹ thuật để đảm bảo an ninh trong quá trình thu thập và xử lý dữ liệu cá nhân. Trong trường hợp xảy ra hoặc có nguy cơ rò rỉ, mất mát dữ liệu, doanh nghiệp phải kịp thời thông báo cho người sử dụng và báo cáo với cơ quan chức năng để xử lý căn cứ theo quy định tại Điều 41.3.c Luật An ninh mạng 2018.  

Nhìn chung, các quy định có liên quan đến vấn đề “bảo vệ dữ liệu cá nhân” thông qua việc bảo vệ  “bí mật cá nhân”, “bí mật gia đình” và “đời sống riêng tư” của Luật An ninh mạng 2018 góp phần tạo ra hành lang pháp lý quan trọng để có thể xử lý các hành vi xâm phạm “bí mật cá nhân”, “bí mật gia đình” và  “đời sống riêng tư” trên môi trường không gian mạng.  

4. Nghị định 13/2023/NĐ-CP

Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân được ban hành ngày 17/04/2023 và có hiệu lực từ ngày 01/07/2023, đóng vai trò là văn bản quy phạm pháp luật đầu tiên trực tiếp quy định về “bảo vệ dữ liệu cá nhân”. Theo đó, dữ liệu cá nhân được định nghĩa tại Điều 2.1 Nghị định 13/2023/NĐ-CP là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. 

Việc xử lý dữ liệu cá nhân phải có sự đồng ý của chủ thể dữ liệu, trừ một số trường hợp đặc biệt như bảo vệ tính mạng, sức khỏe hoặc phục vụ an ninh quốc gia (Điều 3, khoản 2 và Điều 17). 

Chủ thể dữ liệu có các quyền quan trọng như quyền được biết, quyền truy cập, chỉnh sửa, xóa dữ liệu và quyền rút lại sự đồng ý (Điều 9). Việc thu thập và xử lý dữ liệu cá nhân phải tuân theo các biện pháp bảo mật và chỉ được sử dụng đúng mục đích đã đăng ký (Điều 3.6). 

Đối với trách nhiệm của bên kiểm soát và xử lý dữ liệu, Nghị định yêu cầu áp dụng các biện pháp an toàn, bảo mật, đồng thời phải thông báo kịp thời cho cơ quan chức năng khi có vi phạm (Điều 38 và Điều 39). Vấn đề về chuyển dữ liệu ra nước ngoài phải được đánh giá tác động và tuân thủ quy trình chặt chẽ (Điều 25). Các hành vi vi phạm sẽ bị xử lý theo quy định pháp luật, với các hình thức xử lý từ xử lý hành chính đến hình sự (Điều 4). 

Tóm lại, Nghị định 13/2023/NĐ-CP là một bước tiến quan trọng trong việc bảo vệ dữ liệu cá nhân tại Việt Nam, không chỉ thông qua việc trao quyền rõ ràng cho chủ thể dữ liệu, như quyền truy cập, chỉnh sửa, rút lại sự đồng ý và yêu cầu xóa dữ liệu, mà còn định rõ các hành vi vi phạm như mua bán, thu thập dữ liệu trái phép. Đồng thời, nghị định này cũng tăng cường trách nhiệm của các bên kiểm soát và xử lý dữ liệu, buộc họ phải thực hiện các biện pháp bảo mật nghiêm ngặt và thông báo kịp thời khi có vi phạm xảy ra  

5. Luật Bảo vệ quyền lợi người tiêu dùng 2023

Điều 3.3 Luật Bảo vệ quyền lợi người tiêu dùng 2023 định nghĩa thông tin của người tiêu dùng bao gồm thông tin cá nhân của người tiêu dùng, thông tin về quá trình mua, sử dụng sản phẩm, hàng hóa, dịch vụ của người tiêu dùng và thông tin khác liên quan đến giao dịch giữa người tiêu dùng và tổ chức, cá nhân kinh doanh.  

Liên quan đến các hành vi bị nghiêm cấm trong bảo vệ quyền lợi người tiêu dùng, Điều 10.1.m Luật Bảo vệ quyền lợi người tiêu dùng  2023 quy định tổ chức, cá nhân kinh doanh bị nghiêm cấm thực hiện hành vi thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ, thông tin của người tiêu dùng trái quy định của pháp luật. Ngoài ra, Luật Bảo vệ quyền lợi người tiêu dùng 2023 có quy định chi tiết về vấn đề bảo vệ thông tin của người tiêu dùng tại Điều 15 Luật này. Cụ thể, các cá nhân và tổ chức kinh doanh có quyền tự thực hiện hoặc ủy quyền cho bên thứ ba thu thập, lưu trữ, sử dụng, chỉnh sửa và hủy bỏ thông tin của người tiêu dùng trong phạm vi hoạt động của mình. Quá trình xử lý thông tin của người tiêu dùng phải đảm bảo an toàn và bảo mật. Người tiêu dùng phải được thông báo đầy đủ khi các hoạt động như thu thập, lưu trữ, sử dụng thông tin diễn ra, bao gồm cả mục đích, phạm vi, thời gian sử dụng, cũng như các biện pháp bảo vệ thông tin.  

Nhìn chung, các quy định này trong Luật BVQLNTD năm 2023 khá tương đồng với những quy định về xử lý dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP, góp phần tạo sự thống nhất và thuận lợi cho việc áp dụng các quy định liên quan đến thông tin người tiêu dùng. 

Tóm lại, pháp luật Việt Nam về bảo vệ dữ liệu cá nhân, đặc biệt với Nghị định 13/2023/NĐ-CP, đã tạo ra hành lang pháp lý quan trọng để bảo vệ quyền riêng tư và đảm bảo trách nhiệm của các bên liên quan trong việc xử lý dữ liệu. Những quy định này không chỉ giúp bảo vệ thông tin cá nhân mà còn góp phần xây dựng một môi trường số an toàn và minh bạch trong bối cảnh phát triển kinh tế số. 

Một số bài viết liên quan:

1. Các biện pháp bảo vệ dữ liệu cá nhân

2. Quy định về điều kiện cung cấp dữ liệu cá nhân

3. Trách nhiệm của doanh nghiệp khi kiểm soát và xử lý dữ liệu cá nhân

4. Có được phép chuyển dữ liệu cá nhân ra nước ngoài không và điều kiện thế nào?

Chia sẻ: