Dự thảo luật bảo vệ dữ liệu cá nhân và những điểm nổi bật cần lưu ý

Xử lý dữ liệu cá nhân, kinh doanh dịch vụ Chuyên gia bảo vệ dữ liệu cá nhân

Dự thảo luật bảo vệ dữ liệu cá nhân và những điểm nổi bật cần lưu ý

Tiếp nối Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân được Chính phủ ban hành ngày 17/04/2024 (“Nghị định số 13”), vào ngày 25/09/2024, Bộ Công an đã ban hành Dự thảo Luật Bảo vệ dữ liệu cá nhân (“Dự thảo PDPL”) để lấy ý kiến đóng góp của các cơ quan, tổ chức, cá nhân. Dự thảo PDPL được xem là tiền đề quan trọng trong việc xây dựng chính thức Luật Bảo vệ dữ liệu cá nhân, với mục tiêu điều chỉnh bao quát tất cả các lĩnh vực, quan hệ và xu hướng phát triển xã hội, cũng như khắc phục những hạn chế của Nghị định số 13 hiện nay.

Dự thảo PDPL gồm 07 chương, 68 điều, hướng tới mục tiêu chính là quản lý việc xử lý dữ liệu cá nhân trong một số bối cảnh cụ thể, đề ra các biện pháp cũng như điều kiện để bảo đảm bảo vệ dữ liệu cá nhân, hay phân định trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Dự thảo PDPL cũng đưa ra các khái niệm và quy định mới, nhằm tạo ra khuôn khổ pháp lý cho việc bảo vệ dữ liệu cá nhân trong lĩnh vực: điện toán đám mây, trí tuệ nhân tạo, dữ liệu sinh trắc học, theo dõi vị trí và các bối cảnh cụ thể khác. Các khuôn khổ pháp lý này dự kiến ​​sẽ có mối liên hệ chặt chẽ với Nghị định số 13, cũng như các văn bản pháp luật chuyên ngành khác như Luật An ninh mạng 2018, Luật Viễn thông 2023, Luật Căn cước 2023, Thông tư số 17/2024/TT-NHNN quy định việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán, Dự thảo Luật Dữ liệu mới,... Trong số đó, các điểm chính mới của Dự thảo PDPL bao gồm:

1. Quy định bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn

Điều 23 Dự thảo PDPL quy định rằng “các tổ chức, cá nhân được quyền khai thác dữ liệu cá nhân khi chủ thể dữ liệu chia sẻ công khai thông tin cá nhân trên các nền tảng mà không có bất kỳ sự hạn chế nào”, và “chỉ được sử dụng dữ liệu lớn thu được cho các hoạt động kinh doanh theo quy định của pháp luật”. Theo điều khoản này, các công ty đóng vai trò là Bên xử lý dữ liệu cá nhân, sẽ phải được đăng ký và quản lý bởi cơ quan chuyên trách bảo vệ dữ liệu cá nhân (cụ thể là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an[1]).

Song, dự thảo tại điều khoản này cũng đặt ra một số vướng mắc cần được làm rõ như sau:

(i)               Khoản 1 Điều 23 Dự thảo PDPL cho phép các tổ chức, cá nhân trích xuất thông tin chi tiết được công khai trên các nền tảng mà không có bất kỳ sự hạn chế nào. Tuy nhiên, quy định này cũng cần được xem xét và điều chỉnh để phù hợp với thực trạng chính các nền tảng cung cấp các quy tắc cam kết hoặc ban hành các quy định yêu cầu các tổ chức, cá nhân không trích xuất thông tin đã công bố của chủ thể dữ liệu.

Vụ kiện giữa hiQ Labs[2] và LinkedIn[3] là cuộc chiến pháp lý quan trọng liên quan đến việc thu thập dữ liệu, việc sử dụng dữ liệu công khai,[4] đồng thời cũng là một ví dụ điển hình cho thấy sự cần thiết của việc cân nhắc lại quy định tại Khoản 1 Điều 23 Dự thảo PDPL. Cụ thể, tranh chấp phát sinh từ cáo buộc của LinkedIn khi cho rằng hành vi thu thập dữ liệu qua LinkedIn của hiQ Labs đã cấu thành hành vi truy cập trái phép, đặc biệt là sau khi hiQ Labs đã bị thu hồi quyền truy cập thông qua thư yêu cầu chấm dứt và hủy bỏ của LinkedIn. Với hành vi này, LinkedIn tuyên bố rằng hiQ Labs đã vi phạm Đạo luật bản quyền kỹ thuật số thiên niên kỷ của quốc gia Hoa Kỳ (Digital Millennium Copyright Act – DMCA), bao gồm các điều khoản chống lại các biện pháp công nghệ kiểm soát quyền truy cập vào các tác phẩm có bản quyền. Vụ tranh chấp kết thúc khi Tòa án đã ra phán quyết có lợi cho hiQ, tuyên bố rằng điều khoản "không được phép" tại Đạo luật gian lận và lạm dụng máy tính (Computer Fraud and Abuse Act – CFAA) không áp dụng cho dữ liệu công khai trên Internet. Mặc dù vậy, phán quyết nêu trên vẫn thường được đề cập trong các cuộc thảo luận về phạm vi và việc áp dụng các luật như CFAA và DMCA trong kỷ nguyên số, cũng như làm nổi bật sự tranh cãi giữa quyền riêng tư của cá nhân và lợi ích của các doanh nghiệp trong việc truy cập và sử dụng dữ liệu.[5]

(ii)              Hiện cả Dự thảo PDPL và Nghị định số 13 đều không có định nghĩa thế nào là “dữ liệu lớn” khiến việc áp dụng Khoản 2 Điều 23 Dự thảo PDPL có thể dẫn đến lúng túng, gây nhiều khó khăn và gây tranh cãi trong việc xác định đúng phạm vi áp dụng.

"các tổ chức, cá nhân được quyền khai thác dữ liệu cá nhân khi chủ thể dữ liệu chia sẻ công khai thông tin cá nhân trên các nền tảng mà không có bất kỳ sự hạn chế nào"

2. Quy định bảo vệ dữ liệu cá nhân đối với một số loại hình dịch vụ cụ thể

Liên quan đến các quy định về bảo vệ dữ liệu cá nhân trong tài chính, ngân hàng, tín dụng, thông tin tín dụng, điểm d Khoản 1 Điều 27 Dự thảo PDPL không cho phép các công ty tài chính, ngân hàng, tín dụng sử dụng các thông tin tín dụng để chấm điểm tín dụng, đánh giá mức độ tín nhiệm về tín dụng nếu không có sự đồng ý của chủ thể dữ liệu. Thay vào đó, kết quả đánh giá thông tin tín dụng của chủ thể dữ liệu chỉ được dưới dạng lựa chọn giữa Đạt hoặc Không Đạt, Có hoặc Không, Đúng hoặc Sai, hoặc thang điểm trên cơ sở dữ liệu mà các tổ chức tài chính, ngân hàng, tín dụng, thông tin tín dụng thu thập trực tiếp từ khách hàng.[6] Như vậy, với hạn chế này, chủ thể dữ liệu có thể yên tâm khi biết rằng thông tin tài chính của họ vẫn được giữ bí mật.

Ngoài ra, trong bối cảnh việc bị lộ thông tin cá nhân trên các môi trường mạng, mạng xã hội đang là một vấn nạn gây nhức nhối,[7] Dự thảo PDPL đã đặt ra các quy định mới đối với mạng xã hội, dịch vụ truyền thông. Theo đó, mạng xã hội, dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian mạng (OTT).[8] Cụ thể, các nhà cung cấp dịch vụ OTT có trụ sở hoạt động chính tại nước ngoài như Youtube, Tiktok, Meta,… khi hoạt động hoặc xuất hiện trên kho ứng dụng di động cung cấp tại thị trường Việt Nam phải đáp ứng các trách nhiệm bảo vệ dữ liệu cá nhân của công dân Việt Nam. Các phương thức xác thực tài khoản bằng cách yêu cầu chụp ảnh căn cước công dân, chứng minh nhân dân đều không được phép sử dụng. Việc thông qua nội dung này trong Dự thảo PDPL sẽ đánh dấu một bước tiến quan trọng trong việc quản lý dữ liệu cá nhân tại Việt Nam, đây sẽ là một nội dung hoàn toàn mới và được áp dụng kể từ ngày Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực. Tuy nhiên, điều này cũng làm bỏ ngỏ cách xử lý trong trường hợp một số dịch vụ OTT đã tiến hành sử dụng phương thức xác minh giấy tờ tùy thân của công dân Việt Nam để xác thực tài khoản trước đó.

3. Quy định về loại hình kinh doanh dịch vụ Chuyên gia bảo vệ dữ liệu cá nhân

Theo định nghĩa tại Khoản 17 Điều 2 Dự thảo PDPL, “Chuyên gia bảo vệ dữ liệu cá nhân là người được Bên Kiểm soát, Bên Kiểm soát và xử lý, Bên thứ ba, Bên Chuyển dữ liệu cá nhân ra nước ngoài, Bên nhận dữ liệu cá nhân của công dân Việt Nam chỉ định làm nhân sự bảo vệ dữ liệu cá nhân, có năng lực về công nghệ và/hoặc pháp lý về bảo vệ dữ liệu cá nhân, được nêu cụ thể trong Hồ sơ đánh giá tác động bảo vệ dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.” Như vậy, để tham gia vào các dịch vụ bảo vệ dữ liệu cá nhân, các Chuyên gia bảo vệ dữ liệu cá nhân phải chứng minh được trình độ chuyên môn, đủ năng lực trên các khía cạnh: (i) công nghệ và pháp lý; hoặc (ii) công nghệ; hoặc (iii) pháp lý, được thể hiện thông qua các Giấy chứng nhận do Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân cấp.[9]

Trên đây là các điểm chính mới của Dự thảo PDPL, giúp chúng ta có cái nhìn tổng quan hơn về Dự thảo này.  Dự thảo PDPL đã đánh dấu bước tiến mới trong việc hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam Với những quy định mới, Dự thảo PDPL sẽ tạo ra một môi trường số an toàn, tin cậy, góp phần thúc đẩy phát triển kinh tế số một cách bền vững. Tuy nhiên, để phát huy tối ưu hiệu quả, Luật Bảo vệ dữ liệu cá nhân khi ban hành chính thức sẽ cần giải quyết những thách thức còn tồn tại của Dự thảo PDPL hiện nay.


[1] Nghị định số 13, Khoản 1 Điều 29.

[2] hiQ Labs là một công ty phân tích dữ liệu, thu thập dữ liệu công khai từ các hồ sơ LinkedIn để cung cấp dịch vụ cho các doanh nghiệp.

[3] LinkedIn là một trang web mạng lưới nghề nghiệp.

[4] Tham khảo tại: https://cdn.ca9.uscourts.gov/datastore/opinions/2022/04/18/17-16783.pdf (truy cập ngày 27/09/2024).

[5] Tham khảo tại: https://www.linkedin.com/pulse/landmark-case-linkedin-vs-hiq-labs-naman-gupta-5ypff/ (truy cập ngày 02/10/2024).

[6] Dư thảo PDPL, điểm đ Khoản 1 Điều 27.

[7] VnEconomy, “Người dùng còn dễ dãi chia sẻ thông tin cá nhân trên mạng”, xem tại: https://vneconomy.vn/nguoi-dung-con-de-dai-chia-se-thong-tin-ca-nhan-tren-mang.htm (truy cập ngày 27/09/2024).

[8] Dư thảo PDPL, Điều 31.

[9] Dư thảo PDPL, Điều 38, Điều 39.

Tác giả:

Ngô Quỳnh Anh - Ls Thành viên Cao cấp, Dentons Luật Việt

Vũ Thị Thanh Nhàn- Luật sư tập sự, Dentons Luật Việt

Hoàng Thị Thủy Triều - Luật sư cộng sự sơ cấp, Dentons Luật Việt

Great! You’ve successfully signed up.

Welcome back! You've successfully signed in.

You've successfully subscribed to Tập San Luật sư Nội bộ.

Success! Check your email for magic link to sign-in.

Success! Your billing info has been updated.

Your billing was not updated.