Tràn lan kinh doanh dữ liệu trái phép
Theo Hiệp hội An ninh mạng quốc gia (NCA), năm 2024 đã ghi nhận hơn 10.000 vụ việc liên quan đến lộ lọt thông tin cá nhân. Các trang web rao bán trái phép dữ liệu cá nhân với số lượng lớn, công khai, bất chấp các quy định pháp luật. Có tới hơn 66% người dùng xác nhận rằng, thông tin của họ từng bị sử dụng trái phép. Trong năm 2024, thiệt hại từ các vụ lừa đảo trực tuyến tại Việt Nam ước tính lên đến 18.900 tỷ đồng.
Tại Tọa đàm góp ý Dự thảo Luật Bảo vệ dữ liệu cá nhân, Trung tướng Nguyễn Minh Chính, Cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an), Phó chủ tịch thường trực NCA đánh giá, mức độ phổ biến của dữ liệu cá nhân trên không gian mạng tỷ lệ thuận với hậu quả xảy ra khi dữ liệu cá nhân không được bảo vệ tương xứng, đúng cách.
Trong khi đó, nhận thức về bảo vệ dữ liệu cá nhân còn hạn chế; nhiều thông tin sinh trắc học, lý lịch cá nhân, mối quan hệ, tình trạng sức khỏe, tài chính được đăng tải công khai, trở thành nguồn dữ liệu cho các chương trình thu thập thông tin tự động. Ngày càng nhiều chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau, nhưng không thông báo cho khách hàng, hoặc để xảy ra hành vi vi phạm về bảo vệ dữ liệu cá nhân.
Nhiều dịch vụ trên không gian mạng mới xuất hiện, có hoạt động thu thập, khai thác, phân tích thông tin, dữ liệu cá nhân, nhưng không có cơ chế quản lý dữ liệu người dùng, đặt ra nhiều vấn đề liên quan tới an ninh quốc gia, trật tự an toàn xã hội, xâm hại đến quyền và lợi ích hợp pháp của tổ chức, cá nhân.
Thiếu tá Đào Đức Triệu, Phó tổng thư ký, Trưởng ban Ban Nghiên cứu, tư vấn Chính sách và Pháp luật (NCA) đánh giá, tình trạng mua bán, rò rỉ, đánh cắp dữ liệu cá nhân diễn ra tràn lan, nhưng nhiều hành vi vi phạm vẫn chưa có chế tài xử lý cụ thể.
Nhìn lại giai đoạn những năm 2010, khi thị trường kinh doanh số tại Việt Nam còn sơ khai, môi trường pháp lý thiếu chặt chẽ đã tạo điều kiện để nhiều doanh nghiệp nước ngoài ồ ạt thâm nhập mà gần như không bị ràng buộc về trách nhiệm dữ liệu. Trong khi đó, tại châu Âu, các quy định như GDPR đã xử phạt hàng tỷ USD đối với các hành vi vi phạm. Ở Việt Nam, cho đến nay, vẫn chưa có tiền lệ xử lý tương tự.
Sự ra đời của Luật Bảo vệ dữ liệu cá nhân được xem là một cuộc cách mạng tiến bộ. “Những mô hình cũ không còn phù hợp sẽ phải bị loại bỏ, doanh thu có thể bị sụt giảm, nhưng đó là chiến lược cho sự phát triển bền vững. Thực tế, đã có nhiều doanh nghiệp ngừng triển khai các mô hình kinh doanh dữ liệu không còn đáp ứng yêu cầu pháp luật - một tín hiệu tích cực cho thấy sự chuyển mình theo hướng tiến bộ”, ông Triệu cho hay.
Hoàn thiện các quy định về dữ liệu
Dự thảo Luật Bảo vệ dữ liệu cá nhân gồm 7 chương, với 69 điều. Bộ Công an sẽ hoàn thiện, trình Chính phủ đưa Dự án luật này để xem xét, thông qua tại Kỳ họp thứ chín, Quốc hội khóa XV tháng 5/2025.
Trên thế giới đã có hơn 140 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân, gần nhất là Ấn Độ, Thái Lan và Malaysia.
Góp ý Dự thảo Luật Bảo vệ dữ liệu cá nhân, bà Đoàn Thị Thu Nga, Phó ban Ban pháp chế, Viettel kiến nghị, Dự thảo cần bổ sung cơ chế kiểm soát việc lạm dụng quyền của chủ thể dữ liệu, cho phép thỏa thuận thời hạn thực hiện quyền yêu cầu của chủ thể dữ liệu, thu phí hợp lý và từ chối yêu cầu vô lý. Dự thảo quy định quyền rộng của chủ thể dữ liệu, nhưng chưa có cơ chế bảo vệ quyền hợp pháp của doanh nghiệp, chưa đảm bảo nguyên tắc bình đẳng giữa các bên theo Bộ luật Dân sự 2015 và Quy định bảo vệ dữ liệu chung châu Âu (GDPR).
Liên quan đến vấn đề xử lý vi phạm quy định bảo vệ dữ liệu cá nhân, Dự thảo đề xuất áp dụng mức xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp. Tuy nhiên, mức phạt này không phù hợp pháp luật hiện hành tại Luật Xử lý vi phạm hành chính 2012, ảnh hưởng lớn đến hoạt động kinh doanh của doanh nghiệp.
Bên cạnh đó, quy định xử phạt quá hà khắc sẽ trở thành rào cản trong quá trình đổi mới sáng tạo, phát triển các sản phẩm khoa học công nghệ. Đại diện Viettel đề xuất xác định khung phạt theo doanh thu hoặc lợi ích có được từ hành vi vi phạm, không vượt mức 2 tỷ đồng và phân tầng theo mức độ vi phạm.
Bà Lê Nguyễn Thiên Nga, Viện trưởng Viện Quản trị Chính sách và Chiến lược phát triển cho rằng, Dự thảo yêu cầu các tổ chức phải thực hiện các yêu cầu của chủ thể dữ liệu trong vòng 72 giờ là không khả quan, vì trong thời gian quá ngắn này, các tổ chức chưa có kịp xác minh yêu cầu đến từ chủ thể dữ liệu. Đặc biệt, khi luật mới có hiệu lực, các tổ chức cần thời gian để xây dựng hệ thống và quy trình mới. Vì vậy, cần đổi thời gian yêu cầu thành 7 ngày cho dữ liệu cá nhân nhạy cảm, 15 ngày cho dữ liệu cá nhân cơ bản.
Theo bà Nga, hoạt động chuyển dữ liệu xuyên biên giới được ví như “huyết mạch” của nền kinh tế số Việt Nam. Tuy nhiên, yêu cầu nội địa hóa dữ liệu sẽ hạn chế khả năng của các doanh nghiệp và người sử dụng trong việc chuyển dữ liệu xuyên biên giới, làm tăng chi phí và giảm khả năng cạnh tranh của các doanh nghiệp Việt Nam trên thị trường quốc tế và hạn chế thu hút đầu tư nước ngoài. Vì vậy, Ban Soạn thảo cần xác định rõ hơn về phạm vi các loại dữ liệu bị hạn chế và nhất quán với luật hiện hành.
Các chuyên gia, doanh nghiệp cũng đề xuất, cần quy định rõ dữ liệu cá nhân không được mua, bán, trừ trường hợp chủ thể dữ liệu đồng ý; cho phép doanh nghiệp tự quyết biện pháp kỹ thuật phù hợp với yêu cầu mã hóa dữ liệu cá nhân; hoàn thiện, làm rõ định nghĩa và phân loại dữ liệu cá nhân; cơ chế bảo vệ dữ liệu nhạy cảm; chuyển dữ liệu ra nước ngoài; xếp hạng tín nhiệm bảo vệ dữ liệu; năng lực thực thi của doanh nghiệp nhỏ và vừa…
“Luật Bảo vệ dữ liệu cá nhân cần phù hợp với thông lệ quốc tế, nhưng cũng cần được điều chỉnh phù hợp với thực tiễn Việt Nam. Ban Soạn thảo xin tiếp thu đầy đủ ý kiến đóng góp từ các bên liên quan để hoàn thiện Luật”, ông Đào Đức Triệu khẳng định.