Nghị định được xây dựng tiếp cận theo hướng "dữ liệu cá nhân" và "bảo vệ dữ liệu cá nhân"
Hiến pháp năm 2013 đã kế thừa các quy định của các bản Hiến pháp trước đây, khẳng định quyền riêng tư của cá nhân là bất khả xâm phạm, đồng thời phát triển mở rộng phạm vi quyền riêng tư không chỉ là quyền bất khả xâm phạm về thân thể, nhà ở, thư tín mà còn bao gồm quyền bảo vệ bí mật cá nhân, trong đó có thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình (Điều 21).
Mặc dù, hệ thống pháp luật Việt Nam hiện hành chưa sử dụng cụm từ "dữ liệu cá nhân", chưa có định nghĩa về dữ liệu cá nhân cũng như bảo vệ dữ liệu cá nhân, nhưng, với các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình cùng các quy định liên quan tới "thông tin cá nhân", "thông tin riêng", "thông tin số"; "thông tin cá nhân trên môi trường mạng"; "thông tin bí mật đời tư"... trong các văn bản hiện hành, Nghị định được xây dựng tiếp cận theo hướng "dữ liệu cá nhân" và "bảo vệ dữ liệu cá nhân" là vấn đề có liên quan tới quyền riêng tư, được pháp luật bảo vệ, phù hợp với tinh thần của Hiến pháp.
Công dân Việt Nam có quyền bất khả xâm phạm, quyền giữ bí mật về dữ liệu cá nhân. Dữ liệu cá nhân được pháp luật Việt Nam bảo vệ, các hành vi xâm phạm dữ liệu cá nhân được xử lý nghiêm minh theo quy định pháp luật.
Theo quy định của Hiến pháp năm 2013, chỉ có văn bản luật được quyền quy định các nội dung liên quan tới hạn chế quyền con người, quyền công dân. Việc tiết lộ, xử lý dữ liệu cá nhân khi chưa được sự đồng ý của chủ thể dữ liệu ảnh hưởng tới quyền con người, nhưng bắt buộc phải quy định trong Nghị định để bảo đảm sự thực thi trên thực tiễn.
Việc không quy định sẽ ngay lập tức ảnh hưởng (ngừng hoặc tạm ngừng) tới các hoạt động xử lý dữ liệu cá nhân đang triển khai.
Để giải quyết vấn đề này, Bộ Công an đã báo cáo và ngày 01/10/2020, Chính phủ đã có báo cáo số 442/BC-CP trình Quốc hội về kết quả rà soát văn bản quy phạm pháp luật thuộc các lĩnh vực quản lý nhà nước, đưa ra phương án giải quyết thực trạng trên là tiếp tục xây dựng Nghị định về bảo vệ dữ liệu cá nhân, về lâu dài cần nghiên cứu, xây dựng Luật Bảo vệ dữ liệu cá nhân (mục 9.2.3).
Thực hiện chủ trương, chính sách của Đảng, Nhà nước, bảo đảm sự đồng bộ, thống nhất trong hệ thống pháp luật
Dữ liệu cá nhân là vấn đề liên quan tới chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, chính phủ điện tử, chính phủ số, kinh tế số, công nghệ thông tin.
Thời gian gần đây, Đảng và Nhà nước đã ban hành nhiều văn bản chỉ đạo vấn đề này[1]. Bảo vệ dữ liệu cá nhân được tiến hành song song, đồng thời với sự phát triển kinh tế, xã hội, đi liền với tất cả các khâu, quá trình nhưng phải đảm bảo không hạn chế sự phát triển, đổi mới và sáng tạo.
Theo thống kê của Bộ Công an, có tổng số 68 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 04 Bộ luật; 39 Luật, 01 Pháp lệnh; 18 Nghị định; 04 Thông tư/Thông tư liên tịch; 01 Quyết định của Bộ trưởng[2]. Tuy nhiên, dù có tới 68 văn bản nhưng tất cả đều không thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân:
- Hệ thống pháp luật Việt Nam hiện hành chưa sử dụng cụm từ "dữ liệu cá nhân", do đó hiện chưa có định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.
- Có hơn 10 khái niệm thuật ngữ liên quan tới thông tin cá nhân được diễn giải theo những cách khác nhau, gồm: "thông tin cá nhân", "bảo đảm an toàn thông tin cá nhân"; "thông tin riêng", "thông tin riêng tư", "thông tin số"; "thông tin cá nhân trên môi trường mạng"; "thông tin bí mật đời tư"; "thông tin về đời sống riêng tư", "bí mật gia đình", "quyền bất khả xâm phạm về đời sống riêng tư"; "cơ sở dữ liệu điện tử"; "thông tin của người tiêu dùng".
Riêng về khái niệm "thông tin cá nhân", khái niệm này được coi là tương đồng và gần gũi nhất với khái niệm "dữ liệu cá nhân". Cụm từ "thông tin cá nhân" xuất hiện ở hơn 300 văn bản quy phạm pháp luật, nhưng chỉ có 07 văn bản pháp luật có định nghĩa/diễn giải thế nào là thông tin cá nhân. Số văn bản pháp luật còn lại chỉ đề cập đến thông tin cá nhân trong nội dung các quy định, không đưa ra giải thích hay dẫn chiếu giải thích đến văn bản pháp luật khác.
Điều này đặt ra khó khăn lớn đối với công tác xây dựng Nghị định quy định về bảo vệ dữ liệu cá nhân trong bảo đảm tính tương thích, đồng bộ với toàn bộ nội dung các văn bản pháp luật hiện có.
Nguyên nhân là các văn bản này đang diễn giải việc bảo vệ thông tin cá nhân theo những cách khác nhau và không đồng bộ, tương thích. Phương án giải quyết là quy định các vấn đề mang tính nguyên tắc về bảo vệ dữ liệu cá nhân, bãi bỏ các quy định tại các văn bản Nghị định, Thông tư khác nếu không đồng nhất với nguyên tắc về bảo vệ dữ liệu cá nhân. Việc áp dụng quy định tại điều, khoản bị bãi bỏ được dẫn chiếu tới Nghị định bảo vệ dữ liệu cá nhân.
Hài hòa với thông lệ, quy định quốc tế về bảo vệ dữ liệu cá nhân
Bảo vệ dữ liệu cá nhân là vấn đề được các tổ chức và nhiều quốc gia trên thế giới quan tâm và đi trước nước ta trong thời gian khá dài, có nhiều kinh nghiệm pháp lý và thực tiễn triển khai thi hành để tiếp thu.
Do hệ thống pháp luật, trình độ nhận thức, kinh tế, xã hội khác nhau nên việc tiếp thu cần bảo đảm yếu tố hài hòa, trên cơ sở phù hợp với thực tiễn của nước ta.
Hầu hết các công ước, khuyến nghị và tiêu chuẩn khu vực về quyền riêng tư và bảo vệ thông tin và dữ liệu cá nhân đều tuân thủ Nguyên tắc bảo mật của Tổ chức hợp tác và phát triển kinh tế (OECD), bao gồm Công ước của Hội đồng châu Âu về bảo vệ cá nhân liên quan đến tự động xử lý thông tin và dữ liệu cá nhân (sau đây là Công ước 108), Hướng dẫn của Liên hợp quốc về các tệp thông tin và dữ liệu cá nhân được vi tính hóa, Khung bảo mật hợp tác kinh tế châu Á-Thái Bình Dương (APEC), Các tiêu chuẩn quốc tế về quyền riêng tư và bảo vệ thông tin và dữ liệu cá nhân (Nghị quyết Madrid), Luật của Tổ chức các quốc gia Hoa Kỳ (OAS) về bảo vệ thông tin và dữ liệu cá nhân năm 2014, và gần đây là Quy định bảo vệ dữ liệu chung của EU (GDPR).
Hiện nay, đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân, nhiều văn bản có quy định áp dụng đối với tổ chức, cá nhân Việt Nam. Điều này đặt ra yêu cầu đối với Nghị định bảo vệ dữ liệu cá nhân, bảo đảm hài hòa với thông lệ quốc tế nhưng cũng phải tạo môi trường kinh doanh bình đẳng, thượng tôn pháp luật tại Việt Nam.
Phát triển kinh tế xã hội, tạo nền tảng pháp lý cho hoạt động kinh doanh có liên quan tới dữ liệu cá nhân
Nước ta là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới. Số lượng người sử dụng Internet của Việt Nam đã đạt hơn 68.72 triệu người, tương đương 70.3% tổng dân số.
Dữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ chi tiết khác nhau. Việc thu thập dữ liệu cá nhân được tích hợp sâu trong từng sản phẩm, dịch vụ và khó có thể nhận biết, xác thực đúng sai và bảo đảm mục đích sử dụng như thông báo. Yêu cầu bảo vệ được nâng cao từ góc độ cá nhân tới vấn đề chủ quyền, an ninh quốc gia.
Cơ sở hạ tầng không gian mạng phát triển nhanh và ngày càng hoàn thiện, tạo điều kiện thuận lợi cho các ngành, nghề, dịch vụ kinh doanh có liên quan tới dữ liệu cá nhân phát triển.
Nước ta đang đẩy mạnh xây dựng Chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số với sự tham gia ngày càng sâu rộng của các lĩnh vực hành chính, y tế, hình sự, hộ tịch, quốc tịch, chứng thực, thương mại điện tử, giáo dục, tài chính, ngân hàng, thuế… Công nghệ thông tin, truyền thông, trí tuệ nhân tạo, internet vạn vật, điện toán đám mây, dữ liệu lớn, dữ liệu nhanh… được ứng dụng sâu rộng, tạo ra những giá trị to lớn xã hội.
Dữ liệu cá nhân từ vị trí chưa thực sự quan trọng, trở thành nguyên liệu chính cho hoạt động của các ngành, nghề, dịch vụ nêu trên và ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân.
Điều này đặt ra cho Chính phủ bài toán phải quản lý hiệu quả, tương đồng giữa sử dụng và bảo vệ dữ liệu cá nhân, ứng phó, hạn chế nguy cơ, xử lý vi phạm để giữ vững sự phát triển và giá trị do dữ liệu cá nhân tạo ra.
Dữ liệu cá nhân đang bị mua bán, lộ, mất tràn lan, nhiều hành vi vi phạm pháp luật thiếu quy định xử lý
Tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai[4].
Tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô[5] và dữ liệu cá nhân đã qua xử lý nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.
Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác.
Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán. Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết "bảo hành" và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua.
Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội[7], diễn đàn tin tặc. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.
Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp.
Một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; tán phát mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng (máy tính và thiết bị di động); tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân.
Chỉ trong 02 năm từ năm 2019 đến năm 2020, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới gần 1.300GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm[9].
Pháp luật bảo vệ dữ liệu cá nhân nước ta đã có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân, chưa có quy định về bảo vệ dữ liệu cá nhân.
Về chế tài hình sự: Chưa có chế tài hình sự về dữ liệu cá nhân. Vi phạm các quy định về thông tin cá nhân có thể bị xử phạt hình sự theo 02 tội danh tại Điều 159 và Điều 288 với án tù giam cao nhất là 07 năm theo quy định của Bộ Luật Hình sự 2015 (sửa đổi, bổ sung năm 2017).
Hầu hết các vụ việc buôn bán dữ liệu cá nhân đang được hoàn thiện theo hướng chứng minh 02 tội danh này. Tuy nhiên, do chưa quy định cụ thể về các yếu tố cấu thành trong hoạt động mua bán dữ liệu cá nhân, nhất là hoạt động có sự trung gian qua nhiều cá nhân, tổ chức nên khó chứng minh tội phạm.
Về chế tài dân sự: Chưa có chế tài dân sự về dữ liệu cá nhân. Quyền bảo vệ thông tin cá nhân là một quyền dân sự, được quy định trong Bộ luật Dân sự. Về chế tài hành chính: Chưa có chế tài hành chính về dữ liệu cá nhân. Các hành vi vi phạm, xâm hại đến thông tin cá nhân đã có nhưng nằm rải rác ở nhiều văn bản khác nhau.
Với thực trạng buôn bán, xử lý dữ liệu cá nhân tràn lan như hiện nay, việc không có chế tài xử lý hoặc chế tài xử lý không đủ mạnh, không đủ sức răn đe sẽ không giải quyết được tình hình.
Để đồng bộ, thống nhất và bảo đảm quy định của pháp luật về ban hành văn bản quy phạm pháp luật, một số nội dung mang tính căn bản cho công tác bảo vệ dữ liệu cá nhân không quy định tại Nghị định này, mà đề xuất bổ sung vào Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng.
Ngày 01/10/2020, Chính phủ đã có báo cáo số 442/BC-CP trình Quốc hội về kết quả rà soát văn bản quy phạm pháp luật thuộc các lĩnh vực quản lý nhà nước, đưa ra phương án giải quyết thực trạng trên là tiếp tục xây dựng Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng, bổ sung các vấn đề liên quan tới dữ liệu cá nhân vào Nghị định này (mục 9.2.3).
Nâng cao nhận thức, ý thức về xử lý dữ liệu cá nhân hiện nay
Nhận thức về bảo vệ thông tin cá nhân còn hạn chế, chưa phù hợp với tình hình thực tế, là nguyên nhân chính dẫn tới tình trạng lộ, lọt, chiếm đoạt thông tin cá nhân, buôn bán dữ liệu cá nhân.
Nhiều dữ liệu cá nhân nhạy cảm, quan trọng, như: sinh trắc học, tình trạng sức khỏe, tài chính, gia đình… được đăng tải công khai, trở thành nguồn để các phần mềm thu thập dữ liệu. Nhận thức của một số cán bộ, công chức, viên chức về cung cấp, quản lý hồ sơ cá nhân, dữ liệu cá nhân chưa đầy đủ, dẫn đến việc chỉ đạo, hướng dẫn, thực hiện nhiệm vụ lưu trữ ở một cơ quan, đơn vị chưa được quan tâm chú trọng đúng mức.
Có sự mất cân bằng về tính hai mặt của công nghệ thông tin, tâm lý sẵn sàng đánh đổi thông tin đời tư, thông tin cá nhân để lấy sự tiện ích về mặt công nghệ. Nhận thức, ý thức về bảo vệ dữ liệu cá nhân thấp không chỉ ảnh hưởng tới quyền và lợi ích của chủ thể dữ liệu, mà còn tác động trực tiếp tới an ninh, chủ quyền quốc gia.
Về lâu dài, không thể dự báo trước với những dữ liệu cá nhân được công khai sẽ tác động, ảnh hưởng thế nào đến chủ thể dữ liệu khi khả năng khai thác, phân tích, xử lý dữ liệu cá nhân ngày càng phát triển.
Như vậy:
(1) Việc ban hành Nghị định quy định về bảo vệ dữ liệu cá nhân là hết sức cần thiết nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân, mà trước hết là của Bên xử lý dữ liệu đối với việc xử lý dữ liệu cá nhân. Đồng thời, Nghị định là tiền đề quan trọng để triển khai, đúc rút và nghiên cứu, xây dựng thành Luật Bảo vệ dữ liệu cá nhân.
(2) Nghị định có một số nội dung thuộc tầm luật. Theo quy định của khoản 3 Điều 19 Luật Ban hành văn bản quy phạm pháp luật năm 2015: "Vấn đề cần thiết thuộc thẩm quyền của Quốc hội, Ủy ban thường vụ Quốc hội nhưng chưa đủ điều kiện xây dựng thành luật hoặc pháp lệnh để đáp ứng yêu cầu quản lý nhà nước, quản lý kinh, tế, quản lý xã hội. Trước khi ban hành nghị định này phải được sự đồng ý của Ủy ban thường vụ Quốc hội".
Mục đích ban hành Nghị định bảo vệ dữ liệu cá nhân
+ Cụ thể hóa tinh thần của Hiến pháp năm 2013, thể chế chủ trương, chính sách của Đảng, Nhà nước về công nhận, tôn trọng, bảo vệ dữ liệu cá nhân, bảo đảm quyền con người, quyền cơ bản của công dân và bảo vệ Tổ quốc.
+ Phù hợp với các quy định của pháp luật, rà soát, tạo nền tảng để xây dựng một hệ thống pháp luật hoàn chỉnh, đồng bộ về bảo vệ dữ liệu cá nhân.
+ Phù hợp với thực tiễn phát triển kinh tế xã hội, bảo đảm an ninh trật tự và công tác bảo vệ dữ liệu cá nhân của nước ta hiện nay.
+ Hài hòa với quy định, pháp luật, kinh nghiệm của thế giới.
+ Xác định lộ trình phù hợp thực hiện công tác bảo vệ dữ liệu cá nhân.
Nội dung chủ yếu: Nghị định 13/2023/NĐ-CP gồm 44 Điều, chia thành 04 chương; cụ thể:
Chương I. Những Quy định chung, gồm 08 điều (Điều 1 tới Điều 8), quy định về phạm vi điều chỉnh; đối tượng áp dụng; giải thích từ ngữ; nguyên tắc bảo vệ dữ liệu cá nhân; xử lý vi phạm quy định bảo vệ dữ liệu cá nhân; quản lý nhà nước về bảo vệ dữ liệu cá nhân; áp dụng Nghị định bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế; hợp tác quốc tế về bảo vệ dữ liệu cá nhân; hành vi bị nghiêm cấm.
Chương II. Xử lý dữ liệu cá nhân, gồm 04 mục, 20 điều (từ Điều 9 đến Điều 31), gồm: Mục 1 quy định về quyền và nghĩa vụ của chủ thể dữ liệu. Mục 2 quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân. Mục 3 quy định về đánh giá tác động và chuyển dữ liệu cá nhân ra nước ngoài. Mục 4 quy định về biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân.
Chương III. Trách nhiệm của cơ quan, tổ chức, cá nhân, gồm 11 điều (từ Điều 32 đến Điều 42), quy định về: Trách nhiệm của Bộ Công an, Bộ Thông tin và Truyền thông, Bộ Khoa học và Công nghệ, Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ Ba, tổ chức, cá nhân có liên quan.
Chương IV. Điều khoản thi hành, gồm 02 điều (từ Điều 43 đến Điều 44), quy định về: Hiệu lực thi hành; Trách nhiệm thi hành.