Bài viết này nằm trong số báo tháng Chín năm 2022 của Luật Khoa tạp chí, được phát hành trên ấn bản PDF đề ngày 1/9/2022.
Sau khi xuất hiện chóng vánh cuối năm 2018 rồi không thấy được ban hành, một dự thảo nghị định hướng dẫn Luật An ninh mạng nữa lại mới được Bộ Công an công bố, lần này quy định riêng về dữ liệu cá nhân.
Nghị định này không chỉ hướng dẫn Luật An ninh mạng mà còn cả Bộ luật Dân sự và Luật An ninh Quốc gia.
Xem toàn văn dự thảo nghị định theo link Google Drive ở đây. Bộ Công an đang lấy ý kiến góp ý dự thảo trong vòng hai tháng, từ ngày 9/2 đến ngày 9/4/2021.
Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân đang được lấy ý kiến góp ý thông qua cổng thông tin điện tử của Bộ Công an. Ảnh chụp màn hình.
Sau đây là 9 điều đáng chú ý trong dự thảo này.
1. Hai loại dữ liệu cá nhân
Dự thảo nghị định chia dữ liệu cá nhân ra làm hai loại: cơ bản và nhạy cảm.
Dữ liệu cá nhân cơ bản gồm có các thông tin nhân thân cơ bản như họ tên, ngày sinh, nơi sinh, địa chỉ, quốc tịch, dân tộc, hôn nhân, các loại mã số định danh. Nhưng lại có một loại dữ liệu cơ bản chưa rõ ràng: “dữ liệu phản ánh hoạt động hoặc lịch sử hoạt động trên không gian mạng”.
Dữ liệu cá nhân nhạy cảm gồm có: quan điểm chính trị, tôn giáo; sức khỏe, di truyền, giới tính, sinh trắc học; tài chính; tình dục; cư trú; quan hệ xã hội; dữ liệu khác.
2. Quyền của cá nhân với dữ liệu của mình
Nghị định quy định quyền của cá nhân khá rộng lớn, bao gồm:
Quyền cho phép hay không cho phép người khác thu thập, lưu trữ, sử dụng dữ liệu cá nhân của mình (gọi tắt là xử lý dữ liệu);
Nhận thông báo nếu có người khác xử lý dữ liệu cá nhân của mình (có thể là chính quyền, doanh nghiệp…);
Yêu cầu chấm dứt việc xử lý dữ liệu, khiếu nại về hành vi vi phạm;
Đòi bồi thường nếu có vi phạm;
Không bị tiết lộ dữ liệu cá nhân nhạy cảm hoặc dữ liệu cơ bản nhưng gây tổn hại cho chủ thể. Nghị định không nói rõ thế nào là “tiết lộ dữ liệu” và có tiết lộ cho ai ngoài trường hợp tiết lộ cho công chúng hay không (như quy định trong Điều 6).
3. Các trường hợp dữ liệu bị xử lý mà không cần chủ thể dữ liệu đồng ý
Theo Điều 10, tất cả các loại dữ liệu cá nhân, dù là cơ bản hay nhạy cảm, đều có thể bị chính quyền, tổ chức khác thu thập, lưu trữ, sử dụng mà không cần chủ thể đồng ý trong một số trường hợp sau:
Vì lợi ích an ninh quốc gia, trật tự an toàn xã hội;
Trường hợp khẩn cấp về tự do của chủ thể; tính mạng, sức khỏe của chủ thể lẫn cộng đồng;
Phục vụ điều tra, xử lý hành vi vi phạm pháp luật;
Nghiên cứu khoa học, thống kê (sau khi đã khử thông tin nhận dạng cá nhân);
Theo quy định của pháp luật và các điều ước quốc tế.
Khoản cuối cùng, “theo quy định của pháp luật”, là lỗ hổng để ngỏ khả năng diễn giải gần như không giới hạn cho các cơ quan nhà nước khác như các bộ, cơ quan ngang bộ (thông qua các thông tư, quyết định).
4. Người có dữ liệu cá nhân bị xử lý có thể không được thông báo trong một số trường hợp
Thông thường, chủ thể dữ liệu sẽ được thông báo khi có cơ quan, tổ chức thu thập, lưu trữ, sử dụng dữ liệu cá nhân của mình.
Tuy vậy, nghị định dẫn ra ba trường hợp ngoại lệ, và đáng chú ý hơn cả là trường hợp thứ hai (Điểm b, Khoản 3, Điều 11): “Nếu việc xử lý dữ liệu cá nhân được quy định bởi pháp luật, thỏa thuận quốc tế, điều ước quốc tế”.
Đó là một lỗ hổng nữa được cài vào nghị định trong một vấn đề quan trọng liên quan đến tính minh bạch của hoạt động xử lý dữ liệu.
5. Lập Ủy ban Bảo vệ Dữ liệu Cá nhân trực thuộc Chính phủ
Một cơ quan mới sẽ được lập ra theo nghị định này, đó là Ủy ban Bảo vệ Dữ liệu Cá nhân (Điều 23), trực thuộc Chính phủ.
Ủy ban này có không quá sáu người, do Bộ Công an bổ nhiệm sau khi được Chính phủ đồng ý.
Chủ tịch Ủy ban là Cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an. Trụ sở Ủy ban cũng được đặt tại Cục này.
Cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao hiện là Thiếu tướng Nguyễn Minh Chính (phải). Ông được bổ nhiệm năm 2018. Ảnh: VGP.
6. Muốn xử lý dữ liệu nhạy cảm thì phải đăng ký với chính quyền
Điều 20 đưa ra quy định bắt buộc phải đăng ký nếu tiến hành thu thập, lưu trữ, sử dụng dữ liệu cá nhân nhạy cảm. Cơ quan cấp phép là Ủy ban Bảo vệ Dữ liệu Cá nhân.
Tuy vậy, Điều 20 loại trừ gần như hầu hết hoạt động xử lý dữ liệu nhạy cảm của các cơ quan nhà nước liên quan đến xử lý vi phạm pháp luật, y tế, an sinh xã hội, nghiên cứu khoa học. Nghĩa là họ không phải đăng ký. Điều khoản này, một lần nữa, để ngỏ khả năng mở rộng các trường hợp không phải đăng ký bằng cách thòng quy định “các hoạt động khác theo quy định của pháp luật”.
Loại trừ các cơ quan nhà nước xong thì đối tượng còn lại phải đăng ký là các doanh nghiệp, tổ chức phi chính phủ cả trong lẫn ngoài nước. Như vậy, Zalo, Tiktok, Facebook, Google, ngân hàng, bệnh viện… sẽ phải đăng ký.
7. Muốn chuyển dữ liệu cá nhân ra nước ngoài thì phải đăng ký
Điều này trực tiếp nhắm tới các doanh nghiệp nước ngoài có cung cấp dịch vụ cho người dùng, khách hàng Việt Nam; hoặc các công ty Việt Nam cung cấp dịch vụ ra nước ngoài; đặc biệt là các công ty công nghệ.
Bên trong một trung tâm dữ liệu của Facebook tại bang Iowa, Mỹ. Công ty công nghệ này không có trung tâm dữ liệu tại Việt Nam. Ảnh: AFP/Getty Images.
Điều 21 của nghị định nêu rõ bốn điều kiện để được phép chuyển dữ liệu cá nhân của công dân Việt Nam qua biên giới:
Chủ thể dữ liệu đồng ý;
Lưu trữ dữ liệu gốc ở Việt Nam;
Có văn bản chứng minh nơi chuyển dữ liệu tới có quy định bảo vệ dữ liệu cá nhân ở mức độ bằng hoặc hơn nghị định này;
Có văn bản đồng ý của Ủy ban Bảo vệ Dữ liệu Cá nhân.
Yêu cầu thứ hai và ba nêu trên có thể được miễn nếu bên xử lý có văn bản cam kết bảo vệ dữ liệu.
Bên chuyển dữ liệu phải xây dựng hệ thống lưu trữ lịch sử chuyển dữ liệu trong thời gian ba năm, và ngừng chuyển dữ liệu nếu xảy ra sự cố lạm dụng, lộ dữ liệu, hoặc không còn đủ khả năng bảo vệ dữ liệu, hoặc chủ thể dữ liệu không thể hoặc khó bảo vệ quyền lợi hợp pháp của mình.
Ủy ban Bảo vệ Dữ liệu Cá nhân sẽ định kỳ đánh giá đơn vị chuyển dữ liệu mỗi năm một lần.
Việc yêu cầu lưu dữ liệu gốc ở Việt Nam sẽ khiến các công ty mạng xã hội, dịch vụ email, dịch vụ thương mại điện tử nước ngoài gặp khó khăn. Theo chuyên gia Dương Ngọc Thái, nhiều khả năng Facebook không lưu dữ liệu riêng tư của người dùng ở Việt Nam mà chỉ lưu những nội dung ai cũng xem được để giúp cho tốc độ truy cập của người dùng nhanh hơn.
8. Mức xử phạt hành chính có thể lên tới 5% tổng doanh thu tại Việt Nam
Nếu vi phạm các quy định của nghị định này, bên xử lý dữ liệu có thể bị phạt tiền từ 50 triệu đồng đến 5% tổng doanh thu tại thị trường Việt Nam.
Đồng thời, họ có thể bị đình chỉ xử lý dữ liệu từ 1 đến 3 tháng, bị tước quyền sử dụng văn bản đồng ý của Ủy ban Bảo vệ Dữ liệu Cá nhân.
Nếu không được thu thập, lưu trữ, sử dụng dữ liệu cá nhân thì các doanh nghiệp Internet gần như không thể hoạt động bình thường như hiện nay họ đang hoạt động.
Nghị định không nói rõ cấm xử lý dữ liệu bằng cách nào, nhưng Luật An ninh mạng có các điều khoản yêu cầu các công ty viễn thông chặn các dịch vụ và nguồn thông tin gây nguy hiểm cho xã hội.
