Nhiều văn bản nhưng chưa thống nhất

Theo thống kê của Bộ Công an, hiện có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 4 Bộ luật; 39 Luật, 1 Pháp lệnh; 19 Nghị định; 4 Thông tư/Thông tư liên tịch; 1 Quyết định của Bộ trưởng. Tuy nhiên, dù có tới 69 văn bản nhưng tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân. Ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Tuy nhiên, đây mới chỉ là văn bản Nghị định, chưa phải văn bản Luật nên cần thống nhất thực hiện trong thực tiễn.



Cùng với các văn bản trên, có hơn 10 khái niệm thuật ngữ liên quan tới thông tin cá nhân được diễn giải theo những cách khác nhau, gồm: “dữ liệu cá nhân”, “thông tin cá nhân”, “thông tin riêng”, “thông tin riêng tư”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin bí mật đời tư”; “thông tin về đời sống riêng tư”, “bí mật gia đình”, “quyền bất khả xâm phạm về đời sống riêng tư”; “cơ sở dữ liệu điện tử”; “thông tin của người tiêu dùng”. Riêng về khái niệm “thông tin cá nhân”, khái niệm này được coi là tương đồng và gần gũi nhất với khái niệm “dữ liệu cá nhân”.

Cụm từ “thông tin cá nhân” xuất hiện ở hơn 300 văn bản quy phạm pháp luật, nhưng chỉ có 7 văn bản pháp luật có định nghĩa/diễn giải thế nào là thông tin cá nhân. Số văn bản pháp luật còn lại chỉ đề cập đến thông tin cá nhân trong nội dung các quy định, không đưa ra giải thích hay dẫn chiếu giải thích đến văn bản pháp luật khác.

Trong đó, Hiến pháp năm 2013 có quy định về quyền riêng tư, bảo vệ dữ liệu cá nhân. Kể từ Hiến pháp năm 2013, cụm từ “thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình” được sử dụng tại Bộ luật Dân sự năm 2015, Luật Tiếp cận thông tin, Luật Trẻ em. Tuy nhiên, trong tất cả các văn bản nêu trên, chưa văn bản nào đưa ra được định nghĩa cho các khái niệm này. Bên cạnh đó, khoản 2 Điều 14 Hiến pháp năm 2013 quy định: “Quyền con người, quyền công dân chỉ có thể bị hạn chế theo quy định của luật trong trường hợp cần thiết vì lý do quốc phòng, an ninh quốc gia, trật tự, an ninh xã hội, đạo đức xã hội, súc khỏe cộng đồng”.

Cũng theo Bộ Công an, pháp luật bảo vệ dữ liệu cá nhân nước ta đã có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân, chưa có quy định về bảo vệ dữ liệu cá nhân. Với thực trạng buôn bán, xử lý dữ liệu cá nhân tràn lan như hiện nay, việc không có chế tài xử lý hoặc chế tài xử lý không đủ mạnh, không đủ sức răn đe sẽ không giải quyết được tình hình. Luật Bảo vệ dữ liệu cá nhân sẽ quy phạm đầy đủ các nội dung bảo vệ dữ liệu cá nhân, các hành vi vi phạm quy định sẽ được căn cứ vào Luật để đề xuất các hình thức, biện pháp xử lý phù hợp.

Việc ban hành Luật Bảo vệ dữ liệu cá nhân cũng đảm bảo hài hòa với thông lệ, quy định quốc tế về bảo vệ dữ liệu cá nhân. Đồng thời, góp phần phát triển kinh tế xã hội, tạo nền tảng pháp lý cho hoạt động kinh doanh có liên quan tới dữ liệu cá nhân. Đặc biệt, nâng cao nhận thức, ý thức về xử lý dữ liệu cá nhân hiện nay.

Ủng hộ việc xây dựng, ban hành Luật Bảo vệ dữ liệu cá nhân

Dưới góc độ pháp lý, luật sư Hoàng Diệp, Luật sư Thành viên Công ty Luật Di Linh cho biết, hiện nay, bảo vệ dữ liệu cá nhân tại Việt Nam được quy định và điều chỉnh tại nhiều các văn bản quy phạm pháp luật, từ Hiến pháp, bộ luật, luật, đến pháp lệnh, các nghị định, thông tư, thông tư liên tịch và quyết định của Bộ trưởng. Tuy nhiên, khi vấn đề bảo vệ dữ liệu cá nhân được quy định rải rác tại nhiều văn bản khác nhau, khó tránh khỏi tình trạng chồng chéo, không thống nhất giữa các quy định, gây khó khăn khi áp dụng quy định pháp luật vào thực tiễn.

Gần đây nhất, vào ngày 17/4/2023, Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (Nghị định 13) đã chính thức được ban hành. Có thể nói, đây là một bước tiến lớn, hướng tới việc tạo ra một khung pháp lý thống nhất, hoàn chỉnh để điều chỉnh vấn để bảo vệ dữ liệu cá nhân. Song, là một văn bản nghị định, phạm vi áp dụng của văn bản này chưa thể bao quát hết các lĩnh vực, quan hệ trong đời sống, xã hội. Đồng thời, theo nguyên tắc áp dụng văn bản quy phạm pháp luật, Nghị định 13 cũng không đảm bảo được việc loại bỏ, thay thế hay tương thích với các quy định có liên quan tồn tại tại các văn bản luật hiện hành.

Thêm nữa, Điều 17 Nghị định 13 đã quy định một số trường hợp xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu. Tuy nhiên, quyền riêng tư và quyền bảo vệ dữ liệu cá nhân là một trong các quyền con người, quyền công dân được quy định tại Hiến pháp năm 2013. Theo khoản 2 Điều 14 Hiến pháp hiện hành, trong trường hợp cần thiết theo quy định, quyền con người, quyền công dân có thể bị hạn chế, nhưng việc hạn chế này phải tuân theo quy định của luật. Như vậy, về mặt pháp lý, bối cảnh hiện tại đặt ra yêu cầu cần phải có Luật Bảo vệ dữ liệu cá nhân, một mặt để tạo ra hành lang pháp lý thống nhất, hoàn thiện về bảo vệ dữ liệu cá nhân, mặt khác, đồng thời để tạo cơ sở pháp lý phù hợp trong các trường hợp cần thiết khi hạn chế quyền con người, quyền công dân.

Theo ông Ngô Tuấn Anh, Tổng Giám đốc Công ty cổ phần An ninh dữ liệu Việt Nam, việc xây dựng, ban hành Luật Bảo vệ dữ liệu cá nhân sẽ là một bước mới, mốc dấu quan trọng trong vấn đề bảo vệ dữ liệu ở Việt Nam nhất là trong bối cảnh việc lộ lọt, mua bán, lợi dụng thông tin cá nhân để lừa đảo diễn ra tràn lan nhưng các chế tài xử lý còn đang thiếu, yếu về hiệu lực, chưa đủ sức răn đe, xử lý thích đáng đối với hành vi vi phạm.

Đây sẽ là căn cứ và là hành lang pháp lý hoàn thiện đầy đủ, thống nhất về vấn đề bảo vệ dữ liệu cá nhân; xác định rõ và tăng cao trách nhiệm của tổ chức, doanh nghiệp, cá nhân trong bảo vệ dữ liệu. Đồng thời có thể bổ sung các chế tài mạnh để ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, bảo đảm quyền và lợi ích hợp pháp của người dùng khi tham gia vào không gian mạng.

Cũng theo luật sư Hoàng Diệp, trong bối cảnh dữ liệu cá nhân đang trở thành nguồn tài nguyên quý giá cho các hoạt động không chỉ của các tổ chức, doanh nghiệp, cá nhân, mà của cả các cơ quan nhà nước trong quản lý nhà nước, Luật Bảo vệ dữ liệu cá nhân được mong đợi sẽ chuẩn hóa các quy trình, thủ tục thu thập, lưu trữ, xử lý, chia sẻ và bảo vệ dữ liệu cá nhân.

Bên cạnh đó, dù đã có các chế tài hình sự, dân sự và hành chính khác nhau đối với các hành vi vi phạm liên quan đến dữ liệu cá nhân, các chế tài này lại được đánh giá là thiếu và yếu về hiệu lực, cũng như chưa đủ tính răn đe. Với tình trạng mua bán, lộ, lọt dữ liệu cá nhân diễn ra phức tạp và ngày càng phổ biến như hiện nay, cần có một văn bản luật có thể bổ sung, thống nhất nhằm mang lại các chế tài đủ mạnh mẽ, đủ sức răn đe khi xử lý các hành vi vi phạm, góp phần nâng cao nhận thức và trách nhiệm của cá nhân, cơ quan, tổ chức trong công tác bảo vệ dữ liệu cá nhân.

Luật Bảo vệ dữ liệu cá nhân được kỳ vọng là một văn bản thuộc tầm luật có quy định về cơ quan chuyên trách bảo vệ dữ liệu cá nhân, cũng như là văn bản quy định cụ thể về lực lượng chuyên trách bảo vệ dữ liệu cá nhân mà hiện nay mới chỉ được nêu tương đối khái quát ở Nghị định 13, từ đó đảm bảo có một cơ quan chuyên trách về bảo vệ dữ liệu không chỉ có thể đưa ra các yêu cầu tối thiểu về an ninh bảo mật, công nghệ, quy trình, mà đó còn là một cơ quan nhà nước có chức năng thực hiện việc giám sát tuân thủ.