Chiều 5-5, tại kỳ họp thứ 9, Quốc hội khóa XV, Phó Thủ tướng Lê Thành Long đã thay mặt Chính phủ đọc tờ trình dự thảo Luật Bảo vệ dữ liệu cá nhân.
Phó Thủ tướng cho biết, mục đích của việc xây dựng Luật Bảo vệ dữ liệu cá nhân là nhằm hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân, tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân trong nước tiếp cận trình độ quốc tế, khu vực.
Đồng thời, đẩy mạnh sử dụng dữ liệu cá nhân đúng pháp luật phục vụ phát triển kinh tế - xã hội.
Nhiều trường hợp dữ liệu cá nhân bị bán cho bên thứ 3
Dự thảo Luật gồm 7 Chương, 68 Điều, gồm 7 nội dung chính và có sáu nhóm hành vi bị nghiêm cấm. Cụ thể, xử lý dữ liệu cá nhân trái với quy định về bảo vệ dữ liệu cá nhân; tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước, gây ảnh hưởng tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan chức năng; lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật. Thu thập, xử lý, chuyển giao dữ liệu cá nhân trái quy định; mua, bán dữ liệu cá nhân và cố ý chiếm đoạt, làm lộ, mất dữ liệu cá nhân.
Theo Phó Thủ tướng Lê Thành Long, Nghị định 13/2023 quy định dữ liệu cá nhân không được mua bán dưới mọi hình thức. Tuy nhiên trên thực tế nhiều hoạt động thu thập, xử lý dữ liệu cá nhân diễn ra mà chưa có sự đồng ý của chủ thể dữ liệu. Cạnh đó, nhiều hành vi chưa được xử lý vì thiếu quy định.
Trong bối cảnh chuyển đổi số diễn ra sâu rộng trên hầu hết các lĩnh vực, dữ liệu cá nhân được chuyển lên môi trường điện tử thường xuyên. Điều này dẫn đến tình trạng lộ, mất dữ liệu cá nhân diễn ra phổ biến trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.
Một số vụ việc điển hình có thể kể đến như Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như visa, thẻ tín dụng của khách hàng…
Một số doanh nghiệp không có thỏa thuận xử lý dữ liệu cá nhân chặt chẽ với đối tác, để đối tác chuyển giao, bán cho các đối tác khác. Có trường hợp doanh nghiệp chủ động thu thập, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để kinh doanh, buôn bán.
Hay như việc rao bán dữ liệu cá nhân số lượng lớn, có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Thậm chí, một số loại tội phạm đã tấn công, xâm nhập hệ thống thông tin để chiếm đoạt dữ liệu cá nhân, tán phát mã độc thu thập dữ liệu cá nhân trên môi trường mạng.
“Bộ Công an phát hiện, đấu tranh, xử lý một số đường dây chiếm đoạt, mua bán dữ liệu cá nhân quy mô lớn tại Việt Nam, lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm” – Phó Thủ tướng thông tin và dẫn chứng năm 2024, tấn công mã hóa dữ liệu kết hợp đánh cắp thông tin cá nhân lên đến 10 terabyte, gây tổng thiệt hại ước tính lên đến 11 triệu USD; 14,5 triệu tài khoản ở Việt Nam bị rò rỉ, chiếm 12% toàn cầu..
"Thực trạng trên đặt ra yêu cầu cấp bách trong hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân mang tính thống nhất, đồng bộ với công tác bảo vệ dữ liệu cá nhân và có các quy định rõ ràng về việc bảo đảm các quyền của chủ thể dữ liệu" - Phó Thủ tướng nhấn mạnh.
Đề xuất bổ sung nhiều hành vi cấm
Thẩm tra nội dung này, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới, cho biết có một số ý kiến đề nghị làm rõ định nghĩa “mua, bán dữ liệu cá nhân” để nhận diện chính xác hoạt động mua, bán dữ liệu cá nhân thì mới cấm cho phù hợp. Cũng có ý kiến đề nghị loại trừ hoạt động chuyển giao dữ liệu cá nhân, cung cấp, chia sẽ dữ liệu cá nhân trong nội bộ các tổ chức, doanh nghiệp để xử lý, sử dụng.
Một số ý kiến cho rằng, dữ liệu cá nhân là một loại hàng hóa đặc biệt, quyền của chủ thể dữ liệu cá nhân được giao dịch. Nếu cấm hoàn toàn mua, bán dữ liệu cá nhân có thể sẽ làm ảnh hưởng đến hoạt động, sản xuất, kinh doanh của các tổ chức, doanh nghiệp.
Do vậy, cần phải quy định theo hướng thông thoáng hơn để khơi thông nguồn lực, khuyến khích đổi mới sáng tạo, không cản trở thị trường dữ liệu. Việc này, theo cơ quan thẩm tra nên được thực hiện thông qua việc quản lý minh bạch, giám sát chặt chẽ, áp dụng công nghệ bảo vệ tiên tiến, đảm bảo quyền lợi chủ thể dữ liệu và lợi ích hợp pháp của các tổ chức, doanh nghiệp.
Ủy ban Quốc phòng, An ninh và Đối ngoại cũng đề nghị chỉnh sửa quy định này thành cấm “mua, bán dữ liệu cá nhân trái pháp luật”. Đối với các hành vi mua, bán quyền dữ liệu cá nhân có thể cho phép khi được sự đồng ý của chủ thể dữ liệu cá nhân, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh….
Cũng theo cơ quan thẩm tra, có ý kiến đại biểu đề nghị bổ sung một số hành vi bị nghiêm cấm. Chẳng hạn, cấm doanh nghiệp buộc người dùng cung cấp dữ liệu cá nhân như điều kiện bắt buộc để sử dụng dịch vụ nhằm hạn chế trường hợp doanh nghiệp lạm dụng dữ liệu như họ tên, định vị vị trí, sinh trắc học...
Chủ động thu thập, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán; rao bán dữ liệu cá nhân số lượng lớn, có hệ thống, có tổ chức và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua… cũng là những hành vi nghiêm cấm được đề xuất bổ sung.
