Sáng 18-4, Trường ĐH Luật TP.HCM (ULAW) tổ chức Hội thảo quốc tế Bảo vệ dữ liệu cá nhân trong môi trường số từ khía cạnh pháp lý.
Phát biểu khai mạc, GS-TS Đỗ Văn Đại, Phó Hiệu trưởng ULAW, cho rằng bảo vệ dữ liệu cá nhân không còn là vấn đề riêng của lĩnh vực công nghệ mà đã trở thành một yêu cầu cấp thiết của hệ thống pháp luật hiện đại. Dữ liệu cá nhân không phải là vấn đề mới và đã có quy định nhưng làm thế nào để bảo vệ hiệu quả dữ liệu cá nhân là vấn đề cần hướng tới.
Kiến nghị sửa đổi Bộ luật Hình sự
Tại hội thảo, TS Trần Thanh Thảo, Trường ĐH Luật TP.HCM, cho biết danh mục dữ liệu cá nhân được quy định tại Nghị định 356/2025, hướng dẫn Luật Bảo vệ dữ liệu cá nhân.
Dữ liệu cá nhân cơ bản gồm họ tên, ngày tháng năm sinh, địa chỉ, hình ảnh của cá nhân, số điện thoại… Dữ liệu cá nhân nhạy cảm là thông tin về đời sống riêng tư; bí mật cá nhân; dữ liệu sinh trắc học; tên đăng nhập, mật khẩu truy cập tài khoản ngân hàng, thông tin thẻ ngân hàng...
Có một số tội phạm xâm phạm đến dữ liệu cá nhân. Có thể kể đến là Điều 288 BLHS - Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông.
Đó là hành vi đưa lên mạng máy tính, mạng viễn thông những thông tin trái với quy định của pháp luật. Hành vi mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin riêng hợp pháp của cá nhân khác trên mạng máy tính, mạng viễn thông mà không được phép của chủ sở hữu thông tin đó.
Trên thực tế, TS Thanh Thảo chia sẻ về trường hợp một người đàn ông chụp lén cô gái hàng xóm đang khỏa thân và đưa lên mạng xã hội, rất nhiều người xem. Thực tế tòa xử tội danh nêu trên vì hình ảnh khỏa thân là của cá nhân. Ngoài ra, đó có thể là những thông tin riêng của cá nhân như họ tên, nghề nghiệp, tuổi…
Tuy nhiên, hành vi chỉ cấu thành tội danh theo Điều 288 BLHS khi người phạm tội thu lợi bất chính từ 50 triệu đồng trở lên; gây thiệt hại cho người khác từ 100 triệu đồng trở lên; gây dư luận xấu, làm giảm uy tín, danh dự, nhân phẩm của cá nhân. Hình phạt có thể là cảnh cáo, phạt tiền, phạt cải tạo không giam giữ hoặc bị phạt tù đến 7 năm.
Một tội nữa đó là Điều 291 BLHS - Tội thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng. Đối tượng bị tác động của tội này là các thông tin liên quan đến tài khoản ngân hàng, đây là những dữ liệu cá nhân nhạy cảm.
Từ việc phân tích về các điều luật và kinh nghiệm quốc tế, TS Thanh Thảo đã đưa ra một số kiến nghị đối với Việt Nam.
Thứ nhất, cần xây dựng các tội phạm vi phạm quy định về bảo vệ dữ liệu cá nhân trong BLHS mà quyền được bảo vệ về dữ liệu cá nhân được nhìn nhận là khách thể độc lập trong BLHS.
Thứ hai, các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân trong BLHS bao quát toàn bộ vòng đời dữ liệu, bảo đảm kiểm soát rủi ro pháp lý ở từng khâu từ thu thập – ghi nhận – lưu trữ – xử lý – sử dụng – chia sẻ/công bố - chuyển giao (kể cả xuyên biên giới) – đến xóa, hủy hoặc khử nhận dạng dữ liệu cá nhân.
Thứ ba, hạn chế quy định hậu quả là dấu hiệu bắt buộc trong cấu thành các tội phạm về bảo vệ dữ liệu cá nhân trong BLHS, cần căn cứ tính chất nguy hiểm cho xã hội của hành vi.
Thứ tư, mở rộng phạm vi truy cứu TNHS đối với pháp nhân trong BLHS.
Nên có nghị định riêng về bảo vệ dữ liệu cá nhân?
Tại hội thảo, TS Trần Thị Thu Hà, Trường ĐH Luật TP.HCM, cho biết Việt Nam đã ban hành Luật Bảo vệ dữ liệu cá nhân năm 2025 cùng các văn bản hướng dẫn, nhưng vẫn thiếu một nghị định chuyên biệt về xử phạt vi phạm hành chính trong lĩnh vực này.
Các quy định hiện hành còn phân tán ở nhiều nghị định khác nhau, chủ yếu tiếp cận dưới khái niệm “thông tin cá nhân”, chưa phản ánh đầy đủ phạm vi của “dữ liệu cá nhân”. Đồng thời, các quy định về mức xử phạt tuy đã được xác định ở mức cao nhưng chưa được cụ thể hóa, gây khó khăn trong áp dụng và làm giảm hiệu quả thực thi.
Trên cơ sở đó, TS Thu Hà nhấn mạnh sự cần thiết ban hành một nghị định riêng nhằm thiết lập khuôn khổ pháp lý thống nhất, minh bạch và khả thi hơn. Nghị định này cần xác định rõ các hành vi vi phạm, như dữ liệu cá nhân nhạy cảm, quyền của chủ thể dữ liệu, chuyển dữ liệu ra nước ngoài và trách nhiệm của các bên liên quan.
"Đồng thời, cần đa dạng hóa hình thức xử phạt, không chỉ dừng ở phạt tiền mà còn bổ sung các biện pháp như tước giấy phép, đình chỉ hoạt động, tịch thu tang vật hoặc trục xuất, đồng thời tăng mức phạt đối với các hành vi nghiêm trọng. Bên cạnh đó, cần mở rộng các biện pháp khắc phục hậu quả như buộc xóa, hủy dữ liệu và nộp lại khoản lợi bất hợp pháp, qua đó nâng cao hiệu quả bảo vệ dữ liệu cá nhân trong bối cảnh chuyển đổi số", TS Thu Hà nói.
Danh mục dữ liệu cá nhân nhạy cảm
Dữ liệu cá nhân nhạy cảm bao gồm:
- Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;
- Quan điểm về chính trị, tôn giáo, tín ngưỡng;
- Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình;
- Tình trạng sức khỏe;
- Dữ liệu sinh trắc học, đặc điểm di truyền;
- Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;
- Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
- Vị trí của cá nhân được xác định qua dịch vụ định vị;
- Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;
- Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;
- Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;
- Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.
(Theo Điều 4 Nghị định 356/2025, hướng dẫn Luật Bảo vệ dữ liệu cá nhân năm 2025)
.webp)
