Chiều ngày 5/5, Quốc hội đã nghe các tờ trình, báo cáo về dự án Luật Bảo vệ dữ liệu cá nhân.

Không quy định hình thức "tiền kiểm"

Theo tờ trình của Chính phủ, dự thhảo Luật gồm 7 Chương, 68 Điều; quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan, với 7 nội dung chính.

Trong đó, thống nhất thuật ngữ và xây dựng một số khái niệm quan trọng về bảo vệ dữ liệu cá nhân, như: dữ liệu cá nhân; bảo vệ dữ liệu cá nhân; làm rõ khái niệm và nội hàm của dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm, dữ liệu phi cá nhân, khử nhận dạng dữ liệu cá nhân; xác định chính xác, đầy đủ những hoạt động xử lý dữ liệu cá nhân; vai trò của các bên trong hoạt động xử lý.

Doanh nghiệp vi phạm về bảo vệ dữ liệu cá nhân có thể bị phạt từ 1 - 5% doanh thu
Các đại biểu Quốc hội tham gia dự phiên họp chiều 5/5.

Dự thảo xây dựng 7 nguyên tắc bảo vệ dữ liệu cá nhân và quy định 11 quyền và nghĩa vụ của chủ thể dữ liệu; 3 nghĩa vụ của chủ thể dữ liệu. Dự thảo cũng quy định về điều kiện bảo vệ dữ liệu cá nhân đối với các tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân; tổ chức chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân; dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân; dịch vụ tổ chức bảo vệ dữ liệu cá nhân.

Để phù hợp với sự phát triển của khoa học công nghệ, các loại hình doanh nghiệp số hiện nay, dự thảo không quy định hình thức “tiền kiểm” (đăng ký) mà thực hiện “hậu kiểm” (kiểm tra, đánh giá) đối với việc xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân qua biên giới.

Theo đó, dự thảo Luật nghiên cứu áp dụng mô hình cho phép tổ chức, doanh nghiệp tự chủ trong công tác xử lý dữ liệu cá nhân bằng cách tiến hành và lưu giữ hồ sơ có liên quan. Bộ Công an tiến hành kiểm tra sự phù hợp với hồ sơ và bảo đảm quy định của Luật Bảo vệ dữ liệu cá nhân.

Về quản lý nhà nước, Bộ Công an là cơ quan đầu mối chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về dữ liệu cá nhân, trừ phạm vi của Bộ Quốc phòng.

Thẩm tra dự án Luật, Ủy ban Quốc phòng, an ninh và đối ngoại nhất trí với sự cần thiết ban hành Luật. Theo Ủy ban, việc xây dựng, ban hành Luật này là phù hợp với chủ trương, đường lối, quan điểm chỉ đạo của Đảng về chuyển đổi số quốc gia, phát triển kinh tế số, xây dựng xã hội số, đáp ứng yêu cầu hội nhập quốc tế, góp phần tạo đà đưa đất nước bước vào kỷ nguyên vươn mình của dân tộc.

Cân nhắc việc cấm mua bán dữ liệu cá nhân

Về các nội dung cụ thể trong dự thảo, một trong những vấn đề cơ quan thẩm tra nêu ra là đề nghị cân nhắc quy định về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân tại khoản 2, Điều 4. Theo đó, “áp dụng mức xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân”.

Doanh nghiệp vi phạm về bảo vệ dữ liệu cá nhân có thể bị phạt từ 1 - 5% doanh thu
Chủ nhiệm Ủy ban Quốc phòng, an ninh và đối ngoại Lê Tấn Tới trình bày báo cáo.
Theo một số ý kiến, quy định phạt theo doanh thu năm liền trước không phù hợp với tổ chức, doanh nghiệp mới thành lập và trường hợp tổ chức, doanh nghiệp không có doanh thu hoặc có doanh thu mà không có lợi nhuận. một số ý kiến đề xuất phân loại các loại hành vi vi phạm để có quy định mức xử phạt phù hợp.

Bởi, một số ý kiến cho rằng, mức xử phạt hành chính như vậy là không khả thi và quá nặng đối với tổ chức, doanh nghiệp. Một số ý kiến khác đánh giá, quy định này không thống nhất với quan điểm xử phạt vi phạm hành chính hiện nay là: “Việc xử phạt vi phạm hành chính phải căn cứ vào tính chất, mức độ, hậu quả vi phạm, đối tượng vi phạm và tình tiết giảm nhẹ, tình tiết tăng nặng”.

Ngoài ra, một số ý kiến đề xuất phân loại các loại hành vi vi phạm để có quy định mức xử phạt phù hợp. Theo đó: áp dụng mức xử phạt hành chính đến 5% doanh thu đối với hành vi vi phạm ảnh hưởng đến sự phát triển của nền kinh tế, quốc phòng, an ninh, sức khỏe cộng đồng hoặc hành vi vi phạm do lỗi cố ý làm lộ, lọt dữ liệu cá nhân quy mô lớn, gây hậu quả đặc biệt nghiêm trọng; áp dụng mức xử phạt hành chính theo quy định của pháp luật hiện hành (không quá 2 tỷ đồng) đối với các hành vi vi phạm còn lại.

Đồng thời, cân nhắc miễn trừ hoặc giảm mức xử phạt tiền đối với tổ chức, doanh nghiệp khi đã áp dụng đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định của Luật này hoặc đã kịp thời khắc phục hậu quả.

Đối với quy định về hành vi bị nghiêm cấm, một số ý kiến cho rằng, nếu cấm hoàn toàn mua, bán dữ liệu cá nhân có thể sẽ làm ảnh hưởng đến hoạt động, sản xuất, kinh doanh của các tổ chức, doanh nghiệp, nên cần phải quy định theo hướng thông thoáng hơn để khơi thông nguồn lực, khuyến khích đổi mới sáng tạo, không cản trở thị trường dữ liệu. Do đó, đề nghị chỉnh sửa quy định này thành cấm “mua, bán dữ liệu cá nhân trái pháp luật”.

Theo chương trình dự kiến, Quốc hội sẽ thảo luận về dự án Luật này tại tổ ngày 12/5, tại hội trường ngày 24/5 và biểu quyết thông qua (nếu đủ điều kiện) vào ngày 23/6.

Hạn chế lạm dụng dữ liệu cá nhân không cần thiết

Một số ý kiến đề nghị bổ sung các hành vi bị nghiêm cấm: cấm doanh nghiệp buộc người dùng cung cấp dữ liệu cá nhân như điều kiện bắt buộc để sử dụng dịch vụ, trừ dữ liệu tối thiểu cần thiết để vận hành (trừ trường hợp bắt buộc theo quy định của pháp luật) để hạn chế trường hợp doanh nghiệp lạm dụng dữ liệu (họ tên, định vị vị trí, sinh trắc học...) không cần thiết.