Trong thời đại cách mạng công nghệ 4.0, dữ liệu cá nhân đã trở thành những tài sản có thể trao đổi và ngày càng có giá trị ở nhiều lĩnh vực khác nhau như thương mại điện tử, an ninh, y tế và giáo dục. Việt Nam nằm trong nhóm nước có lượng người dùng Internet lớn nhất thế giới, vì vậy đòi hỏi sự ra đời một khung pháp lý mới bảo vệ dữ liệu người dùng phù hợp hơn với quy chuẩn quốc tế. Tháng 4/2019, Bộ Công an đã bắt tay xây dựng Dự thảo Nghị định về Bảo vệ dữ liệu cá nhân, nhằm bổ sung và làm rõ Luật An ninh mạng (“Dự thảo Nghị định”)

Ngày 27/12/2019, Bộ Công an đã công bố bản Dự thảo Nghị định đầu tiên. Bản Dự thảo Nghị định này gồm 06 chương, phần lớn là những phác thảo sơ khai, nhiều quy định chỉ mới có tiêu đề chưa được làm rõ về mặt nội dung. Sau đây là tóm tắt những nội dung chính rút ra từ Dự thảo Nghị định:

  1. Định nghĩa “dữ liệu cá nhân”

Dự thảo Nghị định đưa ra một số định nghĩa quan trọng liên quan đến vấn đề bảo vệ dữ liệu cá nhân. Dữ liệu cá nhân được định nghĩa là dữ liệu về thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự thuộc về cá nhân. Định nghĩa này rộng hơn thông tin cá nhân theo Luật An ninh mạng và Nghị định số 52/2013/NĐ-CP về thương mại điện tử (“Nghị định 52”). Dự thảo Nghị định cũng lần đầu tiên giới thiệu khái niệm dữ liệu cá nhân nhạy cảm”. Dữ liệu cá nhân nhạy cảm được định nghĩa bao gồm quan điểm chính trị, tôn giáo, dân tộc hoặc chủng tộc, tình trạng sức khỏe, thông tin di truyền, dữ liệu sinh trắc học (ví dụ: vân tay, dấu bàn tay, hình ảnh mống mắt và dữ liệu di truyền), giới tính, đời sống tình dục và dữ liệu tội phạm.

  1. Bên xử lý dữ liệu cá nhân

Theo Dự thảo Nghị định, các bên liên quan đến hoạt động xử lý dữ liệu cá nhân bao gồm:

(i) Bên xử lý dữ liệu cá nhân: là một pháp nhân hoặc thể nhân, chi nhánh của một công ty nước ngoài hoặc một cơ quan chính quyền nhà nước hoặc địa phương xử lý dữ liệu cá nhân;

(ii) Bên xử lý dữ liệu cá nhân chính: là bên xử lý dữ liệu cá nhân có thể ủy quyền theo quy định của pháp luật;

(iii) Bên xử lý dữ liệu cá nhân được ủy quyền: là bên xử lý dữ liệu cá nhân được Bên xử lý dữ liệu cá nhân chính ủy quyền theo quy định của pháp luật;

(iv) Chủ thể dữ liệu: là người mà dữ liệu cá nhân phản ánh; và

(v) Bên thứ ba: là pháp nhân hoặc thể nhân, chi nhánh của công ty nước ngoài hoặc cơ quan nhà nước hoặc địa phương nhưng không phải là bên xử lý dữ liệu cá nhân, chủ thể dữ liệu.

Cách chia chủ thể này khác với cách chia chủ thể tại Đạo luật bảo vệ dữ liệu chung của Liên minh Châu Âu (“GDPR”). GDPR chia ra “người kiểm soát” là người xác định mục đích và cách thức xử lý dữ liệu cá nhân; “người xử lý” là người giúp “người kiểm soát” thực hiện công việc xử lý dữ liệu cá nhân, thay vì chia ra “bên xử lý dữ liệu cá nhân chính”“bên xử lý dữ liệu cá nhân được uỷ quyền” như trong Dự thảo Nghị định. Xem thêm bài viết về GDPR của chúng tôi tại đây.

Theo Dự thảo Nghị định, “bên xử lý dữ liệu cá nhân” được quyền quyết định:

(i) Mục đích xử lý dữ liệu cá nhân;

(ii) Các loại dữ liệu cá nhân cần xử lý;

(iii) Quy trình và cách xử lý dữ liệu cá nhân; và

(iv) Cho phép truyền dữ liệu cá nhân cho người thứ ba.

Bên xử lý dữ liệu cá nhân” có nhiệm vụ:

(i) Ngay lập tức xóa hoặc đóng dữ liệu cá nhân không cần thiết, trừ trường hợp pháp luật có quy định khác;

(ii) Đảm bảo nguyên tắc về chất lượng dữ liệu và cập nhật nếu cần thiết;

(iii) Đảm bảo rằng dữ liệu cá nhân có tranh cãi được đóng lại cho đến khi được chứng minh; và

(iv) Thông báo cho Bên thứ ba về việc thay đổi thông tin liên quan tới dữ liệu cá nhân hoặc dữ liệu cá nhân không khả thi về mặt kỹ thuật.

  1. Nguyên tắc bảo vệ dữ liệu cá nhân

Dự thảo Nghị định quy định 07 nguyên tắc mà qua đó việc bảo vệ dữ liệu cá nhân sẽ được triển khai thực hiện:

(i) Nguyên tắc hợp pháp: dữ liệu cá nhân chỉ được thu thập hợp pháp.

(ii) Nguyên tắc mục đích: dữ liệu cá nhân chỉ được thu thập để đạt được các mục tiêu phục vụ mục đích chính, đã đăng ký, tuyên bố về thu thập thông tin cá nhân, không được xử lý trái với các mục tiêu liên quan tới thu thập xử lý dữ liệu cá nhân.

(iii) Nguyên tắc tối giản: dữ liệu cá nhân chỉ được thu thập trong phạm vi cần thiết để đạt được mục đích đã xác định.

(iv) Nguyên tắc sử dụng hạn chế: dữ liệu cá nhân chỉ được sử dụng khi có sự đồng ý của chủ thể dữ liệu hoặc được sự cho phép của cơ quan có thẩm quyền.

(v) Nguyên tắc về chất lượng dữ liệu: dữ liệu cá nhân phải được cập nhật, đầy đủ và cần thiết để đạt được mục đích xử lý dữ liệu.

(vi) Nguyên tắc an ninh: biện pháp an ninh sẽ được áp dụng để bảo vệ dữ liệu cá nhân.

(vii) Nguyên tắc cá nhân: chủ thể dữ liệu sẽ được thông báo về tất cả về các hoạt động liên quan tới dữ liệu cá nhân của họ.

  1. Đăng ký xử lý dữ liệu

Theo Điều 4 Dự thảo Nghị định, bên xử lý dữ liệu cá nhân ở nước ngoài có thể phải chỉ định một đại diện tại Việt Nam. Điều 27 của Dự thảo Nghị định cũng yêu cầu hành vi chuyển dữ liệu cá nhân ra nước ngoài phải được đăng ký với cơ quan có thẩm quyền. Tuy nhiên, quy định này vẫn còn ở dạng phác thảo. Các bản Dự thảo Nghị định tiếp theo sẽ làm rõ các nội dung này một cách chi tiết hơn.

  1. Tiết lộ dữ liệu cá nhân

Điều 8 của Dự thảo Nghị định quy định trường hợp ngoại lệ cho phép tiết lộ dữ liệu cá nhân. Cụ thể, dữ liệu cá nhân có thể được tiết lộ trên phương tiện truyền thông phục vụ mục đích báo chí mà không có sự đồng ý của chủ thể dữ liệu, nếu có lợi ích công cộng lớn và điều này phù hợp với các nguyên tắc đạo đức báo chí. Tuy nhiên, việc tiết lộ dữ liệu trong trường hợp này phải không tổn hại quá lớn đối với các quyền của chủ thể dữ liệu. Mặc dù vậy, Dự thảo Nghị định không nêu rõ điều gì cấu thành “lợi ích công cộng” hay “thiệt hại quá lớn”. Cũng trong Điều 8 này, Dự thảo Nghị định quy định thêm rằng các chủ thể dữ liệu có quyền yêu cầu người tiết lộ dữ liệu cá nhân của mình chấm dứt việc tiết lộ đó, trừ khi việc tiết lộ được thực hiện theo quy định của pháp luật. Người tiết lộ dữ liệu cá nhân sẽ không phải thực hiện yêu cầu chấm dứt tiết lộ dữ liệu cá nhân nếu người đó không kiểm soát các thiết bị mang dữ liệu cá nhân đó.

Bất cứ lúc nào, chủ thể dữ liệu luôn có quyền yêu cầu người xử lý dữ liệu cá nhân ngừng tiết lộ trừ khi pháp luật có quy định khác và việc chấm dứt tiết lộ phù hợp về mặt kỹ thuật và không gây ra phí tổn cao bất hợp lý. Tuy nhiên, việc chấm dứt tiết lộ ở đây đơn giản chỉ là ngừng tiết lộ hay bao gồm cả hành vi thu hồi hoặc cải chính dữ liệu thì chưa được Dự thảo Nghị định đề cập làm rõ.

  1. Thu thập dữ liệu công cộng

Theo Dự thảo Nghị định, việc tạo bản ghi âm hoặc hình ảnh ở nơi công cộng là được coi là có sự đồng ý mặc định của chủ thể dữ liệu. Mặc dù Dự thảo Nghị định yêu cầu cơ quan, tổ chức thu thập dữ liệu phải có trách nhiệm thông báo cho chủ thể dữ liệu theo cách để người đó hiểu được họ đang bị ghi lại âm thanh hoặc hình ảnh và để chủ thể dữ liệu ngăn chặn việc ghi âm nếu họ muốn, nghĩa vụ thông báo này lại không áp dụng trong trường hợp phục vụ các mục đích công cộng. Như thế nào là “phục vụ mục đích công cộng thì vẫn chưa được làm rõ.

Kết luận:

Ở thời điểm hiện tại, các nội dung của Dự thảo Nghị định vẫn còn rất giới hạn, phần lớn nằm ở dạng phác thảo ban đầu. Các bản thảo trong tương lai của Dự thảo Nghị định được mong đợi sẽ mở rộng và làm rõ hơn các quy định liên quan đến việc dữ liệu cá nhân, quyền và nghĩa vụ của chủ thể dữ liệu, biện pháp bảo vệ dữ liệu cá nhân, đăng ký xử lý dữ liệu, v.v. Dự thảo Nghị định về bảo vệ thông tin cá nhân đã thu hút sự chú ý rộng rãi từ công chúng và các chuyên gia. Đây thực sự là phản ứng tích cực đối với sự phát triển nhanh chóng của công nghệ thông tin, tạo thuận lợi cho Chính phủ đạt mục tiêu hoàn thiện lĩnh vực luật này. Ý kiến của nhân dân cũng như của các cơ quan, tổ chức có liên quan đang được tham khảo nhằm bổ sung cho bản Dự thảo Nghị định. Bộ Công An dự kiến sẽ đệ trình lên Chính phủ bản Dự thảo Nghị định trong năm 2020.


KHUYẾN CÁO

Đây KHÔNG phải là tư vấn pháp lý, nếu muốn được tư vấn độc giả nên liên hệ những luật sư đủ khả năng hành nghề trong lĩnh vực liên quan, các luật sư của VCI Legal chắc chắn nằm trong số đó và rất hân hạnh nếu độc giả muốn chúng tôi tư vấn và đại diện pháp lý. VCI Legal không chịu trách nhiệm nếu một số độc giả sử dụng thông tin trong các BẢN TIN PHÁP LUẬT này để tự giải thích/áp dụng các quy định pháp luật