4 cơ sở thực tiễn lớn trong đề xuất xây dựng Luật
Chiều 5/5, tiếp tục chương trình Kỳ họp thứ 9, Quốc hội khóa XV, Quốc hội nghe tờ trình và báo cáo thẩm tra dự án Luật Bảo vệ dữ liệu cá nhân.
Trình bày tờ trình, Phó Thủ tướng Chính phủ Lê Thành Long cho biết, việc xây dựng dự án Luật Bảo vệ dữ liệu cá nhân nhằm thể chế hóa quy định của Hiến pháp về quyền con người, quyền công dân, quyền riêng tư của cá nhân, sự bất khả xâm phạm về thân thể, nhà ở, thư tín, quyền bảo vệ bí mật cả nhân, trong đó có thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình.
Đồng thời, cụ thể hóa các chính sách, pháp luật của Đảng, Nhà nước về quyền con người, quyền công dân, quyền riêng tư, an ninh mạng, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, chính phủ điện tử, chính phủ số, kinh tế số, trực tiếp là Nghị quyết 30 của Bộ Chính trị về Chiến lược An ninh mạng quốc gia, Nghị quyết số 57 của Bộ Chính trị về đột phá phát triển khoa học công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia, Luật Dữ liệu 2024, Luật An ninh mạng 2018, Luật An toàn thông tin mạng 2015.
Ngày 11/12/2024, Ủy ban Thường vụ Quốc hội ban hành Nghị quyết số 59 điều chỉnh Chương trình xây dựng luật, pháp lệnh năm 2025. Trong đó, bổ sung dự án Luật Bảo vệ dữ liệu cá nhân vào Chương trình xây dựng luật, pháp lệnh năm 2025.
Ngày 4/3/2025, Chính phủ đã ban hành Nghị quyết số 41 giao Bộ Công an thừa ủy quyền Thủ tướng Chính phủ trình Ủy ban thường vụ Quốc hội xem xét, cho ý kiến và thông qua tại Kỳ họp thứ 9 (tháng 5/2025).
Phó Thủ tướng Chính phủ Lê Thành Long (Ảnh: Media Quốc hội).
Theo Phó Thủ tướng, có 4 cơ sở thực tiễn lớn trong đề xuất xây dựng dự án Luật Bảo vệ dữ liệu cá nhân, đó là: Hạn chế, bất cập của quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân, có tới 69 văn bản liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam nhưng tất cả đều chưa thống nhất về khái niệm, nội dung, nội hàm và biện pháp bảo vệ, mới chỉ có 1 văn bản là Nghị định số 13 quy định về bảo vệ dữ liệu cá nhân nhưng chưa có văn bản Luật.
Những vấn đề mới phát sinh về bảo vệ dữ liệu cá nhân đặt ra yêu cầu giải quyết thông qua việc ban hành Luật, như thực trạng thu thập thừa dữ liệu cá nhân so với ngành nghề, sản phẩm, dịch vụ kinh doanh, thiếu cơ sở pháp lý khi thu thập dữ liệu cá nhân, thu thập, xử lý dữ liệu cá nhân mà chưa có sự đồng ý của chủ thể dữ liệu; tình trạng chiếm đoạt, chuyển giao trái phép, mua, bán dữ liệu cá nhân diễn ra dưới nhiều hình thức, tràn lan, ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân.
Hài hòa với thông lệ, quy định quốc tế về bảo vệ dữ liệu cá nhân khi đã có hơn 140 quốc gia ban hành văn bản quy phạm luật về bảo vệ dữ liệu cá nhân, nhiều văn bản có quy định áp dụng đối với tổ chức, cá nhân Việt Nam.
Tạo nền tảng pháp lý cho hoạt động sử dụng dữ liệu cá nhân phục vụ phát triển kinh tế, xã hội khi dữ liệu cá nhân được coi là một trong những tư liệu sản xuất chính để thực hiện chuyển đổi số, phát triển kinh tế số, xây dựng xã hội số, ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân.
Dự thảo Luật Bảo vệ dữ liệu cá nhân trên cơ sở phát triển quy định của Nghị định số 13 gồm 7 Chương, 68 Điều, bao gồm 7 nội dung chính: Thống nhất thuật ngữ và xây dựng một số khái niệm quan trọng về bảo vệ dữ liệu cá nhân; Xây dựng các nguyên tắc bảo vệ dữ liệu cá nhân; Quy định 11 quyền và nghĩa vụ của chủ thể dữ liệu; 3 nghĩa vụ của chủ thể dữ liệu;
Quy định về điều kiện bảo vệ dữ liệu cá nhân đối với các tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân; tổ chức chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân; dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân; dịch vụ tổ chức bảo vệ dữ liệu cá nhân;
Yêu cầu đánh giá tác động xử lý dữ liệu cá nhân và Chuyển dữ liệu cá nhân ra nước ngoài như một bản cảm kết trước pháp luật về hoạt động xử lý dữ liệu cá nhân; Hoàn thiện quy định về biện pháp bảo vệ dữ liệu cá nhân; Quy định quản lý Nhà nước về bảo vệ dữ liệu cá nhân, trách nhiệm của các bộ, ngành có liên quan; trách nhiệm của bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu, bên kiểm soát và xử lý dữ liệu, bên thứ ba.
Chính phủ đề xuất trình Quốc hội xem xét, cho ý kiến, thông qua dự án Luật Bảo vệ dữ liệu cá nhân tại kỳ họp thứ 9, Quốc hội khóa XV (tháng 5/2025).
Đề nghị rà soát, bổ sung các hành vi bị nghiêm cấm
Thẩm tra, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới cho biết, Ủy ban Quốc phòng, An ninh và Đối ngoại nhất trí với sự cần thiết ban hành Luật với những lý do được nêu trong tờ trình của Chính phủ.
Về phạm vi điều chỉnh, Ủy ban Quốc phòng, An ninh và Đối ngoại cơ bản nhất trí với phạm vi điều chỉnh của dự thảo Luật. Tuy nhiên, có ý kiến cho rằng, phạm vi điều chỉnh của dự thảo Luật còn rộng, bao gồm hầu hết các hoạt động liên quan đến dữ liệu cá nhân dẫn đến trùng lặp với phạm vi điều chỉnh của Luật Dữ liệu và một số luật chuyên ngành khác.
Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới (Ảnh: Media Quốc hội).
Do đó, cần phải giới hạn phạm vi điều chỉnh của Luật này để tập trung vào các biện pháp bảo vệ dữ liệu cá nhân và trách nhiệm của các chủ thể có liên quan trong bảo vệ dữ liệu cá nhân.
Về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân, Ủy ban Quốc phòng, An ninh và Đối ngoại đề nghị cân nhắc quy định tại khoản 2: "2. Áp dụng mức xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân".
Theo ông Tới, một số ý kiến cho rằng, mức xử phạt hành chính như vậy là không khả thi và quá nặng đối với tổ chức, doanh nghiệp; một số ý kiến cho rằng, quy định này không thống nhất với quan điểm xử phạt vi phạm hành chính hiện nay là "Việc xử phạt vi phạm hành chính phải căn cứ vào tính chất, mức độ, hậu quả vi phạm, đối tượng vi phạm và tình tiết giảm nhẹ, tình tiết tăng nặng".
Một số ý kiến cho rằng, quy định phạt theo doanh thu năm liền trước không phù hợp với tổ chức, doanh nghiệp mới thành lập và trường hợp tổ chức, doanh nghiệp không có doanh thu hoặc có doanh thu mà không có lợi nhuận.
Một số ý kiến đề xuất phân loại các loại hành vi vi phạm để có quy định mức xử phạt phù hợp.
Về hành vi bị nghiêm cấm, Ủy ban Quốc phòng, An ninh và Đối ngoại đề nghị nghiên cứu các ý kiến sau: Một số ý kiến đề nghị rà soát, bổ sung các hành vi bị nghiêm cấm khác cho đầy đủ theo từng nhóm hoạt động và từng loại chủ thể bảo vệ dữ liệu cá nhân.
Tại khoản 5 quy định cấm mua, bán dữ liệu cá nhân: Một số ý kiến đề nghị giải thích từ ngữ "mua, bán dữ liệu cá nhân"; một số ý kiến cho rằng, nếu cấm hoàn toàn mua, bán dữ liệu cá nhân có thể sẽ làm ảnh hưởng đến hoạt động, sản xuất, kinh doanh của các tổ chức, doanh nghiệp, nên cần phải quy định theo hướng thông thoáng hơn để khơi thông nguồn lực, khuyến khích đổi mới sáng tạo, không cản trở thị trường dữ liệu; một số ý kiến đề nghị chỉnh sửa thành cấm "mua, bán dữ liệu cá nhân trái pháp luật".
