Dự thảo Luật Bảo vệ dữ liệu cá nhân đang được Bộ Công an lấy ý kiến rộng rãi trước khi trình Quốc hội thông qua. Việc ban hành Luật này được xem là bước tiến quan trọng trong việc hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam, giúp bắt kịp xu hướng chung của thế giới.
Hiện nay, việc bảo vệ dữ liệu cá nhân tại Việt Nam chủ yếu dựa trên Nghị định 13/2023/NĐ-CP. Tuy nhiên, Bộ Công an nhận thấy rằng, để đảm bảo tính đồng bộ và hiệu quả, cần thiết phải có một văn bản Luật riêng để điều chỉnh lĩnh vực quan trọng này.
Vì sao cần Luật Bảo vệ dữ liệu cá nhân? Mặc dù Nghị định 13 đã đưa ra định nghĩa về dữ liệu cá nhân, nhưng với cấp bậc thấp hơn Luật, hiệu lực điều chỉnh của nó còn hạn chế. Trong khi đó, một văn bản Luật sẽ đóng vai trò nền tảng, là "kim chỉ nam" cho các văn bản pháp luật khác trong lĩnh vực bảo vệ dữ liệu cá nhân. Thể chế hóa Hiến pháp: Luật Bảo vệ dữ liệu cá nhân sẽ góp phần cụ thể hóa các quy định của Hiến pháp về quyền bảo vệ thông tin cá nhân của công dân.
Dữ liệu cá nhân cơ bản là thông tin cơ bản của công dân hoặc các thông tin khác không phải dữ liệu cá nhân nhạy cảm, gắn liền với danh tính của công dân, gồm 11 trường thông tin sau:
a) Họ, chữ đệm và tên khai sinh, bí danh (nếu có);
b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
c) Giới tính;
d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
đ) Quốc tịch;
e) Hình ảnh của cá nhân;
g) Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
h) Tình trạng hôn nhân;
i) Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
k) Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng.
l) Các thông tin khác gắn liền với danh tính của công dân không thuộc quy định tại 4 Điều này.
Dữ liệu cá nhân nhạy cảm là thông tin khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gắn liền với quyền riêng tư của cá nhân, gồm 11 trường thông tin: a) Quan điểm chính trị, quan điểm tôn giáo;
b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c) Thông tin liên quan đến nguồn gốc chủng tộc, thông tin liên quan đến nguồn gốc dân tộc,
d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
i) Thông tin về người sử dụng đất, dữ liệu đất đai có chứa thông tin về người sử dụng đất;
k) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
l) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
Bảo vệ, bảo mật dữ liệu cá nhân
Theo Bộ Công an, thực tiễn triển khai công tác bảo vệ dữ liệu cá nhân cho thấy nhiều bất cập. Nhiều tổ chức, doanh nghiệp chưa thực sự coi trọng việc bảo vệ thông tin người dùng, thu thập dữ liệu quá mức cần thiết, thiếu minh bạch trong quá trình xử lý, thậm chí vi phạm pháp luật.
Để giải quyết tình trạng này, Dự thảo Luật Bảo vệ dữ liệu cá nhân đang được hoàn thiện với những quy định "mạnh tay" hơn.
Cụ thể, trong Dự thảo Luật nêu việc cấm mua bán dữ liệu cá nhân dưới mọi hình thức: "Khoanh vùng cấm" này nhằm ngăn chặn triệt để việc trục lợi từ thông tin cá nhân, bảo vệ quyền riêng tư của người dân. Các biện pháp bảo vệ, bảo mật dữ liệu cá nhân sẽ được áp dụng trong suốt quá trình xử lý, từ khâu thu thập, lưu trữ đến khi sử dụng và chia sẻ. Người dùng có quyền được biết thông tin của mình đang được sử dụng như thế nào, vào mục đích gì.
Dự thảo Luật cũng chú trọng đến việc nâng cao nhận thức và bảo vệ quyền lợi của người dùng. Theo đó, người dân sẽ được cung cấp đầy đủ thông tin về quyền lợi của mình, đồng thời được hướng dẫn cách thức tự bảo vệ, khiếu nại, yêu cầu bồi thường thiệt hại khi có hành vi xâm phạm.
Do đó, dự thảo Luật quy định các quyền và nghĩa vụ của chủ thể dữ liệu.
Cụ thể, chủ thể dữ liệu có quyền được biết, quyền đồng ý, quyền truy cập, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu, quyền cung cấp dữ liệu, quyền phản đối xử lý dữ liệu, quyền khiếu nại, tố cáo, quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác, quyền tự bảo vệ.
Bên cạnh các quyền trên, chủ thể dữ liệu có các nghĩa vụ: Có trách nhiệm tự bảo vệ dữ liệu cá nhân của mình, yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân; tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân; chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Việc ban hành Luật Bảo vệ dữ liệu cá nhân được kỳ vọng sẽ tạo ra bước đột phá trong việc bảo vệ quyền riêng tư của người dân trên không gian mạng, góp phần thúc đẩy kinh tế số phát triển bền vững.