Tiến sĩ Nguyễn Minh Thảo, Viện Nghiên cứu quản lý kinh tế Trung ương (CIEM), Việt Nam
Việt Nam là một trong số các quốc gia có tốc độ phát triển và tỷ lệ sử dụng Internet cao nhất trên thế giới. Tính đến năm 2023, số lượng người dùng Internet tại Việt Nam đã đạt 77,93 triệu người, chiếm 79,1% tổng dân số. Số lượng người dùng mạng xã hội cũng đạt 70 triệu người, tương đương 71% tổng dân số. Tuy nhiên, khi công nghệ phát triển nhanh chóng, nhu cầu bảo vệ dữ liệu cá nhân theo đó cũng tăng theo. Điều này đặt ra yêu cầu vô cùng quan trọng đối với Chính phủ về việc bảo vệ dữ liệu cá nhân của công dân để ngăn chặn các hành vi xâm phạm trái phép.
Trước khi Nghị định số 13/2023/NĐ-CP được ban hành, hệ thống pháp luật Việt Nam chưa có định nghĩa thống nhất về dữ liệu cá nhân. Nhiều văn bản pháp lý sử dụng những định nghĩa, thuật ngữ khác nhau về dữ liệu cá nhân, trong khi các quy định liên quan đến bảo vệ dữ liệu cá nhân còn thiếu nhất quán. Điều này dẫn đến tình trạng trùng lặp, chồng chéo, tản mác, khó áp dụng và thực thi hiệu quả các quy định pháp luật về bảo vệ dữ liệu cá nhân. Theo thông tin báo cáo từ Bộ Công an (MPS), hơn hai phần ba dân số của Việt Nam bị thu thập dữ liệu cá nhân trên mạng với nhiều hình thức và mức độ; và việc thu thập, mua bán dữ liệu cá nhân ngày càng gia tăng.
Phân tích chi tiết Nghị định số 13/2023/NĐ-CP của Việt Nam
Ngày 17 tháng 4 năm 2023, Chính phủ Việt Nam ban hành Nghị định bảo vệ dữ liệu cá nhân. Đây là một trong những nỗ lực thực hiện Chương trình chuyển đổi số quốc gia nhằm đẩy nhanh quá trình chuyển đổi số, góp phần nâng cao hiệu quả kinh doanh và năng lực cạnh tranh của đất nước. Theo đó, Nghị định sẽ có hiệu lực từ ngày 01 tháng 7 năm 2023 và Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an là cơ quan chuyên trách, có thẩm quyền rà soát, đánh giá, thanh tra, kiểm tra việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân.
Dưới đây là một số quy định quan trọng, đáng chú ý của Nghị định này.
Nghị định này đưa ra khái niệm chung, thống nhất về dữ liệu cá nhân; được nhận diện trong cả môi trường vật chất truyền thống và môi trường điện tử; góp phần tạo một cách hiểu chung, thống nhất giữa các thuật ngữ tương đồng đang tồn tại trong các văn bản pháp luật khác nhau.
Ngoài ra, Nghị định còn phân dữ liệu cá nhân thành hai loại – dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân cơ bản bao gồm tên, ngày sinh, giới tính, quốc tịch, số điện thoại, số định danh, tình trạng hôn nhân, v.v. Trong khi đó, dữ liệu cá nhân nhạy cảm mang tính riêng tư hơn và nếu bị xâm phạm, có khả năng gây ảnh hưởng xấu đến quyền và lợi ích hợp pháp của cá nhân. Dữ liệu này bao gồm tình trạng sức khỏe, hồ sơ bệnh án, thông tin khách hàng của tổ chức tín dụng, dữ liệu vị trí, v.v. Với cách phân loại này, dữ liệu cá nhân nhạy cảm sẽ được quản lý và bảo vệ chặt chẽ hơn so với trước đây.
Cuối cùng, Chính phủ nghiêm cấm bán dữ liệu cá nhân, dù là cơ bản hay nhạy cảm, dưới mọi hình thức trừ trường hợp luật pháp có quy định khác. [4]
Để tăng cường trách nhiệm của các doanh nghiệp trong việc kiểm soát và xử lý dữ liệu, Nghị định này quy định trách nhiệm của các bên theo bốn nhóm:
- Bên kiểm soát dữ liệu cá nhân (“Bên kiểm soát”): tổ chức hoặc cá nhân quyết định mục đích và phương tiện xử lý dữ liệu
- Bên xử lý dữ liệu cá nhân (“Bên xử lý”): tổ chức hoặc cá nhân thực hiện việc xử lý thay mặt cho Bên kiểm soát
- Bên kiểm soát và xử lý dữ liệu cá nhân (“Bên kiểm soát và xử lý”): tổ chức hoặc cá nhân thực hiện đồng thời cả hai vai trò kiểm soát và xử lý dữ liệu
- Bên thứ ba: tổ chức, cá nhân được phép xử lý dữ liệu cá nhân ngoài Chủ thể dữ liệu, Bên kiểm soát, Bên xử lý hoặc Bên kiểm soát và xử lý
Nghị định cũng yêu cầu cả Bên kiểm soát và Bên xử lý dữ liệu phải lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân do họ thực hiện; đồng thời thường xuyên cập nhật khi có sự thay đổi về nội dung hồ sơ.
Nghị định này quy định đầy đủ các quyền cơ bản của cá nhân với tư cách là Chủ thể dữ liệu và đặt ra những yêu cầu kỹ thuật, pháp lý cho doanh nghiệp về việc kiểm soát và xử lý dữ liệu của công dân Việt Nam.
Nghị định này quy định 11 quyền của chủ thể dữ liệu. Cụ thể là: (1) Quyền được biết; (2) Quyền đồng ý; (3) Quyền truy cập; (4) Quyền rút lại sự đồng ý; (5) Quyền xóa dữ liệu cá nhân; (6) Quyền hạn chế xử lý dữ liệu; (7) Quyền cung cấp dữ liệu cá nhân; (8) Quyền phản đối việc xử lý dữ liệu; (9) Quyền khiếu nại, tố cáo, khởi kiện; (10) Quyền yêu cầu bồi thường thiệt hại; và (11) Quyền tự bảo vệ.
Trong trường hợp cần chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, Bên chuyển dữ liệu cá nhân phải lập Hồ sơ đánh giá tác động của việc chuyển dữ liệu cá nhân ra nước ngoài (“Hồ sơ TIA”) trước khi thực hiện chuyển dữ liệu cá nhân ra khỏi lãnh thổ Việt Nam. Hồ sơ TIA bản chính gửi tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời gian 60 ngày kể từ ngày xử lý dữ liệu cá nhân.
Bên chuyển dữ liệu phải thông báo với Bộ Công an thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.
Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài cũng cần được cập nhật và phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Một số thách thức chính trong triển khai Nghị định bảo vệ dữ liệu cá nhân
1. Tích hợp các phương án kỹ thuật đáp ứng các yêu cầu mới về kiểm soát và xử lý dữ liệu vào quy trình hiện có doanh nghiệp – Các doanh nghiệp lớn thường có sẵn hệ thống tuân thủ quy định về bảo vệ dữ liệu quốc tế nên việc thực hiện Nghị định tương đối thuận lợi. Tuy vậy, các doanh nghiệp vừa và nhỏ, dù là Bên kiểm soát dữ liệu hay Bên xử lý dữ liệu, sẽ đối mặt với những thách thức về kỹ thuật trong quy trình để đáp ứng yêu cầu của quy định mới này. Các doanh nghiệp nhỏ và vừa sẽ phải đánh giá và hoàn thiện lại toàn bộ quy trình của mình để đáp ứng các yêu cầu mới về quản lý dữ liệu cá nhân. Trong một khoảng thời gian ngắn, họ có thể không dễ dàng đủ năng lực và nguồn lực điều chỉnh kỹ thuật để đáp ứng tất cả các yêu cầu về quản lý dữ liệu cá nhân, nhất là những yêu cầu về đảm bảo quyền của Chủ thể dữ liệu hay lập Hồ sơ đánh giá tác động xử lý dữ liệu, chuyển dữ liệu cá nhân.
2. Lưu giữ thông tin dữ liệu cá nhân – Nghị định này quy định rằng Chủ thể dữ liệu có quyền “xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình” hoặc “yêu cầu hạn chế xử lý dữ liệu cá nhân của mình”. Hiện nay, các doanh nghiệp (ví dụ: hãng hàng không và khách sạn) phải được cung cấp các thông tin để cung cấp dịch vụ, trong đó có những dữ liệu cá nhân. Quy định nêu trên sẽ là thách thức vô cùng lớn đối với hệ thống xử lý thông tin của các doanh nghiệp này.
3. Năng lực chuyển đổi của các cơ quan Chính phủ và yêu cầu về đảm bảo tính độc lập, công bằng trong kiểm tra, giám sát dữ liệu – Chính phủ cũng sẽ phải đối mặt với những áp lực và thách thức trong quản lý nhà nước. Theo đó, các cơ quan của Chính phủ phải nhanh chóng ứng dụng các giải pháp kỹ thuật để đáp ứng những yêu cầu quản lý mới về rà soát, kiểm tra và đánh giá dữ liệu; theo dõi và xử lý các vi phạm về bảo vệ dữ liệu cá nhân. Ngoài ra, bản thân các cơ quan Chính phủ cũng là đối tượng chịu sự kiểm tra, giám sát về bảo vệ dữ liệu cá nhân, do đó Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (thuộc Bộ Công an) là cơ quan chuyên trách bảo vệ dữ liệu cá nhân cần phải duy trì tính độc lập, khách quan, công bằng trong hoạt động của mình.
Tóm lại, bảo vệ dữ liệu cá nhân là một trong những yếu tố then chốt để thiết lập niềm tin cho người dân về các dịch vụ trực tuyến và khuyến khích họ tham gia vào quá trình chuyển đổi số. Việc Chính phủ Việt Nam ban hành Nghị định số 13/2013/NĐ-CP là một bước tiến quan trọng về hoàn thiện khung pháp lý để đáp ứng nhu cầu bảo vệ dữ liệu cá nhân. Tuy nhiên, để đảm bảo hiệu lực, hiệu quả thực thi Nghị định này, Bộ Công an cần sớm ban hành các văn bản hướng dẫn và các kế hoạch hành động cụ thể. Đây sẽ là tiền đề cho quá trình xây dựng Luật bảo vệ dữ liệu cá nhân trong tương lai.
Tiến sĩ Nguyễn Minh Thảo là Trưởng ban Nghiên cứu môi trường kinh doanh và năng lực cạnh tranh thuộc Viện Nghiên cứu quản lý kinh tế Trung ương (CIEM), Việt Nam. Bà là chuyên gia về môi trường kinh doanh và về chuyển đổi số. Bà cũng là thành viên chủ chốt tham gia soạn thảo Chiến lược quốc gia về Cách mạng công nghiệp lần thứ tư đến năm 2030 của Việt Nam.
Các quan điểm và khuyến nghị được trình bày trong bài viết này là của riêng tác giả và không nhất thiết phản ánh quan điểm và lập trường của Tech for Good Institute.