Việt Nam cần sớm có Luật Bảo vệ dữ liệu cá nhân

Ngày 23/4, Hiệp hội An ninh mạng quốc gia – NCA đã chủ trì tổ chức tọa đàm “Góp ý dự thảo Luật Bảo vệ dữ liệu cá nhân” tại Hà Nội.

Tọa đàm đã tạo diễn đàn trao đổi chính sách 2 chiều giữa cơ quan quản lý với các tổ chức, doanh nghiệp và người dân, qua đó góp phần hoàn thiện dự thảo Luật Bảo vệ dữ liệu cá nhân trước khi dự luật quan trọng này được trình Quốc hội.

Theo đại diện ban soạn thảo, tổ biên tập dự án Luật Bảo vệ dữ liệu cá nhân, về cơ sở chính trị, luật này cụ thể hóa các nội dung trong Hiến pháp 2013, Nghị quyết  27 năm 2022 của Hội nghị Trung ương Đảng khóa XIII, trong đó xác định “lấy con người làm trung tâm, chủ thể và mục tiêu của phát triển”, gắn bảo vệ dữ liệu cá nhân với bảo vệ quyền con người trong kỷ nguyên số.

Về cơ sở pháp lý, luật hướng tới tạo sự đồng bộ trong hệ thống pháp luật quốc gia, đồng thời phù hợp với các cam kết quốc tế mà Việt Nam tham gia. “Mục tiêu tổng thể là hoàn thiện hành lang pháp lý thống nhất, nâng cao năng lực bảo vệ dữ liệu cá nhân trong nước, thúc đẩy phát triển kinh tế số, bảo đảm an ninh trật tự và chủ quyền dữ liệu quốc gia”, đại diện Ban soạn thảo, tổ biên tập dự án Luật Bảo vệ dữ liệu cá nhân nhấn mạnh.

Theo kế hoạch, dự án Luật Bảo vệ dữ liệu cá nhân sẽ được Bộ Công an hoàn thiện và tham mưu Chính phủ trình Quốc hội xem xét thông qua tại kỳ họp thứ 9, Quốc hội khóa XV diễn ra tháng 5/2025. Luật này dự kiến sẽ có hiệu lực từ năm 2026.

Trao đổi tại tọa đàm, bà Lê Nguyễn Thiên Nga, Viện trưởng Viện Quản trị chính sách và chiến lược phát triển, nghiên cứu trưởng chuỗi hội thảo khoa học chiến lược dữ liệu quốc gia, chủ trì đề án ‘Từ chính sách ra cuộc sống’, nhấn mạnh: Luật Bảo vệ dữ liệu cá nhân sẽ tác động đến tất cả mọi người trên không gian mạng.

Ở góc độ cơ quan phản biện chính sách, bà Lê Nguyễn Thiên Nga cũng chỉ ra những thách thức trong việc tuân thủ quy định của dự thảo Luật Bảo vệ dữ liệu cá nhân, đơn cử là thách thức thức với bên xử lý dữ liệu, không nhất quán với các thực tiễn quốc tế về bảo mật hoặc quản trị dữ liệu.

Cụ thể, Điều 45 quy định đánh giá tác động xử lý dữ liệu, theo đó Chính phủ quy định hồ sơ, điều kiện, trình tự, thủ tục, luôn có sẵn, xác lập bằng văn bản, gửi cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Quy định có thể tăng gánh nặng tuân thủ cho các tổ chức.

Hay với khoản 3 Điều 47 của dự luật, bà Lê Nguyễn Thiên Nga đề xuất cần lưu ý hướng tới văn bản ở dạng số hóa, gửi qua cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân để đạt được mục tiêu số hóa dữ liệu và không giấy tờ, thay cho yêu cầu “gửi qua bưu chính hoặc trực tiếp tại cơ quan chuyên trách bảo vệ dữ liệu cá nhân”.

“Điều 23 về xử lý dữ liệu cá nhân của trẻ em yêu cầu các tổ chức phải xác minh tuổi của trẻ em là không khả thi, vì điều này sẽ yêu cầu thu thập thêm dữ liệu từ chủ thể dữ liệu. Với Điều 26 về bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, việc không rõ những hoạt động kinh doanh nào được phép và việc đăng ký các công ty xử lý dữ liệu cá nhân sẽ tạo thêm các gánh nặng tuân thủ cho doanh nghiệp”, bà Lê Nguyễn Thiên Nga phân tích.

Từ thực tiễn triển khai đào tạo và hỗ trợ các doanh nghiệp trong việc tuân thủ quy định về bảo vệ dữ liệu cá nhân, ông Bạch Trọng Đức, Trưởng phòng Đào tạo và tuân thủ của Công ty cổ phần An ninh dữ liệu Việt Nam – VNDS chỉ ra hàng loạt khó khăn với các doanh nghiệp, tổ chức như: Phải hiểu sâu sắc về quy định bảo vệ dữ liệu cá nhân; quy định có sự kết hợp giữa pháp lý và kỹ thuật; phải hoàn thiện hệ thống kỹ thuật để đáp ứng các quyền chủ thể dữ liệu; hay việc các đơn vị lúng túng trong thực hiện thủ tục hành chính, áp dụng tiêu chuẩn để bảo vệ dữ liệu cá nhân.

Góp ý cụ thể cho dự thảo Luật Bảo vệ dữ liệu cá nhân, ông Bạch Trọng Đức cho rằng dự luật cần làm rõ định nghĩa "khử nhận dạng dữ liệu cá nhân" bởi đây là việc vô cùng cần thiết nhằm đảm bảo tính minh bạch, thống nhất và khả thi trong triển khai thực tế.

Từ quan điểm này, đại diện VNDS đề xuất tách định nghĩa "khử nhận dạng dữ liệu cá nhân" thành 2 trường hợp cụ thể. Theo đó, dữ liệu sau khi được khử nhận dạng đến mức mà dù áp dụng tất cả biện pháp kỹ thuật và công nghệ hiện có cũng không thể xác định được chủ thể dữ liệu, thì cần được phân loại là “dữ liệu phi cá nhân”.

Với trường hợp dữ liệu đã được khử nhận dạng, chỉ dựa trên bản thân dữ liệu mới được tạo ra đó thì không thể xác định được chủ thể; nhưng nếu kết hợp với các tập dữ liệu khác, vẫn có thể suy luận hoặc xác định cá nhân liên quan. Lúc này, dữ liệu vẫn cần được phân loại là dữ liệu cá nhân, vì nguy cơ tái định danh vẫn tồn tại.

“Việc phân biệt rõ hai cấp độ này không chỉ giúp cơ quan quản lý và doanh nghiệp hiểu đúng bản chất pháp lý của dữ liệu sau khi được xử lý, mà còn tạo nền tảng cho việc xác định nghĩa vụ tuân thủ phù hợp trong từng tình huống cụ thể”, đại diện VNDS chia sẻ thêm.

Kết luận buổi tọa đàm, thượng tá Nguyễn Bá Sơn, Phó Cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao – A05 (Bộ Công an) cho biết: Những nội dung được các đại biểu góp ý, đề xuất tại buổi tọa đàm này là một nguồn tư liệu hữu ích góp phần hoàn thiện dự thảo Luật Bảo vệ dữ liệu cá nhân.

Nhiều nội dung được các chuyên gia, đại diện doanh nghiệp chia sẻ tại sự kiện, theo đánh giá của thượng tá Nguyễn Bá Sơn, là rất cụ thể, thiết thực, và rất trúng. Toàn bộ ý kiến góp ý tại sự kiện sẽ được Ban soạn thảo, tổ biên tập tổng hợp và nghiên cứu tiếp thu trong quá trình hoàn thiện dự thảo Luật Bảo vệ dữ liệu cá nhân.