Không được yêu cầu xác thực tài khoản bằng căn cước công dân
Tiếp tục chương trình làm việc Kỳ họp 9, chiều 5/5, Quốc hội nghe tờ trình và báo cáo thẩm tra dự án Dự thảo Luật Bảo vệ dữ liệu cá nhân.
Đáng chú ý, dự thảo luật quy định các tổ chức, cá nhân không được yêu cầu hình ảnh, video chứa nội dung đầy đủ hoặc một phần căn cước, căn cước công dân, chứng minh nhân dân làm yếu tố xác thực tài khoản.
Không thu thập trái phép dữ liệu cá nhân
Trình bày tờ trình, Phó Thủ tướng Lê Thành Long cho biết, Dự thảo luật này có 7 chương với 68 điều. Đáng chú ý trong đó có chương bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân.
Theo luật, sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực nếu dựa trên sự tự nguyện và biết rõ các nội dung sau: loại dữ liệu cá nhân được xử lý; mục đích xử lý dữ liệu cá nhân; tổ chức, cá nhân được xử lý dữ liệu cá nhân; các quyền, nghĩa vụ của chủ thể dữ liệu.
Mặt khác, sự đồng ý của chủ thể dữ liệu phải được đưa ra bởi một hành động khẳng định tạo ra một chỉ dẫn rõ ràng, cụ thể, như bằng văn bản, bằng giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
Dự luật dành một điều khoản quy định riêng việc bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến. Trong đó quy định rõ trách nhiệm của tổ chức, cá nhân cung cấp dịch vụ. Các tổ chức, cá nhân này có trách nhiệm bảo vệ dữ liệu cá nhân của công dân Việt Nam khi hoạt động tại thị trường Việt Nam hoặc xuất hiện trên kho ứng dụng di động cung cấp cho thị trường Việt Nam.
Bên cạnh đó, thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng.
Đáng chú ý, dự thảo luật quy định các tổ chức, cá nhân này không được yêu cầu hình ảnh, video chứa nội dung đầy đủ hoặc một phần căn cước, căn cước công dân, chứng minh nhân dân làm yếu tố xác thực tài khoản. Cung cấp lựa chọn "không theo dõi" hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;
Thông báo cụ thể, rõ ràng bằng văn bản về việc chia sẻ dữ liệu cá nhân cũng như áp dụng biện pháp bảo mật khi thực hiện hoạt động quảng cáo, tiếp thị dựa trên dữ liệu cá nhân của khách hàng; Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu. Cung cấp cơ chế để người dùng báo cáo các vi phạm về bảo mật và quyền riêng tư.
Các tổ chức, cá nhân cung cấp dịch vụ cũng phải công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân. Cung cấp cho người dùng quyền truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho thông tin cá nhân; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi được chuyển giao ra bên ngoài lãnh thổ Việt Nam. Thiết lập cơ chế để người dùng báo cáo các vi phạm về bảo vệ dữ liệu cá nhân; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.
Ngoài ra phải thông báo cho chủ thể dữ liệu về các sự cố và vi phạm quy định về bảo vệ dữ liệu cá nhân về tài khoản mạng xã hội, dịch vụ truyền thông trực tuyến trong vòng 72 giờ kể từ khi xảy ra hành vi vi phạm hoặc sự cố, kèm theo kết quả xử lý, khắc phục hậu quả, đánh giá mức độ nghiêm trọng của sự cố và nguy cơ tiềm ẩn phát sinh.
Mức xử phạt hành chính không khả thi
Thẩm tra dự án luật, Ủy ban Quốc phòng, An ninh và Đối ngoại (QPANĐN) nhất trí với sự cần thiết ban hành luật với những lý do được nêu trong Tờ trình của Chính phủ và cho rằng: Việc xây dựng dự án luật nhằm bảo đảm cơ sở pháp lý; đáp ứng yêu cầu bảo vệ dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân.
Về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân (Điều 4), Chủ nhiệm Uỷ ban QPANĐN Lê Tấn Tới đề nghị cân nhắc quy định tại khoản 2: "Áp dụng mức xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân".
Bởi vì, một số ý kiến cho rằng, mức xử phạt hành chính như vậy là không khả thi và quá nặng đối với tổ chức, doanh nghiệp; một số ý kiến cho rằng, quy định này không thống nhất với quan điểm xử phạt vi phạm hành chính hiện nay là "Việc xử phạt vi phạm hành chính phải căn cứ vào tính chất, mức độ, hậu quả vi phạm, đối tượng vi phạm và tình tiết giảm nhẹ, tình tiết tăng nặng".
Cũng theo ông Tới, một số ý kiến cho rằng, quy định phạt theo doanh thu năm liền trước không phù hợp với tổ chức, doanh nghiệp mới thành lập và trường hợp tổ chức, doanh nghiệp không có doanh thu hoặc có doanh thu mà không có lợi nhuận; một số ý kiến đề xuất phân loại các loại hành vi vi phạm để có quy định mức xử phạt phù hợp.