Vấn đề bảo vệ dữ liệu cá nhân hiện nay đang được điều chỉnh bởi Nghị định 13/2023/NĐ-CP, có hiệu lực thi hành từ ngày 01/7/2023, là một văn bản dưới luật. Lần đầu tiên hệ thống pháp luật Việt Nam ghi nhận và điều chỉnh tập trung vấn đề bảo vệ dữ liệu cá nhân. Một số nội dung nổi bật của Nghị định 13 được tóm tắt tại 2 hình bên dưới:
Hiện nay, Bộ Công An được giao nhiệm vụ xây dựng Dự thảo Luật Bảo vệ dữ liệu cá nhân (“Luật BVDLCN”) và dự kiến sẽ trình Quốc Hội thông qua tại Kỳ họp thứ 9 vào tháng 05 năm 2025. Một khi Luật BVDLCN được thông qua thì Nghị định 13 sẽ được thay thế và hết hiệu lực thi hành.
Dự Thảo kế thừa một số nội dung của Nghị định 13/2023/NĐ-CP và mở rộng phạm vi quy định. Dưới đây, LLVN cập nhật một số điểm mới của Dự Thảo Luật BVDLCN như sau:
1. Quy định mới về bảo vệ DLCN trong các lĩnh vực cụ thể
Dự Thảo đưa ra các quy định về bảo vệ DLCN trong nhiều lĩnh vực khác nhau với những điểm nổi bật chính như sau:
(i) Xử lý dữ liệu lớn: Dự Thảo cho phép các tổ chức, cá nhân khai thác DLCN trên các nền tảng mà chủ thể dữ liệu công khai thông tin cá nhân mà không có bất kỳ sự hạn chế nào và chỉ được sử dụng dữ liệu lớn thu được cho các hoạt động kinh doanh theo quy định pháp luật. (Điều 23)
(ii) Trí tuệ nhân tạo: Các tổ chức, cá nhân được sử dụng DLCN để nghiên cứu, phát triển các thuật toán tự học, trí tuệ nhân tạo và các hệ thống tự động khác và có trách nhiệm thông báo, giải thích cho chủ thể dữ liệu các thông tin cần thiết. (Điều 24)
(iii) Điện toán đám mây: Các doanh nghiệp cung cấp dịch vụ điện toán đám mây chỉ xử lý dữ liệu của khách hàng vì lợi ích và thay mặt cho khách hàng. (Điều 25)
(iv) Giám sát và tuyển dụng lao động: Người sử dụng lao động chỉ được yêu cầu cung cấp các thông tin trong danh sách nội dung đã công khai tuyển dụng hoặc hồ sơ người lao động. (Điều 26)
(v) Hoạt động tài chính, ngân hàng, tín dụng, thông tin tín dụng: Các tổ chức kinh doanh dịch vụ thông tin tín dụng, ngân hàng, bảo hiểm, tài chính, trung gian thanh toán không được cung cấp, chuyển giao trái phép DLCN cho nhau và với các tổ chức doanh nghiệp khác, trừ trường hợp được luật cho phép. (Điều 27)
(vi) Thông tin sức khỏe bảo hiểm: Các tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe không cung cấp DLCN cho các tổ chức cung cấp dịch vụ chăm sóc sức khỏe hoặc dịch vụ bảo hiểm sức khỏe, trừ khi có yêu cầu bằng văn bản của chủ thể dữ liệu. Trường hợp doanh nghiệp nhượng tái bảo hiểm và có chuyển DLCN cho đối tác cần được nêu rõ trong hợp đồng với khách hàng. (Điều 28)
(vii) Hoạt động trên mạng xã hội và dịch vụ truyền thông trực tuyến (OTT): Tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông thông qua mạng xã hội không được yêu cầu người xem chụp ảnh căn cước công dân, chứng minh nhân dân làm yếu tố xác thực tài khoản. Nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu là hành vi vi phạm pháp luật. (Điều 31)
(viii) Các loại dữ liệu đặc biệt (dữ liệu vị trí, dữ liệu sinh trắc học): Không áp dụng việc theo dõi định vị qua thẻ nhận dạng tần số vô tuyến (RFID) và các công nghệ khác trừ khi có sự đồng ý rõ ràng của chủ thể dữ liệu hoặc khi có yêu cầu pháp luật. Các tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải thông báo rõ ràng về hậu quả, rủi ro tiềm ẩn khi thu thập, xử lý dữ liệu sinh trắc của chủ thể dữ liệu. (Điều 30, Điều 32).
2. Yêu cầu chặt chẽ hơn về sự đồng ý của chủ thể dữ liệu
Dự Thảo bổ sung thêm các yêu cầu mới chặt chẽ hơn so với Nghị định 13/2023/NĐ-CP về sự đồng ý của chủ thể dữ liệu như sau:
(i) Công ty mẹ, công ty con và mỗi công ty trong thành viên tập đoàn kinh tế, tổng công ty có trách nhiệm bảo vệ DLCN độc lập theo quy định của pháp luật. Sự đồng ý của chủ thể dữ liệu đối với một công ty không đồng nghĩa với việc đồng ý cho toàn bộ các công ty trong thành viên tập đoàn kinh tế, tổng công ty xử lý DLCN (Điều 3.4).
(ii) Không được kèm theo điều kiện bắt buộc phải đồng ý chuyển giao DLCN của chủ thể dữ liệu cho các dịch vụ khác không đúng mục đích thu thập. Chủ thể dữ liệu có quyền từ chối điều kiện này (Điều 11.3).
Theo đó, tuy Dự Thảo giữ nguyên cách tiếp cận sự đồng ý của chủ thể dữ liệu tương tự như Nghị định 13/2023/NĐ-CP nhưng đã đưa ra được một số ngoại lệ nhằm hạn chế những rủi ro vi phạm cơ chế bảo vệ DLCN.
3. Quy định cụ thể các trường hợp về chuyển DLCN ra nước ngoài
Tại Điều 45, Dự Thảo đưa ra những trường hợp cụ thể được coi là các trường hợp chuyển DLCN ra nước ngoài bao gồm: (i) Chia sẻ DLCN với người nhận ở ngoài lãnh thổ nước Cộng hòa xã hội nghĩa Việt Nam; (ii) Chia sẻ DLCN tại một hội nghị, hội thảo, các cuộc họp, thảo luận ở nước ngoài; (iii) Gửi tài liệu hoặc email chứa DLCN cho người nhận ở với người nhận ở ngoài lãnh thổ nước Cộng hòa xã hội nghĩa Việt Nam; (iv) Công bố DLCN trên không gian mạng khiến người ở ngoài lãnh thổ nước Cộng hòa xã hội nghĩa Việt Nam nhận được; (v) Cung cấp DLCN cho tổ chức, doanh nghiệp, cá nhân khác để thực hiện hoạt động kinh doanh; (vi) Cung cấp DLCN thực hiện nghĩa vụ pháp lý ở nước ngoài hoặc theo pháp luật của quốc gia sở tại.
Tuy nhiên, phạm vi này khá rộng và không có quy định hạn chế. Do đó trên thực tế, có thể gây ra khó khăn cho các chủ thể chia sẻ thông tin. Ví dụ, các doanh nghiệp thường xuyên gửi email cho khách hàng nước ngoài đính kèm là các chữ ký, thông tin chứa DLCN để đảm bảo tính tin cậy, xác thực cũng có thể bị xếp vào trường hợp (iii) và phải lập Hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài. Điều đó gián tiếp ảnh hưởng đến các hoạt động được coi là hoạt động kinh doanh thường ngày các doanh nghiệp và tạo ra sự bất cập trong thực tế.
4. Những điểm đáng chú ý khác
(i) Mở rộng phạm vi áp dụng. Theo Dự thảo, Luật BVDLCN còn có thể được áp dụng đối với “Cơ quan, tổ chức, cá nhân thu thập, xử lý DLCN của người nước ngoài trên phạm vi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam” (Điều 1.2(đ)).
(ii) Bổ sung quy định về DLCN nhạy cảm, theo đó thông tin về người sử dụng đất, dữ liệu đất đai có chứa thông tin về người sử dụng đất được xem là DLCN nhạy cảm (Điều 2.4(i)).
(iii) Quy định điều khoản giải quyết xung đột với các luật khác. Trường hợp có xung đột, luật khác không quy định hoặc có quy định về bảo vệ DLCN mà khác với quy định của Luật BVDLCN thì áp dụng theo quy định của Luật BVDLCN (Điều 6.1).
(iv) Bổ sung thêm 02 hành vi bị nghiêm cấm so với Nghị định 13/2023/NĐ-CP là: (i) Thu thập, xử lý, chuyển giao DLCN trái phép và mua bán DLCN; (ii) Chuyển giao DLCN cho các tổ chức, cá nhân không phù hợp với mục đích xử lý dữ liệu (Điều 8).
(v) Yêu cầu nghiêm ngặt hơn về bảo vệ DLCN trong tiếp thị quảng cáo, đặc biệt là tuẩn thủ các quy định về phòng chống thư rác và sim rác (Điều 21, Điều 22).
(vi) Quy định rõ về điều kiện kinh doanh dịch vụ Tổ chức bảo vệ DLCN và nêu chi tiết thành phần hồ sơ đăng ký kinh doanh dịch vụ Tổ chức bảo vệ DLCN (Điều 37).
(vii) Thêm quy định về Chuyên gia Bảo vệ DLCN (Điều 38). Lưu ý, các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về Chuyên gia Bảo vệ DLCN trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp (trừ trường hợp các doanh nghiệp đó trực tiếp kinh doanh hoạt động xử lý DLCN).
(viii) Quy định dịch vụ xếp hạng tín nhiệm bảo vệ DLCN để đánh giá mức độ uy tín của các tổ chức, cá nhân có liên quan tới xử lý DLCN (Điều 41).
Chủ đề này sẽ được cập nhật liên tục trong các chuyên đề tiếp theo phù hợp với diễn biến xây dựng và ban hành luật.
Bài viết và hình ảnh: Bởi LLVN.
-------------------------------
Lawlink Việt Nam (LLVN) là hãng Luật cung cấp các giải pháp pháp lý cho các doanh nghiệp, doanh nhân về ĐẦU TƯ, hoạt động doanh nghiệp & kinh doanh, Mua bán & Sáp nhập; Tranh tụng và Giải quyết tranh chấp. Chúng tôi cung cấp dịch vụ trọn gói từ các khâu tư vấn mô hình hoạt động, đến giấy phép, hợp đồng, cấu trúc vốn và thu xếp vốn, dịch vụ kế toán & thuế, và đại diện. Các ngành mà chúng tôi thực hành liên tục gồm: Bất động sản & Xây dựng, Hạ tầng, Xử lý rác thải & môi trường, Y & Dược, Giáo dục, Fintech, Nông nghiệp, Truyền thông & Xuất bản, Thương mại điện tử.
-------------------------------
𝐂𝐨𝐧𝐭𝐚𝐜𝐭 𝐮𝐬
Website: www.lawlink.com
Instagram: lawlink.vietnam
Facebook: Lawlink Vietnam
Phone: +84 908107788
Address: Phòng 10.2, Lầu 10, Tòa nhà Vietnam Business Center, 57-59 Hồ Tùng Mậu, phường Bến Nghé, Quận 1, Thành phố Hồ Chí Minh
Komentar