Hiện nay, vấn đề bảo vệ dữ liệu cá nhân được quy định tại Nghị định 13/2023/NĐ-CP. Tuy nhiên, thực tiễn áp dụng Nghị định này cho thấy cần phải có một văn bản luật chuyên biệt để bảo vệ dữ liệu cá nhân một cách toàn diện, đảm bảo tính nhất quán với hệ thống pháp luật trong nước, và tương thích với các thông lệ, pháp luật quốc tế.

Để đáp ứng yêu cầu đó, Bộ Công an đã xây dựng Dự thảo Luật Bảo vệ dữ liệu cá nhân, hiện đang được lấy ý kiến từ người dân và dự kiến sẽ trình Quốc hội thông qua tại Kỳ họp thứ 9 vào tháng 05 năm 2025.

Luật sư Phương Uyên, Văn phòng Luật sư Nguyễn Hưng Quang và Cộng sự sẽ giới thiệu một số điểm nổi bật trong Dự thảo Luật này:

Nghe âm thanh tại đây:

Thứ nhất, quy định về đối tượng áp dụng

Khi Dự thảo luật hay luật được xây dựng, điều quan trọng trước hết cần xác định đối tượng luật đó nhắm tới, tức là những ai hoặc những gì sẽ chịu sự điều chỉnh từ luật.

Trong Dự thảo Luật bảo vệ dữ liệu cá nhân, các nhóm đối tượng gồm:

i. Cơ quan, tổ chức, cá nhân Việt Nam, bao gồm trường hợp hoạt động ở nước ngoài;

ii. Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam hoặc có hoạt động xử lý dữ liệu cá nhân tại Việt Nam;

iii. Cơ quan, tổ chức, cá nhân thu thập và xử lý dữ liệu cá nhân của người nước ngoài trên lãnh thổ Việt Nam.

So với Nghị định 13, Dự thảo Luật bổ sung nhóm đối tượng thứ ba, điều này cho thấy việc bảo vệ dữ liệu cá nhân không chỉ áp dụng đối với công dân Việt Nam mà còn mở rộng đối với người nước ngoài sống, làm việc hoặc có liên quan đến hoạt động tại Việt Nam.

Thứ hai, quy định về định nghĩa dữ liệu cá nhân

Các định nghĩa như dữ liệu cá nhân, dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm tại Nghị định 13, nay đã được ghi nhận tại Dự thảo Luật.

Điểm mới Dự thảo Luật đã bổ sung - trường thông tin về người sử dụng đất, dữ liệu đất đai có chứa thông tin về người sử dụng đất được phân loại là một loại dữ liệu cá nhân nhạy cảm.

Các định nghĩa này được quy định nhằm đảm bảo phù hợp với các văn bản pháp luật liên quan như Bộ luật Dân sự 2015, Luật Căn cước 2023, Luật Khám bệnh, chữa bệnh 2023, và phản ánh tầm quan trọng của từng loại dữ liệu cá nhân.

Thứ ba, quy định về nguyên tắc bảo vệ dữ liệu cá nhân

Ngoài việc kế thừa các nguyên tắc từ Nghị định 13, Dự thảo Luật còn có một số điểm đáng chú ý như:

Tại khoản 1 Điều 3 Dự thảo Luật nhấn mạnh rằng “Dữ liệu cá nhân không được mua, bán dưới mọi hình thức” . Với nguyên tắc này, đây chính là cơ sở pháp lý để ngăn chặn và áp dụng chế tài đối với các hành vi mua bán dữ liệu cá nhân, nhất là đối với những dữ liệu nhạy cảm.

Tại khoản 4 Điều 3, Dự thảo Luật bổ sung quy định về trách nhiệm bảo vệ dữ liệu cá nhân độc lập giữa công ty mẹ, công ty con, và mỗi thành viên trong tập đoàn. Đồng ý của chủ thể dữ liệu đối với một công ty không đồng nghĩa với việc cho phép toàn bộ các công ty trong tập đoàn đó xử lý dữ liệu cá nhân. Nguyên tắc này vừa đảm bảo tính minh bạch, vừa yêu cầu trách nhiệm riêng biệt của từng công ty trong tập đoàn. Tuy nhiên, nguyên tắc này cũng đặt ra thách thức trong việc quản lý dữ liệu đối với các tập đoàn lớn, nơi việc chia sẻ dữ liệu nội bộ thường đóng vai trò quan trọng trong vận hành và phát triển kinh doanh.

Do đó, doanh nghiệp cần tính đến việc xây dựng cơ chế quản lý dữ liệu, tối ưu hóa quy trình để tuân thủ khi nguyên tắc này được thông qua và có hiệu lực.

Thứ tư, quy định bảo vệ dữ liệu cá nhân trong một số hoạt động cụ thể

Một là, trong giám sát và tuyển dụng lao động:

Điều 26 Dự thảo luật quy định nghĩa vụ của doanh nghiệp như sau:

i. Chỉ được yêu cầu cung cấp các thông tin trong danh sách nội dung đã công khai tuyển dụng hoặc hồ sơ người lao động (NLĐ);

ii. Các thông tin đó được xử lý theo quy định và phải được sự đồng ý của chủ thể dữ liệu;

iii. Hồ sơ NLĐ được lưu trữ có thời hạn và phải được xóa khi không còn yêu cầu hoặc kết thúc thời gian theo quy định;

iv. Khi dữ liệu cá nhân của NLĐ được cập nhật lên hệ thống dữ liệu NLĐ toàn cầu:

· Pháp nhân thu thập và xử lý dữ liệu phải chứng minh được việc thu thập và xử lý dữ liệu là hợp pháp;

· Chủ thể dữ liệu chịu trách nhiệm về tính hợp pháp của thông tin do mình cung cấp.

v. Các công ty nước ngoài tuyển dụng và xử lý dữ liệu cá nhân của NLĐ Việt Nam đang sống, làm việc tại Việt Nam phải:

· Tuân thủ quy định của pháp luật Việt Nam,

· Có văn bản thỏa thuận với công ty đầu tư trong nước về việc xử lý dữ liệu cá nhân và

· Cung cấp bản sao dữ liệu khi cần.

Hiện nay quy định bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động đang là mối quan tâm của các doanh nghiệp. Khi Dự thảo Luật được thông qua, quy định mới này sẽ là tiền đề để doanh nghiệp và NLĐ thực hiện.

Hai là, trong dịch vụ mạng xã hội và truyền thông

Tại Điều 31 Dự thảo luật quy định tổ chức, cá nhân cung cấp dịch vụ có trách nhiệm:

i. Bảo vệ dữ liệu cá nhân của công dân Việt Nam khi hoạt động tại thị trường Việt Nam hoặc trong các ứng dụng di động cung cấp cho thị trường này;

ii. Thông báo rõ ràng về các dữ liệu thu thập. Không thu thập dữ liệu trái phép hoặc ngoài thỏa thuận với khách hàng;

iii. Không yêu cầu người dùng chụp ảnh CCCD, CMND để xác thực tài khoản;

iv. Cung cấp tùy chọn cho phép người dùng từ chối thu thập và chia sẻ cookies;

v. Phải có tùy chọn “không theo dõi” hoặc chỉ theo dõi khi có sự đồng ý;

vi. Thông báo bằng văn bản về việc chia sẻ dữ liệu cũng như áp dụng biện pháp bảo mật trong quảng cáo và tiếp thị;

vii. Không nghe lén, nghe trộm, ghi âm cuộc gọi hay đọc tin nhắn khi chưa có sự đồng ý từ người dùng.

Như vậy, với các quy định này thì các nền tảng quốc tế như Meta, Youtube, Tiktok bắt buộc phải tuân thủ khi hoạt động hoặc xuất hiện trên kho ứng dụng tại Việt Nam. Việc xác thực tài khoản bằng cách yêu cầu chụp ảnh CCCD, CMND cũng bị cấm.

Nhìn chung, các quy định trong các hoạt động cụ thể nêu trên hướng tới bảo vệ quyền riêng tư của cá nhân, minh bạch hóa quá trình thu thập và xử lý dữ liệu, qua đó đảm bảo việc tuân thủ pháp luật Việt Nam, kể cả với các công ty nước ngoài hoạt động tại Việt Nam.

Thứ năm, quy định về chuyển dữ liệu cá nhân ra nước ngoài

Tại khoản 1 Điều 45 Dự thảo Luật bổ sung cụ thể các trường hợp sau:

i. Chia sẻ dữ liệu cá nhân với người nhận ở ngoài lãnh thổ Việt Nam;

ii. Chia sẻ dữ liệu cá nhân tại hội nghị, hội thảo, cuộc họp, thảo luận ở nước ngoài;

iii. Gửi tài liệu hoặc email chứa dữ liệu cá nhân cho người nhận ở ngoài lãnh thổ Việt Nam;

iv. Công bố dữ liệu cá nhân trên không gian mạng khiến người ở ngoài lãnh thổ Việt Nam nhận được;

v. Cung cấp dữ liệu cá nhân cho tổ chức, doanh nghiệp, cá nhân khác để thực hiện hoạt động kinh doanh;

vi. Cung cấp dữ liệu cá nhân để thực hiện nghĩa vụ pháp lý ở nước ngoài hoặc theo pháp luật của quốc gia sở tại.

Có thể thấy các trường hợp như chia sẻ dữ liệu tại hội nghị, gửi tài liệu qua email, hay công bố dữ liệu trên không gian mạng đã phản ánh thực tiễn hoạt động trong môi trường toàn cầu hiện nay.

Việc quy định cụ thể các trường hợp trên sẽ giúp tổ chức, doanh nghiệp và cá nhân dễ dàng biết được trường hợp của mình để tuân thủ. Tuy nhiên, với yêu cầu khắt khe về thủ tục lập, gửi, quản lý hồ sơ đánh giá tác động cũng như việc kiểm tra thường niên mỗi năm một lần của cơ quan chuyên trách mà Dự thảo Luật kế thừa từ Nghị định 13 có thể tạo ra thách thức cho tổ chức và doanh nghiệp.

Do đó, để đảm bảo tính khả thi trong thực tế, cần có hướng dẫn chi tiết cho các tổ chức, doanh nghiệp trong quá trình triển khai sau khi Luật này được thông qua.