Sáng 5/6, Ủy ban Thường vụ Quốc hội cho ý kiến về việc tiếp thu, giải trình, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân.

Dự thảo Luật được điều chỉnh để áp dụng đối với mọi cá nhân, cơ quan, tổ chức có liên quan đến xử lý dữ liệu cá nhân, bao gồm cả xử lý dữ liệu cá nhân trên môi trường vật lý, không chỉ môi trường mạng.

Đặc biệt, làm rõ đối tượng áp dụng là cơ quan, tổ chức, cá nhân nước ngoài trực tiếp xử lý hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam.

Xử lý vi phạm về bảo vệ dữ liệu cá nhân tùy theo tính chất, mức độ, hậu quả

Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại của Quốc hội Lê Tấn Tới cho biết, một số ý kiến đề nghị quy định cấm mua, bán dữ liệu cá nhân cho phù hợp với thực tiễn, thống nhất trong hệ thống pháp luật.

Nhiều ý kiến đề nghị cân nhắc quy định về mức phạt 1-5% doanh thu; cần quy định mức phạt tương xứng với thiệt hại hoặc lợi ích thu được từ hành vi vi phạm; đề nghị quy định cho thống nhất với pháp luật về xử lý vi phạm hành chính.

Về hành vi bị nghiêm cấm, dự thảo Luật dự kiến tiếp thu, chỉnh lý đã tập trung quy định nghiêm cấm các hành vi phổ biến, nguy cơ cao như xử lý dữ liệu cá nhân nhằm chống Nhà nước; cản trở hoạt động bảo vệ dữ liệu cá nhân.

Nghiêm cấm lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật; thu thập, lưu trữ, tiết lộ, chuyển giao dữ liệu cá nhân trái pháp luật; mua, bán dữ liệu cá nhân (trừ trường hợp luật có quy định khác); chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Về xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân, dự thảo Luật xác định nguyên tắc xử lý là tùy theo tính chất, mức độ, hậu quả mà bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường.

Về mức phạt hành chính, do tính chất và hậu quả nghiêm trọng của hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân nên cần quy định mức phạt cao hơn để bảo đảm tính răn đe đối với các doanh nghiệp lớn, đặc biệt là các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng nghìn tỷ đồng.

Trên cơ sở tham khảo kinh nghiệm của Liên minh châu Âu và một số quốc gia, dự thảo quy định theo hướng đối với hành vi mua, bán dữ liệu cá nhân, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm.

Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa 5% doanh thu năm liền trước; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 3 tỷ đồng.

Quang cảnh phiên họp. (Ảnh: DUY LINH)

Cũng theo Chủ nhiệm Lê Tấn Tới, có ý kiến đề nghị rà soát để bảo đảm thống nhất với quy định chuyển dữ liệu xuyên biên giới trong Luật Dữ liệu, phù hợp cam kết quốc tế, không tạo rào cản hành chính và để thúc đẩy thương mại số.

Do đó, đề nghị bổ sung các điều kiện khi chuyển dữ liệu ra nước ngoài; các trường hợp cần cập nhật ngay hồ sơ đánh giá tác động để bảo đảm tính chặt chẽ; quy định phù hợp xu thế hội nhập, giảm chi phí tuân thủ cho doanh nghiệp.

Dự thảo Luật quy định áp dụng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và chỉ kiểm tra khi cần thiết, thay vì yêu cầu xin phép trước trong đa số trường hợp, tạo thuận lợi cho doanh nghiệp.

Quy định mức phạt cao hơn để bảo đảm tính răn đe

Báo cáo giải trình thêm tại phiên họp, về việc cấm mua bán dữ liệu cá nhân, Thứ trưởng Công an Lê Quốc Hùng cho biết, trong bối cảnh chuyển đổi số, khai phá tiềm năng của dữ liệu, trong đó có dữ liệu cá nhân, Chính phủ thấy rằng đây là nguồn tư liệu sản xuất quan trọng trong phát triển kinh tế số.

Tuy nhiên, dữ liệu cá nhân cần được sử dụng hiệu quả, hợp lý, phù hợp với nguyên tắc bảo vệ quyền con người, quyền công dân. Dự thảo Luật lần này cấm mua, bán dữ liệu cá nhân trừ trường hợp luật có quy định khác.

Thứ trưởng Công an nêu rõ, nếu cho phép mua bán dữ liệu cá nhân thì đồng nghĩa với cho phép mua bán con người, mua bán quyền con người, quyền định đoạt thông tin cá nhân của người khác.

Quan điểm cấm mua bán dữ liệu cá nhân phù hợp với thông lệ quốc tế và quy định của các nước về bảo vệ dữ liệu cá nhân.

Đặc biệt, nhận thức về bảo vệ dữ liệu cá nhân của nhiều tổ chức, doanh nghiệp, cá nhân hiện nay còn nhiều hạn chế. Tầm quan trọng của bảo vệ dữ liệu cá nhân chưa được thực hiện đầy đủ, tạo ra những vùng xám trong việc sử dụng dữ liệu cá nhân.

Thứ trưởng Công an, Thượng tướng Lê Quốc Hùng. (Ảnh: DUY LINH)

"Gần đây trong các vụ án lừa đảo chiếm đoạt tài sản quy mô lớn được Bộ Công an triệt phá và đang điều tra thì yếu tố lộ lọt, mua bán dữ liệu cá nhân là nguyên nhân chính để hình thành những chợ đen về dữ liệu cá nhân rất phức tạp" - Thứ trưởng Lê Quốc Hùng thông tin.

Nguồn thu thập dữ liệu cá nhân trái phép có thể đến từ hoạt động tấn công, chiếm đoạt, chuyển giao trái phép. Mua bán dữ liệu cá nhân còn sử dụng công nghệ cao để phục vụ mục đích của các loại tội phạm.

Để bảo đảm sự phân định rõ ràng, tránh việc lách luật, dự thảo Luật đã bổ sung các quy định cấm sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái pháp luật.

Dự thảo luật bổ sung Điều 17 về chuyển giao dữ liệu cá nhân, trong đó có quy định việc chuyển giao dữ liệu cá nhân trong các trường hợp quy định tại khoản 1 điều này có thu phí hoặc không thu phí thì không được xác định là mua, bán dữ liệu cá nhân.

Do tính chất, hậu quả rất nghiêm trọng của hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân nên cần quy định mức phạt cao hơn để bảo đảm tính răn đe với các doanh nghiệp lớn, đặc biệt là tập đoàn đa quốc gia hoặc doanh nghiệp có công nghệ cao có doanh thu hàng nghìn tỷ đồng.

Nếu phạt quá nhẹ, các doanh nghiệp lớn, doanh nghiệp xuyên biên giới sẽ sẵn sàng vi phạm để thu lợi, chuyển giao dữ liệu cá nhân xuyên biên giới.

Qua nghiên cứu, Chính phủ nhận thấy nhiều quốc gia cũng quy định xử phạt cao, rất cao trong lĩnh vực này như Mỹ, Singapore, Indonesia... Những nước này quy định xử phạt theo % doanh thu, mức phạt tiền của họ dao động hiện nay có vụ 4 tỷ đồng, có vụ đến 584 tỷ đồng.

Do đó, dự thảo Luật điều chỉnh theo hướng tăng mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỷ đồng; sửa đổi Luật Xử lý vi phạm hành chính (đang xem xét tại Kỳ họp thứ 9) theo hướng mức phạt tiền tối đa cho lĩnh vực bảo vệ dữ liệu cá nhân sẽ được thực hiện theo quy định của Luật Bảo vệ dữ liệu cá nhân.

Ngoài ra, đối với hành vi mua, bán dữ liệu cá nhân, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm. Trường hợp không có khoản thu trái pháp luật thì áp dụng mức phạt tiền tối đa 3 tỷ đồng.