THÔNG TIN PHỔ BIẾN GIÁO DỤC PHÁP LUẬT

I. SỰ CẦN THIẾT BAN HÀNH VĂN BẢN 

1. Về cơ sở chính trị 

Thời gian gần đây, Đảng và Nhà nước đã ban hành nhiều văn bản chỉ đạo vấn đề này, theo hướng bảo đảm an ninh mạng lấy con người, trí tuệ con người làm trung tâm, là nhân tố quyết định, hoàn thiện hành lang pháp lý trong bảo vệ dữ liệu cá nhân. Bảo vệ dữ liệu cá nhân được tiến hành song song, đồng thời với sự phát triển kinh tế, xã hội, đi liền với tất cả các khâu, quá trình nhưng phải đảm bảo không hạn chế sự phát triển, đổi mới và sáng tạo. 

Nghị quyết số 27-NQ/TW ngày 09/11/2022 của Hội nghị lần thứ sáu Ban Chấp hành Trung ương Đảng khóa XIII về tiếp tục xây dựng và hoàn thiện Nhà nước pháp quyền xã hội chủ nghĩa Việt Nam trong giai đoạn mới đã khẳng định quan điểm “...lấy con người là trung tâm, mục tiêu, chủ thể và động lực phát triển đất nước; Nhà nước tôn trọng, bảo đảm, bảo vệ quyền con người, quyền công dân” với mục tiêu “Hoàn thiện cơ bản các cơ chế bảo đảm quyền làm chủ của Nhân dân, bảo đảm và bảo vệ quyền con người, quyền công dân. Hệ thống pháp luật dân chủ, công bằng, nhân đạo, đầy đủ, đồng bộ, thống nhất, kịp thời, khả thi, công khai, minh bạch, ổn định, dễ tiếp cận, mở đường cho đổi mới sáng tạo, phát triển bền vững và cơ chế tổ chức thực hiện pháp luật nghiêm minh, nhất quán”.

Nghị quyết số 57-NQ/TW ngày 22/12/2024 của Bộ Chính trị về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia đã nêu quan điểm chỉ đạo “3. Thể chế, nhân lực, hạ tầng, dữ liệu và công nghệ chiến lược là những nội dung trọng tâm, cốt lõi, trong đó thể chế là điều kiện tiên quyết, cần hoàn thiện và đi trước một bước. Đổi mới tư duy xây dựng pháp luật bảo đảm yêu cầu quản lý và khuyến khích đổi mới sáng tạo, loại bỏ tư duy "không quản được thì cấm"”. 

2. Về cơ sở pháp lý

Ngày 02/10/2024, Chính phủ ban hành Nghị quyết số 174/NQ-CP về phiên họp chuyên đề về xây dựng pháp luật tháng 9 năm 2024, trong đó Chính phủ “thống nhất về sự cần thiết xây dựng Luật và giao Bộ Công an chủ trì, phối hợp với Bộ Tư pháp, Văn phòng Chính phủ và các cơ quan liên quan hoàn thiện hồ sơ Đề nghị xây dựng Luật gửi Bộ Tư pháp tổng hợp để trình Ủy ban Thường vụ Quốc hội bổ sung dự án Luật này vào Chương trình xây dựng luật, pháp lệnh năm 2025 của Quốc hội. Ngày 11/12/2024, Ủy ban Thường vụ Quốc hội ban hành Nghị quyết số 59/2024/UBTVQH15 điều chỉnh Chương trình xây dựng luật, pháp lệnh năm 2025, trong đó, bổ sung dự án Luật Bảo vệ dữ liệu cá nhân vào Chương trình xây dựng luật, pháp lệnh năm 2025, trình Quốc hội cho ý kiến tại Kỳ họp thứ 9 (tháng 5/2025) và thông qua tại Kỳ họp thứ 10 (tháng 10/2025).

3. Về cơ sở thực tiễn

3.1. Hạn chế, bất cập của quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân

Theo thống kê của Bộ Công an, có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 04 Bộ luật; 39 Luật, 01 Pháp lệnh; 19 Nghị định; 04 Thông tư/Thông tư liên tịch; 01 Quyết định của Bộ trưởng. Tuy nhiên, dù có tới 69 văn bản nhưng tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân, chỉ có Nghị định số 13/2023/NĐ-CP ngày 17/4/2024 của Chính phủ về bảo vệ dữ liệu cá nhân (Nghị định số 13/2023/NĐ-CP) đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Tuy nhiên, đây mới chỉ là văn bản Nghị định, chưa phải văn bản Luật nên cần thống nhất thực hiện trong thực tiễn, cần có văn bản Luật làm “luật gốc”, mang tính nguyên tắc, góp phần tiếp tục thể chế hóa quy định của Hiến pháp và pháp luật về quyền bảo vệ bí mật cá nhân, quyền con người, quyền công dân, an ninh mạng bảo đảm sự đồng bộ, thống nhất trong hệ thống pháp luật.

Hiến pháp năm 2013 đã kế thừa các quy định của các bản Hiến pháp trước đây, khẳng định quyền riêng tư của cá nhân là bất khả xâm phạm, đồng thời phát triển mở rộng phạm vi quyền riêng tư không chỉ là quyền bất khả xâm phạm về thân thể, nhà ở, thư tín mà còn bao gồm quyền bảo vệ bí mật cá nhân, trong đó có thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình (Điều 21). Hiện nay, trong hệ thống pháp luật Việt Nam chỉ có 01 văn bản là Nghị định số 13/2023/NĐ-CP đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân, chưa có văn bản Luật nào quy định về vấn đề này. Tuy nhiên, phạm vi điều chỉnh của Nghị định chưa bao quát hết các lĩnh vực, quan hệ của đời sống, xã hội, chưa tương thích với các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình được nêu trong Hiến pháp năm 2013, cùng các quy định liên quan tới “thông tin cá nhân”, “thông tin riêng”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin bí mật đời tư” được nêu trong một số văn bản Luật hiện hành. 

Đối với việc bảo vệ dữ liệu cá nhân trên môi trường truyền thống, qua rà soát pháp luật cho thấy việc bảo vệ dữ liệu cá nhân trên môi trường truyền thống, bao gồm dữ liệu cá nhân trong các tài liệu, hồ sơ, bệnh án ở trên giấy đang chưa được quy định cụ thể trong bất kỳ văn bản pháp luật hiện hành nào, đặc biệt là thiếu vắng các quy định chi tiết và chỉ rõ các biện pháp bảo vệ quyền của chủ thể dữ liệu. Các quy định pháp luật hiện đang có hiệu lực, sau khi đã loại trừ các văn bản tập trung vào đối tượng là dữ liệu cá nhân trên môi trường mạng, mới chỉ có  quy định chung về bảo vệ bí mật cá nhân, bí mật gia đình, thông tin về đời sống riêng tư không kể hình thức chứa đựng thông tin là trên các phương tiện điện tử hay hồ sơ giấy. Gần đây nhất, Luật Lưu trữ năm 2024, mặc dù đã quy định những nguyên tắc lưu trữ và quyền, nghĩa vụ của các chủ thể có liên quan, cũng không đề cập đến việc bảo vệ dữ liệu cá nhân. Một trong các nguyên tắc lưu trữ mà các bên phải tuân thủ là “Bảo đảm quyền tiếp cận thông tin của công dân đối với tài liệu lưu trữ theo quy định của Hiến pháp và pháp luật”, dẫn sang khoản 2, 3 Điều 7 Luật Tiếp cận thông tin năm 2016, nội dung của quy định này chỉ đề cập đến quyền đồng ý của chủ thể dữ liệu.

Theo quy định của Hiến pháp năm 2013, chỉ có văn bản luật được quyền quy định các nội dung liên quan tới hạn chế quyền con người, quyền công dân. Dự thảo Luật Bảo vệ dữ liệu cá nhân dự kiến quy định một số trường hợp liên quan tới tiết lộ, xử lý dữ liệu cá nhân khi chưa được sự đồng ý của chủ thể dữ liệu, có khả năng ảnh hưởng tới quyền con người. Mặc dù đã được Ủy ban Thường vụ Quốc hội đồng ý, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP quy định một số trường hợp tại Điều 17. Tuy nhiên, về mặt pháp lý và để bảo đảm quy phạm đầy đủ các trường hợp khác trong thực tiễn, cần ban hành Luật Bảo vệ dữ liệu cá nhân để quy định các nội dung nêu trên.

Pháp luật bảo vệ dữ liệu cá nhân nước ta đã có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân, chưa có quy định chế tài để bảo vệ dữ liệu cá nhân gắn cụ thể với các quyền của chủ thể dữ liệu, cụ thể: 

- Về chế tài hình sự: Chưa có chế tài hình sự điều chỉnh vi phạm về bảo vệ dữ liệu cá nhân, mua, bán dữ liệu cá nhân. Hiện vi phạm các quy định về thông tin cá nhân có thể bị xử phạt hình sự theo 02 tội danh tại Điều 159 và Điều 288, với án tù giam cao nhất là 07 năm theo quy định của Bộ Luật Hình sự 2015 (sửa đổi, bổ sung năm 2017). Hầu hết các vụ việc buôn bán dữ liệu cá nhân đang được hoàn thiện theo hướng chứng minh 02 tội danh này. Tuy nhiên, do chưa quy định cụ thể về các yếu tố cấu thành trong hoạt động mua, bán dữ liệu cá nhân, nhất là hoạt động có sự trung gian qua nhiều cá nhân, tổ chức nên khó chứng minh tội phạm. 

- Về chế tài dân sự: Quyền bảo vệ thông tin cá nhân xét dưới góc độ dân sự khi bị xâm phạm đều có thể thực hiện phương thức tự bảo vệ hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các hoạt động theo quy định tại Bộ luật Dân sự năm 2015 như công nhận, tôn trọng, bảo vệ và bảo đảm quyền dân sự của mình; buộc chấm dứt hành vi xâm phạm; buộc xin lỗi, cải chính công khai; buộc thực hiện nghĩa vụ hoặc buộc bồi thường thiệt hại; hủy quyết định cá biệt trái pháp luật của cơ quan, tổ chức, người có thẩm quyền. Bên cạnh đó, một số văn bản pháp luật chuyên ngành cũng có quy định về bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân (Luật công nghệ thông tin năm 2006), làm lộ bí mật thông tin trong đơn đăng ký sáng chế, đơn đăng ký kiểu dáng công nghiệp (Luật sở hữu trí tuệ năm 2005). Tuy nhiên, xét dưới góc độ dữ liệu cá nhân gắn với các quyền của chủ thể dữ liệu theo thông lệ quốc tế hiện chưa có các chế tài dân sự điều chỉnh trực tiếp, thống nhất. 

- Về chế tài hành chính: Chưa có chế tài xử phạt vi phạm hành chính về dữ liệu cá nhân. Các hành vi vi phạm, xâm hại đến thông tin cá nhân đã có nhưng nằm rải rác ở nhiều văn bản khác nhau.   

Luật Bảo vệ dữ liệu cá nhân sẽ quy phạm đầy đủ các quyền của chủ thể dữ liệu, bảo vệ dữ liệu cá nhân, các hành vi vi phạm quy định sẽ được căn cứ vào Luật để đề xuất các hình thức, biện pháp xử lý phù hợp.

3.2. Những vấn đề mới phát sinh về bảo vệ dữ liệu cá nhân đặt ra yêu cầu giải quyết thông qua việc ban hành Luật

Qua thực tiễn triển khai công tác bảo vệ dữ liệu cá nhân theo Nghị định số 13/2023/NĐ-CP thấy, hiện có nhiều tổ chức, doanh nghiệp thu thập thừa dữ liệu cá nhân so với ngành nghề, sản phẩm, dịch vụ kinh doanh, thiếu cơ sở pháp lý khi thu thập dữ liệu cá nhân, không xác định được các luồng xử lý dữ liệu. Nhiều hoạt động thu thập, xử lý dữ liệu cá nhân mà chưa có sự đồng ý của chủ thể dữ liệu, không thể lấy ý kiến về sự đồng ý đối với những dữ liệu cá nhân đã thu thập. Điều đó cho thấy, các quyền cơ bản của công dân đối với dữ liệu cá nhân chưa được bảo đảm, công dân chưa biết cách tự bảo vệ, chưa biết cách khiếu kiện, phản đối, yêu cầu bồi thường thiệt hại khi có hành vi vi phạm pháp luật, xâm hại tới quyền và lợi ích hợp pháp của mình. Luật Bảo vệ dữ liệu cá nhân sẽ là cơ sở pháp lý ghi nhận các quyền của công dân đối với dữ liệu cá nhân, góp phần nâng cao nhận thức và hoàn thiện cơ chế thực thi bảo vệ các quyền công dân.

Bên cạnh đó, việc thực hiện các nghĩa vụ trong quá trình xử lý dữ liệu cá nhân, như: xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, thông báo vi phạm về bảo vệ dữ liệu cá nhân vẫn còn nhiều lúng túng, chậm trễ; công tác đào tạo, tập huấn về bảo vệ dữ liệu cá nhân trong các tổ chức chưa được tiến hành thường xuyên. Việc thay đổi quy trình làm việc, chính sách hiện hành của tổ chức, doanh nghiệp phù hợp với quy định về bảo vệ dữ liệu cá nhân đã được quan tâm nhưng chưa được triển khai đúng mức; việc cung cấp các giải pháp kỹ thuật bảo vệ dữ liệu cá nhân còn hạn chế, thiếu tiêu chí đánh giá các giải pháp kỹ thuật đáp ứng được yêu cầu bảo vệ dữ liệu cá nhân. Những hạn chế, thiếu hiệu quả khi triển khai tuân thủ Nghị định số 13/2023/NĐ-CP sẽ được giải quyết thông qua việc bổ sung, chỉnh sửa các quy định trong Luật Bảo vệ dữ liệu cá nhân theo hướng đầy đủ, rõ ràng hơn và sẽ được cụ thể hóa trong các văn bản của Chính phủ hướng dẫn chi tiết thi hành Luật. 

Trong bối cảnh chuyển đổi số diễn ra sâu rộng trên hầu hết các lĩnh vực, dữ liệu cá nhân được chuyển lên môi trường điện tử thường xuyên, liên tục dẫn đến tình trạng lộ, mất dữ liệu cá nhân diễn ra phổ biến trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai. Mặc dù Nghị định số 13/2023/NĐ-CP đã quy định dữ liệu cá nhân không được mua, bán dưới mọi hình thức, thực tế tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. 

Hoạt động mua, bán dữ liệu cá nhân diễn ra dưới nhiều hình thức, như: (1) Doanh nghiệp không có thỏa thuận xử lý dữ liệu cá nhân chặt chẽ với đối tác, để đối tác chuyển giao, bán cho các đối tác khác; (2) Chủ động thu thập, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán; (3) Rao bán dữ liệu cá nhân số lượng lớn, có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua; (4) Lập doanh nghiệp vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; (5) Tấn công, xâm nhập hệ thống thông tin để chiếm đoạt dữ liệu cá nhân, tán phát mã độc thu thập dữ liệu cá nhân trên môi trường mạng. Bộ Công an phát hiện, đấu tranh, xử lý một số đường dây chiếm đoạt, mua bán dữ liệu cá nhân quy mô lớn tại Việt Nam (lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm). Trong năm 2023, phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên các nền tảng, diễn đàn (BreachedForums, Telegram, Facebook); cung cấp dịch vụ tra cứu dữ liệu dữ liệu cá nhân công dân Việt Nam (dữ liệu thời gian thực). 

Thực trạng trên đặt ra yêu cầu cấp bách trong hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân mang tính thống nhất, đồng bộ trong hệ thống pháp luật, nâng cao nhận thức, ý thức về hoạt xử lý dữ liệu cá nhân hiện nay song hành với công tác bảo vệ dữ liệu cá nhân và có các quy định rõ ràng về việc bảo đảm các quyền của chủ thể dữ liệu. Luật Bảo vệ dữ liệu cá nhân sẽ giúp nâng cao nhận thức của tất các cả đối tượng (cá nhân, cơ quan, tổ chức, doanh nghiệp) về quyền, trách nhiệm, nghĩa vụ bảo vệ dữ liệu cá nhân. Các chế tài được áp dụng sau khi ban hành Luật cũng mang tính răn đe, nâng cao ý thức thượng tôn pháp luật, tôn trọng và tuân thủ các quy định trong hoạt động xử lý dữ liệu cá nhân. 

Trong nhiều lĩnh vực tại Việt Nam, hồ sơ giấy vẫn là phương tiện lưu trữ dữ liệu cá nhân phổ biến. Việc thiếu các quy định cụ thể về bảo vệ dữ liệu trên môi trường này đã dẫn đến nhiều trường hợp vi phạm và rủi ro tiềm tàng. Đặc biệt, trong bối cảnh chuyển đổi từ dữ liệu vật lý sang dữ liệu điện tử (số hóa), nếu không có quy định rõ ràng và thống nhất cho cả hai dạng dữ liệu, quá trình này có thể phát sinh nhiều rủi ro, bao gồm suy giảm chất lượng dữ liệu, mất mát thông tin và vi phạm bảo mật. Thực tế, nhiều tổ chức, doanh nghiệp vẫn duy trì hệ thống lưu trữ song song giữa dữ liệu trên môi trường mạng và dữ liệu vật lý. Việc pháp luật hiện hành chủ yếu tập trung vào bảo vệ dữ liệu cá nhân trên môi trường điện tử, trong khi chưa có quy định chặt chẽ cho dữ liệu vật lý, đã dẫn đến sự bất đồng trong việc áp dụng các biện pháp bảo vệ đồng bộ. Những quy định này không chỉ gây khó khăn cho việc quản lý và chuyển đổi dữ liệu giữa các hệ thống mà còn tạo ra lỗ hổng pháp lý dễ bị lợi dụng. Đặc biệt, khi quy định bảo vệ dữ liệu chỉ tập trung vào môi trường điện tử, người quản lý dữ liệu có thể lợi dụng kẽ hở này để hủy dữ liệu trên hệ thống mạng nhưng vẫn giữ lại bản giấy nhằm tránh bị giám sát chặt chẽ, từ đó làm gia tăng rủi ro về bảo mật thông tin và xâm phạm quyền riêng tư của chủ thể dữ liệu.

Điển hình như trong ngành y tế, hồ sơ bệnh án của bệnh nhân chứa nhiều thông tin nhạy cảm như tiền sử bệnh, thông tin cá nhân và gia đình. Tuy nhiên, việc lưu trữ hồ sơ giấy tại các bệnh viện và phòng khám thường không được bảo vệ chặt chẽ, dẫn đến nguy cơ rò rỉ thông tin. Thực tế đã có nhiều trường hợp thông tin bệnh án bị lộ lọt và sử dụng cho mục đích thương mại, chẳng hạn như các công ty bảo hiểm tiếp cận thông tin sức khỏe của bệnh nhân để đánh giá mức phí bảo hiểm. Trong lĩnh vực lao động, các doanh nghiệp và cơ quan nhà nước thường lưu trữ hồ sơ nhân sự dưới dạng giấy, bao gồm thông tin cá nhân, lý lịch, hợp đồng lao động và thông tin tài chính. Tuy nhiên, không có quy định cụ thể về việc bảo vệ những hồ sơ này, dẫn đến nguy cơ truy cập trái phép và rò rỉ thông tin. Các trường học cũng lưu trữ hồ sơ học sinh, sinh viên bằng hồ sơ giấy, bao gồm thông tin cá nhân, kết quả học tập và các dữ liệu liên quan. 

3.3. Hài hòa với thông lệ, quy định quốc tế về bảo vệ dữ liệu cá nhân

Bảo vệ dữ liệu cá nhân là vấn đề được các tổ chức và nhiều quốc gia trên thế giới quan tâm và đi trước nước ta trong thời gian khá dài, có nhiều kinh nghiệm pháp lý và thực tiễn triển khai thi hành để tiếp thu. Hiện nay, đã có hơn 130 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân, nhiều văn bản có quy định áp dụng đối với tổ chức, cá nhân Việt Nam. Do hệ thống pháp luật, trình độ nhận thức, kinh tế, xã hội khác nhau nên việc tiếp thu các quy định, tiền lệ về bảo vệ dữ liệu cá nhân cần bảo đảm yếu tố hài hòa, trên cơ sở phù hợp với thực tiễn của nước ta, nhưng cũng bảo đảm sự tương thích về mặt pháp lý cho doanh nghiệp trong và ngoài nước thuận lợi triển khai. Một số công ước, khuyến nghị và tiêu chuẩn khu vực về quyền riêng tư và bảo vệ thông tin và dữ liệu cá nhân mặc dù nước ta chưa phải thành viên nhưng có thể được nghiên cứu, tiếp thu có chọn lọc. 

Về cơ bản, quyền được bảo vệ dữ liệu cá nhân trong dự thảo Luật được tiếp cận và phát triển từ quyền riêng tư – với tư cách là quyền cơ bản của con người. Đây cũng là cách tiếp cận đã được pháp luật nhiều nước trên thế giới công nhận và có cơ chế bảo vệ trước sự xâm phạm từ phía nhà nước cũng như từ các chủ thể khác; thống nhất nguyên tắc dữ liệu cá nhân được bảo vệ và các chủ thể khác chỉ được sử dụng dữ liệu cá nhân khi được chủ thể dữ liệu cá nhân cho phép trừ các trường hợp luật định; các hành vi xâm phạm quyền đối với dữ liệu cá nhận bị xử lý hành chính, hình sự và chủ thể dữ liệu cá nhân bị xâm phạm có quyền yêu cầu bồi thường. Dự thảo Luật đảm bảo tương thích với các điều ước quốc tế về quyền con người như: (i) các điều ước về quyền con người như Tuyên ngôn quốc tế nhân quyền năm 1948 (Điều 12), Công ước quốc tế về các quyền dân sự và chính trị năm 1966 (ICCPR, Điều 17), Công ước của Liên hợp quốc về quyền trẻ em (Điều 16), Công ước về quyền của người khuyết tật (Điều 22). Bên cạnh đó, dự thảo Luật quy định quy định về lưu chuyển dữ liệu qua biên giới phù hợp với (ii) các hiệp định thương mại tự do thế hệ mới (FTAs) như Hiệp định thương mại tự do giữa Việt Nam và Liên minh châu Âu; Hiệp định Đối tác Toàn diện và Tiến bộ xuyên Thái Bình Dương... 

3.4. Phát triển kinh tế xã hội, tạo nền tảng pháp lý cho hoạt động kinh doanh có liên quan tới dữ liệu cá nhân

Chuyển đổi số, phát triển kinh tế số, xây dựng xã hội số là xu thế của thời đại. Việt Nam đang đẩy mạnh quá trình này để làm chủ cuộc Cách mạng công nghiệp lần thứ tư. Dữ liệu cá nhân là một trong những nguyên liệu chính để thực hiện chuyển đổi số, phát triển kinh tế số, xây dựng xã hội số. Cơ sở hạ tầng không gian mạng phát triển nhanh và ngày càng hoàn thiện, tạo điều kiện thuận lợi cho các ngành, nghề, dịch vụ kinh doanh có liên quan tới dữ liệu cá nhân phát triển. Nước ta đang đẩy mạnh xây dựng Chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số với sự tham gia ngày càng sâu rộng của các lĩnh vực hành chính, y tế, hình sự, hộ tịch, quốc tịch, chứng thực, thương mại điện tử, giáo dục, tài chính, ngân hàng, thuế… Công nghệ thông tin, truyền thông, trí tuệ nhân tạo, internet vạn vật, điện toán đám mây, dữ liệu lớn, dữ liệu nhanh… được ứng dụng sâu rộng, tạo ra những giá trị to lớn xã hội. Dữ liệu cá nhân từ vị trí chưa thực sự quan trọng, trở thành nguyên liệu chính cho hoạt động của các ngành, nghề, dịch vụ nêu trên và ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân. 

Sự phát triển một số công nghệ mới đặt ra yêu cầu phải bảo vệ dữ liệu cá nhân, như: xử lý dữ liệu lớn, trí tuệ nhân tạo, điện toán đám mây, blockchain, vũ trụ ảo. Blockchain đặt ra một số rủi ro mới với dữ liệu cá nhân, như: dữ liệu cá nhân không thể thay đổi hay xóa; Blockchain công khai cho phép mọi người truy cập tất cả dữ liệu dẫn đến khả năng lộ thông tin nhạy cảm; cơ chế bán ẩn danh vẫn có thể bị truy vết thông qua việc suy luận hành vi người dùng; tính phi tập trung khiến việc thực thi các quy định bảo vệ dữ liệu cá nhân trở nên khó khăn. AI tạo sinh có thể tạo ra những nội dung giả mạo độc hại, vô tình tiết lộ dữ liệu cá nhân trong khi huấn luyện AI, mất quyền kiểm soát của người dùng đối với việc sử dụng dữ liệu. Trong Vũ trụ ảo có lượng dữ liệu cá nhân khổng lồ, chi tiết và được thu thập trong quá trình trải nghiệm đa giác quan (bao gồm hành vi, cảm xúc, cuộc trò chuyện, thói quen), tổng hợp và tạo hồ sơ cá nhân chi tiết (bằng cách kết hợp với dữ liệu cá nhân hiện hữu), ranh giới mờ nhạt giữa danh tính trong môi trường thực ảo. Với quan điểm bảo vệ để phát triển, Luật Bảo vệ dữ liệu cá nhân sẽ quy định cụ thể các hoạt động kinh doanh liên quan tới dữ liệu cá nhân phục vụ phát triển kinh tế, xã hội. 

Như vậy: 

(1) Việc xây dựng dự án Luật Bảo vệ dữ liệu cá nhân là hết sức cần thiết nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân. 

(2) Việc xây dựng dự án Luật Bảo vệ dữ liệu cá nhân là bước đi thận trọng, kỹ lưỡng, có quá trình và sự chuẩn bị công phu của Chính phủ, bắt đầu từ khi khảo sát xây dựng Nghị định bảo vệ dữ liệu cá nhân (năm 2019) đến khi Nghị định có hiệu lực và triển khai trên thực tiễn.

II. MỤC ĐÍCH, QUAN ĐIỂM CHỈ ĐẠO XÂY DỰNG LUẬT

1. Mục đích

Việc xây dựng Luật Bảo vệ dữ liệu cá nhân nhằm hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân của nước ta, tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân trong nước tiếp cận trình độ quốc tế, khu vực; đẩy mạnh sử dụng dữ liệu cá nhân đúng pháp luật phục vụ phát triển kinh tế, xã hội.

2. Quan điểm

- Cụ thể hóa tinh thần của Hiến pháp năm 2013, thể chế chủ trương, chính sách của Đảng, Nhà nước về công nhận, tôn trọng, bảo vệ dữ liệu cá nhân, bảo đảm quyền con người, quyền cơ bản của công dân. Xác định dữ liệu cá nhân là nguồn tài nguyên quan trọng cần được bảo vệ, sử dụng phục vụ phát triển kinh tế, xã hội và bảo đảm quyền con người, quyền công dân, bảo vệ tổ quốc.

- Đáp ứng tốt yêu cầu phát triển kinh tế - xã hội, bảo đảm quốc phòng - an ninh; thúc đẩy ứng dụng, phát huy tối đa các thành tựu khoa học và công nghệ; hạn chế tiêu cực, bất lợi.

- Phù hợp với các quy định của pháp luật, rà soát, tạo nền tảng để xây dựng một hệ thống pháp luật hoàn chỉnh, đồng bộ về bảo vệ dữ liệu cá nhân.

- Phù hợp với thực tiễn phát triển kinh tế xã hội, bảo đảm an ninh trật tự và công tác bảo vệ dữ liệu cá nhân. Xác định lộ trình phù hợp thực hiện công tác bảo vệ dữ liệu cá nhân của nước ta hiện nay.

- Hài hòa với quy định, pháp luật, kinh nghiệm của thế giới. Bảo đảm sự phù hợp với các quy định, cam kết quốc tế mà Việt Nam tham gia ký kết hoặc là thành viên.

III. PHẠM VI ĐIỀU CHỈNH, ĐỐI TƯỢNG ÁP DỤNG, BỐ CỤC VÀ NỘI DUNG CƠ BẢN

1. Phạm vi điều chỉnh

Luật này quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.

2. Đối tượng áp dụng 

a) Cơ quan, tổ chức, cá nhân Việt Nam;

b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;

c) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

3. Bố cục, nội dung cơ bản của dự thảo Luật

- Dự thảo Luật Bảo vệ dữ liệu cá nhân gồm 07 Chương, 69 Điều; quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan, với 07 nội dung chính như sau: 

(1) Thống nhất thuật ngữ và xây dựng một số khái niệm quan trọng về bảo vệ dữ liệu cá nhân, như: dữ liệu cá nhân; bảo vệ dữ liệu cá nhân; làm rõ khái niệm và nội hàm của dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm, dữ liệu phi cá nhân, khử nhận dạng dữ liệu cá nhân; xác định chính xác, đầy đủ những hoạt động xử lý dữ liệu cá nhân; vai trò của các bên trong hoạt động xử lý.

(2) Xây dựng 07 nguyên tắc bảo vệ dữ liệu cá nhân, gồm: hợp pháp, minh bạch, đúng mục đích, hạn chế, chính xác, an ninh, giới hạn thời gian lưu trữ, trách nhiệm giải trình. 

(3) Quy định 11 quyền và nghĩa vụ của chủ thể dữ liệu; 03 nghĩa vụ của chủ thể dữ liệu.

(4) Quy định về điều kiện bảo vệ dữ liệu cá nhân đối với các tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân; dịch vụ cung cấp tổ chức bảo vệ dữ liệu cá nhân, chuyên gia bảo vệ dữ liệu cá nhân; dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân; dịch vụ chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân.

(5) Yêu cầu đánh giá tác động xử lý dữ liệu cá nhân và Chuyển dữ liệu cá nhân ra nước ngoài như một bản cảm kết trước pháp luật về hoạt động xử lý dữ liệu cá nhân: Để phù hợp với sự phát triển của khoa học công nghệ, các loại hình doanh nghiệp số hiện nay, dự thảo không quy định hình thức “tiền kiểm” (đăng ký) mà thực hiện “hậu kiểm” (kiểm tra, đánh giá) đối với việc xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân qua biên giới. Theo đó, Dự thảo Luật nghiên cứu áp dụng mô hình cho phép tổ chức, doanh nghiệp tự chủ trong công tác xử lý dữ liệu cá nhân bằng cách tiến hành và lưu giữ hồ sơ có liên quan. Bộ Công an tiến hành kiểm tra sự phù hợp với hồ sơ và bảo đảm quy định của Luật bảo vệ dữ liệu cá nhân. 

(6) Hoàn thiện quy định về biện pháp bảo vệ dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm, điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân, cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, điều kiện bảo đảm hoạt động bảo vệ dữ liệu cá nhân, kinh phí bảo đảm hoạt động bảo vệ dữ liệu cá nhân.

(7) Quy định quản lý nhà nước về bảo vệ dữ liệu cá nhân, trách nhiệm của các bộ, ngành có liên quan theo hướng Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân; Bộ Công an là cơ quan đầu mối chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về dữ liệu cá nhân, trừ phạm vi của Bộ Quốc phòng; trách nhiệm của Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ Ba, tổ chức, cá nhân có liên quan.