Pháp luật quốc tế về bảo vệ dữ liệu cá nhân
Bộ quy tắc chung của Liên minh châu Âu (EU) về bảo vệ dữ liệu (GDPR). GDPR được đánh giá là một bước tiến pháp lí lớn, tạo ra cơ chế bảo vệ thông tin cá nhân khắt khe nhất thế giới hiện nay và được áp dụng cho mọi tổ chức, doanh nghiệp đang xử lí DLCN của các công dân trong EU.
GDPR áp dụng các hình thức xử phạt vi phạm doanh nghiệp đồng bộ cho cả khối. Cụ thể, mức phạt là tối đa 2% doanh thu hoặc 10 triệu euro cho những vi phạm nhỏ, 4% doanh thu hoặc 20 triệu Euro cho những vi phạm lớn. Ngoài phạt tiền, các doanh nghiệp vi phạm GDPR còn có thể bị áp dụng các biện pháp trừng phạt khác như buộc ngừng hoạt động xử lý dữ liệu hoặc xóa dữ liệu đã được xử lý vi phạm GDPR.
Cơ quan bảo vệ DLCN của EU là Cơ quan giám sát về bảo vệ dữ liệu của EU (EDPS) - cơ quan độc lập với thành viên là các luật sư, chuyên gia công nghệ thông tin và quản trị viên có kinh nghiệm. Cơ quan này có chức năng chính trong việc giám sát việc xử lý DLCN trong các cơ quan, tổ chức thuộc EU cũng như tham mưu về những vấn đề liên quan đến DLCN.
GDPR cũng đặt yêu cầu cho việc thành lập Cơ quan bảo vệ DLCN ở mỗi quốc gia thành viên như Ủy ban quốc gia bảo vệ DLCN (Pháp, Ireland…) hay cơ quan thanh tra bảo vệ dữ liệu (Phần Lan, Latvia…). Cùng với EDPS, EU còn thành lập Ủy ban bảo vệ dữ liệu châu Âu (EDPB) gồm đại diện các cơ quan bảo vệ dữ liệu quốc gia của các quốc gia thành viên và đại diện của với chức năng là cơ quan tư vấn độc lập chính về các vấn đề bảo vệ DLCN, chịu trách nhiệm áp dụng nhất quán GDPR trên toàn liên minh.
GDPR đưa ra chế tài xử lý mang tính răn đe cao cả về vật chất lẫn phi vật chất. Thêm vào đó cơ quan bảo vệ DLCN của EU được thực hiện theo mô hình Ủy ban/Ủy viên nên có quyền hạn lớn và độc lập khi có thể áp dụng các biện pháp trừng phạt nếu các tổ chức vi phạm quy định về bảo vệ DLCN và có khả năng đánh giá và quyết định độc lập về việc xử lý DLCN.
Luật Bảo vệ Thông tin cá nhân của Trung Quốc (PIPL) ban hành năm 2021 được đánh giá là luật bảo vệ thông tin cá nhân toàn diện, cấp quốc gia đầu tiên ở Trung Quốc. PIPL đưa ra quan điểm tương đối thống nhất về DLCN/Thông tin cá nhân là thông tin nhằm xác định hay nhận dạng một cá nhân cụ thể, hướng tới đối tượng hẹp là cá nhân trên lãnh thổ Trung Quốc (Điều 4 Chương 1 PIPL). Đồng thời cũng quy định về vấn đề DLCN nhạy cảm để từ đó thiết lập quy định về quyền và nghĩa vụ của các bên đối với các nhóm dữ liệu cụ thể hơn.
Chế tài xử lí đối với đối với hành vi vi phạm quyền DLCN theo quy định của PIPL rất nghiêm, như buộc khắc phục hậu quả, tịch thu thu nhập bất hợp pháp, đình chỉ dịch vụ, thu hồi giấy phép hoạt động hoặc kinh doanh, phạt tiền với mức phạt lên tới 50 triệu NDT hoặc 5% doanh thu hàng năm của một tổ chức trong năm tài chính trước đó. Ngoài ra, các vi phạm cũng có thể được ghi vào “hồ sơ tín dụng” của đơn vị xử lý theo hệ thống tín dụng xã hội quốc gia.
Hơn nữa, các đơn vị xử lý sẽ phải chịu trách nhiệm bồi thường thiệt hại nếu họ xâm phạm quyền và lợi ích của tổ chức, cá nhân. Các chế tài hình sự đối với các loại vi phạm này cũng được Bộ luật Hình sự Trung Quốc quy định cụ thể, trong đó quy định trách nhiệm hình sự nặng nề hơn đối với người có nghĩa vụ trong việc bảo mật thông tin, bổ sung thêm hình thức tịch thu tài sản, quy định tù chung thân là mức phạt tù cao nhất.
Luật Bảo vệ DLCN của Xin-ga-po (PDPA) thông qua năm 2012 (sửa đổi năm 2020). Pháp luật Xin-ga-po công nhận quyền bảo vệ DLCN cũng như sự cần thiết của việc tổ chức thu thập, sử dụng và tiết lộ thông tin vì những mục đích phù hợp với những hoàn cảnh nhất định.
PDPA cũng quy định các hình phạt tài chính nghiêm khắc đối với các hành vi vi phạm dữ liệu. Đối với cá nhân vi phạm sẽ bị áp dụng các hình thức phạt tiền hoặc tù giam. Mức phạt tiền tùy thuộc vào tính chất, mức độ hành vi trong đó phạt tiền từ 2.000 tới 100.000 đô la Xin-ga-po (tương đương 1,6 tỷ đồng) hoặc/và phạt tù không quá 12 tháng, nếu nghiêm trọng có thể lên đến 3 năm; đối với cơ quan, công ty vi phạm có thể bị phạt lên tới 10% doanh thu hàng năm.
Cơ quan có vai trò quan trọng trong việc bảo đảm thực thi PDPA là Ủy ban bảo vệ DLCN (PDPC). Đây là cơ quan chuyên trách có quyền hạn lớn và khả năng thực thi rộng rãi khi có quyền yêu cầu cá nhân, tổ chức cung cấp thông tin, tài liệu liên quan đến xử lý DLCN, phạt tài chính với các vi phạm cũng như xử lý bằng các biện pháp khác.
Với việc thành lập cơ quan chuyên trách Ủy ban bảo vệ DLCN của Xin-ga-po làm việc một cách độc lập, chủ động trong việc phát hiện, xử lý vi phạm, áp dụng biện pháp trừng phạt cũng là một trong những điều kiện để bảo vệ DLCN ở Singapore được thực thi một cách có hiệu quả.
Khuyến nghị hoàn thiện pháp luật bảo vệ dữ liệu cá nhân ở Việt Nam
Hiện nay tại Việt Nam có 69 văn bản quy phạm pháp luật liên quan trực tiếp đến vấn đề bảo vệ DLCN được quy định ở các văn bản khác nhau bao gồm Hiến pháp, Bộ luật (04), Luật (39), Pháp lệnh (1); Nghị định (2); Thông tư/Thông tư liên tịch (4); Quyết định của Bộ trưởng (1). Các văn bản này về cơ bản tiếp cận vấn đề bảo vệ DLCN theo hướng đề cao nguyên tắc bảo đảm bí mật đời tư của chủ thể, tuy nhiên lại có các quy định khác nhau về thông tin liên quan đến DLCN, đề cập đến những vấn đề về quyền và nghĩa vụ của các chủ thể, việc xử lý thông tin, các phương thức bảo vệ DLCN. Pháp luật điều chỉnh vấn đề bảo vệ DLCN của Việt Nam đã đạt được một số kết quả đáng ghi nhận đặc biệt là ngày 17-4-2023, Chính phủ đã ban hành Nghị định số 12/2023/NĐ-CP về bảo vệ DLCN - đây là văn bản riêng quy định về vấn đề này ở nước ta. Các văn bản quy phạm pháp luật này đã tạo thành hành lang pháp lý trong công tác bảo vệ DLCN; quy định cụ thể quyền của chủ thể dữ liệu cũng nhưng các bên xử lý, quy định các hình thức chế tài đối với hành vi vi phạm bảo vệ DLCN cũng như xác định cơ quan chuyên môn về bảo vệ DLCN là Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an…
Tuy nhiên, thực tế thực thi các văn bản này cũng đã bộc lộ nhiều hạn chế như văn bản quy phạm pháp luật riêng biệt hiện tại mới chỉ ở cấp Nghị định, chưa đáp ứng được tính quan trọng của việc bảo vệ DLCN, nhiều nội dung hiện nay được quy định chung chung chưa rõ khiến việc áp dụng chưa có hướng dẫn cụ thể cho từng trường hợp cụ thể, chế tài xử lý còn nhẹ chưa đủ sức răn đe…
Trước tình trạng này, việc tiếp tục hoàn thiện pháp luật về bảo vệ DLCN ở Việt Nam đã và đang là vấn đề cần được quan tâm nghiên cứu trên cơ sở sự tham khảo kinh nghiệm từ các nước. Cụ thể:
Thứ nhất, xây dựng Luật bảo vệ DLCN. Trước bối cảnh cách mạng công nghiệp 4.0, ở quy mô khu vực và quốc gia đã có 80 quốc gia ban hành văn bản quy phạm pháp luật riêng bảo vệ DLCN. Việt Nam cần sớm nghiên cứu và ban hành đạo luật chung, chuyên biệt về dữ liệu như Luật bảo mật dữ liệu như EU và Trung Quốc hay Xin-ga-po, trong đó xác định những vấn đề cơ bản, nguyên tắc cho việc bảo vệ DLCN. Việc ban hành một đạo luật riêng về DLCN sẽ là cơ sở pháp lý quan trọng trong việc bảo vệ DLCN khi hiện nay các văn bản quy phạm pháp luật liên quan đến vấn đề này ở nước ta chưa có sự thống nhất ngay cả trong sử dụng thuật ngữ cũng như các quy định nội dung.
Thứ hai, sửa đổi, bổ sung các chế tài xử lý các hành vi vi phạm về DLCN theo hướng tăng nặng để tương xứng với tính chất, mức độ của hành vi vi phạm. Mặc dù đã quy định các chế tài xử lý đối với hành vi vi phạm DLCN ở nước ta bao gồm hành chính, dân sự và hình sự nhưng nhìn chung còn khá nhẹ, chưa có sức răn đe cao. Phương thức chủ yếu hiện nay vẫn là áp dụng chế tài xử phạt vi phạm hành chính tuy nhiên quy định rải rác ở nhiều Nghị định với mức phạt khá thấp, cao nhất là: 100 triệu đồng đối với cá nhân và 200 triệu đồng đối với tổ chức. Trong khi những thiệt hại mà vi phạm hành chính về DLCN có thể gây ra không chỉ là những thiệt hại về vật chất mà còn về danh dự và nhân phẩm.
Bên cạnh xử phạt hành chính, chế tài hình sự đối với hành vi vi phạm về DLCN mới chỉ được thể hiện trong các chế định về quyền riêng tư và lĩnh vực công nghệ thông tin, an ninh mạng tại Điều 159, Điều 288 Bộ luật Hình sự hiện hành với mức phạt tù tương đối thấp không quá 7 năm tù, phạt tiền cũng không quá 1 tỉ đồng. Mức phạt này khi so sánh với mức của EU là 20 triệu ơ-rô, 1 triệu SGD của Xin-ga-po hay mức phạt chung thân của Trung Quốc thì còn rất thấp, chưa tương xứng với nhiều hành vi vi phạm. Đồng thời, cần quy định thêm nhiều nhóm hành vi hiện chưa nêu trong luật như mua bán dữ liệu quy mô lớn, thiết lập hệ thống nhằm vi phạm dữ liệu, vi phạm trong kinh doanh dịch vụ tiếp thị…
Thứ ba, về mô hình cơ quan bảo vệ DLCN ở Việt Nam. Hiện, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an là cơ quan chuyên môn về bảo vệ DLCN. Tham chiếu với quy định quốc tế, chúng ta có thể xem xét xây dựng cơ quan bảo vệ dữ liệu các nhân độc lập chịu trách nhiệm thực thi Luật Bảo vệ DLCN, tiến hành thanh tra, kiểm tra, ban hành hướng dẫn và đưa ra các khuyến nghị cũng như áp dụng các biện pháp trừng phạt vi phạm nếu có. Chúng ta có thể tham khảo các mô hình này tại EU hay Xin-ga-po… để hoạt động thực thi pháp luật bảo vệ DLCN đạt hiệu quả cao, cân bằng việc bảo vệ quyền cá nhân và bảo đảm an ninh mạng.
Bảo vệ DLCN không phải là vấn đề đơn giản, đặc biệt khi nó được đặt trong bối cảnh hội nhập, khi các hoạt động giám sát và thu thập DLCN đang diễn ra quy mô lớn cũng như hệ thống pháp luật Việt Nam điều chỉnh vấn đề này còn đang trong quá trình xây dựng và hoàn thiện. Việc nghiên cứu pháp luật quốc tế về vấn đề này tham chiếu với tình hình thực tiễn ở Việt Nam sẽ giúp chúng ta sớm xây dựng khung pháp lý cho việc bảo vệ DLCN toàn diện, tương thích với pháp luật quốc tế và thực thi có hiệu quả.
Nguồn: https://www.xaydungdang.org.vn/