Chiều 26/3, cho ý kiến về dự án Luật Bảo vệ dữ liệu cá nhân, các đại biểu Quốc hội chuyên trách bày tỏ tán thành cao sự cần thiết ban hành Luật trong bối cảnh dữ liệu cá nhân ngày càng trở thành tài sản quan trọng, đồng thời cũng phải đối diện với nhiều nguy cơ lạm dụng, xâm phạm, đặc biệt là tình trạng vi phạm dữ liệu cá nhân, rò rỉ thông tin khách hàng, lạm dụng dữ liệu trong quảng cáo, tiếp thị.
Cần bảo đảm tính thống nhất với Luật Xử lý vi phạm hành chính
Một trong những điểm đáng chú ý của dự thảo Luật là quy định về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân. Tại điều 4 dự thảo Luật, Bộ Công an đề xuất, cơ quan, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân tùy theo mức độ chịu trách nhiệm dân sự, bị xử lý kỷ luật, xử lý vi phạm hành chính, xử lý hình sự.
Cùng đó, áp dụng mức xử phạt hành chính từ 1-5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân. Dự thảo luật cũng giao Chính phủ quy định chi tiết quy định cụ thể về mức phạt, khung tiền phạt đối với từng hành vi vi phạm hành chính.
Góp ý vấn đề này, đại biểu Nguyễn Trường Giang (đoàn Đắk Nông) cho rằng đề xuất mức phạt hành chính từ 1-5% doanh thu của doanh nghiệp là không thống nhất với quan điểm xử phạt vi phạm hành chính hiện nay, đồng thời không khả thi.
 |
| Đại biểu Nguyễn Trường Giang (đoàn Đắk Nông). (Ảnh: DUY LINH) |
Ông dẫn thí dụ, doanh thu của doanh nghiệp một năm có thể rất lớn, đến 30 nghìn tỷ đồng. “Nếu một hành vi vi phạm chiếu theo quy định này bị phạt tối thiểu là 1% của 30 nghìn tỷ đồng. Nếu vi phạm 10 lần thì phạt tối thiểu là 10% thì tôi thấy không khả thi một tí nào”, đại biểu Giang phân tích.
Do đó, đại biểu đoàn Đắk Nông đề xuất quy định mức phạt hành chính căn cứ vào hành vi vi phạm cụ thể. Nếu một hành vi vi phạm mang tính phổ biến thì xử phạt theo hành vi. Còn đối với hành vi vi phạm nhằm thu lợi cho doanh nghiệp thì mức phạt căn cứ vào phần thu lợi bất chính sẽ hiệu quả hơn.
Đại biểu Dương Khắc Mai (đoàn Đắk Nông) cũng băn khoăn về tính thống nhất của dự thảo Luật với hệ thống pháp luật và với Luật Xử lý vi phạm hành chính, liên quan xử lý vi phạm quy định bảo vệ dữ liệu cá nhân.
Đại biểu nhận thấy rằng, xử lý vi phạm hành chính hiện hành chưa quy định về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân. Vì vậy, để có cơ sở giao cho Chính phủ quy định cụ thể mức phạt, khung tiền phạt đối với từng hành vi vi phạm trong lĩnh vực này, đồng thời bảo đảm tính thống nhất của hệ thống pháp luật thì cần bổ sung theo hướng mức phạt tiền tối đa trong lĩnh vực bảo vệ dữ liệu cá nhân sẽ được thực hiện theo quy định của luật tương ứng.
Bên cạnh đó, đại biểu Dương Khắc Mai đề nghị cơ quan chủ trì soạn thảo nghiên cứu về thời hiệu xử phạt trong lĩnh vực này, cần quy định thời hiệu riêng hay áp dụng thời hiệu chung là 1 năm. Trường hợp cần quy định thời hiệu riêng thì phải sửa quy định tại khoản 1 Điều 6 Luật Xử lý vi phạm hành chính.
Cũng liên quan vấn đề xử phạt, đại biểu Thạch Phước Bình (đoàn Trà Vinh) cho rằng cần có quy định về xử phạt nghiêm minh. Theo đại biểu, mức phạt chưa đủ sức răn đe. Nếu mức phạt hành chính quá thấp, các doanh nghiệp có thể sẵn sàng trả tiền phạt thay vì đầu tư vào bảo vệ dữ liệu. Trong các trường hợp nghiêm trọng như đánh cắp, buôn bán dữ liệu cá nhân, cần có chế tài mạnh hơn như truy cứu trách nhiệm hình sự. Ngoài ra, nếu không có hệ thống thanh tra và kiểm tra định kỳ, các quy định có thể không được thực thi hiệu quả.
Đại biểu này kiến nghị tăng mức xử phạt tài chính, quy định mức phạt có thể lên đến 4% doanh thu toàn cầu của công ty vi phạm. Ngoài ra, bổ sung trách nhiệm hình sự như các hành vi như đánh cắp, mua bán dữ liệu cá nhân nên bị xử lý hình sự với mức án tù cụ thể. Bên cạnh đó, cần xây dựng cơ quan chuyên trách chức năng giám sát thực thi luật bảo vệ dữ liệu, tương tự cơ quan bảo vệ dữ liệu của các nước châu Âu.
Làm rõ quy định về cấm mua, bán dữ liệu cá nhân
Về các hành vi bị nghiêm cấm tại điều 7, dự thảo Luật quy định cấm xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân; tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
Các hành vi khác bị cấm bao gồm: cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan chức năng có thẩm quyền; lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; thu thập, xử lý, chuyển giao dữ liệu cá nhân trái quy định của pháp luật; mua, bán dữ liệu cá nhân; cố ý chiếm đoạt, làm lộ, mất dữ liệu cá nhân.
 |
| Đại biểu Dương Khắc Mai (đoàn Đắk Nông). (Ảnh: DUY LINH) |
Liên quan nội dung này, đại biểu Dương Khắc Mai đề nghị làm rõ việc cấm mua bán dữ liệu cá nhân thì có cấm hành vi tặng, cho hay không.
Theo quy định tại khoản 8 Điều 2 thì xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân như thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, tiết lộ, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền, đưa, cung cấp, chuyển giao, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.
Do đó, lúc này dữ liệu do doanh nghiệp, tổ chức thu thập là tập hợp dữ liệu của nhiều chủ thể dữ liệu cá nhân và chi phí của doanh nghiệp, tổ chức cho hoạt động xử lý dữ liệu cá nhân. Vì vậy, đại biểu cho rằng việc cấm mua bán dữ liệu cá nhân cần được cân nhắc.
Có chung quan điểm, đại biểu Nguyễn Trường Giang phân tích, dữ liệu cá nhân nếu bình thường nằm riêng lẻ là của mỗi một cá nhân, tuy nhiên dữ liệu cá nhân theo luật này đã được qua xử lý, tức là qua tập hợp, qua mã hóa thành một tệp mà bây giờ cấm mua bán thì “không ổn”.
Đại biểu đặt vấn đề, trên thực tế một tập đoàn, công ty có nhiều công ty con, vậy dữ liệu cá nhân sau khi đã được xử lý thành tệp thì một công ty có thể chuyển cho các công ty khác trong tập đoàn để phục vụ sản xuất kinh doanh không?
“Bản thân doanh nghiệp cũng kiến nghị liên quan đến vấn đề chuyển dữ liệu cá nhân từ bộ phận này sang bộ phận khác như nào để sử dụng hiệu quả nhất đối với gói dữ liệu cá nhân đã được xử lý”, ông Giang nêu và cho rằng, dự thảo Luật cần quy định rõ khi nào thì được mua bán, khi nào thì được trao đổi.
Dự thảo Luật Bảo vệ dữ liệu cá nhân sẽ được trình Quốc hội tại Kỳ họp thứ 9, dự kiến thông qua theo quy trình 1 kỳ họp nếu đủ điều kiện.
