Từ ngày 1/7/2023, Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân có hiệu lực. Ông Nguyễn Thành Đô, thành viên Hội đồng VNBA, cho rằng Nghị định 13 là hết sức quan trọng, phù hợp với yêu cầu cải tiến trong công tác quản lý hành chính của đất nước, nhất là ở trong giai đoạn phát triển công nghệ hiện nay.
Song, để triển khai Nghị định 13 đạt hiệu quả cao, Bộ Công an cần cho phép hệ thống ngân hàng có thời gian chuyển tiếp. Trong thời gian chuyển tiếp đó, Bộ công an và Ngân hàng Nhà nước đưa ra thông tư liên bộ để giải thích hoặc có thể vận dụng cho nghị định này.
KIẾN NGHỊ THỜI GIAN CHUYỂN TIẾP 2 NĂM
Theo ông Nguyễn Thành Đô, trong Nghị định 13, ngoài đối tượng cá nhân thì các nhóm chủ thể sử dụng dữ liệu cá nhân rất rộng, từ các tổ chức sử dụng lao động, các cơ quan cung cấp dịch vụ, công ty bảo hiểm, thậm chí cả UBND phường… đều lưu trữ, xử lý và kiểm soát cơ sở dữ liệu cá nhân. Chính vì thế, khi đi vào từng ngành, nghề mang tính đặc thù cao như ngành ngân hàng sẽ phát sinh nhiều mâu thuẫn, vướng mắc.
Nhiều tổ chức tín dụng cho rằng cần có lộ trình phù hợp để có thể triển khai Nghị định 13; đồng thời, nghiên cứu thêm về các quy định liên quan đến bảo vệ dữ liệu cá nhân, tổ chức huấn luyện cho các ngân hàng, tổ chức tín dụng để mang lại quyền và lợi ích cho khách hàng, bảo vệ người dân cũng như bảo vệ các cơ quan, tổ chức tránh khỏi tình trạng lộ, mất thông tin cá nhân.
Kiến nghị liên quan đến phạm vi áp dụng xuyên biên giới, đại diện Nhóm công tác ngân hàng nước ngoài (BWG) đề nghị Bộ Công an xem xét hướng dẫn giới hạn đối tượng cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu khi việc xử lý dữ liệu đó liên quan đến mục đích cung cấp hàng, hóa dịch vụ cho chủ thể dữ liệu cho chủ thể dữ liệu tại Việt Nam. Đồng thời, giám sát hành vi của chủ thể dữ liệu khi hành vi đó diễn ra tại Việt Nam.
Đối với định nghĩa liên quan (bên kiểm soát/xử lý), cần tiếp cận thông lệ quốc tế theo cách phân loại: Bên Kiểm soát dữ liệu cá nhân (Controller) hoặc Bên Xử lý dữ liệu cá nhân (Processor); Ban hành hướng dẫn cụ thể để xác định vai trò của ngân hàng trong hoạt động xử lý dữ liệu như tình huống thực tế nêu trên để các ngân hàng thống nhất cách hiểu và thực hiện.
Đối với quyền truy cập của chủ thể dữ liệu, các tổ chức theo mô hình hoạt động, đặc thù ngành nghề (ví dụ, ngành ngân hàng) sẽ tự xây dựng quy trình đảm bảo quyền truy cập của chủ thể dữ liệu trên cơ sở đánh giá: (i) Loại thông tin có thể truy cập; (ii) sự an toàn, an ninh hệ thống để xem xét tính khả thi có thể truy cập; và (iii) Hình thức thực hiện quyền truy cập phù hợp.
BWG cũng kiến nghị Bộ Công an ban hành hướng dẫn và đăng tải trên cổng thông tin của Bộ, cho phép các tổ chức theo mô hình hoạt động, đặc thù ngành nghề nêu trên được chủ động xây dựng quy trình đảm bảo quyền truy cập để các bên thống nhất thực hiện.
Về thời hạn thi hành, triển khai, cần hướng dẫn lộ trình thực hiện với thời gian phù hợp cho Nghị Định 13, trong thời hạn 2 năm. Quy định điều khoản chuyển tiếp đối với từng nhóm hành vi vi phạm về thời hạn bắt đầu áp dụng xử phạt trong Nghị định xử phạt vi phạm tương ứng với lộ trình thực hiện được kiến nghị của Nghị định 13.
Đối với sự đồng ý của chủ thể dữ liệu, đại diện BWG đề xuất, đối với nhóm chủ thể dữ liệu từ ngày 1/7/2023 trở đi, sự đồng ý được thực hiện trên cơ sở: (i) Đảm bảo thông tin đến chủ thể dữ liệu về vệc xử lý dữ liệu cá nhân của họ (ví dụ: cung cấp đường dẫn đến thông báo bảo mật); (ii) Nội dung ngắn gọn và đẩy đủ; (iii) Hình thức thu thập sự đồng ý theo quy định.
CỤM TỪ “THÔNG TIN CÁ NHÂN” XUẤT HIỆN TRONG HƠN 300 VĂN BẢN QUY PHẠM PHÁP LUẬT
Trung tá Triệu Mạnh Tùng, Phó Cục trưởng A05, Bộ Công an, cho biết mặc dù hệ thống pháp luật Việt Nam hiện hành chưa sử dụng cụm từ “dữ liệu cá nhân” trước khi Nghị định 13 được ban hành, chưa có định nghĩa về dữ liệu cá nhân cũng như bảo vệ dữ liệu cá nhân nhưng các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình, cùng với các quy định liên quan đến thông tin cá nhân, thông tin riêng, thông tin số… đã được quy định trong các văn bản hiện hành.
Do đó, Nghị định 13 được xây dựng, tiếp cận theo hướng dữ liệu cá nhân và bảo vệ dữ liệu cá nhân là vấn đề liên quan đến quyền riêng tư được pháp luật bảo vệ phù hợp tinh thần của hiến pháp.
Trung tá Triệu Mạnh Tùng cho biết, hiện nay đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Nhiều văn bản có quy định áp dụng đối với tổ chức, cá nhân ở Việt Nam.
Điều này đặt ra yêu cầu đối với nghị định bảo vệ dữ liệu cá nhân, bảo đảm hài hòa với thông lệ quốc tế, nhưng cũng phải tạo môi trường kinh doanh bình đẳng và thượng tôn pháp luật tại Việt Nam.
Trung tá Triệu Mạnh Tùng cho rằng, hệ thống pháp luật Việt Nam hiện hành chưa sử dụng cụm từ dữ liệu cá nhân, do đó chưa có định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.
Hiện nay, có hơn 10 khái niệm thuật ngữ liên quan đến thông tin cá nhân được diễn giải theo những cách khác nhau. Nhưng khái niệm này được coi là tương đồng. Riêng khái niệm về thông tin cá nhân được coi là tương đồng và gần gũi nhất với khái niệm dữ liệu cá nhân.
Về cụm từ “thông tin cá nhân” đã xuất hiện ở hơn 300 văn bản quy phạm pháp luật nhưng chỉ có 7 văn bản quy phạm pháp luật có định nghĩa, diễn giải thế nào là thông tin cá nhân, số văn bản pháp luật còn lại chỉ đề cập đến thông tin cá nhân trong các nội dung, các quy định, chưa đưa ra, giải thích hay dẫn chiếu, giải thích đến văn bản pháp luật khác.
Điều này đặt ra khó khăn lớn đối với công tác xây dựng Nghị định 13, quy định về bảo vệ dữ liệu cá nhân trong bảo đảm tính tương thích, đồng bộ với toàn bộ nội dung các văn bản pháp luật hiện có. Nguyên nhân là các văn bản này đang diễn giải việc bảo vệ thông tin cá nhân theo những cách khác nhau và không đồng bộ, tương thích.
Theo thống kê của Bộ Công an, trước khi Nghị định số 13 được ban hành, Việt Nam có tổng cộng 68 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân, trong đó có: Hiến pháp, 4 bộ luật, 39 luật, 1 pháp lệnh, 18 nghị định, 4 thông tư và thông tư liên tịch, 1 quyết định của Bộ trưởng. Tuy nhiên, tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.