Bài 1: Bảo vệ dữ liệu cá nhân - Nhiều văn bản quy phạm pháp luật nhưng chưa thống nhất
Dự án Luật Bảo vệ dữ liệu cá nhân do Bộ Công an chủ trì xây dựng dự kiến sẽ trình Quốc hội khóa XV cho ý kiến, xem xét và thông qua tại Kỳ họp thứ 9 tới đây. Việc xây dựng dự án Luật Bảo vệ dữ liệu cá nhân là rất cần thiết nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân.
Đây cũng là bước đi thận trọng, kỹ lưỡng, có quá trình và sự chuẩn bị công phu của Chính phủ, bắt đầu từ khi khảo sát xây dựng nghị định bảo vệ dữ liệu cá nhân (năm 2019) đến khi nghị định có hiệu lực và triển khai trên thực tiễn.
Theo Bộ Công an, hiện nay, dù có đến gần 70 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân nhưng tất cả chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân. Đồng thời, pháp luật bảo vệ dữ liệu cá nhân nước ta đã có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân, tuy nhiên chưa có quy định chế tài để bảo vệ dữ liệu cá nhân gắn cụ thể với các quyền của chủ thể dữ liệu.
69 văn bản quy phạm pháp luật liên quan
Theo thống kê của Bộ Công an, có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp, 4 bộ luật, 39 luật, 1 pháp lệnh, 19 nghị định, 4 thông tư/thông tư liên tịch, 1 quyết định của bộ trưởng. Tuy nhiên, dù có tới 69 văn bản nhưng tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân, chỉ có Nghị định số 13/2023/NĐ-CP ngày 17/4/2024 của Chính phủ về bảo vệ dữ liệu cá nhân (Nghị định số 13/2023/NĐ-CP) đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.
Tuy nhiên, đây mới chỉ là văn bản nghị định, chưa phải văn bản luật nên cần thống nhất thực hiện trong thực tiễn, cần có văn bản luật làm “luật gốc”, mang tính nguyên tắc, góp phần tiếp tục thể chế hóa quy định của Hiến pháp và pháp luật về quyền bảo vệ bí mật cá nhân, quyền con người, quyền công dân, an ninh mạng bảo đảm sự đồng bộ, thống nhất trong hệ thống pháp luật.
Hiến pháp năm 2013 khẳng định quyền riêng tư của cá nhân là bất khả xâm phạm, đồng thời phát triển mở rộng phạm vi quyền riêng tư không chỉ là quyền bất khả xâm phạm về thân thể, nhà ở, thư tín mà còn bao gồm quyền bảo vệ bí mật cá nhân, trong đó có thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình (Điều 21).
Hiện nay, trong hệ thống pháp luật Việt Nam chỉ có 1 văn bản là Nghị định số 13/2023/NĐ-CP đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân, chưa có văn bản luật nào quy định về vấn đề này. Tuy nhiên, phạm vi điều chỉnh của nghị định chưa bao quát hết các lĩnh vực, quan hệ của đời sống, xã hội, chưa tương thích với các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình được nêu trong Hiến pháp năm 2013, cùng các quy định liên quan tới “thông tin cá nhân”, “thông tin riêng”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin bí mật đời tư” được nêu trong một số văn bản luật hiện hành.
Qua rà soát pháp luật cho thấy việc bảo vệ dữ liệu cá nhân trên môi trường truyền thống, bao gồm dữ liệu cá nhân trong các tài liệu, hồ sơ, bệnh án ở trên giấy đang chưa được quy định cụ thể trong bất kỳ văn bản pháp luật hiện hành nào, đặc biệt là thiếu vắng các quy định chi tiết và chỉ rõ các biện pháp bảo vệ quyền của chủ thể dữ liệu. Các quy định pháp luật hiện đang có hiệu lực, sau khi đã loại trừ các văn bản tập trung vào đối tượng là dữ liệu cá nhân trên môi trường mạng, mới chỉ có quy định chung về bảo vệ bí mật cá nhân, bí mật gia đình, thông tin về đời sống riêng tư không kể hình thức chứa đựng thông tin là trên các phương tiện điện tử hay hồ sơ giấy.
Theo quy định của Hiến pháp năm 2013, chỉ có văn bản luật được quyền quy định các nội dung liên quan tới hạn chế quyền con người, quyền công dân. Dự thảo Luật Bảo vệ dữ liệu cá nhân dự kiến quy định một số trường hợp liên quan tới tiết lộ, xử lý dữ liệu cá nhân khi chưa được sự đồng ý của chủ thể dữ liệu, có khả năng ảnh hưởng tới quyền con người. Mặc dù đã được Ủy ban Thường vụ Quốc hội đồng ý, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP quy định một số trường hợp tại Điều 17. Tuy nhiên, về mặt pháp lý và để bảo đảm quy phạm đầy đủ các trường hợp khác trong thực tiễn, cần ban hành Luật Bảo vệ dữ liệu cá nhân để quy định các nội dung nêu trên.
Chưa có quy định chế tài để bảo vệ dữ liệu cá nhân gắn cụ thể với các quyền của chủ thể dữ liệu
Cũng theo Bộ Công an, hiện nay, pháp luật bảo vệ dữ liệu cá nhân nước ta đã có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân, tuy nhiên chưa có quy định chế tài để bảo vệ dữ liệu cá nhân gắn cụ thể với các quyền của chủ thể dữ liệu. Về chế tài hình sự, chưa có chế tài hình sự điều chỉnh vi phạm về bảo vệ dữ liệu cá nhân, mua, bán dữ liệu cá nhân. Hiện vi phạm các quy định về thông tin cá nhân có thể bị xử phạt hình sự theo 2 tội danh tại Điều 159 và Điều 288, với án tù giam cao nhất là 7 năm theo quy định của Bộ luật Hình sự 2015 (sửa đổi, bổ sung năm 2017).
Hầu hết các vụ việc buôn bán dữ liệu cá nhân đang được hoàn thiện theo hướng chứng minh 2 tội danh này. Tuy nhiên, do chưa quy định cụ thể về các yếu tố cấu thành trong hoạt động mua, bán dữ liệu cá nhân, nhất là hoạt động có sự trung gian qua nhiều cá nhân, tổ chức nên khó chứng minh tội phạm.
Về chế tài dân sự, quyền bảo vệ thông tin cá nhân xét dưới góc độ dân sự khi bị xâm phạm đều có thể thực hiện phương thức tự bảo vệ hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các hoạt động theo quy định tại Bộ luật Dân sự năm 2015 như công nhận, tôn trọng, bảo vệ và bảo đảm quyền dân sự của mình; buộc chấm dứt hành vi xâm phạm; buộc xin lỗi, cải chính công khai; buộc thực hiện nghĩa vụ hoặc buộc bồi thường thiệt hại; hủy quyết định cá biệt trái pháp luật của cơ quan, tổ chức, người có thẩm quyền.
Bên cạnh đó, một số văn bản pháp luật chuyên ngành cũng có quy định về bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân (Luật công nghệ thông tin năm 2006), làm lộ bí mật thông tin trong đơn đăng ký sáng chế, đơn đăng ký kiểu dáng công nghiệp (Luật sở hữu trí tuệ năm 2005). Tuy nhiên, xét dưới góc độ dữ liệu cá nhân gắn với các quyền của chủ thể dữ liệu theo thông lệ quốc tế hiện chưa có các chế tài dân sự điều chỉnh trực tiếp, thống nhất. Về chế tài hành chính, chưa có chế tài xử phạt vi phạm hành chính về dữ liệu cá nhân. Các hành vi vi phạm, xâm hại đến thông tin cá nhân đã có nhưng nằm rải rác ở nhiều văn bản khác nhau.
Theo Bộ Công an, Luật Bảo vệ dữ liệu cá nhân sẽ quy phạm đầy đủ các quyền của chủ thể dữ liệu, bảo vệ dữ liệu cá nhân, các hành vi vi phạm quy định sẽ được căn cứ vào Luật để đề xuất các hình thức, biện pháp xử lý phù hợp.
Đảm bảo an ninh mạng, lấy con người, trí tuệ con người làm trung tâm
Dữ liệu cá nhân là vấn đề liên quan chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, chính phủ điện tử, chính phủ số, kinh tế số. Thời gian gần đây, Đảng và Nhà nước đã ban hành nhiều văn bản chỉ đạo vấn đề này theo hướng bảo đảm an ninh mạng lấy con người, trí tuệ con người làm trung tâm, là nhân tố quyết định, hoàn thiện hành lang pháp lý trong bảo vệ dữ liệu cá nhân. Bảo vệ dữ liệu cá nhân được tiến hành song song, đồng thời với sự phát triển kinh tế, xã hội, đi liền với tất cả các khâu, quá trình nhưng phải đảm bảo không hạn chế sự phát triển, đổi mới và sáng tạo.
Bảo vệ dữ liệu cá nhân là bảo vệ tài sản quan trọng 
