NGUYỄN ĐỨC CƯỜNG
LÊ TRÍ THÀNH
MAI VĂN CHUẨN
Học viên lớp B3 D53 HV An ninh nhân dân
Nhận bài ngày 29/01/2024.Sửa chữa xong 03/02/2024. Duyệt đăng 07/02/2024.
Tóm tắt: Sự phát triển của công nghệ đã mở ra một kỷ nguyên mới cho cho phép con người tiếp cận với những tiến bộ vượt bậc về khoa học, đồng thời đặt ra vấn đề bảo vệ quyền riêng tư của cá nhân, bảo vệ dữ liệu cá nhân trên không gian mạng không bị lộ, bị mất nhằm sử dụng với các mục đích trái với ý muốn của người sở hữu dữ liệu cá nhân. Bài viết này phân tích quy định pháp luật một số quốc gia về bảo vệ dữ liệu cá nhân trên không gian mạng, qua đó gợi mở cho việc hoàn thiện pháp luật Việt Nam trong thời gian tới.
Từ khóa: dữ liệu cá nhân, không gian mạng, an ninh trật tự.
1. Đặt vấn đề
Không gian mạng là mạng lưới kết nối của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng viễn thông, mạng internet, mạng máy tính, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu; là nơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian. Dữ liệu cá nhân (DLCN) được hiểu là bất kỳ thông tin nào có liên quan nhằm xác định hoặc nhận dạng một cá nhân. Bên cạnh đó, những mảng thông tin rời rạc nếu được thu thập có thể dẫn đến sự xác định một con người cụ thể cũng được coi là dữ liệu cá nhân. Quyền đối với DLCN trên không gian mạng là một nhánh quan trọng và nhạy cảm trong quyền riêng tư, đặc biệt là quyền riêng tư trên không gian mạng. Theo đó, DLCN là một nhân tố quan trọng cần được bảo vệ để đảm bảo sự riêng tư, tính cá nhân độc lập, ngăn chặn tội phạm lợi dụng hòng thực hiện hành vi xâm hại đến cá nhân, tổ chức, ảnh hưởng tiêu cực đến tình hình an ninh trật tự trong thời đại khoa học công nghệ phát triển vũ bão như hiện nay.
Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng internet cao nhất thế giới và hiện đang xếp thứ 13 trên thế giới với hơn 64 triệu người dùng. Bên cạnh đó, Chính phủ đang quyết liệt chỉ đạo đẩy mạnh xây dựng Chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số và đã đạt được nhiều kết quả quan trọng. Tuy nhiên, hiện nay tình hình thông tin cá nhân bị lộ lọt như số điện thoại, họ tên, địa chỉ, số căn cước công dân, số tài khoản cá nhân của người dân đang rất phổ biến. Bên cạnh đó, người dân còn nhận các thông tin, tin nhắn lừa đảo, các đường link giả mạo, bị làm phiền vì các cuộc gọi mời chào, giới thiệu các loại dịch vụ khác nhau... Do đó, việc tìm hiểu, nghiên cứu pháp luật về bảo vệ DLCN của các quốc gia trên thế giới là rất cần thiết để có thể rút ra bài học kinh nghiệm đáng quý trong quá trình xây dựng và hoàn thiện pháp luật về bảo vệ DLCN ở Việt Nam.
2. Nội dung nghiên cứu
2.1. Pháp luật một số quốc gia về bảo vệ dữ liệu cá nhân trên không gian mạng
Việc sử dụng ngày càng nhiều công nghệ và internet, DLCN của mọi người đã trở nên dễ tiếp cận và dễ bị tổn thương hơn. Mỗi quốc gia đã ban hành luật để điều chỉnh hành vi của cá nhân, tổ chức trên môi trường không gian mạng nhằm bảo vệ DLCN như: Hoa Kỳ, Trung Quốc, Nga… Đây là những quốc gia đi đầu trong việc bảo vệ DLCN.
2.1.1. Pháp luật Hoa Kỳ về bảo vệ dữ liệu cá nhân trên không gian mạng
Hoa Kỳ chưa có đạo luật riêng ở cấp liên bang về bảo vệ DLCN, nhưng việc bảo vệ DLCN được quy định trong từng văn bản chuyên ngành với các khía cạnh khác nhau của quyền riêng tư dữ liệu như dữ liệu sức khỏe, thông tin tài chính hoặc bảo vệ thông tin cá nhân của trẻ em. Cụ thể: Luật Bảo vệ quyền về sự riêng tư trực tuyến của trẻ em (COPPA) - cung cấp cho phụ huynh quyền kiểm soát đối với những thông tin mà các trang web có thể thu thập từ con cái họ; Luật về Trách nhiệm giải trình và trách nhiệm bảo hiểm y tế (HIPPA) - đảm bảo tính bảo mật của bệnh nhân đối với tất cả các dữ liệu liên quan đến chăm sóc sức khỏe; Luật Bảo vệ quyền về sự riêng tư video - ngăn chặn việc tiết lộ sai thông tin của một cá nhân xuất phát từ việc cho thuê hoặc mua tài liệu nghe nhìn của họ... Theo cách tiếp cận của Hoa Kỳ, việc bảo vệ dữ liệu được dựa trên sự kết hợp giữa luật pháp, quy định của từng tiểu bang và tự điều chỉnh, thay vì chỉ có sự can thiệp của nhà nước. Pháp luật thường chỉ được áp dụng cho các tình huống trong đó các cá nhân không thể tự kiểm soát việc sử dụng DLCN của họ. Bởi chỉ có một số bang tại Hoa Kỳ hiện nay có luật riêng về bảo vệ DLCN như bang Califorinia, Colorado, Florida, Virginia.[1]
Sau khi Liên minh châu Âu thông qua Quy định chung về bảo vệ dữ liệu[2] (General Data Protection Regulation - GDPR), và có hiệu lực ngày 25/5/2018, một số tiểu bang của Hoa Kỳ đã đề xuất luật bảo vệ dữ liệu của riêng họ, thiết lập một số quyền giống như GDPR. Luật về Sự riêng tư của người tiêu dùng của bang California (California Consumer Privacy Act Policy - CCPA) được thông qua vào tháng 6/2018.[3] CCPA thiết lập một số quyền nhất định cho người tiêu dùng, bao gồm “quyền được biết”, “quyền được tiếp cận”, “quyền từ chối” và “quyền xóa bỏ”. Ngoài ra, CCPA mở rộng đáng kể định nghĩa về thông tin cá nhân, từ đó đòi hỏi các công ty phải có những thay đổi đáng kể trong cách thức hoạt động của mình. Không giống như bất kỳ luật bảo vệ dữ liệu nào được ban hành trước đây ở Hoa Kỳ, yêu cầu có một lựa chọn trên trang web của công ty để cho phép người tiêu dùng từ chối chia sẻ dữ liệu cho bên thứ ba, CCPA cho phép quyền hành động riêng tư trong trường hợp vi phạm dữ liệu và cho phép Bộ trưởng Tư pháp bang California áp dụng các hình phạt hành chính lên tới 7.500 đô la cho mỗi lần vi phạm mà không có giới hạn tối đa.
Hiện nay, một số bang của Hoa Kỳ bao gồm Maryland, New Jersey và Washington… đã đưa ra dự thảo văn bản pháp luật bảo vệ DLCN. Những dự luật này đưa ra quyền từ chối và các yêu cầu công bố sẽ dẫn đến tăng chi phí cho các doanh nghiệp khi thực hiện nghĩa vụ bảo mật DLCN để tuân thủ các quy định của của luật. Sự khác biệt của pháp luật các bang về bảo vệ DLCN dẫn đến nhu cầu thống nhất luật chung trên toàn lãnh thổ. Năm 2022, Quốc hội Hoa Kỳ trình dự luật bảo vệ và quyền riêng tư dữ liệu (American Data Privacy and Protection Act) để thực hiện tiêu chuẩn bảo mật về sử dụng, chia sẻ và thu thập DLCN tại Hoa Kỳ. Dự luật yêu cầu các công ty hạn chế thu thập, xử lý và truyền DLCN ở mức cần thiết để cung cấp sản phẩm hoặc dịch vụ và cấm các công ty chuyển DLCN mà không có sự đồng ý rõ ràng của cá nhân. Dự luật cũng thiết lập các biện pháp bảo vệ dữ liệu của người tiêu dùng, quyền của cá nhân dưới 17 tuổi và cấm các công ty sử dụng DLCN để phân biệt đối xử về chủng tộc, màu da, tôn giáo, nguồn gốc gia đình...[4] Dự luật cho phép áp dụng quyền ưu tiên về luật bảo vệ DLCN của các bang như việc ngoại trừ áp dụng dự luật tại bang Illinois, California.
2.1.2. Pháp luật của Liên bang Nga về bảo vệ dữ liệu cá nhân trên không gian mạng
Tại Liên Bang Nga, việc bảo vệ DLCN được diều chỉnh theo Luật số 152-FZ năm 2006 hay còn gọi là Luật về Dữ liệu cá nhân điều chỉnh việc xử lý DLCN của các nhà khai thác trong lãnh thổ Liên bang Nga và nhà khai thác nước ngoài liên quan DLCN của công dân Nga nếu dữ liệu này được thu thập trong lãnh thổ Nga hoặc liên quan đến cung cấp hàng hóa, dịch vụ cho công dân Nga hoặc giám sát hành vi của họ trong nước Nga. Luật được áp dụng cho mọi loại DLCN, bao gồm thông tin về danh tính như tên, địa chỉ, ngày sinh, số hộ chiếu và thông tin cá nhân khác, cũng như thông tin về sức khỏe và tài chính. Tuy nhiên, nó không áp dụng cho xử lý DLCN với mục đích cá nhân và gia đình, cũng như cho mục đích báo chí, văn hóa, và nghệ thuật, trừ khi xử lý là cần thiết để thực hiện các quyền và lợi ích hợp pháp của nhà điều hành hoặc bên thứ ba mà không vi phạm quyền và tự do của chủ thể dữ liệu. Mọi pháp nhân, bao gồm cả các thực thể nước ngoài có hiện diện hợp pháp ở Nga, phải tuân thủ các quy định của Luật này khi thu thập DLCN trong lãnh thổ Nga.
Luật số 152-FZ đặt ra nhiều nghĩa vụ đối với tổ chức xử lý DLCN với yêu cầu phải nhận được sự đồng ý từ chủ thể dữ liệu trước khi thu thập hoặc xử lý, trừ khi có các trường hợp ngoại lệ được quy định bởi luật. Tổ chức thu thập DLCN cần thông báo cho chủ thể dữ liệu về mục đích thu thập DLCN, loại DLCN sẽ được thu thập, và các bên thứ ba mà dữ liệu sẽ được chia sẻ; thực hiện các biện pháp hợp lý để đảm bảo rằng DLCN thu thập và xử lý là chính xác và cập nhật. Các tổ chức cần thực hiện các biện pháp bảo mật để bảo vệ DLCN khỏi việc truy cập, thay đổi, tiết lộ hoặc phá hủy trái phép; đảm bảo tính bảo mật, toàn vẹn và khả dụng của DLCN. Luật số 152-FZ cũng yêu cầu các tổ chức chỉ định một người chịu trách nhiệm bảo mật DLCN, xây dựng chính sách và quy trình nội bộ để bảo vệ DLCN, và đào tạo nhân viên thường xuyên về bảo mật DLCN.
Về xử lý DLCN, Luật cho phép chủ thể dữ liệu có quyền truy cập, chỉnh sửa hoặc xóa, cũng như được cung cấp thông tin về nguồn gốc của dữ liệu. Tổ chức xử lý dữ liệu có trách nhiệm đảm bảo an ninh cho DLCN thông qua các biện pháp kỹ thuật, hành chính, và vật lý phù hợp. Việc xử lý DLCN phải có sự đồng ý bằng văn bản của chủ thể dữ liệu, đặc biệt như việc truyền dữ liệu xuyên biên giới đến các quốc gia, xử lý DLCN nhạy cảm, xử lý DLCN sinh trắc học, xử lý DLCN để ra quyết định tự động, hoặc chuyển giao dữ liệu của nhân viên cho bên thứ ba. Chủ thể dữ liệu có quyền rút lại sự đồng ý bất cứ lúc nào. Trong trường hợp này, bên kiểm soát hoặc xử lý dữ liệu phải ngừng xử lý hoặc sắp xếp chấm dứt. Nếu việc lưu trữ DLCN không còn cần thiết, người kiểm soát dữ liệu phải đảm bảo hủy dữ liệu trong vòng mười ngày làm việc từ ngày yêu cầu rút lại.
Hình phạt cho việc không tuân thủ nghĩa vụ bảo vệ DLCN theo luật gồm bồi thường thiệt hại về mặt đạo đức và phạt hành chính, tùy thuộc vào mức độ vi phạm và lặp lại hành vi vi phạm; và các khoản phạt có thể rơi vào khoảng từ vài nghìn đến vài trăm nghìn rúp, tùy thuộc vào loại cá nhân hoặc tổ chức và mức độ vi phạm.
Tháng 3 năm 2021, Luật được sửa đổi, trong đó có quy định mới liên quan đến yêu cầu bản địa hóa dữ liệu và quy định về việc lưu trữ dữ liệu liên quan đến công dân Nga trong cơ sở dữ liệu Nga. Luật số 266-FZ, có hiệu lực từ ngày 01/9/2022, đã mở cửa cho việc xử lý dữ liệu cá nhân thông qua các thỏa thuận hợp đồng giữa chủ thể dữ liệu và nhà điều hành. Điều kiện quan trọng là hợp đồng không được hạn chế quyền và tự do của chủ thể dữ liệu.
2.1.3. Pháp luật của Trung Quốc về bảo vệ dữ liệu cá nhân trên không gian mạng
Trung Quốc đã ban hành một loạt các luật với các quy định nhằm bảo vệ quyền riêng tư và DLCN, gồm: Luật An ninh mạng năm 2017 (The Cybersecurity Law - CSL), Luật An toàn dữ liệu 2021 (Data Security Law - DSL) và Luật Bảo vệ thông tin cá nhân năm 2021 (Personal Information Protection Law – PIPL) nhằm hình thành một chiến lược phát triển để giúp Trung Quốc quản lý không gian mạng và bảo vệ DLCN của người dùng mạng tại Trung Quốc.
Trước khi ban hành Luật Bảo vệ thông tin cá nhân 2021, Trung Quốc chưa có bất kỳ luật chuyên biệt nào để quy định việc sử dụng, các quy định bảo vệ DLCN được quy định rời rạc trong các văn bản luật khác nhau. Trong bối cảnh thương mại điện tử và số hóa đang phát triển mạnh mẽ tại Trung Quốc, người dùng mạng cần được đảm bảo DLCN của họ được bảo vệ một cách toàn diện. Luật chính thức có hiệu lực từ ngày 1/11/2021, đã cung cấp cơ sở pháp lý cho việc xử lý DLCN, đảm bảo đầy đủ quyền lợi của người dùng trong việc bảo vệ DLCN và cung cấp hướng dẫn giúp doanh nghiệp tuân thủ các quy định liên quan.
Theo Điều 3 PIPL, thuật ngữ "dữ liệu" đề cập đến bất kỳ hồ sơ thông tin nào dưới dạng điện tử hoặc bất kỳ hình thức nào khác. Vậy DLCN hay chính là những thông tin của cá nhân là đối tượng cụ thể mà Trung Quốc muốn hướng đến để bảo vệ khi cho công bố Luật. Trung Quốc không đưa ra khái niệm DLCN mà đưa ra cách hiểu về thông tin cá nhân và hướng tới đối tượng hẹp là cá nhân trong lãnh thổ Trung Quốc, cụ thể “là tất cả các loại thông tin, được ghi lại bằng các phương tiện điện tử hoặc các phương tiện khác, liên quan đến các thể nhân được xác định hoặc có thể nhận dạng, không bao gồm thông tin sau khi xử lý ẩn danh” (Điều 4 Chương 1 PIPL). Điểm đặc biệt là PIPL đưa ra cách hiểu về thông tin cá nhân nhạy cảm mà “… một khi bị rò rỉ hoặc sử dụng bất hợp pháp, có thể dễ dàng gây tổn hại đến nhân phẩm của thể nhân gây tổn hại nghiêm trọng đến an ninh cá nhân hoặc tài sản, bao gồm thông tin về đặc điểm sinh trắc học, tín ngưỡng tôn giáo, tình trạng được chỉ định đặc biệt, sức khỏe y tế, tài khoản tài chính, theo dõi vị trí cá nhân, v.v., cũng như thông tin cá nhân của trẻ vị thành niên dưới 14 tuổi”.
Việc xử lý DLCN được quy định tại Mục 1, Điều 13 PIPL, và phải có sự đồng ý tự nguyện và rõ ràng bằng văn bản và sự đồng ý này có thể bị hủy bỏ bất cứ lúc nào (Điều 15 PIPL); nội dung xử lý phải được báo trước "trung thực, chính xác và đầy đủ... sử dụng ngôn ngữ rõ ràng và dễ hiểu” cho cá nhân biết (Điều 17). Người xử lý cũng phải tìm kiếm sự chấp thuận từ chính quyền về việc cung cấp bất kỳ thông tin cá nhân nào mà họ xử lý, được lưu trữ ở Trung Quốc, cho bất kỳ cơ quan tư pháp hoặc thực thi pháp luật nước ngoài nào. Tuy nhiên, luật pháp không nêu rõ thêm chi tiết về phạm vi của yêu cầu này hoặc cách xử lý các phê duyệt.
Các cá nhân có quyền khiếu nại với cơ quan bảo vệ dữ liệu có liên quan nếu họ tin rằng quyền của mình đã bị vi phạm; quyền khởi kiện theo thủ tục tố tụng dân sự chống lại người xử lý DLCN. Khi xảy ra vi phạm xử lý DLCN hoặc khi có vi phạm hoặc không thực hiện nhiệm vụ bảo vệ để xử lý và nếu việc chỉnh sửa bị từ chối, các bộ phận chịu trách nhiệm có thể bị phạt tới 1 triệu Nhân dân tệ và nhân viên chịu trách nhiệm trực tiếp có thể bị phạt từ 10.000 đến 100.000 Nhân dân tệ (khoảng 1.500 đến 15.000 đô la Mỹ). Đối với "trường hợp nghiêm trọng" mức phạt lên tới 50 triệu Nhân dân tệ (khoảng 7,7 triệu USD) hoặc tối đa 5% tổng doanh thu của người xử lý năm trước.
2.2. Gợi mở hướng hoàn thiện cho pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trên không gian mạng
Điều 21 Hiến pháp 2013 quy định việc bảo vệ DLCN không chỉ bao gồm thư tín, điện thoại, điện tín mà tất cả các thông tin thuộc về đời sống riêng tư, bí mật cá nhân và bí mật gia đình đều được coi là DLCN và được pháp luật bảo vệ. Chủ thể được bảo vệ không chỉ giới hạn “công dân” mà mở rộng ra là “mọi người”. Việc bảo vệ DLCN được coi là quyền con người. Điều 38 Bộ luật dân sự 2015 đã thể hiện tinh thần của Hiến pháp 2013 cũng như các cam kết quốc tế của Việt Nam trong các điều ước quốc tế về quyền con người khi tiếp cận việc bảo vệ DLCN dưới góc độ bảo vệ quyền riêng tư – quyền nhân thân. Bên cạnh đó Điều 8 Luật Khám bệnh, chữa bệnh năm 2009 có quy định quyền được tôn trọng bí mật riêng tư. Thông tin về tình trạng sức khỏe và đời tư được ghi trong bệnh án của bệnh nhân được giữ bí mật, nghiêm cấp hành vi tẩy xóa, sửa chữa hồ sơ bệnh án của bệnh nhân. Ngoài ra, các quy định trong các luật chuyên ngành như Luật An toàn thông tin mạng năm 2015, Luật Thống kê 2015, Luật Căn cước công dân 2023, Luật Trẻ em 2016, Luật An ninh mạng 2018 và các quy định trong Bộ luật tố tụng dân sự, Bộ luật tố tụng hình sự đã quy định rõ chủ thể DLCN và chủ thể bảo vệ DLCN, quy định các phương thức bảo vệ DLCN, chế tài xử phạt với các hành vi vi phạm cụ thể. Mặc dù các quy định về bảo vệ DLCN nằm rải rác trong các văn bản pháp luật khác nhau, theo lĩnh vực của luật, vẫn còn những mâu thuẫn, tồn tại, pháp luật chưa dự liệu hết để bảo vệ DLCN trước thực tiễn vi phạm hiện nay.
Trên cơ sở nghiên cứu pháp luật một số quốc gia về bảo vệ DLCN trên không gian mạng, và từ thực trạng pháp luật Việt Nam về bảo vệ DLCN nói chung, bài viết gợi ý những giá trị tham khảo sau:
2.2.1. Đảm bảo sự thống nhất trong khái niệm về DLCN và bảo vệ DLCN
Mặc dù Hiến pháp năm 2013 đã hiến định quyền riêng tư và những thông tin, bí mật của cá nhân, gia đình cần được bảo vệ như là một loại quyền (Điều 21). Và cách hiểu về DLCN hiện nay được quy định trong Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân (Nghị định số 13/NĐ-CP). Nhưng về thứ tự hiệu lực của văn bản quy phạm pháp luật thì luật có giá trị cao hơn[5]. Điều này dẫn đến sự chưa thống nhất với quy định hiện hành trong Luật An toàn thông tin và Luật Căn cước công dân. Vì vậy, theo xu hướng hiện nay, Việt Nam cần nghiên cứu, xây dựng luật riêng về bảo vệ DLCN để tạo cơ sở pháp lý vững chắc, thống nhất cho việc áp dụng. Việt Nam cần học hỏi cách tiếp cận về định nghĩa dữ liệu cá nhân của Hoa Kỳ để có một bộ khung pháp lý toàn diện hơn và hiệu quả hơn về định nghĩa DLCN.
2.2.2. Về quyền xử lý DLCN như quyền xóa dữ liệu hay được gọi là quyền được lãng quên cho phép các cá nhân có quyền yêu cầu xóa DLCN của họ trong một số trường hợp nhất định, như khi dữ liệu không còn cần thiết cho mục đích được thu thập, khi cá nhân rút lại sự đồng ý của họ, khi việc xử lý dữ liệu là bất hợp pháp hoặc khi dữ liệu đã được xử lý dựa trên nghĩa vụ pháp lý. Tuy nhiên, quyền được lãng quên không phải là quyền tuyệt đối và có một số ngoại lệ. Nhưng quyền xóa dữ liệu hiện được quy định trong Nghị định số 13/2023/NĐ-CP và việc hạn chế quyền lại do “luật định”[6]. Và do mới được ban hành, việc áp dụng để bảo đảm sự riêng tư của cá nhân cần có hướng dẫn cụ thể để pháp luật được thực thi hiệu quả.
2.2.3. Hoàn thiện quy định của pháp luật về trách nhiệm của chủ thể quản lý DLCN
Cần có quy định riêng về trách nhiệm bảo vệ DLCN của chủ thể thu thập, xử lý và quản lý DLCN. Các cơ quan, tổ chức, người có thẩm quyền phải chịu trách nhiệm trong việc bảo vệ DLCN của chủ thể dữ liệu. Khi xử lý DLCN phải tuân thủ đúng mục đích và trình tự thủ tục quy định. Ngoài ra, các cơ quan, tổ chức, người có thẩm quyền phải đưa ra các biện pháp để bảo vệ quyền và lợi ích hợp pháp của chủ thể DLCN. Quy định pháp luật cần làm rõ yêu cầu các tổ chức thông báo cho các cá nhân và cơ quan bảo vệ dữ liệu về các vi phạm dữ liệu một cách kịp thời và minh bạch. Điều này có thể giúp các cá nhân thực hiện các bước để bảo vệ bản thân khỏi hành vi trộm cắp danh tính và các tác hại khác do vi phạm. Mỹ và Nga đã thực hiện các yêu cầu thông báo vi phạm dữ liệu.
Đặc biệt, Việt Nam nên thành lập một cơ quan bảo vệ dữ liệu chuyên trách chịu trách nhiệm thực thi luật bảo vệ dữ liệu, điều tra vi phạm dữ liệu và phạt tiền nếu không tuân thủ. Mỹ, Nga và Trung Quốc đều đã thành lập các cơ quan bảo vệ dữ liệu để giám sát và thực thi luật bảo vệ DLCN.
2.2.4. Hoàn thiện quy định về chế tài xử lý vi phạm liên quan đến việc bảo vệ DLCN. Mặc dù pháp luật quy định việc xử lý kỷ luật, xử phạt vi phạm hành chính và
xử lý hình sự khi có hành vi vi phạm quy định bảo vệ DLCN. Nhưng hiện nay chưa có chế tài dân sự, hành chính riêng về DLCN. Chưa có chế tài xử lý đủ mạnh để xử lý hành vi buôn bán DLCN trên internet. Hiện chưa có chế tài hình sự riêng về bảo vệ DLCN, các vi phạm liên quan thông tin cá nhân có thể bị xử lý bởi 02 tội danh theo Điều 159, 288 Bộ luật Hình sự năm 2015, sửa đổi, bổ sung năm 2017 với mức án cao nhất là 07 năm tù. Việt Nam nên tăng tiền phạt, tiền bồi thường và hình phạt đối với các công ty, cá nhân không tuân thủ nghĩa vụ bảo vệ hay có vi phạm. Điều này tạo ra sự răn đe đối với các công ty cắt giảm hoặc bỏ qua các yêu cầu bảo vệ dữ liệu. Mỹ, Nga và Trung Quốc đều áp dụng các khoản tiền phạt và hình phạt đáng kể đối với việc không tuân thủ luật bảo vệ dữ liệu.
2.2.5. Tham khảo kinh nghiệm của một số quốc gia để ban hành Luật về bảo vệ DLCN ở Việt Nam để hài hòa với thông lệ, quy định quốc tế
Việc bảo vệ DLCN là vấn đề được các quốc gia và cộng đồng quốc tế quan tâm và trên cơ sở phù hợp với thưc tiễn từng quốc gia, Việt Nam khi soạn thảo luật riêng về bảo vệ DLCN cần tương xứng với thực tế tại Việt Nam và hài hòa với thông lệ quốc tế. Việt Nam nên tham khảo quy định của Nga về bảo vệ DLCN khi nó được chuyển ra nước ngoài, tham khảo pháp luật Trung Quốc về biện pháp xử lý hành vi vi phạm nghĩa vụ bảo vệ DLCN. Việt Nam nên yêu cầu các công ty thu thập hoặc xử lý dữ liệu cá nhân của công dân Việt Nam lưu trữ dữ liệu đó trong biên giới Việt Nam. Điều này có thể giúp bảo vệ DLCN khỏi bị truy cập trái phép và cung cấp quyền truy cập dễ dàng hơn vào cơ quan bảo vệ dữ liệu cho mục đích điều tra. Nga và Trung Quốc đã thực hiện các yêu cầu nội địa hóa dữ liệu.
3. Kết luận
Việt Nam là quốc gia đang có tốc độ phát triển và ứng dụng internet cao nhất thế giới, hơn 68,72 triệu người, tương đương 70,3% tổng dân số sử dụng internet. DLCN của hơn 2/3 dân số của nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với các hình thức và mức độ chi tiết khác nhau. Nên việc thu thập DLCN và xử lý DLCN cũng như việc bảo vệ DLCN trước các nguy cơ hiện hữu và thực trạng vi phạm về DLCN khi làm lộ, mua bán DLCN trên không gian mạng. Để đảm bảo sự đồng bộ, thống nhất quy định pháp luật về bảo vệ DLCN, đặc biệt là bảo vệ DLCN trên không gian mạng. Trên cơ sở tham khảo pháp luật một số quốc gia, thời gian tới Việt Nam cần sớm ban hành Luật về bảo vệ DLCN, bên cạnh đó kịp thời sửa đổi, bổ sung các quy định xử lý hành vi vi phạm về nghĩa vụ bảo vệ DLCN và tập trung về xử phạt hành chính và nghĩa vụ bồi thường.
Tài liệu tham khảo
1.Quốc hội (2013), Hiến pháp 2013.
2.Quốc hội (2015), Luật Ban hành văn bản quy phạm pháp luật năm 2015, sửa đổi, bổ sung năm 2020.
3.Quốc hội (2015), Bộ luật Dân sự 2015.
4.Chính phủ (2023), Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân.
5.Luật về sự riêng tư của bang California, Hoa Kỳ, (California Consumer Privacy Act Policy – CCPA).
6.Luật Bảo vệ thông tin cá nhân năm 2021 của Trung Quốc (Personal Information Protection Law – PIPL).
7.Luật về dữ liệu cá nhân (Luật số 152-FZ) của Liên bang Nga năm 2006.