Đề xuất cấm tuyệt đối mua bán dữ liệu, phạt đến 10 lần khoản thu bất hợp pháp
(CLO) Sáng 5/6, Ủy ban Thường vụ Quốc hội đã cho ý kiến về việc tiếp thu, giải trình, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân.
Trình bày báo cáo tóm tắt, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại của Quốc hội Lê Tấn Tới cho biết, dự thảo Luật đã được điều chỉnh để áp dụng đối với mọi cá nhân, cơ quan, tổ chức có liên quan đến hoạt động xử lý dữ liệu cá nhân, không chỉ trong môi trường mạng mà cả trên môi trường vật lý. Đồng thời, dự thảo cũng làm rõ đối tượng áp dụng là cơ quan, tổ chức, cá nhân nước ngoài có hoạt động trực tiếp xử lý hoặc có liên quan đến dữ liệu cá nhân của công dân Việt Nam.
Ban soạn thảo đã tiếp thu các ý kiến góp ý của đại biểu Quốc hội theo hướng thiết kế lại quy định về quyền của chủ thể dữ liệu, đảm bảo rõ ràng hơn và phù hợp với thông lệ quốc tế. Các quyền bao gồm quyền được biết, quyền đồng ý, quyền truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu, quyền rút lại sự đồng ý, quyền yêu cầu hạn chế xử lý, quyền yêu cầu xóa dữ liệu và các quyền hợp pháp khác.
Liên quan đến đề nghị quy định cấm mua bán dữ liệu cá nhân để phù hợp thực tiễn và bảo đảm thống nhất trong hệ thống pháp luật, đồng thời cân nhắc mức phạt từ 1–5% doanh thu hoặc theo thiệt hại thực tế, ông Lê Tấn Tới cho biết Thường trực Ủy ban Quốc phòng, An ninh và Đối ngoại đã phối hợp với cơ quan soạn thảo để tiếp thu, chỉnh lý.
Theo đó, dự thảo đã tập trung quy định nghiêm cấm các hành vi có nguy cơ cao như xử lý dữ liệu cá nhân nhằm chống phá Nhà nước; cản trở hoạt động bảo vệ dữ liệu cá nhân; lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật; thu thập, lưu trữ, tiết lộ, chuyển giao dữ liệu trái pháp luật; mua bán dữ liệu cá nhân (trừ trường hợp luật có quy định khác); chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Về chế tài xử lý vi phạm pháp luật liên quan đến bảo vệ dữ liệu cá nhân, dự thảo Luật đã được chỉnh lý theo hướng gồm 7 khoản quy định rõ nguyên tắc xử lý tùy theo tính chất, mức độ và hậu quả của hành vi vi phạm, có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự. Trường hợp gây thiệt hại, tổ chức, cá nhân vi phạm phải bồi thường. Do tính chất nghiêm trọng của hành vi vi phạm, đặc biệt với các doanh nghiệp lớn, tập đoàn đa quốc gia hoặc các công ty công nghệ có doanh thu hàng nghìn tỷ đồng, dự thảo luật quy định mức phạt hành chính ở ngưỡng cao để bảo đảm tính răn đe.
Cụ thể, hành vi mua bán dữ liệu cá nhân có thể bị phạt đến 10 lần khoản thu bất hợp pháp; hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới có thể bị phạt tối đa 5% doanh thu năm liền trước; các hành vi vi phạm khác có thể bị phạt đến 3 tỷ đồng. Mức phạt đối với cá nhân được xác định bằng một nửa mức phạt áp dụng cho tổ chức. Đồng thời, Chính phủ được giao trách nhiệm quy định chi tiết khung tiền phạt, mức phạt cụ thể và phương pháp tính khoản thu trái pháp luật.
Về thủ tục kiểm soát việc chuyển dữ liệu cá nhân xuyên biên giới, ông Lê Tấn Tới cho biết dự thảo luật quy định áp dụng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động, chỉ kiểm tra khi cần thiết, thay vì yêu cầu doanh nghiệp xin phép trước trong đa số trường hợp nhằm tạo thuận lợi cho hoạt động kinh doanh.
Tham gia giải trình thêm một số nội dung, Thượng tướng Lê Quốc Hùng, Thứ trưởng Bộ Công an – đại diện cơ quan soạn thảo, cho biết trong bối cảnh chuyển đổi số diễn ra ngày càng sâu rộng, phần lớn hoạt động kinh tế - xã hội đã chuyển dịch lên không gian mạng, dữ liệu cá nhân của người dân đang đối mặt với nhiều nguy cơ bị xâm phạm.
Ông nhấn mạnh, dữ liệu cá nhân gắn liền với quyền con người, quyền nhân thân và quyền riêng tư nên không thể coi là hàng hóa hay tài sản thông thường. Việc cho phép mua bán dữ liệu cá nhân, theo Thượng tướng, chẳng khác nào cho phép mua bán quyền con người và quyền định đoạt thông tin cá nhân của người khác – điều không thể chấp nhận trong một nhà nước pháp quyền.
Thượng tướng Lê Quốc Hùng cũng nêu thực tế, trong nhiều vụ án lừa đảo chiếm đoạt tài sản quy mô lớn mà Bộ Công an đã triệt phá và đang điều tra, hành vi lộ lọt, mua bán dữ liệu cá nhân là nguyên nhân chính hình thành nên các “chợ đen” dữ liệu, gây hậu quả nghiêm trọng. Theo ông, dữ liệu cá nhân có thể bị thu thập trái phép qua các hành vi tấn công chiếm đoạt, chuyển giao trái pháp luật, mua bán công khai hoặc sử dụng công nghệ cao để “cào” dữ liệu nhằm phục vụ các mục đích phi pháp.
Trong phần thảo luận, các ý kiến của Ủy ban Thường vụ Quốc hội cơ bản đồng tình với báo cáo giải trình, tiếp thu và chỉnh lý của Ủy ban Quốc phòng, An ninh và Đối ngoại. Tuy nhiên, nhiều đại biểu cho rằng cần làm rõ hơn các quy định tại Điều 7 về hành vi mua bán dữ liệu cá nhân. Điều khoản này còn mang tính khái quát, chưa dự liệu được hết các tình huống phát sinh trong thực tế, đặc biệt là khả năng "lách luật" qua các giao dịch dân sự như cho tạm, cho mượn hoặc chuyển đổi dưới hình thức có lợi ích tương đương.
Kết luận phiên thảo luận, Phó Chủ tịch Quốc hội Trần Quang Phương đề nghị Thường trực Ủy ban Quốc phòng, An ninh và Đối ngoại chủ trì, phối hợp với cơ quan soạn thảo và các cơ quan liên quan tiếp tục nghiên cứu, rà soát, tiếp thu, chỉnh lý, hoàn thiện dự thảo Luật, bảo đảm thể chế hóa đầy đủ các quan điểm của Đảng liên quan đến bảo vệ dữ liệu cá nhân, đồng thời đáp ứng yêu cầu đổi mới trong xây dựng pháp luật. Ông nhấn mạnh cần đặc biệt làm rõ quy định liên quan đến việc mua bán dữ liệu cá nhân tại Điều 7, trừ trường hợp được pháp luật quy định khác.