Ngày 17/4/2023, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP (Nghị định) về bảo vệ dữ liệu cá nhân, có hiệu lực thi hành từ ngày 1/7/2023, đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức.

Những điểm nổi bật

Nghị định là văn bản quy phạm pháp luật quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.

Thứ nhất, bảo vệ dữ liệu cá nhân là bảo vệ các quyền cơ bản và tự do của con người liên quan đến dữ liệu. Các quy định của Nghị định về bảo vệ dữ liệu cá nhân khi vận hành nhằm tránh cho các quyền cá nhân và tự do của mỗi người không bị xâm phạm.

Đồng thời, việc bảo mật dữ liệu cá nhân mang tầm quan trọng đặc biệt bởi nếu dữ liệu bị đánh cắp có thể gây ra những tổn thất về kinh tế, xã hội, xảy ra những nguy cơ như: tống tiền, lừa đảo, chiếm đoạt tài sản, bôi nhọ, xâm phạm danh dự, nhân phẩm, xâm hại tình dục..., gây hậu quả cả về vật chất và tinh thần, ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của các cơ quan, tổ chức, doanh nghiệp và mỗi cá nhân.

Thứ hai, đề cao, tôn trọng quyền của chủ thể dữ liệu cá nhân. Quyền của chủ thể dữ liệu cá nhân bao gồm quyền truy cập, quyền đồng ý hoặc không đồng ý đối với việc xử lý dữ liệu cá nhân, quyền được thông báo và quyền yêu cầu xóa dữ liệu…

Hơn nữa, chủ thể dữ liệu còn có các quyền tự bảo vệ chính mình không để chủ thể khác xâm phạm dữ liệu cá nhân. Chủ thể có quyền yêu cầu bồi thường thiệt hại khi xảy ra vi phạm quy định tại Nghị định gây thiệt hại đến quyền được bảo vệ dữ liệu cá nhân. Nghị định cũng quy định rõ rằng việc thu thập, chuyển giao, hoặc mua, bán dữ liệu cá nhân mà không có sự đồng ý của chủ thể là vi phạm pháp luật.

Tuy nhiên, quyền chủ thể bảo vệ dữ liệu cá nhân không phải là quyền tuyệt đối, mà có thể bị hạn chế trong trường hợp khẩn cấp để bảo vệ tính mạng, sức khỏe của chính cá nhân hoặc người khác; tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội; thực hiện nghĩa vụ hợp đồng đã được xác định, hoặc phục vụ hoạt động cơ quan nhà nước đã được quy định theo luật chuyên ngành.

Việc quy định các trường hợp ngoại lệ nhằm thực hiện nguyên tắc vừa bảo đảm quyền của cá nhân, tổ chức nhưng không vì thực hiện các quyền đó mà xâm hại đến quyền lợi ích chính đáng của cá nhân, tổ chức khác, lợi ích quốc gia - dân tộc.

Thứ ba, thúc đẩy tiến trình hội nhập quốc tế về vấn đề bảo vệ dữ liệu cá nhân. Nghị định tương thích với thông lệ, quy định quốc tế về bảo vệ dữ liệu cá nhân. Nhiều quốc gia phát triển đã luật hóa vấn đề bảo vệ dữ liệu cá nhân, là cơ sở để Việt Nam nghiên cứu, tham khảo.

Bên cạnh đó, các tổ chức quốc tế mà Việt Nam là thành viên hoặc hợp tác với nước ta đều đưa ra các công ước, khuyến nghị và tiêu chuẩn về quyền riêng tư và bảo vệ thông tin và dữ liệu cá nhân. Trong đó, có nguyên tắc bảo mật của Tổ chức hợp tác và phát triển kinh tế (OECD), Công ước của Hội đồng châu Âu về bảo vệ cá nhân liên quan đến tự động xử lý thông tin và dữ liệu cá nhân, hướng dẫn của LHQ về các tệp thông tin và dữ liệu cá nhân được vi tính hóa, Khung bảo mật hợp tác kinh tế châu Á-Thái Bình Dương (APEC), các tiêu chuẩn quốc tế về quyền riêng tư và bảo vệ thông tin và dữ liệu cá nhân (Nghị quyết Madrid), Quy định bảo vệ dữ liệu chung của EU (GDPR)…

Ngoài ra, trong quá trình thúc đẩy hợp tác giữa nước ta với các quốc gia, vùng lãnh thổ đã có hơn 80 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân, nhiều văn bản có quy định áp dụng đối với tổ chức, cá nhân Việt Nam. Vì vậy, quy định cụ thể, chi tiết về bảo vệ dữ liệu cá nhân, nhằm tạo ra môi trường bình đẳng, thượng tôn pháp luật tại Việt Nam kể cả đối với các cá nhân, tổ chức nước ngoài.

Những thách thức

Hiện nay, vẫn còn những thách thức không nhỏ trong triển khai thực hiện Nghị định.

Thứ nhất, thách thức trong công tác quản lý người lao động của các doanh nghiệp. Hiện nay, nhiều doanh nghiệp xây dựng mô hình công ty mẹ, công ty con cùng chung một hệ sinh thái quản lý, thông tin của người lao động, có thể dễ dàng được truy cập từ hệ thống chung.

Tuy nhiên, theo pháp luật Việt Nam, mỗi công ty (bao gồm cả công ty mẹ và công ty con) được xem là một pháp nhân riêng biệt và độc lập, nên việc các công ty trong cùng hệ sinh thái chuyển dữ liệu cá nhân của người lao động để phục vụ quá trình quản lý nội bộ của doanh nghiệp cũng có thể coi là vi phạm trách nhiệm bảo vệ dữ liệu cá nhân của doanh nghiệp.

Mặt khác, hiện nay, nhiều doanh nghiệp gặp khó khăn trong thực hiện Nghị định, chưa hoàn thiện cơ chế, quy chế trong quản lý, bảo vệ dữ liệu cá nhân của người lao động phù hợp với Nghị định.

Thứ hai, chưa đồng nhất với các quy đinh pháp luật về hoạt động của các tổ chức tín dụng. Hiện nay, hoạt động của các tổ chức tín dụng được điều chỉnh bởi các quy định pháp luật chuyên ngành như: Luật Các tổ chức tín dụng năm 2010 (sửa đổi, bổ sung năm 2014); Luật Phòng chống rửa tiền; Nghị định 117/2018/NĐ-CP về giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài; Thông tư 09/2020/TT-NHNN của Ngân hàng Nhà nước quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng cấp độ dưới Luật.

Mặt khác, đối với hoạt động ngân hàng, việc xử lý dữ liệu tác động tới dữ liệu cá nhân, như: Thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan là tất yếu nhằm cung cấp dịch vụ cho khách hàng và quản lý rủi ro trong hoạt động ngân hàng, bảo đảm an toàn an ninh của hệ thống tiền tệ nên nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không cần sự chấp thuận của khách hàng trong khi đó tại khoản 2, Điều 3 và khoản 1, Điều 9 của Nghị định quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác.

Hay tại khoản 2, Điều 9 quy định chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình; chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác tại Điều 9. Như vậy, sẽ vướng mắc, bất cập nếu áp dụng Nghị định cứng nhắc và không có hướng dẫn thống nhất.

Ngoài ra, việc cung ứng dịch vụ, sản phẩm của tổ chức tín dụng được thực hiện theo nhiều quy trình trên một sản phẩm, trong mỗi quy trình trên một sản phẩm gồm nhiều bước khác nhau và đều có liên quan đến việc thu thập, đánh giá, phân tích, cung cấp dữ liệu trên các tệp khách hàng có số lượng rất lớn trong khi đó Nghị định yêu cầu Bên Kiểm soát và xử lý dữ liệu cá nhân khi tiến hành bất kì hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của chủ thể dữ liệu (khách hàng) trong tất cả các quy trình xử lý (Điều 11); và trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân (Điều 13). Điều này tiếp tục là một trở ngại nữa đối với hoạt động của các tổ chức tín dụng.

Hơn nữa, các tổ chức tín dụng phải điều chỉnh hệ thống công nghệ thông tin, các văn bản dưới luật khác có liên quan đến hoạt động của các tổ chức tín dụng; các mẫu văn bản về hợp đồng, thỏa thuận phải chỉnh sửa để phù hợp với Nghị định tạo ra khó khăn không nhỏ đối với hoạt động ngân hàng.

Thứ ba, một bộ phận người dân chưa hiểu và chưa có ý thức tự bảo vệ dữ liệu cá nhân của bản thân nên dễ dãi trong chia sẻ thông tin cá nhân trên các nền tảng mạng xã hội, vô tình để kẻ xấu lợi dụng phục vụ cho mục đích xấu.

Một bộ phận người dân chưa thấy rõ giá trị của bảo vệ dữ liệu cá nhân chính là bảo đảm quyền riêng tư cá nhân, còn có tâm lý ngại cung cấp thông tin cá nhân gây khó khăn cho cơ quan chức năng thực hiện công tác quản lý nhà nước về bảo vệ dữ liệu cá nhân cũng như phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Bên cạnh đó, tình trạng mua bán dữ liệu cá nhân, nguy cơ lộ lọt thông tin, tạo ra hệ lụy lớn, ảnh hưởng đến các vấn đề kinh tế - xã hội. Các hiện tượng lừa đảo, các quảng cáo rác qua cuộc gọi, tin nhắn vẫn đang diễn biến phức tạp, ảnh hưởng đến cuộc sống của người dân.