Xây dựng và hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân theo tinh thần của Nghị quyết số 27-NQ/TW

1. Vận dụng Nghị quyết số 27-NQ/TW trong hoàn thiện hệ thống pháp luật bảo vệ dữ liệu cá nhân ở Việt Nam

Hệ thống pháp luật là chuẩn mực hướng dẫn hành vi cho tất cả các cá nhân, tổ chức, bao gồm cả Nhà nước khi tham gia vào các quan hệ xã hội nhằm đảm bảo mục tiêu dân giàu, nước mạnh, xã hội công bằng, dân chủ, văn minh. Do đó, Đảng và Nhà nước ta luôn dành sự quan tâm đặc biệt tới vấn đề xây dựng, hoàn thiện hệ thống pháp luật thông qua việc đề ra các tiêu chí, yêu cầu đối với hệ thống pháp luật trong Nhà nước pháp quyền xã hội chủ nghĩa Việt Nam. Hội nghị lần thứ sáu Ban Chấp hành Trung ương Đảng khóa XIII đã thông qua Nghị quyết số 27-NQ/TW. Đây là lần đầu tiên trong lịch sử, Đảng ta ban hành một Nghị quyết chuyên đề của Trung ương về Nhà nước pháp quyền xã hội chủ nghĩa Việt Nam với nhiều nội dung, yêu cầu mới, quan trọng về xây dựng, hoàn thiện hệ thống pháp luật. Nghị quyết số 27-NQ/TW tiếp tục kế thừa các nội dung của Nghị quyết số 48-NQ/TW[1] và Nghị quyết số 49-NQ/TW[2] của Bộ Chính trị với khẳng định mục tiêu xây dựng hệ thống pháp luật “thống nhất, đồng bộ, khả thi, công khai, minh bạch”. Mặt khác, do hệ thống pháp luật Việt Nam còn có những bất cập nhất định, chưa thực sự đáp ứng được đòi hỏi từ thực tiễn, do đó Nghị quyết số 27-NQ/TW đã đặt ra nhiệm vụ, giải pháp là xây dựng hệ thống pháp luật “dân chủ, công bằng, nhân đạo, đầy đủ, kịp thời, đồng bộ, thống nhất, công khai, minh bạch, ổn định, khả thi, dễ tiếp cận, đủ khả năng điều chỉnh các quan hệ xã hội, lấy quyền và lợi ích hợp pháp, chính đáng của người dân, tổ chức, doanh nghiệp làm trung tâm, thúc đẩy đổi mới sáng tạo”. Có ý kiến cho rằng, Nghị quyết số 27-NQ/TW đã đưa ra quan điểm tiếp cận mới về pháp luật, hệ thống pháp luật và tổ chức thực hiện pháp luật. Đó là quan điểm tiếp cận tổng thể, tích hợp, bao trùm, toàn diện về pháp luật, hệ thống pháp luật và tổ chức thực hiện pháp luật.

Hiện nay, Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng internet cao nhất thế giới. Số lượng người sử dụng internet của Việt Nam đã đạt hơn 79 triệu người, tương đương gần 80% tổng dân số. Dữ liệu cá nhân của hơn hai phần ba dân số Việt Nam đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ chi tiết khác nhau. Dữ liệu cá nhân là “nguyên liệu” chính của nền kinh tế số với sự tham gia của nhiều lĩnh vực như: Hành chính, y tế, hình sự, hộ tịch, quốc tịch, chứng thực, thương mại điện tử, giáo dục, tài chính, ngân hàng, thuế, trí tuệ nhân tạo, dữ liệu lớn… được ứng dụng sâu rộng, tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân. Vì vậy, việc hoàn thiện pháp luật Việt Nam về bảo vệ dữ liệu cá nhân là hoàn toàn phù hợp với tinh thần của Nghị quyết số 27- NQ/TW; đồng thời phù hợp với:

Thứ nhất, việc đảm bảo quyền con người, quyền công dân đã được công nhận, tôn trọng, bảo vệ và bảo đảm theo Hiến pháp và pháp luật. Trong đó, quyền bảo vệ dữ liệu cá nhân là nội dung liên quan trực tiếp đến quyền con người với ý nghĩa là quyền riêng tư của con người, vì vậy cần phải được tôn trọng và bảo vệ.

Thứ hai, việc tôn trọng và bảo đảm thực hiện các điều ước quốc tế mà Nhà nước Việt Nam đã ký kết hoặc gia nhập. Bảo vệ dữ liệu cá nhân là vấn đề được nhiều tổ chức và quốc gia trên thế giới quan tâm thông qua việc ban hành như: Công ước của Hội đồng châu Âu về bảo vệ cá nhân liên quan đến tự động xử lý thông tin và dữ liệu cá nhân; Hướng dẫn của Liên Hợp Quốc về các tệp thông tin và dữ liệu cá nhân được vi tính hóa; Khung bảo mật hợp tác kinh tế châu Á - Thái Bình Dương; Các tiêu chuẩn quốc tế về quyền riêng tư và bảo vệ thông tin và dữ liệu cá nhân; Quy định bảo vệ dữ liệu chung của EU; Hiệp định chung về Thương mại dịch vụ (GATS) của Tổ chức Thương mại Thế giới (WTO); Hiệp định Đối tác toàn diện và tiến bộ xuyên Thái Bình Dương; Hiệp định thương mại tự do giữa Liên minh châu Âu và Việt Nam… đều quy định về bảo vệ dữ liệu cá nhân.

2. Thực trạng hệ thống pháp luật Việt Nam về bảo vệ dữ liệu cá nhân

Hiến pháp năm 2013 đã khẳng định quyền riêng tư là bất khả xâm phạm và mở rộng phạm vi quyền riêng tư không chỉ là quyền bất khả xâm phạm về thân thể, nhà ở, thư tín mà còn bao gồm quyền bảo vệ thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình. Trong Bộ luật Dân sự năm 2015, Luật Tiếp cận thông tin năm 2016, Luật Trẻ em năm 2016 có sử dụng cụm từ “thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình” nhưng không định nghĩa các khái niệm này. Theo thống kê của Bộ Công an thì Việt Nam có 68 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân nhưng các văn bản đều chưa thống nhất về khái niệm và nội hàm bảo vệ dữ liệu cá nhân. Có nhiều thuật ngữ liên quan đến thông tin cá nhân, gồm: “Dữ liệu cá nhân”, “thông tin cá nhân”, “thông tin riêng”, “thông tin riêng tư”, “thông tin số”, “thông tin cá nhân trên môi trường mạng”, “thông tin bí mật đời tư”, “thông tin về đời sống riêng tư”, “bí mật gia đình”, “quyền bất khả xâm phạm về đời sống riêng tư”, “cơ sở dữ liệu điện tử”, “thông tin của người tiêu dùng”... Có thể thấy, trong nhưng thuận ngữ này thì thuật ngữ “thông tin cá nhân” được coi là tương đồng và gần gũi nhất với thuật ngữ “dữ liệu cá nhân”. Thuật ngữ “thông tin cá nhân” xuất hiện ở hơn 300 văn bản quy phạm pháp luật. Trong đó, 07 văn bản pháp luật có định nghĩa “thông tin cá nhân”, các văn bản pháp luật còn lại đề cập đến thuật ngữ “thông tin cá nhân” trong nội dung các quy định mà không giải thích hoặc dẫn chiếu giải thích đến văn bản pháp luật khác[3].

Mặc dù, Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân đã đưa ra định nghĩa về “dữ liệu cá nhân” và “bảo vệ dữ liệu cá nhân” nhưng phạm vi điều chỉnh của Nghị định này lại chưa bao quát được hết các lĩnh vực, quan hệ của đời sống, xã hội, cũng như chưa thực sự tương thích với các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình được nêu trong Hiến pháp năm 2013. Vì vậy, yêu cầu đặt ra là phải thống nhất về thuật ngữ “dữ liệu cá nhân” nhằm bảo đảm sự đồng bộ về nội dung, phạm vi và cách thức, trường hợp áp dụng cụ thể.

Mặt khác, với tốc độ phát triển và ứng dụng công nghệ thông tin mạnh mẽ như hiện nay, thì dữ liệu cá nhân đã và đang trở thành nguồn nguyên liệu cơ bản, đóng góp vào sự phát triển kinh tế - xã hội, bảo đảm quốc phòng - an ninh quốc gia, tuy nhiên có thể nhận thấy, một số lượng lớn người sử dụng internet đã và đang bị chiếm đoạt và đăng tải công khai dữ liệu cá nhân. Tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý. Các hành vi này chưa được xử lý triệt để do thiếu quy định của pháp luật. Việc mua bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, thậm chí còn có cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội (Facebook, Zalo…), diễn đàn tin tặc. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới gần 1.300GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm như: Thông tin về các cá nhân, tổ chức đã sử dụng dịch vụ điện lực của Tập đoàn Điện lực Việt Nam (EVN); thông tin phụ huynh, học sinh tại các trường trên cả nước; thông tin khách hàng của các ngân hàng BIDV, Techcombank, VPBank, AgriBank...; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng Viettel, Mobiphone, Vinaphone; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy tại 63 tỉnh, thành phố[4]…

Pháp luật Việt Nam về bảo vệ dữ liệu cá nhân mặc dù đã có quy định về biện pháp chế tài xử phạt đối với hành vi vi phạm pháp luật về bảo vệ thông tin cá nhân nhưng chưa có quy định về bảo vệ dữ liệu cá nhân. Cụ thể như sau:

(i) Chế tài hình sự: Chưa có chế tài hình sự đối với những hành vi vi phạm về bảo vệ dữ liệu cá nhân; còn hành vi vi phạm các quy định về bảo vệ thông tin cá nhân có thể bị xử phạt hình sự với án tù giam cao nhất là 07 năm theo Điều 159 và Điều 288[5] Bộ Luật Hình sự năm 2015 (sửa đổi, bổ sung năm 2017).

 (ii) Chế tài dân sự: Chưa có chế tài dân sự đối với những hành vi vi phạm về bảo vệ dữ liệu cá nhân, còn hành vi vi phạm các quy định về bảo vệ thông tin cá nhân được quy định trong Bộ luật Dân sự[6] nhưng chưa cụ thể, rõ ràng.

(iii) Chế tài hành chính: Chưa có chế tài hành chínḥ đối với những hành vi vi phạm về bảo vệ dữ liệu cá nhân, còn hành vi vi phạm các quy định về bảo vệ thông tin cá nhân đã có nhưng nằm rải rác ở nhiều văn bản khác nhau như: Nghị định số 119/2020/NĐ-CP ngày 07/10/2020 của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động báo chí, hoạt động xuất bản; Nghị định số 38/2021/NĐ-CP ngày 29/3/2021 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực văn hóa và quảng cáo; Nghị định số 117/2020/NĐ-CP ngày 28/9/2020 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực y tế; Nghị định số 15/2020/NĐ-CP ngày 03/02/2020 quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử (các điều 83, 84, 85, 100, 101, 102…); Nghị định số 98/2020/NĐ-CP ngày 26/8/2020 của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng (khoản 5 Điều 63, khoản 3 Điều 64, Điều 65 và khoản 4 Điều 66).

Mặc dù đã có nhiều văn bản quy phạm pháp luật khác nhau quy định các nội hàm có liên quan tới dữ liệu cá nhân nhưng chưa có văn bản Luật nào quy định trực tiếp về bảo vệ dữ liệu cá nhân. Bên cạnh đó, chế tài xử lý các hành vi vi phạm liên quan tới dữ liệu cá nhân còn yếu về hiệu lực, chưa đủ sức răn đe, xử lý thích đáng đối với hành vi vi phạm. Cùng với thực trạng mua bán, sử dụng dữ liệu cá nhân tràn lan như hiện nay thì hoàn thiện quy định pháp luật về bảo vệ dữ liệu cá nhân là yêu cầu cấp thiết.

3. Giải pháp hoàn thiện hệ thống pháp luật Việt Nam về bảo vệ dữ liệu cá nhân trong giai đoạn mới đáp ứng yêu cầu của Nghị quyết số 27-NQ/TW

Thứ nhất, trên cơ sở nghiên cứu kỹ các nội dung của Nghị quyết số 27-NQ/TW và các văn kiện có liên quan của Đảng[7], chỉ đạo của Quốc hội, Chính phủ, Thủ tướng Chính phủ[8], Bộ Công an, các bộ, ngành có liên quan cần khẩn trương xây dựng dự thảo Luật Bảo vệ dữ liệu cá nhân.

Thứ hai, bám sát các Văn kiện Đại hội Đảng, các Nghị quyết, Kết luận, Chỉ thị của Ban Chấp hành trung ương, Bộ Chính trị, Ban Bí thư, thể chế hóa kịp thời, đầy đủ chủ trương, đường lối của Đảng trong công tác xây dựng pháp luật về bảo vệ dữ liệu cá nhân, từ khâu sơ kết, tổng kết, đề xuất chính sách, đánh giá tác động, lập chương trình xây dựng dự thảo Luật Bảo vệ dữ liệu cá nhân, đến khâu tổ chức việc soạn thảo, thẩm định, thẩm tra, trình cơ quan có thẩm quyền xem xét, ban hành.

Thứ ba, nội dung dự thảo Luật Bảo vệ dữ liệu cá nhân cần quy định rõ các căn cứ pháp lý để phòng ngừa, đấu tranh với các hành vi vi phạm như: Buôn bán dữ liệu cá nhân; thu thập, xử lý, phân tích trái phép dữ liệu cá nhân; công khai, đăng tải dữ liệu cá nhân trái phép; sử dụng dữ liệu cá nhân vào mục đích phạm tội. Xây dựng một số khái niệm về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân, quyền và nghĩa vụ của chủ thể dữ liệu, phân loại dữ liệu cá nhân, xử lý dữ liệu cá nhân, sự đồng ý của chủ thể dữ liệu, chuyển dữ liệu cá nhân ra nước ngoài, các nguyên tắc bảo vệ dữ liệu cá nhân; xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu./.

TS. Võ Trung Hậu

Khoa Luật, Trường Đại học Công nghệ Thành phố Hồ Chí Minh

[1]. Nghị quyết số 48-NQ/TW ngày 24/5/2005 của Bộ Chính trị về Chiến lược xây dựng và hoàn thiện hệ thống pháp luật từ nay đến năm 2010, định hướng đến năm 2020.

[2]. Nghị quyết số 49-NQ/TW ngày 02/6/2005 của Bộ Chính trị về chiến lược cải cách tư pháp đến năm 2020.

[3].https://xaydungchinhsach.chinhphu.vn/nghi-dinh-so-13-2023-nd-cp-bao-ve-quyen-du-lieu-ca-nhan-ngan-chan-cac-hanh-vi-xam-pham-du-lieu-ca-nhan-119230513100359528.htm, truy cập ngày 10/7/2024.

[4]. Dự thảo Báo cáo đáng giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhấn, đăng tải trên trang web https://bocongan.gov.vn/pbgdpl/van-ban-moi/du-thao-ho-so-de-nghi-xay-dung-luat-bao-ve-du-lieu-ca-nhan-t1282.html, truy cập ngày 10/7/2024.

[5]. Điều 159 Bộ luật Hình sự năm 2015 quy định việc “xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt từ tới 03 năm; Điều 288 Bộ luật Hình sự năm 2015  quy định về “Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” với mức hình phạt cao nhất là 07 năm tù giam.

[6]. Khoản 1 Điều 9 Bộ luật Dân sự năm 2015 khẳng định: “Tất cả các quyền dân sự của cá nhân, pháp nhân, chủ thể khác được tôn trọng và được pháp luật bảo vệ”. Tại khoản 2 điều này đã ghi nhận 05 hình thức chế tài dân sự. Khi quyền dân sự của một chủ thề bị xâm phạm thì chủ thể đó có quyền tự bảo vệ theo quy định của Bộ luật này hoặc yêu cầu cơ quan, tổ chức có thẩm quyền: Công nhận quyền dân sự của mình; buộc chấm dứt hành vi vi phạm; buộc xin lỗi, cải chính công khai; buộc thực hiện nghĩa vụ dân sự; buộc bồi thường thiệt hại.

[7]. Kết luận số 19-KL/TW ngày 14/10/2021 của Bộ Chính trị về định hướng Chương trình xây dựng pháp luật nhiệm kỳ Quốc hội khóa XV.

[8]. Chỉ thị số 43/CT-TTg ngày 11/12/2020 của Thủ tướng Chính phủ về nâng cao chất lượng công tác xây dựng, hoàn thiện hệ thống pháp luật và tăng cường hiệu quả thi hành pháp luật.

(Nguồn: Tạp chí Dân chủ và Pháp luật Kỳ 1 (Số 408), tháng 7/2024)