Sáng nay (26/6), tại Kỳ họp thứ 9, Quốc hội đã biểu quyết thông qua Luật Bảo vệ dữ liệu cá nhân (DLCN).
Trước khi tiến hành biểu quyết bằng hình thức điện tử, Quốc hội đã nghe Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại (QPANĐN) Lê Tấn Tới báo cáo tóm tắt kết quả giải trình, tiếp thu, chỉnh lý dự thảo Luật.
Theo Chủ nhiệm Uỷ ban QPANĐN, đa số ý kiến nhất trí sự cần thiết ban hành Luật. Một số ý kiến góp ý về thời điểm thông qua Luật, tính thống nhất với hệ thống pháp luật, tính tương thích với điều ước quốc tế có liên quan mà Việt Nam là thành viên, tính khả thi của dự thảo Luật, tên gọi của Luật và bố cục dự thảo Luật. UBTVQH đã chỉ đạo nghiên cứu, tiếp thu, giải trình đầy đủ các ý kiến của ĐBQH.
Dự thảo Luật tiếp thu, chỉnh lý có 05 chương và 39 điều (giảm 02 chương, 29 điều so với dự thảo Luật do Chính phủ trình), trong đó đã bỏ 19 điều, ghép nội dung 21 điều thành 09 điều và bổ sung 02 điều mới.
Dự thảo Luật bảo đảm tính thống nhất với hệ thống pháp luật, tương thích với điều ước quốc tế có liên quan mà Việt Nam là thành viên và bảo đảm tính khả thi.
Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới báo cáo tóm tắt kết quả giải trình, tiếp thu, chỉnh lý dự thảo Luật.
Nhiều ý kiến góp ý về phạm vi điều chỉnh và đối tượng áp dụng, giải thích từ ngữ, nguyên tắc bảo vệ DLCN, áp dụng pháp luật, hành vi bị nghiêm cấm, xử lý vi phạm và hợp tác quốc tế. UBTVQH cũng đã chỉ đạo nghiên cứu, tiếp thu các ý kiến của ĐBQH.
Trong đó, đã chỉnh sửa khái niệm “dữ liệu cá nhân” và bổ sung định nghĩa “dữ liệu cá nhân cơ bản”, “dữ liệu cá nhân nhạy cảm”, “bảo vệ dữ liệu cá nhân”, “đánh giá tác động xử lý dữ liệu cá nhân”; chỉnh lý quy định cấm mua, bán DLCN, trừ trường hợp luật có quy định khác và bổ sung Điều 17 quy định về chuyển giao DLCN; thiết kế lại quy định xử lý vi phạm pháp luật về bảo vệ DLCN (Điều 8) theo tính chất, mức độ, hậu quả của hành vi vi phạm, cụ thể: đối với hành vi mua, bán DLCN, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm; đối với hành vi vi phạm quy định chuyển DLCN xuyên biên giới, mức phạt tiền tối đa 5% doanh thu năm liền trước; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 3 tỷ đồng; cá nhân vi phạm thì mức xử phạt bằng một phần hai đối với tổ chức.
Về quyền và nghĩa vụ của chủ thể dữ liệu cá nhân, Luật quy định về quyền của chủ thể dữ liệu tại Điều 4 rõ ràng hơn, phù hợp với thông lệ quốc tế.
Bổ sung quy định khi thực hiện quyền, chủ thể dữ liệu phải có nghĩa vụ tuân thủ các nguyên tắc: đúng pháp luật và tuân thủ nghĩa vụ theo hợp đồng; phải nhằm mục đích bảo vệ quyền, lợi ích hợp pháp của chính chủ thể DLCN; không được gây khó khăn, cản trở việc thực hiện quyền, nghĩa vụ pháp lý của các bên và không được xâm phạm đến quyền, lợi ích hợp pháp của Nhà nước, cơ quan, tổ chức, cá nhân khác.
Đồng thời, thu hút các quy định về thời hạn thực hiện yêu cầu của chủ thể dữ liệu tại các điều cụ thể về quy định tại Điều này theo hướng phù hợp pháp luật chuyên ngành và giao Chính phủ quy định chi tiết.
Về bảo vệ dữ liệu cá nhân trong quá trình xử lý, sử dụng dữ liệu cá nhân, nhiều ý kiến góp ý về việc cơ chế bảo đảm thực hiện các yêu cầu của chủ thể DLCN, các hoạt động xử lý DLCN cụ thể, các trường hợp xử lý DLCN không cần sự đồng ý của chủ thể dữ liệu, chuyển DLCN ra nước ngoài, đánh giá tác động xử lý DLCN, bảo vệ DLCN trong một số lĩnh vực, hoạt động cụ thể.
Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân với tỷ lệ tán thành cao
Chủ nhiệm Uỷ ban QPANĐN Lê Tấn Tới cho biết, Luật đã quy định chặt chẽ cơ chế thực hiện các quyền của chủ thể dữ liệu, các hoạt động xử lý DLCN cụ thể như thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao DLCN và hoạt động khác tác động đến DLCN, các trường hợp xử lý DLCN không cần sự đồng ý của chủ thể dữ liệu; thống nhất thuật ngữ “chuyển dữ liệu cá nhân xuyên biên giới” cho phù hợp với quy định của Luật Dữ liệu và áp dụng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới và chỉ kiểm tra khi cần thiết, thay vì yêu cầu xin phép trước trong đa số trường hợp, tạo thuận lợi cho doanh nghiệp;
Về đánh giá tác động khi xử lý DLCN và khi chuyển DLCN xuyên biên giới cơ bản kế thừa các nội dung do Chính phủ trình, theo đó cơ quan, tổ chức chỉ cần lập hồ sơ này một lần cho suốt quá trình hoạt động và cập nhật khi có thay đổi và cơ quan chức năng sẽ thực hiện kiểm tra hồ sơ khi xét thấy cần thiết. Đối với cả hai loại đánh giá tác động này, nếu đã thực hiện theo quy định của Luật này thì không phải thực hiện việc đánh giá rủi ro tương tự theo quy định của Luật Dữ liệu.
Bổ sung bảo vệ DLCN đối với các đối tượng là người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi để bảo đảm đầy đủ, bao quát.
Về lực lượng, biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân, tiếp thu các ý kiến của ĐBQH, Luật đã bỏ các quy định không rõ ràng, không cần thiết do đã được điều chỉnh ở các văn bản quy phạm pháp luật chuyên ngành khác như về các biện pháp bảo vệ DLCN, nâng cao năng lực bảo vệ DLCN, nghiên cứu, phát triển về bảo vệ DLCN…
Theo dự thảo Luật, lực lượng bảo vệ DLCN gồm: cơ quan chuyên trách bảo vệ DLCN thuộc Bộ Công an; bộ phận, nhân sự bảo vệ DLCN trong cơ quan, tổ chức; tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN; tổ chức, cá nhân được huy động tham gia bảo vệ DLCN.
Nhằm giảm gánh nặng tuân thủ pháp luật, UBTVQH đã chỉ đạo bổ sung quy định doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các quy định về lập hồ sơ đánh giá tác động, chỉ định bộ phận, nhân sự bảo vệ DLCN trong thời hạn 05 năm kể từ ngày Luật này có hiệu lực thi hành và miễn thực hiện đối với các hộ kinh doanh, doanh nghiệp siêu nhỏ.