Bình luận

Ổn định “dòng chảy dữ liệu”

NGUYỄN LAN PHƯƠNG - Viện trưởng Viện Chính sách và Truyền thông Bình luận   |   02/04/2021, 08:00

Thủ tướng Chính phủ vừa giao Bộ Công an nghiên cứu xây dựng và hoàn thiện Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân theo phản ánh của DĐDN về việc lo lắng “tắc dòng chảy” dữ liệu...

p/Cá nhân, tổ chức tiết lộ, chia sẻ các dữ liệu cá nhân như tên, năm sinh, số điện thoại... mà chưa có sự đồng ý sẽ bị xử phạt nặng.

Cá nhân, tổ chức tiết lộ, chia sẻ các dữ liệu cá nhân như tên, năm sinh, số điện thoại... mà chưa có sự đồng ý sẽ bị xử phạt nặng.

Quy định về điều kiện chuyển dữ liệu cá nhân qua biên giới trong Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân do Bộ Công an soạn thảo có thể tạo thêm gánh nặng cho doanh nghiệp.

Chồng chéo về điều kiện

Thứ nhất, trường hợp ngoại lệ trùng với điều kiện chuyển dữ liệu cá nhân qua biên giới. Hiện tại, theo khoản 1 Điều 21 Dự thảo quy định 04 điều kiện đủ để doanh nghiệp có thể chuyển dữ liệu cá nhân của công dân Việt Nam qua biên giới gồm: (i) Có sự đồng ý của chủ thể dữ liệu về việc chuyển giao, (ii) Dữ liệu gốc được lưu trữ tại Việt Nam, (iii) Có văn bản chứng minh quốc gia, vùng lãnh thổ hoặc một khu vực cụ thể trong quốc gia hoặc vùng lãnh thổ chuyển đến đã ban hành quy định bảo vệ dữ liệu cá nhân ở mức độ bằng hoặc cao hơn với quy định tại Nghị định này, (iv) Có văn bản đồng ý bằng văn bản của Ủy ban bảo vệ dữ liệu cá nhân. Tiếp đó, khoản 3 Điều 21 Dự thảo quy định 04 trường hợp ngoại lệ được chuyển dữ liệu cá nhân ra ngoài biên giới mà không đáp ứng các điều kiện trên, có hai trường hợp trùng với hai điều kiện tại khoản 1 Điều 21 gồm: (i) Có sự đồng ý của chủ thể dữ liệu, (ii) Có văn bản đồng ý của Ủy ban bảo vệ dữ liệu cá nhân.

Vậy thực chất, doanh nghiệp cần đáp ứng đủ 04 điều kiện hay chỉ cần một trong hai điều kiện là: sự đồng ý của chủ thể dữ liệu hoặc sự đồng ý của Ủy ban bảo vệ dữ liệu cá nhân là có thể chuyển dữ liệu công dân Việt Nam ra khỏi lãnh thổ quốc gia?

Thứ hai, hai trường hợp ngoại lệ về chuyển dữ liệu cá nhân qua biên giới có dấu hiệu trùng nhau tại điểm c và d khoản 3 Điều 21 gồm: (iii) Cam kết bảo vệ dữ liệu cá nhân của Bên xử lý dữ liệu và (iv) Cam kết áp dụng các biện pháp bảo vệ dữ liệu cá nhân của Bên xử lý dữ liệu cá nhân. Cần làm rõ, cam kết bảo vệ dữ liệu cá nhân khác cam kết áp dụng các biện pháp bảo vệ dữ liệu cá nhân như thế nào? Trong khi đó, nội hàm của “cam kết bảo vệ dữ liệu cá nhân của Bên xử lý dữ liệu” gồm cả việc áp dụng các biện pháp hành chính – kỹ thuật để bảo vệ dữ liệu cá nhân.

Khuyến nghị giải pháp

Thứ nhất, điều chỉnh điều kiện chuyển dữ liệu cá nhân qua biên giới theo hướng: không áp dụng đồng thời cả 04 điều kiện. Trong đó:

(i) Điều kiện lưu trữ dữ liệu gốc tại Việt Nam cần tính toán lại theo hướng chỉ áp dụng với cơ quan nhà nước hoặc áp dụng với chủ thể xử lý dữ liệu cá nhân nhạy cảm quan trọng.

(ii) Điều kiện có văn bản chứng minh quốc gia, vùng lãnh thổ nhận dữ liệu có quy định pháp luật về bảo vệ dữ liệu cá nhân “bằng hoặc cao hơn” Dự thảo Nghị định cần quy định cụ thể tiêu chí xác định mức độ “bằng hoặc cao hơn” và nên chuyển trách nhiệm chứng minh này từ doanh nghiệp sang Ủy ban bảo vệ dữ liệu cá nhân. Nói cách khác, Ủy ban bảo vệ dữ liệu nên lập danh sách các quốc gia có pháp luật tương thích để doanh nghiệp tự do chuyển dữ liệu.

(iii) Điều kiện có văn bản đồng ý của Ủy ban bảo vệ dữ liệu cá nhân nên loại bỏ, vì đây thực chất là một thủ tục xin phép - cấp phép nhằm quản lý hoạt động chuyển dữ liệu qua biên giới của doanh nghiệp. Để đáp ứng yêu cầu quản lý, chỉ cần yêu cầu doanh nghiệp thông báo hoạt động chuyển dữ liệu cá nhân qua biên giới của mình đến Ủy ban bảo vệ dữ liệu cá nhân. Đồng thời, chuyển hướng quản lý từ tiền kiểm sang hậu kiểm, đẩy mạnh các hoạt động kiểm toán dữ liệu.

(iv) Mở rộng điều kiện chuyển dữ liệu cá nhân qua biên giới như: cơ chế chứng nhận (Bên chuyển cung cấp biện pháp bảo vệ dữ liệu đạt tiêu chuẩn, quy chuẩn quốc gia, quốc tế và Cam kết của bên nhận dữ liệu về bảo vệ dữ liệu cá nhân), hợp đồng, bộ quy tắc về bảo vệ dữ liệu cá nhân trong tập đoàn đa quốc gia để đảm bảo các công ty đa quốc gia trong và ngoài nước thuận lợi trong việc chuyển giữ liệu các công ty mẹ với công ty con và giữa các công ty con với nhau.

Thứ hai, điều chỉnh các trường hợp ngoại lệ về chuyển dữ liệu cá nhân qua biên giới theo hướng:(i) Quy định thêm các trường hợp bắt buộc phải chuyển dữ liệu qua biên giới như: vì lợi ích quốc gia; để thực hiện hoạt động tư pháp;ii) Bỏ trường hợp chủ thể dữ liệu đồng ý ; (iii) Giữ trường hợp có sự đồng ý của Ủy ban bảo vệ cá nhân bằng văn bản; (iv) Bỏ trường hợp cam kết bảo vệ dữ liệu cá nhân/ áp dụng biện pháp bảo vệ dữ liệu cá nhân của Bên xử lý dữ liệu vì Bên xử lý dữ liệu luôn phải cam kết bảo vệ dữ liệu cá nhân, trừ trường hợp bất khả kháng thì Bên xử lý dữ liệu được miễn trách nhiệm.

Pháp luật dù đã đưa ra các định nghĩa về thông tin cá nhân ở nhiều văn bản khác nhau nhưng lại chưa đề cập đến phạm trù có tính độc lập là “dữ liệu cá nhân” cũng như các quyền và trách nhiệm liên quan đến quản trị dữ liệu, bảo vệ quyền riêng tư. Bên cạnh đó, pháp luật chưa định hình rõ ràng, nhất quán thiết chế giám sát độc lập của cơ quan chính quyền và sự phối hợp giữa các cơ quan có liên quan.

Về vấn đề chuyển tải dữ liệu qua biên giới, rất tiếc khung pháp lý hiện hành đều chỉ quy định chung về chức năng hợp tác quốc tế của cơ quan nhà nước có thẩm quyền mà không có nội dung cụ thể về các điều kiện khi chuyển tải dữ liệu cá nhân của công dân Việt Nam sang nước thứ ba hoặc tổ chức quốc tế.

Về chế tài và xử phạt vi phạm, pháp luật đã quy định cả 3 hình thức chế tài cho mục đích bảo vệ an toàn dữ liệu cá nhân và quyền riêng tư, gồm dân sự, hành chính, hình sự. Tuy nhiên, điểm còn thiếu là quyền đại diện khởi kiện cho các chủ thể dữ liệu (theo yêu cầu của họ) hoặc chủ động khởi kiện nhằm bảo vệ quyền riêng tư.

LS Nguyễn Tiến Lập, Văn phòng Luật sư NHQuang và Cộng sự, Trọng tài viên VIAC

Đánh giá của bạn:

Mời các bạn tham gia vào Diễn đàn chuyên sâu: Doanh nhân, Doanh nghiệp, Diễn đàn bất động sản, Khởi nghiệp, Diễn đàn pháp luật, Diễn đàn Tài chính

Mời các bạn tham gia vào group Diễn đàn Doanh nghiệp để thảo luận và cập nhật tin tức.

Bạn đang đọc bài viết Ổn định “dòng chảy dữ liệu” tại chuyên mục DIỄN ĐÀN PHÁP LUẬT của Báo Diễn đàn doanh nghiệp. Liên hệ cung cấp thông tin và gửi tin bài cộng tác: email toasoan@dddn.com.vn, hotline: (024) 3.5771239,

Bình luận
<<<<<<< .mine ||||||| .r40842 ======= >>>>>>> .r40976