Bàn về đề xuất phạt đến 70 triệu khi 'không tự bảo vệ dữ liệu cá nhân'

Bộ Công an đang xây dựng Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân.

Trong số những điểm mới có đề xuất tại Điều 58 dự thảo về việc xử phạt từ 50-70 triệu đồng đối với “chủ thể dữ liệu không tự bảo vệ dữ liệu cá nhân”. Đề xuất này nhận được nhiều ý kiến góp ý của bạn đọc...

Đề xuất xử phạt hành vi “không tự bảo vệ dữ liệu” cần đi kèm tiêu chí rõ ràng. Ảnh minh họa: THẢO HIỀN

Nhiều bạn đọc cho rằng quy định này cần được làm rõ hơn về hành vi vi phạm cụ thể, bởi trong thực tế, người dùng thường ở thế bị động, khó kiểm soát toàn bộ quá trình thu thập, lưu trữ và sử dụng dữ liệu của mình. Nếu thiếu tiêu chí rõ ràng, việc xử phạt có thể dẫn đến cách hiểu khác nhau và gây lo ngại về tính công bằng.

Pháp Luật TP.HCM ghi nhận ý kiến của một số chuyên gia về đề xuất này của dự thảo:

TS NGUYỄN VĂN DŨNG, Trưởng khoa Kỹ thuật - Công nghệ, Trường ĐH Hùng Vương TP.HCM

TS Nguyễn Văn Dũng

Cần chuẩn hóa tiêu chí xử phạt

Trước hết, cần làm rõ khái niệm “tự bảo vệ dữ liệu cá nhân”. Theo đó, đây là khả năng của cá nhân trong việc chủ động kiểm soát, giám sát và can thiệp vào quá trình xử lý dữ liệu của mình - từ truy cập, chỉnh sửa, xóa dữ liệu đến quản lý mật khẩu, thiết lập cấu hình riêng tư.

Dù là khái niệm trừu tượng, mức độ “tự bảo vệ” vẫn có thể lượng hóa thông qua các biến đại diện như nhận thức, kiểm soát hành vi, hành động bảo vệ và việc thực thi quyền, thậm chí có thể phân loại theo mức độ bằng các mô hình kỹ thuật như học máy.

Bên cạnh đó, cần tách bạch trách nhiệm thuộc về hệ thống (tổ chức thu thập, xử lý dữ liệu) và hành vi của người dùng. Theo Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu, bên kiểm soát dữ liệu là chủ thể chịu trách nhiệm chính trong việc bảo đảm xử lý dữ liệu an toàn, hợp pháp và minh bạch thông qua thiết kế hệ thống; còn người dùng chỉ giữ vai trò thứ yếu, không phải chủ thể gánh nghĩa vụ pháp lý chính.

Do đó, nếu đặt ra chế tài đối với cá nhân “không tự bảo vệ dữ liệu” có thể dẫn đến nguy cơ dịch chuyển trách nhiệm từ tổ chức sang người dùng. Trong khi đó, theo cách tiếp cận của GDPR, hành vi vi phạm dữ liệu là các hành vi thu thập, xử lý, lưu trữ hoặc chia sẻ dữ liệu trái quy định và đối tượng bị xử phạt là tổ chức, với mức phạt rất cao (có thể lên tới 20 triệu euro hoặc 4% tổng doanh thu toàn cầu của doanh nghiệp của năm trước đó).

Như vậy, nếu vẫn đặt vấn đề xử phạt cá nhân, cơ quan quản lý cần có căn cứ kỹ thuật rõ ràng: phải định nghĩa và chuẩn hóa các biến đo lường như nhận thức, hành vi, mức độ tổn thất thành các chỉ số cụ thể; đồng thời quy định minh bạch các tiêu chí này trên hệ thống để tránh tùy tiện trong áp dụng. Quan trọng hơn, phải phân định rạch ròi đâu là lỗi hệ thống, đâu là lỗi người dùng.

Cuối cùng, điều kiện không thể thiếu là việc phổ biến, đào tạo và đào tạo lại kỹ năng số cho người dân trên diện rộng; đặc biệt là khu vực vùng sâu, vùng xa. Không thể xử phạt nếu người dân chưa được trang bị đầy đủ năng lực tự bảo vệ.

ThS MAI HOÀNG PHƯỚC, giảng viên Khoa Luật, Trường ĐH Kinh tế - Luật, ĐHQG TP.HCM

ThS Mai Hoàng Phước

Cần rạch ròi lỗi người dùng và lỗi hệ thống

Để quy định xử phạt hành vi “không tự bảo vệ dữ liệu cá nhân” bảo đảm tính khả thi, trước hết cần định nghĩa rõ “tự bảo vệ” theo đúng tinh thần dự thảo và luật liên quan, theo hướng đây không phải là yêu cầu kỹ thuật phức tạp mà là nghĩa vụ tuân thủ các quy tắc an toàn cơ bản. Cụ thể, cá nhân cần chủ động quản lý quyền đồng ý cho phép xử lý dữ liệu, tự kiểm tra và yêu cầu chỉnh sửa dữ liệu sai lệch, đồng thời sử dụng các biện pháp bảo mật sẵn có như mật khẩu, xác thực hai lớp.

Ngoài ra, cần phân định rõ hành vi vi phạm và các trường hợp miễn trừ. Việc xử phạt nên tập trung vào các hành vi có lỗi cố ý hoặc có thể gây hệ lụy xã hội như cung cấp dữ liệu sai lệch khi thực hiện thủ tục bắt buộc, không thông báo kịp thời cho cơ quan chức năng khi phát hiện vi phạm dữ liệu quy mô lớn, hoặc không tôn trọng dữ liệu cá nhân của người khác (ví dụ tự ý phát tán thông tin riêng tư).

Ngược lại, không nên quy trách nhiệm đối với cá nhân trong các trường hợp sự cố rò rỉ xuất phát từ lỗ hổng quản trị của tổ chức lưu trữ hoặc các cuộc tấn công mạng mà người dùng không thể can thiệp.

Về tiêu chí xác định lỗi, cần dựa trên “nỗ lực hợp lý” của cá nhân trong việc thực hiện các hướng dẫn bảo mật mà nền tảng đã cung cấp, đồng thời tính đến yếu tố nhận thức, độ tuổi và mức độ tiếp cận công nghệ. Đối với mức phạt 50-70 triệu đồng, tôi cho rằng dù thể hiện tính răn đe, nhưng cần đi kèm quy trình thực thi minh bạch, có thể ưu tiên nhắc nhở, giáo dục kỹ năng số đối với vi phạm lần đầu để tránh tạo gánh nặng tài chính cho người dân.

Về dài hạn, cần tăng trách nhiệm của các tổ chức thu thập dữ liệu, bảo đảm hạ tầng kỹ thuật tương xứng với quy mô dữ liệu nắm giữ. Bên cạnh đó, Nhà nước cần phát triển các công cụ, nền tảng hỗ trợ người dân tự kiểm soát dữ liệu cá nhân, qua đó biến việc “tự bảo vệ” từ nghĩa vụ thành một quyền lợi thực chất của công dân số.

ThS Đặng Trần Kha

THẢO HIỀN