Luật Bảo vệ dữ liệu cá nhân thúc đẩy phát triển kinh tế số an toàn

Nâng cấp toàn diện khung pháp lý

Luật Bảo vệ DLCN đại diện cho sự nâng cấp toàn diện về khung pháp lý từ nghị định lên luật, với nhiều quy định mới nhằm tăng cường bảo vệ DLCN trong môi trường số hóa. Trước hết, phạm vi áp dụng được mở rộng đáng kể. Theo Điều 1, luật áp dụng không chỉ cho cơ quan, tổ chức, cá nhân Việt Nam mà còn cho các thực thể nước ngoài xử lý DLCN của công dân Việt Nam, bao gồm cả người gốc Việt chưa xác định quốc tịch. Điều này tạo hiệu ứng ngoại biên giới, tương tự GDPR, giúp bảo vệ dữ liệu Việt Nam ngay cả khi được xử lý ở nước ngoài. So với Nghị định 13/2023, quy định này rõ ràng và mạnh mẽ hơn, tránh tình trạng bỏ trống về trách nhiệm quốc tế.

Một điểm mới quan trọng là phân loại DLCN chi tiết hơn. Theo Điều 2, DLCN được chia thành "dữ liệu cơ bản" (như tên, tuổi, địa chỉ) và "dữ liệu nhạy cảm" (như thông tin y tế, sinh trắc học, vị trí địa lý chính xác, lịch sử giao dịch tài chính). Danh mục cụ thể do Chính phủ ban hành, nhưng Luật Bảo vệ DLCN nhấn mạnh dữ liệu nhạy cảm đòi hỏi bảo vệ đặc biệt, bao gồm đồng ý rõ ràng và biện pháp an ninh cao hơn. Điều này khắc phục hạn chế của Nghị định cũ, nơi phân loại chưa đủ cụ thể, dẫn đến lạm dụng. Ví dụ, dữ liệu sinh trắc học (như vân tay, khuôn mặt) giờ phải được mã hóa nghiêm ngặt theo Điều 12 và không được tái nhận dạng sau khi khử nhận dạng DLCN (Điều 14).

GS.TS, Trung tướng Nguyễn Minh Đức, Phó Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại của Quốc hội

Luật Bảo vệ DLCN giới thiệu yêu cầu đánh giá tác động xử lý DLCN (DPIA) bắt buộc tại Điều 21 và 22. Các bên kiểm soát và xử lý dữ liệu phải lập hồ sơ DPIA, gửi cho cơ quan chuyên trách (Bộ Công an) trong 60 ngày từ khi bắt đầu xử lý. Hồ sơ phải cập nhật định kỳ 6 tháng hoặc ngay khi có thay đổi (như sáp nhập công ty). Điều này là điểm mới hoàn toàn, nhằm đánh giá rủi ro trước khi xử lý, đặc biệt với dữ liệu nhạy cảm hoặc chuyển biên giới. So với Nghị định 13/2023, Luật Bảo vệ DLCN mở rộng yêu cầu này đến tất cả các tổ chức lớn, trừ miễn trừ 5 năm cho doanh nghiệp nhỏ và startup (Điều 38), để hỗ trợ phát triển kinh tế.

Quyền của chủ thể DLCN được củng cố mạnh mẽ tại Điều 4. Chủ thể có quyền biết, đồng ý/rút đồng ý, xem/chỉnh sửa, xóa dữ liệu và khiếu nại. Thời hạn xử lý yêu cầu linh hoạt hơn (theo Chính phủ quy định), thay vì quy định cứng 72 giờ như trước. Đồng ý phải "rõ ràng, cụ thể" (Điều 9), không coi im lặng là đồng ý, và phải riêng biệt cho từng mục đích. Điều này nâng cao tính tự chủ của cá nhân, đặc biệt với trẻ em và người khuyết tật (Điều 24), nơi cần đồng ý từ đại diện pháp lý.

Luật Bảo vệ DLCN cấm tuyệt đối mua bán DLCN (Điều 7), trừ trường hợp pháp luật cho phép, nhằm chống lạm dụng thương mại. Đây là quy định mới, phản ánh lo ngại về thị trường mua bán dữ liệu trái phép. Ngoài ra, luật thêm các điều khoản chuyên ngành: Điều 25 quy định bảo vệ dữ liệu lao động; Điều 26 về y tế và bảo hiểm; Điều 27 tài chính; Điều 28 quảng cáo và Điều 29 mạng xã hội (cấm theo dõi mà không được sự đồng ý của người dùng); Điều 30 AI, big data, blockchain (phân loại rủi ro); Điều 31 dữ liệu vị trí và sinh trắc (bảo mật vật lý); Điều 32 ghi âm công cộng (giới hạn lưu trữ). Những quy định này làm Luật Bảo vệ DLCN toàn diện hơn, bao quát các lĩnh vực số hóa đang bùng nổ, đặc biệt là công nghệ AI.

Mức phạt hành chính đối với hành vi mua, bán dữ liệu cá nhân tối đa là 10 lần khoản thu có được từ hành vi vi phạm

Chặt chẽ và tương đồng với luật quốc tế

Trong khu vực ASEAN, các luật bảo vệ DLCN đang phát triển nhanh chóng, nhưng mỗi nước có cách tiếp cận riêng. Luật Bảo vệ DLCN của Việt Nam có nhiều điểm tương đồng với các luật như PDPA Singapore (2012), PDPA Thái Lan (2019), PDPA Malaysia (2010), Luật Bảo vệ DLCN Indonesia (2022) và DPA Philippines (2012), chẳng hạn lấy đồng ý làm trung tâm và quyền chủ thể. Tuy nhiên, Luật Bảo vệ DLCN Việt Nam có nhiều quy định chặt chẽ hơn, gần với GDPR của Châu Âu.

Về phạm vi áp dụng, Luật Bảo vệ DLCN Việt Nam áp dụng ngoại biên giới cho dữ liệu công dân Việt Nam, tương tự Thái Lan, Indonesia và Philippines. Tuy nhiên, Việt Nam nghiêm ngặt hơn bằng cách bao quát cả công và tư (một phần), trong khi Malaysia và Singapore chỉ tập trung tư nhân/thương mại. Điều này làm Luật Bảo vệ DLCN toàn diện hơn, nhất là với doanh nghiệp nước ngoài.

Cơ sở xử lý dữ liệu ở Việt Nam chủ yếu dựa vào đồng ý tự nguyện, rõ ràng (Điều 9), với ít ngoại lệ (Điều 19). Điều này chặt chẽ hơn Singapore, nơi cho phép "lợi ích hợp lý” (legitimate interest) linh hoạt, hoặc Malaysia với ít ngoại lệ. Thái Lan và Indonesia gần Việt Nam hơn, cùng tiếp cận theo chuẩn GDPR của EU, nhưng Việt Nam tăng tính bảo vệ cao hơn.

Về phân loại dữ liệu nhạy cảm ở Việt Nam mở rộng (Điều 2), yêu cầu xử lý đặc biệt, tương tự Thái Lan và Philippines. Singapore và Malaysia không phân loại riêng, xử lý chung, Việt Nam quy định nghiêm ngặt hơn trong bảo vệ dữ liệu y tế, tài chính, sinh trắc.

Chuyển biên giới là lĩnh vực Việt Nam chặt chẽ nhất: bắt buộc DPIA và báo cáo 60 ngày (Điều 20). Quy định DPIA bắt buộc của Việt Nam nghiêm hơn, bảo đảm đánh giá rủi ro trước.

Mức phạt ở Việt Nam cũng có tính răn đe cao: 5% doanh thu cho chuyển biên giới (Điều 8), gần Thái Lan (4%), thấp hơn Singapore (10%) và cao hơn Indonesia (2%). Cấm mua bán dữ liệu tuyệt đối là điểm độc đáo, nghiêm hơn các nước khác.

Việt Nam giao Bộ Công an, tập trung an ninh, nhấn mạnh an ninh quốc gia. Một quy định tiến bộ của Luật Bảo vệ DLCN của Việt Nam là miễn trừ. Việt Nam cho doanh nghiệp vừa và nhỏ được miễn trừ áp dụng 5 năm, tương tự Thái Lan (2 năm) trong khi các nước khác không có.

Nhìn tổng quát, các điểm mới trong Luật Bảo vệ DLCN không chỉ nâng cao bảo vệ mà còn thúc đẩy kinh tế số bền vững. Luật Bảo vệ DLCN Việt Nam chặt chẽ hơn ở một số quy định bắt buộc, đồng ý nghiêm ngặt, mức phạt cao và có quy định riêng cho AI/big data, phản ánh xu hướng hài hòa với luật quốc tế nhưng vẫn ưu tiên bảo vệ DLCN.

Sự ra đời của Luật Bảo vệ DLCN là một cột mốc pháp lý trọng yếu, đưa Việt Nam vào hàng ngũ các quốc gia có tiêu chuẩn bảo mật dữ liệu chặt chẽ. Đối với các tổ chức trong và ngoài nước, việc tuân thủ không còn là một lựa chọn vận hành mà là một yêu cầu chiến lược bắt buộc để bảo đảm tính liên tục của doanh nghiệp và uy tín thương hiệu trên thị trường số.

TÂN CHÂU - DUY LUÂN