Sáng 26-6, Quốc hội biểu quyết thông qua Luật Bảo vệ dữ liệu cá nhân sau quá trình tiếp thu, chỉnh lý kỹ lưỡng. Đây là đạo luật có ý nghĩa đặc biệt trong bối cảnh dữ liệu cá nhân ngày càng trở thành tài sản quan trọng và đối mặt với nhiều rủi ro về lạm dụng, xâm phạm.
Luật đã được rà soát toàn diện theo hướng tinh gọn, rõ ràng, thực chất, dễ hiểu, dễ thực hiện, phù hợp với thực tiễn và khả thi. Tổng thể dự thảo Luật sau chỉnh lý gồm 5 chương, 39 điều, giảm 2 chương và 29 điều so với dự thảo Chính phủ trình trước đó.
Một trong những điểm nổi bật của Luật là quy định rõ ràng, cụ thể các khái niệm về dữ liệu cá nhân, bao gồm “dữ liệu cá nhân cơ bản”, “dữ liệu cá nhân nhạy cảm”, “bảo vệ dữ liệu cá nhân” và “đánh giá tác động xử lý dữ liệu cá nhân”. Đồng thời, Luật cấm tuyệt đối hành vi mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
Đặc biệt, mức xử phạt đối với hành vi mua, bán dữ liệu cá nhân có thể lên tới 10 lần khoản thu bất hợp pháp từ hành vi vi phạm. Với hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tối đa là 5% doanh thu của năm liền kề trước đó. Các hành vi vi phạm khác có thể bị phạt tới 3 tỷ đồng, cá nhân vi phạm bị phạt bằng một nửa mức phạt của tổ chức.
Tiếp thu ý kiến đại biểu Quốc hội, Luật đã thiết kế lại Điều 4, quy định rõ hơn về quyền của chủ thể dữ liệu, đồng thời ràng buộc nghĩa vụ nhằm ngăn chặn tình trạng lạm dụng quyền. Khi thực hiện quyền của mình, chủ thể dữ liệu phải bảo đảm tuân thủ pháp luật, không được cản trở nghĩa vụ pháp lý của tổ chức, cá nhân khác và không xâm phạm lợi ích hợp pháp của Nhà nước.
Về xử lý dữ liệu cá nhân xuyên biên giới, Luật áp dụng cơ chế hậu kiểm, doanh nghiệp chỉ cần lập hồ sơ đánh giá tác động một lần và cập nhật khi cần thiết, thay vì xin phép trước, tạo điều kiện thuận lợi cho hoạt động sản xuất, kinh doanh.
Bên cạnh đó, nhằm giảm gánh nặng cho doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp, Luật cho phép nhóm doanh nghiệp này được lựa chọn thực hiện hoặc không thực hiện một số quy định như lập hồ sơ đánh giá tác động, chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong 5 năm kể từ khi Luật có hiệu lực. Các hộ kinh doanh, doanh nghiệp siêu nhỏ được miễn hoàn toàn quy định này.
Luật cũng quy định cụ thể các hoạt động xử lý dữ liệu cá nhân như thu thập, phân tích, tổng hợp, mã hóa, chỉnh sửa, xóa, hủy, khử nhận dạng, công khai, chuyển giao dữ liệu cá nhân… Trong đó, có những trường hợp xử lý dữ liệu không cần sự đồng ý của chủ thể nhưng phải đáp ứng các điều kiện chặt chẽ, minh bạch.
Đáng chú ý, đối tượng yếu thế như người bị mất hoặc hạn chế năng lực hành vi dân sự, người gặp khó khăn trong nhận thức, làm chủ hành vi cũng được bổ sung cơ chế bảo vệ dữ liệu cá nhân phù hợp, toàn diện hơn.
Theo Luật, lực lượng bảo vệ dữ liệu cá nhân bao gồm: cơ quan chuyên trách thuộc Bộ Công an; bộ phận, nhân sự bảo vệ dữ liệu trong các cơ quan, tổ chức; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân và tổ chức, cá nhân được huy động tham gia.
Ngoài ra, Luật đã lược bỏ các thủ tục hành chính không cần thiết như điều kiện kinh doanh dịch vụ bảo vệ dữ liệu, cấp chứng nhận xếp hạng tín nhiệm, nhằm tránh chồng chéo, tạo sự minh bạch, thông thoáng trong triển khai.
Việc Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân được kỳ vọng sẽ tạo bước tiến quan trọng trong việc xây dựng môi trường số an toàn, bảo vệ quyền riêng tư chính đáng của người dân, đồng thời thúc đẩy phát triển kinh tế số, hội nhập quốc tế.
