Vào ngày 24 tháng 9 năm 2024, Bộ Công An (BCA) đã công bố Dự thảo Luật Bảo vệ dữ liệu cá nhân (Dự Thảo Luật BVDLCN). So với Nghị Định 13/2023, Dự Thảo Luật BVDLCN đưa ra một số điểm quan trọng liên quan đến bảo vệ dữ liệu cá nhân. Bài viết này sẽ trình bày những điểm nổi bật và ý nghĩa chính của các quy định mới này.

1) Mở rộng phạm vi áp dụng

So với Nghị định 13/2023, Dự Thảo Luật BVDLCN mở rộng đối tượng áp dụng, bao gồm “cơ quan, tổ chức, cá nhân thu thập, xử lý dữ liệu cá nhân của người nước ngoài trên phạm vi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam” (Điều 1.2(đ)). Quy định này dường như tăng cường việc bảo vệ dữ liệu cá nhân của người nước ngoài. Tuy nhiên, vẫn chưa rõ liệu quy định này chỉ áp dụng cho người nước ngoài ở tại Việt Nam hay cả với những người nước ngoài cư trú ở nước ngoài. Sự mơ hồ nằm ở cách diễn giải cụm từ “trên phạm vi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam”. Nếu mở rộng cho người nước ngoài không cư trú tại Việt Nam, điều này có thể gây ra gánh nặng tuân thủ đáng kể cho các doanh nghiệp Việt Nam xử lý dữ liệu cá nhân của người nước ngoài.

Hơn nữa, một điều gây khó hiểu đó là việc Dự Thảo Luật BVDLCN không giải quyết sự mơ hồ đã có trong quy định điều chỉnh phạm vi áp dụng tại Nghị Định 13/2023. Thay vào đó, Dự Thảo đưa vào một đối tượng áp dụng khác có khả năng tạo ra sự không rõ ràng lớn hơn.

2) Định nghĩa về dữ liệu cá nhân gắn với “công dân”

Không giống như Nghị Định 13/2023, Dự Thảo Luật BVDLCN định nghĩa cả hai khái niệm dữ liệu cá nhân cơ bản và, dường như cả dữ liệu cá nhân nhạy cảm đều gắn liền với “công dân”. Không rõ vì sao Dự Thảo Luật BVDLCN lại giới hạn bảo vệ dữ liệu cá nhân đối với công dân thay vì tất cả các cá nhân, bất kể quốc tịch hay tình trạng. Cách tiếp cận này không phù hợp với thuật ngữ “dữ liệu cá nhân” trong GDPR (mà thuật ngữ này đề cập đến dữ liệu của một thể nhân). Hơn nữa, việc hạn chế bảo vệ dữ liệu cá nhân chỉ áp dụng đối với công dân cũng có rủi ro xâm phạm quyền của những người không phải là công dân và người không quốc tịch, dẫn đến khả năng xung đột với Điều 21 của Hiến Pháp 2013, trong đó đảm bảo quyền riêng tư cho "mọi người", không chỉ đối với công dân.

Ngoài ra, thuật ngữ “công dân” còn mơ hồ, vì không rõ thuật ngữ này chỉ áp dụng đối với công dân Việt Nam hay bao gồm cả công dân nước ngoài. Nếu giải thích theo cách hiểu đầu tiên, điều này sẽ không phù hợp với phạm vi áp dụng rộng hơn như được nêu tại Điều 1.2(đ) Dự Thảo Luật BVDLCN, theo đó điều chỉnh việc bảo vệ dữ liệu cá nhân của người nước ngoài. Nếu giải thích theo cách hiểu sau, sẽ không hợp lý nếu để Dự Thảo Luật BVDLCN và các cơ quan chức năng Việt Nam điều chỉnh dữ liệu cá nhân của công dân nước ngoài (đặc biệt là những người không ở Việt Nam).

3) Các đối tượng mới tham gia vào bảo vệ dữ liệu cá nhân

Dự Thảo Luật BVDLCN giới thiệu danh mục mới các tổ chức/cá nhân tham gia bảo vệ dữ liệu cá nhân bao gồm (i) nhà phát triển liên quan đến bảo vệ dữ liệu cá nhân; (ii) tổ chức bảo vệ dữ liệu cá nhân (Tổ Chức BVDLCN); (iii) chuyên gia bảo vệ dữ liệu cá nhân (Chuyên Gia BVDLCN); (iv) Tổ chức chứng nhận đủ điều kiện về bảo vệ dữ liệu cá nhân; và (v) Tổ chức xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân. Những đối tượng mới được định nghĩa này dự kiến sẽ tăng cường bảo vệ dữ liệu cá nhân trên thực tế.

Tuy nhiên, tương tự như Nghị Định 13/2023, Dự Thảo Luật BVDLCN thiếu các khái niệm “bên xử lý thứ cấp” và “bên đồng kiểm soát”, được quy định rõ ràng theo GDPR. Sự thiếu sót này tạo ra sự không rõ ràng, chẳng hạn như liệu bên xử lý thứ cấp nên được phân loại là bên thứ ba hay bên xử lý và những quyền và nghĩa vụ nào được áp dụng đối với những trường hợp này. Ngoài ra, còn thiếu quy định cho các tình huống mà hai bên kiểm soát xử lý dữ liệu cá nhân ở các giai đoạn xử lý khác nhau.

4) Yêu cầu chặt chẽ hơn về sự đồng ý của chủ thể dữ liệu

Dự Thảo Luật BVDLCN đưa ra các yêu cầu chặt chẽ hơn so với Nghị Định 13/2023 để có được sự đồng ý của chủ thể dữ liệu, bao gồm:

· Sự đồng ý không được kèm theo các điều kiện bắt buộc phải đồng ý chuyển giao dữ liệu cá nhân của chủ thể dữ liệu cho các dịch vụ khác không liên quan đến mục đích thu thập. Chủ thể dữ liệu có quyền từ chối các điều kiện như vậy;

· Sự đồng ý phải được đưa ra bởi một hành động khẳng định tạo ra một chỉ dẫn rõ ràng và cụ thể. Quy định này là phù hợp với GDPR (Điều 32); và

· Sự đồng ý được đưa ra cho một công ty trong một tập đoàn kinh tế, tổng công ty không đồng nghĩa với việc đồng ý cho toàn bộ các công ty trong thành viên tập đoàn kinh tế, tổng công ty xử lý dữ liệu cá nhân.

Đáng chú ý là Dự Thảo Luật BVDLCN vẫn giữ nguyên cách tiếp cận dựa trên sự đồng ý như trong Nghị Định 13/2023 (tức là xử lý chủ yếu dựa trên sự đồng ý của chủ thể dữ liệu, với một số ngoại lệ hạn chế) và không đưa ra thêm căn cứxử lý hợp pháp nhằm cân bằng quyền của bên xử lý/bên kiểm soát, chẳng hạn như lợi ích hợp pháp mà bên xử lý/bên kiểm soát hoặc bên thứ ba theo đuổi, như đã nêu trong GDPR.

5) Các quy định mới về bảo vệ dữ liệu cá nhân trong các lĩnh vực cụ thể

Dự Thảo Luật BVDLCN đưa ra các quy định cụ thể về bảo vệ dữ liệu cá nhân trong nhiều lĩnh vực khác nhau như dữ liệu lớn; trí tuệ nhân tạo; điện toán đám mây; giám sát và tuyển dụng lao động; tài chính và ngân hàng; sức khỏe và bảo hiểm; mạng xã hội và dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian mạng (OTT); và các loại dữ liệu đặc biệt (ví dụ: dữ liệu vị trí và sinh trắc học). Các điểm nổi bật chính bao gồm:

· Xử lý dữ liệu lớn: Dự Thảo Luật BVDLCN cho phép các tổ chức sử dụng dữ liệu cá nhân do chủ thể dữ liệu công bố trên các nền tảng "mà không có bất kỳ sự hạn chế nào" (Điều 23.1). Cụm từ "mà không có bất kỳ sự hạn chế nào" có thể đặt ra câu hỏi về việc liệu có cần sự đồng ý của chủ thể dữ liệu hay không;

· Dịch vụ điện toán đám mây: Hợp đồng với các doanh nghiệp cung cấp dịch vụ điện toán đám mây phải bao gồm các điều khoản về bảo vệ dữ liệu cá nhân. Cụ thể, các doanh nghiệp cung cấp dịch vụ điện toán đám mây chỉ được phép xử lý dữ liệu cá nhân của khách hàng vì lợi ích và thay mặt cho khách hàng (Điều 25.2(b));

· Giám sát và tuyển dụng lao động: Người sử dụng lao động chỉ được yêu cầu cung cấp các thông tin trong danh sách nội dung đã công khai tuyển dụng hoặc hồ sơ người lao động (Điều 26.1). Quy định này có thể hạn chế khả năng của người sử dụng lao động trong việc thu thập dữ liệu cá nhân bổ sung trong quá trình làm việc, chẳng hạn như để điều tra các vi phạm hợp đồng lao động/quy định nội bộ;

· Tài chính và Ngân hàng: Các tổ chức tín dụng, tổ chức bảo hiểm và trung gian thanh toán bị cấm cung cấp hoặc chuyển giao dữ liệu cá nhân trái phép cho nhau và với các tổ chức doanh nghiệp khác, trừ trường hợp được luật cho phép rõ ràng (Điều 27.2);

· Sức khỏe và Bảo hiểm: Dữ liệu cá nhân không được cung cấp cho các tổ chức cung cấp dịch vụ chăm sóc sức khỏe hoặc dịch vụ bảo hiểm sức khỏe, trừ khi có yêu cầu bằng văn bản của chủ thể dữ liệu (Điều 28.3);

· Mạng xã hội và Dịch vụ OTT: Các nhà cung cấp dịch vụ bị cấm yêu cầu ảnh căn cước công dân, chứng minh nhân dân để làm yếu tố xác thực tài khoản (Điều 31.1(c)).

6) Yêu cầu mới đối với Tổ Chức BVDLCN và Chuyên Gia BVDLCN

Dự Thảo Luật BVDLLCN đưa ra các yêu cầu chi tiết hơn về việc chỉ định Tổ Chức BVDLCN và Chuyên Gia BVDLCN so với Nghị Định 13/2023. Các điểm chính bao gồm:

· Tổ Chức BVDLCN và Chuyên Gia BVDLCN phải có chuyên môn/năng lực về công nghệ và/hoặc luật. Chuyên Gia BVDLCN phải có trình độ chuyên môn và chứng nhận cụ thể (Điều 36 – 38);

· Không giống với Nghị Định 13/2023, Dự Thảo Luật BVDLLCN yêu cầu chỉ định Tổ Chức BVDLCN và Chuyên Gia BVDLCN cho cả xử lý dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, ngoại trừ các doanh nghiệp siêu nhỏ và nhỏ được miễn chỉ định trong hai năm đầu tiên (trừ trường hợp các doanhh nghiệp này trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân) (Điều 48.3, 49.1 và 68.2);

· Dự Thảo Luật BVDLLCN cũng cho phép Tổ Chức BVDLCN là nhà cung cấp dịch vụ bên ngoài, mang lại cho bên kiểm soát và bên xử lý sự linh hoạt hơn trong việc đáp ứng các yêu cầu này. Nhà cung cấp dịch vụ bên ngoài hoạt động với tư cách là Tổ Chức BVDLCN phải có xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức “Đạt” (Điều 37.1(c)).

Những yêu cầu nghiêm ngặt hơn này thậm chí còn vượt quá các tiêu chuẩn của GDPR, vốn chỉ yêu cầu một Cán bộ bảo vệ dữ liệu (DPO) trong một số trường hợp nhất định (Điều 37). Mặc dù những quy định mới này có thể tạo ra cơ hội việc làm cho các chuyên gia pháp lý và công nghệ, nhưng chúng cũng có thể gây ra gánh nặng đáng kể về tài chính và hoạt động cho các doanh nghiệp.

7) Dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân

Điểm mới đáng chú ý của Dự Thảo Luật BVDLCN là việc quy định dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân để đánh giá mức độ uy tín của các tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân. Các tổ chức kinh doanh dịch vụ này phải đáp ứng các yêu cầu nghiêm ngặt (ví dụ: vốn pháp định tối thiểu là 5 tỷ đồng và nộp đề xuất dịch vụ chi tiết). Dịch vụ này cung cấp cơ chế xếp hạng tín nhiệm với bốn mức độ xếp hạng: “tín nhiệm cao”, “tín nhiệm”, “đạt” hoặc “không đạt” (Điều 41). Tuy nhiên, Dự Thảo Luật BVDLCN không nêu rõ tiêu chí cho từng mức xếp hạng, để ngỏ khả năng hướng dẫn bổ sung trong các nghị định tiếp theo.

Việc điều chỉnh dịch vụ và cơ chế xếp hạng tín nhiệm này có thể gây ra gánh nặng đáng kể về thủ tục giấy tờ và tài chính cho doanh nghiệp. Cụ thể,

· Các doanh nghiệp xin cấp phép kinh doanh dịch vụ xử lý dữ liệu cá nhân hoặc kinh doanh dịch vụ Tổ Chức BVDLCN phải có xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân tối thiểu ở mức “Đạt” (Điều 37.1(c) và 43.2(c));

· Hồ sơ đánh giá tác động xử lý dữ liệu (DPIA) hiện phải bao gồm một tài liệu liên quan đến xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân (Điều 44.1(l)) - một yêu cầu hoàn toàn mới so với các thành phần DPIA theo Nghị Định 13/2023; và

· Xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân hiện được công nhận là một biện pháp bảo vệ dữ liệu cá nhân nhạy cảm (Điều 49.5).

Không giống như cơ chế đánh giá tự nguyện trong GDPR (Điều 42), Dự Thảo Luật BVDLCN yêu cầu đánh giá xếp hạng tín nhiệm về bảo vệ dữ liệu cá nhân trong một số trường hợp nhất định, áp đặt các yêu cầu tuân thủ chặt chẽ hơn.

8) Yêu cầu mới về việc cập nhật hồ sơ DPIA và TIA

Dự Thảo Luật BVDLCN yêu cầu hồ sơ DPIA và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (TIA) phải được cập nhật sáu tháng một lần nếu có bất kỳ thay đổi nào, cũng như ngay lập tức trong các tình huống cụ thể, chẳng hạn như giải thể hoặc sáp nhập công ty (Điều 46). Điều này có thể làm tăng gánh nặng hành chính cho bên kiểm soát/xử lý dữ liệu.

Tương tự như Nghị Định 13/2023, Dự Thảo Luật BVDLCN duy trì nghĩa vụ nghiêm ngặt trong việc nộp hồ sơ DPIA và TIA mà không có bất kỳ ngoại lệ nào. Điều này có nghĩa là tất cả các hoạt động xử lý dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân ra nước ngoài sẽ phải tuân theo yêu cầu này.

Đáng chú ý, Dự Thảo Luật BVDLCN không đề cập đến việc điều chỉnh các biểu mẫu cho DPIA và TIA. Thiếu sót này làm gây ra sự không rõ ràng về việc liệu các biểu mẫu theo Nghị Định 13/2023 (bao gồm các biểu mẫu có sẵn trên Cổng dịch vụ công quốc gia) sẽ vẫn có hiệu lực hay bị thay thế.

9) Các trường hợp mới về chuyển dữ liệu cá nhân ra nước ngoài

Dự Thảo Luật BVDLCN nêu rõ các trường hợp được coi là chuyển dữ liệu cá nhân ra nước ngoài bao gồm: (i) chia sẻ dữ liệu cá nhân với người nhận ở ngoài lãnh thổ Việt Nam; (ii) chia sẻ dữ liệu cá nhân tại một hội nghị, hội thảo, các cuộc họp, thảo luận ở nước ngoài; (iii) gửi tài liệu hoặc email chứa dữ liệu cá nhân cho người nhận ở với người nhận ở ngoài lãnh thổ Việt Nam; (iv) công bố dữ liệu cá nhân trên không gian mạng khiến người ở ngoài lãnh thổ Việt Nam nhận được; (v) cung cấp dữ liệu cá nhân cho tổ chức, doanh nghiệp, cá nhân khác để thực hiện hoạt động kinh doanh; và (vi) cung cấp dữ liệu cá nhân thực hiện nghĩa vụ pháp lý ở nước ngoài hoặc theo pháp luật của quốc gia sở tại.

Phạm vi rộng này, mà không có ngoại lệ, có thể gây ra những thách thức thực tế cho các doanh nghiệp. Ví dụ, các hoạt động thường ngày như gửi email có chữ ký chứa dữ liệu cá nhân cho khách hàng quốc tế có thể thuộc trường hợp (iii). Tương tự như vậy, việc công bố dữ liệu cá nhân trên một trang web hoặc nền tảng truyền thông xã hội có thể truy cập công khai—mà không có ý định nhắm tới các mục tiêu cá nhân ở ngoài lãnh thổ Việt Nam—vẫn có thể thuộc trường hợp (iv). Một cách giải thích rộng như vậy có thể được coi là quá mức và không thực tế, có khả năng làm gián đoạn hoạt động kinh doanh hàng ngày và gây ra những tác động tiêu cực. Hy vọng rằng phiên bản tiếp theo của Dự Thảo Luật BVDLCN sẽ giải quyết được những lo ngại này.

10) Những điểm đáng chú ý khác

Những điểm đáng chú ý khác trong Dự Thảo Luật BVDLLCN bao gồm:

· Các yêu cầu chặt chẽ hơn về bảo vệ dữ liệu cá nhân trong tiếp thị/quảng cáo, bao gồm tuân thủ các quy định về phòng chống thư rác và sim rác (Điều 21 – 22);

· Một nguyên tắc mới về xử lý dữ liệu nhóm - Mỗi công ty trong một tập đoàn kinh tế có trách nhiệm độc lập trong việc đảm bảo bảo vệ dữ liệu cá nhân (Điều 3.4);

· Điều khoản giải quyết xung đột với các luật khác - Trong trường hợp xung đột, Dự Thảo Luật BVDLCN sẽ được ưu tiên áp dụng hơn các luật khác liên quan đến bảo vệ dữ liệu cá nhân (Điều 6.1);

· Thời hạn chuyển tiếp: Dự Thảo Luật BVDLCN không cung cấp thời hạn chuyển tiếp để đảm bảo tuân thủ đầy đủ sau ngày có hiệu lực, ngoại trừ một quy định miễn trừ trong hai năm cho phép các doanh nghiệp siêu nhỏ và các công ty khởi nghiệp trì hoãn việc chỉ định Tổ Chức BVDLCN và Chuyên Gia BVDLCN.

Bài viết này được thực hiện bởi Trịnh Phương Thảo.

Vietnam Business Law