Nghị định 13/2023/NĐ-CP: Hành lang pháp lý bảo vệ quyền dữ liệu cá nhân trong môi trường số
Sự cần thiết của việc ban hành Nghị định 13/2023/NĐ-CP
Trên thế giới, chuyển đổi số bắt đầu được nhắc đến nhiều vào khoảng năm 2015, phổ biến từ năm 2017. Ở Việt Nam, chuyển đổi số bắt đầu được nhắc đến nhiều vào khoảng năm 2018. Cho đến tháng 6/2020, khi Thủ tướng Chính phủ phê duyệt "Chương trình Chuyển đổi số quốc gia đến năm 2025, định hướng đến năm 2030", kể từ đó, hàng loạt chính sách mới được ban hành và 2020 được xem là năm khởi đầu trên con đường chuyển đổi số quốc gia.
Trong bài phát biểu tại Hội nghị giao ban quản lý nhà nước hồi tháng 5/2020, Bộ Trưởng Thông tin và Truyền thông Nguyễn Mạnh Hùng đã nhận định: “Nếu coi 2020 là năm khởi động nhận thức về chuyển đổi số, thì 2021 là năm bắt đầu triển khai, trải nghiệm về chuyển đổi số trong bối cảnh đại dịch”. Thực tế, qua 2 năm trải qua đại dịch đến nay chuyển đổi số tại Việt Nam đã ghi nhận nhiều bước tiến lớn trên cả ba trụ cột Chính phủ số, kinh tế số và xã hội số. Ngoài ra, ước tính, Việt Nam hiện có gần 80 triệu người sử dụng internet. Con số này cho thấy những tiện ích mà công nghệ thông tin mang lại cho đời sống là không thể phủ nhận. Tuy nhiên, cùng với sự phát triển mạnh mẽ này, tình trạng để lộ lọt thông tin, dữ liệu cá nhân xảy ra khá phổ biến, một phần không nhỏ xuất phát từ sự bất cẩn của người dùng, khiến vấn nạn lừa đảo trực tuyến ngày càng nhiều, nếu không kịp thời và nỗ lực ngăn chặn, có thể dẫn đến tình trạng mất kiểm soát.
Theo khảo sát của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), 80% nguyên nhân lộ lọt dữ liệu cá nhân xuất phát từ sự bất cẩn của người dùng. Hầu hết các nhà cung cấp dịch vụ đều đòi hỏi cung cấp dữ liệu các nhân như tên tuổi, địa chỉ nhà, số điện thoại, nhà mạng. Trong nhiều trường hợp, người dùng chấp nhận đánh đổi việc cung cấp dữ liệu cá nhân để sử dụng các nền tảng dịch vụ. Chưa kể, tình trạng mua bán dữ liệu cá nhân ở dạng thô hoặc đã qua xử lý hiện đang diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.
Trong hệ thống pháp luật Việt Nam hiện hành, hiện chưa sử dụng cụm từ "dữ liệu cá nhân", chưa có định nghĩa về dữ liệu cá nhân cũng như bảo vệ dữ liệu cá nhân.
Thống kê từ Bộ Công an, có tổng số 68 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 04 Bộ luật; 39 Luật, 01 Pháp lệnh; 18 Nghị định; 04 Thông tư/Thông tư liên tịch; 01 Quyết định của Bộ trưởng. Tuy nhiên, dù có tới 68 văn bản nhưng tất cả đều không thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân. Riêng về khái niệm "thông tin cá nhân", khái niệm này được coi là tương đồng và gần gũi nhất với khái niệm "dữ liệu cá nhân". Cụm từ "thông tin cá nhân" xuất hiện ở hơn 300 văn bản quy phạm pháp luật, nhưng chỉ có 07 văn bản pháp luật có định nghĩa/diễn giải thế nào là thông tin cá nhân. Số văn bản pháp luật còn lại chỉ đề cập đến thông tin cá nhân trong nội dung các quy định, không đưa ra giải thích hay dẫn chiếu giải thích đến văn bản pháp luật khác.
Dữ liệu cá nhân là vấn đề liên quan chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, chính phủ điện tử, chính phủ số, kinh tế số, công nghệ thông tin. Đây cũng là vấn đề được các tổ chức và nhiều quốc gia trên thế giới quan tâm và đi trước nước ta trong thời gian khá dài, có nhiều kinh nghiệm pháp lý và thực tiễn triển khai thi hành để tiếp thu.
Việt Nam là quốc gia có tốc độ phát triển và ứng dụng internet cao nhất thế giới. Dữ liệu cá nhân từ vị trí chưa thực sự quan trọng, trở thành “nguyên liệu” chính cho hoạt động của các ngành, nghề, dịch vụ và ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân. Điều này đặt ra cho Chính phủ bài toán phải quản lý hiệu quả, tương đồng giữa sử dụng và bảo vệ dữ liệu cá nhân, ứng phó, hạn chế nguy cơ, xử lý vi phạm để giữ vững sự phát triển và giá trị do dữ liệu cá nhân tạo ra.
Việc cần có một nghị định quy định về bảo vệ dữ liệu cá nhân là hết sức cần thiết, nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân, mà trước hết là của bên xử lý dữ liệu đối với việc xử lý dữ liệu cá nhân. Bên cạnh đó, nghị định cũng sẽ là tiền đề quan trọng để triển khai, đúc rút và nghiên cứu, xây dựng thành Luật Bảo vệ dữ liệu cá nhân.
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân ra đời được coi là công cụ hữu hiệu, giải quyết cho những vướng mắc nêu trên. Nghị định đã tiếp cận và xây dựng nội dung theo đúng tinh thần của Hiến pháp, phù hợp với thực tiễn phát triển kinh tế xã hội và đảm bảo sự đồng bộ, thống nhất với toàn bộ nội dung các văn bản pháp luật hiện có; đồng thời cho thấy sự hài hòa với thông lệ, quy định quốc tế về bảo vệ dữ liệu cá nhân.
Nâng cao “sức đề kháng" để tự bảo vệ và khai thác dữ liệu hiệu quả
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân gồm 44 Điều, chia thành 4 chương được ban hành ngày 17/4/2023, chính thức có hiệu lực từ ngày 1/7/2023. So với các văn bản trước, điểm mới của Nghị định là nhấn mạnh vai trò quan trọng của chủ thể dữ liệu trong việc bảo vệ dữ liệu cá nhân của mình; còn cộng đồng đóng vai trò chính tham gia vào việc phát hiện, yêu cầu các tổ chức, cá nhân khác bảo vệ dữ liệu cá nhân liên quan đến mình. Người dùng có quyền yêu cầu các đơn vị, tổ chức được truy cập, xem, sửa, xóa các thông tin liên quan tới mình. Đây là quyền lợi chính đáng và cũng giúp hạn chế tình trạng lộ, lọt thông tin.
Theo tinh thần của Nghị định, những điểm bất cập trong thực tiễn về bảo vệ dữ liệu cá nhân, quyền riêng tư trên các giao diện tương tác giữa chính quyền với người dân trước đây đã được điều chỉnh; sự chồng chéo, mâu thuẫn trong các văn bản luật hiện hành cũng đã được khắc phục.
Cụ thể, theo nội dung trả lời với báo chí của bà Nguyễn Thị Kim Thoa - nguyên Vụ trưởng Vụ Pháp luật Hình sự - Hành chính (Bộ Tư pháp), trong khung chính sách pháp luật liên quan đến bảo vệ dữ liệu cá nhân trước đây, những khoảng trống pháp lý, tính riêng tư của dữ liệu, quyền riêng tư chưa được chú ý phân định rõ mà chỉ tập trung nhiều vào an toàn bảo mật dữ liệu, thí dụ như hình ảnh cá nhân (công nghệ nhận diện khuôn mặt); sinh trắc học (dấu vân tay, nốt ruồi). Đến Nghị định 13/2023/NĐ-CP, những khái niệm chuẩn về dữ liệu cá nhân đã được đưa ra để lấy đó làm cơ sở thực thi pháp luật.
Việc thiết lập chế tài bồi thường thiệt hại đối với chủ thể có hành vi vi phạm chặt chẽ hơn, tạo điều kiện thuận lợi cho chủ thể dữ liệu cá nhân bị xâm hại quyền lợi khởi kiện, đòi bồi thường thiệt hại. Bên cạnh đó, mối quan hệ pháp lý giữa chủ thể kiểm soát dữ liệu và chủ thể xử lý dữ liệu cũng được phân định rõ ràng, minh bạch song vẫn đảm bảo quyền riêng tư. Đặc biệt, sự rành mạch này chính là căn cứ để xác định chủ thể chịu trách nhiệm trong những trường hợp nảy sinh sự cố. Với hành lang pháp lý đủ và chặt chẽ như vậy, hoạt động thu thập, xử lý dữ liệu trở nên minh bạch, hiệu quả, tạo niềm tin với người dân khi tương tác trên môi trường số.
An toàn dữ liệu sẽ giúp cho quá trình chuyển đổi số diễn ra một cách thuận lợi, nhanh chóng và an toàn hơn. Trong thời gian qua, để bảo vệ người dân, cộng đồng trước vấn nạn lừa đảo trực tuyến, các cơ quan chức năng, doanh nghiệp cung cấp dịch vụ, doanh nghiệp an toàn, an ninh mạng đã triển khai nhiều biện pháp kỹ thuật, hoạt động tuyên truyền, nâng cao nhận thức cho người dân, một số biện pháp đã bước đầu mang lại hiệu quả nhất định. Tuy nhiên, để đạt được mục tiêu hướng đến cao nhất là bảo vệ cá nhân theo tinh thần của Nghị định 13/2023/NĐ-CP, các cá nhân, tổ chức, doanh nghiệp cần có những hành động thiết thực đưa Nghị định vào cuộc sống, từ đó giúp tự bảo vệ và hỗ trợ khai thác dữ liệu một cách hiệu quả.
Đầu tiên, cần nhận thức đầy đủ về tầm quan trọng, ý nghĩa của dữ liệu cá nhân, xác định bảo vệ dữ liệu cá nhân là một trong những nhiệm vụ, việc làm hết sức cần thiết, từ đó tự ý thức về nâng cao trách nhiệm bảo vệ, kiểm soát, xử lý dữ liệu cá nhân. Mặt khác, cần tìm hiểu, nghiên cứu kỹ lưỡng những quy định trong Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, nhất là những nội dung liên quan đến 11 quyền của chủ thể dữ liệu, để tham gia hoạt động, khai thác dữ liệu trên không gian mạng có trách nhiệm và an toàn.
Ngoài ra, đối với các cơ quan, tổ chức, doanh nghiệp cần lưu ý thêm về việc thường xuyên rà soát, kiểm tra, đánh giá và đối chiếu những nội dung quy định về kiểm soát, xử lý, khai thác, lưu trữ, quản lý dữ liệu cá nhân phục vụ cho cơ quan, tổ chức xem đã đúng với nghĩa vụ, trách nhiệm theo quy định của Nghị định chưa. Những khâu nào đã thực hiện rồi, những khâu nào chưa thực hiện, những vấn đề gì còn chưa hiểu rõ hay còn khó khăn vướng mắc, từ đó kiến nghị các cấp có thẩm quyền hướng dẫn, giải đáp và tháo gỡ để thực hiện cho đúng và đầy đủ theo quy định.