Từ nay, mọi công dân có quyền được bảo vệ thông tin đời tư, sức khoẻ, tài chính,...

Sáng nay, 26/6, Quốc hội khóa XV đã thông qua Luật Bảo vệ dữ liệu cá nhân. Đây là luật mới tại Việt Nam, ra đời trong kỷ nguyên số. Luật ra đời được đánh giá là cần thiết để bảo vệ dữ liệu, thông tin cá nhân và phù hợp với hệ thống luật trong nước cũng như các luật quốc tế về quyền con người.

Dữ liệu cá nhân: Định nghĩa rộng hơn, bảo vệ toàn diện hơn

Một trong những điểm đáng chú ý đầu tiên của Luật là định nghĩa rõ ràng về dữ liệu cá nhân. Không chỉ là những thông tin cơ bản thường dùng trong giao dịch, Luật còn phân loại sâu hơn thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu nhạy cảm, như thông tin về sức khỏe, tài chính, sinh trắc học, được coi là gắn liền với quyền riêng tư và khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cá nhân. Điều này cho thấy sự nhìn nhận toàn diện hơn về các loại dữ liệu cần được bảo vệ, đặc biệt là những thông tin có thể gây tổn hại lớn nếu bị lộ.

Phạm vi áp dụng của Luật cũng rất rộng. Ngoài các cơ quan, tổ chức, cá nhân trong nước, Luật còn bao trùm cả cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam, và đặc biệt là các tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp căn cước. Điều này khẳng định chủ quyền của Việt Nam trong việc bảo vệ dữ liệu công dân, bất kể dữ liệu đó được xử lý ở đâu.

Quyền năng mới của chủ thể dữ liệu

Luật mới đặc biệt nhấn mạnh và mở rộng quyền của chủ thể dữ liệu cá nhân. Người dân không chỉ có quyền biết về hoạt động xử lý dữ liệu của mình mà còn có quyền đồng ý hoặc không đồng ý, và thậm chí yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu.

Hơn nữa, bạn có quyền xem, chỉnh sửa hoặc yêu cầu chỉnh sửa, yêu cầu cung cấp, xóa, hạn chế xử lý, hay phản đối xử lý dữ liệu cá nhân. Khi quyền lợi bị xâm phạm, chủ thể dữ liệu có thể khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại. Đây là những công cụ pháp lý quan trọng để mỗi người tự bảo vệ mình trong môi trường số.

Tuy nhiên, đi kèm với quyền lợi là nghĩa vụ – chủ thể dữ liệu phải tự bảo vệ dữ liệu của mình, tôn trọng và bảo vệ dữ liệu của người khác, cung cấp đầy đủ, chính xác dữ liệu cá nhân khi cần thiết, và chấp hành pháp luật về bảo vệ dữ liệu cá nhân. Việc thực hiện các quyền và nghĩa vụ này phải tuân thủ nguyên tắc không gây khó khăn, cản trở hoạt động hợp pháp của các bên liên quan và không xâm phạm lợi ích của Nhà nước, tổ chức, cá nhân khác.

Luật cũng quy định 6 nguyên tắc bảo vệ dữ liệu cá nhân mang tính nền tảng, trong đó nổi bật là việc chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng và phải đảm bảo tính chính xác của dữ liệu. Đặc biệt, việc bảo vệ dữ liệu cá nhân phải gắn với bảo vệ lợi ích quốc gia, dân tộc, thể hiện sự cân bằng giữa quyền lợi cá nhân và lợi ích công cộng.

Để đảm bảo hiệu quả của Luật, một danh mục chi tiết các hành vi bị nghiêm cấm đã được liệt kê. Các hành vi này bao gồm: Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước, cản trở hoạt động bảo vệ dữ liệu, lợi dụng hoạt động bảo vệ để vi phạm pháp luật, xử lý dữ liệu trái quy định, sử dụng hoặc cho người khác sử dụng dữ liệu trái phép, mua bán dữ liệu cá nhân (trừ trường hợp luật có quy định khác), và chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân. Đây là cơ sở pháp lý vững chắc để xử lý các vi phạm, góp phần xây dựng môi trường số an toàn hơn.

Nâng cao trách nhiệm

Luật mới phân định rõ trách nhiệm của các bên liên quan trong quá trình xử lý dữ liệu cá nhân:

* Bên kiểm soát dữ liệu cá nhân (quyết định mục đích và phương tiện xử lý) phải nêu rõ trách nhiệm trong hợp đồng, quyết định mục đích và phương tiện xử lý, thực hiện các biện pháp quản lý, kỹ thuật bảo vệ dữ liệu, thông báo vi phạm, và chịu trách nhiệm về các thiệt hại.

* Bên xử lý dữ liệu cá nhân (thực hiện việc xử lý theo yêu cầu của bên kiểm soát) chỉ được tiếp nhận dữ liệu sau khi có thỏa thuận/hợp đồng và phải xử lý dữ liệu theo đúng thỏa thuận, áp dụng các biện pháp bảo vệ đầy đủ.

* Bên kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm thực hiện đầy đủ cả hai vai trò trên.

Đặc biệt, Luật cũng quy định chi tiết về trách nhiệm quản lý nhà nước về bảo vệ dữ liệu cá nhân. Chính phủ thống nhất quản lý, với Bộ Công an là cơ quan đầu mối chính (trừ lĩnh vực thuộc Bộ Quốc phòng). Các Bộ, ngành và Ủy ban nhân dân cấp tỉnh cũng có trách nhiệm quản lý trong phạm vi chức năng, nhiệm vụ của mình. Điều này tạo nên một cơ chế quản lý đa tầng, đảm bảo sự giám sát chặt chẽ đối với hoạt động xử lý dữ liệu cá nhân trên toàn quốc.

Quy định đặc thù trong các lĩnh vực

Nhận thấy tính đặc thù của dữ liệu cá nhân trong từng lĩnh vực, Luật dành riêng các điều khoản để quy định việc bảo vệ dữ liệu trong các hoạt động cụ thể:

* Trẻ em, người mất/hạn chế năng lực hành vi dân sự: Yêu cầu sự đồng ý của người đại diện theo pháp luật, và đối với trẻ em từ đủ 07 tuổi trở lên thì phải có thêm sự đồng ý của trẻ em khi công bố, tiết lộ thông tin về đời sống riêng tư.

* Tuyển dụng, quản lý, sử dụng người lao động: Yêu cầu thông tin chỉ phục vụ mục đích tuyển dụng, phải có sự đồng ý và phải xóa/hủy thông tin nếu không tuyển dụng.

* Thông tin sức khỏe và kinh doanh bảo hiểm, tài chính, ngân hàng, thông tin tín dụng: Áp dụng đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, yêu cầu sự đồng ý của chủ thể dữ liệu, và cấm sử dụng thông tin tín dụng để chấm điểm, xếp hạng nếu chưa có sự đồng ý.

* Kinh doanh dịch vụ quảng cáo: Phải có sự đồng ý của khách hàng, cung cấp phương thức từ chối nhận quảng cáo, và tuân thủ pháp luật về phòng, chống tin nhắn rác, thư điện tử rác.

* Nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến: Yêu cầu thông báo rõ ràng về dữ liệu thu thập, không thu thập trái phép, cung cấp lựa chọn từ chối cookies và tính năng "không theo dõi".

* Dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây: Phải xử lý đúng mục đích, giới hạn trong phạm vi cần thiết, tích hợp các biện pháp bảo mật phù hợp và không sử dụng để gây tổn hại đến an ninh quốc gia hay quyền lợi người khác.

* Dữ liệu vị trí, dữ liệu sinh trắc học: Đòi hỏi biện pháp bảo mật nghiêm ngặt, hạn chế quyền truy cập và có cơ chế thông báo cho chủ thể dữ liệu nếu xảy ra thiệt hại.

* Hoạt động ghi âm, ghi hình tại nơi công cộng: Được phép trong một số trường hợp cụ thể (quốc phòng, an ninh, lợi ích hợp pháp) nhưng phải thông báo cho chủ thể dữ liệu biết và chỉ được xử lý, sử dụng phù hợp với mục đích, không được lưu trữ quá thời gian cần thiết.

Chuyển dữ liệu xuyên biên giới và đánh giá tác động

Một trong những quy định quan trọng nhất là việc chuyển dữ liệu cá nhân xuyên biên giới. Các tổ chức thực hiện hoạt động này phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và gửi cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Điều này nhằm kiểm soát luồng dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, đảm bảo không gây tổn hại đến an ninh quốc gia. Tương tự, đánh giá tác động xử lý dữ liệu cá nhân cũng là yêu cầu bắt buộc đối với các bên kiểm soát và xử lý dữ liệu, giúp nhận diện và giảm thiểu rủi ro.

Tuy nhiên, để tạo điều kiện thuận lợi cho các doanh nghiệp, Luật cũng có những quy định miễn trừ đối với doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp, hộ kinh doanh, doanh nghiệp siêu nhỏ, trừ khi họ kinh doanh dịch vụ xử lý dữ liệu cá nhân, xử lý dữ liệu nhạy cảm hoặc xử lý dữ liệu của số lượng lớn chủ thể.

Luật Bảo vệ dữ liệu cá nhân ra đời không chỉ là một hành lang pháp lý mới mà còn là sự khẳng định cam kết của Việt Nam trong việc bảo vệ quyền riêng tư và an toàn thông tin của người dân. Với sự phối hợp chặt chẽ giữa các cơ quan quản lý, doanh nghiệp và sự chủ động của mỗi cá nhân, chúng ta có thể xây dựng một không gian mạng an toàn, minh bạch hơn, nơi dữ liệu cá nhân được trân trọng và bảo vệ đúng mức.