Pháp luật Tư vấn pháp luật Chính sách mới Kinh doanh & Pháp luật

Bảo vệ dữ liệu cá nhân xuyên biên giới hiện có 8 “lỗ hổng”

Chia sẻ Facebook

Báo cáo “Luân chuyển dữ liệu cá nhân xuyên biên giới – từ tin cậy đến tự do” vừa được Viện Nghiên cứu chính sách và phát triển truyền thông (IPS) phát hành đã nêu lên những lỗ hổng và kiến nghị chính sách pháp luật về luân chuyển dữ liệu xuyên biên giới.

Về mặt pháp lý, IPS chỉ ra rằng, Hệ thống pháp luật Việt Nam về bảo vệ dữ liệu cá nhân xuyên biên giới hiện có 8 “lỗ hổng”.

Thứ nhất, chưa có văn bản quy phạm pháp luật về việc chuyển dữ liệu cá nhân ra khỏi biên giới quốc gia.

Thứ hai, thiếu quy định về việc ẩn danh/phi ẩn danh hóa dữ liệu cá nhân.

Thứ ba, thiếu quy định về quyền được ‘lãng quên’ (xóa dữ liệu cá nhân sau một khoảng thời gian bao lâu).

Thứ tư, thiếu quy định về cho phép khai thác giá trị kinh tế của dữ liệu cá nhân (quyền đối với dữ liệu được coi là một quyền nhân thân phi truyền thống và có gắn yếu tố kinh tế).

Thứ năm, thiếu cơ chế xử lý các hành vi mua bán dữ liệu cá nhân (chưa có một đạo luật riêng biệt, toàn diện).

Thứ sáu là chế tài hành chính và hình sự chưa thực sự phù hợp với thực tế, mức xử phạt tương đối thấp so với một số quốc gia, khu vực trên thế giới.

Thứ bảy là chưa có một đạo luật riêng biệt, toàn diện và nhất quán để bảo vệ dữ liệu cá nhân và tránh những hệ lụy.

Thứ tám, qua quá trình rà soát văn bản quy phạm pháp luật đang được soạn thảo, là Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân, thấy rằng quy định về điều kiện chuyển dữ liệu cá nhân qua biên giới được xây dựng nhưng chưa rõ ràng, có sự trùng lặp giữa điều kiện chuyển với ngoại lệ chuyển, giữa ngoại lệ chuyển với điều kiện Ủy ban bảo vệ dữ liệu cá nhân ra văn bản đồng ý chuyển.

Tham khảo cả điểm mạnh và điểm hạn chế từ kinh nghiệm thiết kế chính sách và pháp lý đối với dữ liệu xuyên biên giới của Liên minh Châu Âu, Trung Quốc, Nhật Bản, Singapore, cho thấy cần kết hợp giữa giải pháp công nghệ với công cụ pháp lý để điều chỉnh hành vi chuyển dữ liệu cá nhân qua biên giới.

IPS khuyến nghị thiết kế quy định pháp luật bảo vệ dữ liệu cá nhân xuyên biên giới cần thúc đẩy trách nhiệm giải trình của các chủ thể liên quan đến hoạt động xử lý dữ liệu

Cùng với đó, xây dựng quy định pháp luật có sự thống nhất trong hệ thống pháp luật nội bộ của quốc gia cũng như có sự tương đồng giữa các quốc gia trong khu vực, thế giới.

Trong đó, 3 khía cạnh chính cần quan tâm: những khái niệm chính (dữ liệu cá nhân, ẩn danh, phân định chủ thể kiểm soát và xử lý dữ liệu); cơ sở pháp lý để xử lý dữ liệu cá nhân (sự đồng ý, lợi ích hợp pháp, lợi ích công, nghiên cứu khoa học); bộ quy tắc ứng xử (chứng nhận bảo mật dữ liệu, yêu cầu địa phương hóa dữ liệu).