Phó chủ nhiệm Ủy ban Pháp luật và Tư pháp Nguyễn Trường Giang phát biểu.

Chiều 26/3, hội nghị đại biểu Quốc hội chuyên trách thảo luận Dự thảo Luật Bảo vệ dữ liệu cá nhân (Dự thảo).

Báo cáo gửi hội nghị của Bộ Công an nêu rõ, việc xây dựng dự án luật này nhằm kịp thời bảo vệ quyền con người, quyền công dân, quyền và lợi ích hợp pháp của cá nhân, ngăn chặn hành vi xâm phạm dữ liệu cá nhân tràn lan hiện nay.

Đồng thời, tạo sự đồng bộ của hệ thống pháp luật, phục vụ cuộc cách mạng đột phá phát triển khoa học công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia theo tinh thần Nghị quyết 57 của Bộ Chính trị.

Theo Dự thảo, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Dự thảo đã bổ sung 5 thủ tục hành chính mới, gồm: kinh doanh Dịch vụ xử lý dữ liệu cá nhân; kinh doanh Dịch vụ Tổ chức bảo vệ dữ liệu cá nhân; kinh doanh Dịch vụ Chuyên gia bảo vệ dữ liệu cá nhân; kinh doanh Dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân; kinh doanh Dịch vụ Tổ chức chứng nhận đủ điều kiện năng lực bảo vệ dữ liệu cá nhân.

Đây là những ngành nghề kinh doanh phát sinh mới trong thực tiễn, chưa được văn bản pháp luật điều chỉnh. Việc bổ sung thủ tục hành chính mới này nhằm chính thức công nhận đây là ngành nghề được phép kinh doanh, đồng thời, bảo đảm quy trình công khai, minh bạch, thống nhất trong triển khai thực hiện; tạo công cụ, phương tiện để triển khai thi hành quy định của Luật và thực tiễn, báo cáo nêu.

Tại điều 4 về xử lý vi phạm quy định bảo vệ dữ liệu cá nhân, Bộ Công an đề xuất, cơ quan, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân tùy theo mức độ chịu trách nhiệm dân sự, bị xử lý kỷ luật, xử lý vi phạm hành chính, xử lý hình sự theo quy định của pháp luật.

Cùng với đó, áp dụng mức xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân.

Dự thảo luật cũng giao Chính phủ quy định chi tiết quy định cụ thể về mức phạt, khung tiền phạt đối với từng hành vi vi phạm hành chính.

Quy định này cụ thể hơn so với Nghị định số 13 năm 2023 của Chính phủ về bảo vệ dữ liệu cá nhân. Tại nghị định này, Chính phủ chỉ quy định, cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.

Nêu ý kiến về quy định trên, Phó chủ nhiệm Ủy ban Pháp luật và Tư pháp Quốc hội Nguyễn Trường Giang cho rằng quy định này không thống nhất với quan điểm xử phạt vi phạm hành chính hiện nay, đồng thời không khả thi.

Ông Giang nêu ví dụ, có doanh nghiệp doanh thu một năm có thể rất lớn, đến 30.000 tỷ. “Nếu một hành vi vi phạm chiếu theo quy định này bị phạt tối thiểu là 1% của 30.000 tỷ thì nếu vi phạm 10 lần phạt 10% thì tôi thấy không khả thi”, ông Giang phân tích.

Phó chủ nhiệm Ủy ban Pháp luật và Tư pháp Quốc hội đề xuất quy định mức phạt hành chính căn cứ vào hành vi vi phạm cụ thể. Nếu một hành vi vi phạm phổ biến thì xử phạt theo hành vi. Còn đối với hành vi vi phạm nhằm thu lợi cho doanh nghiệp thì mức phạt căn cứ vào phần thu lợi bất chính sẽ hiệu quả hơn.

Về các hành vi bị nghiêm cấm tại điều 7, Dự thảo quy định cấm xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân; tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.

Các hành vi khác bị cấm bao gồm: cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan chức năng có thẩm quyền; lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; thu thập, xử lý, chuyển giao dữ liệu cá nhân trái quy định của pháp luật; mua, bán dữ liệu cá nhân; cố ý chiếm đoạt, làm lộ, mất dữ liệu cá nhân.

Ngoài ra, dự thảo luật cũng quy định cụ thể việc bảo vệ dữ liệu cá nhân trong quá trình xử lý cũng như sử dụng dữ liệu cá nhân trong các hoạt động khác nhau.

Thẩm tra sơ bộ, Ủy ban Quốc phòng - An ninh - Đối ngoại Quốc hội cho biết có ý kiến nghị bổ sung vào dự thảo luật quy định “cấm các công ty buộc người dùng cung cấp dữ liệu cá nhân như điều kiện bắt buộc để sử dụng dịch vụ trừ những dữ liệu tối thiểu để vận hành (như email đăng ký)”.

Các ý kiến này cho rằng, hiện nay nhiều doanh nghiệp yêu cầu cung cấp dữ liệu cá nhân (họ tên, số điện thoại, email, thậm chí dữ liệu sinh trắc học) mà không cho phép từ chối. Nếu không cung cấp thì người dùng không thể truy cập dịch vụ, nhưng việc xử lý dữ liệu sau khi thu thập không trao đổi với người dùng.

Góp ý thêm, Phó chủ nhiệm Nguyễn Trường Giang cho rằng, với các dữ liệu cá nhân đã được tổ chức, doanh nghiệp xử lý thành tệp mà cấm mua, bán thì “không ổn”.

Ông Giang đặt vấn đề, một tập đoàn, công ty có nhiều công ty con, vậy dữ liệu cá nhân sau khi đã được xử lý thành tệp thì một công ty có thể chuyển cho các công ty khác trong tập đoàn để phục vụ sản xuất kinh doanh không?

“Bản thân doanh nghiệp cũng kiến nghị được chuyển dữ liệu cá nhân từ bộ phận này sang bộ phận khác để sử dụng hiệu quả nhất”, ông Giang nêu và cho rằng, dự thảo luật cần quy định rõ khi nào thì được mua bán, khi nào thì được trao đổi.

Dự thảo Luật bảo vệ dữ liệu cá nhân sẽ được trình Quốc hội tại Kỳ họp thứ 9, dự kiến thông qua theo quy trình 1 kỳ họp nếu đủ điều kiện.