Dự thảo Luật Bảo vệ dữ liệu cá nhân: Đáp ứng yêu cầu chuyển đổi số và bảo vệ quyền con người

Quang cảnh phiên họp

Hoàn thiện khuôn khổ pháp lý theo hướng tinh gọn và thống nhất

Dự thảo Luật Bảo vệ dữ liệu cá nhân đã trải qua quá trình chỉnh lý kỹ lưỡng, giảm từ 7 chương, 68 điều xuống còn 5 chương, 47 điều, thể hiện nỗ lực đơn giản hóa và nâng cao tính khả thi. Thường trực Ủy ban Quốc phòng, An ninh và Đối ngoại đã phối hợp chặt chẽ với cơ quan soạn thảo để tiếp thu các ý kiến từ phiên thảo luận tại tổ ngày 12/5/2025 với 97 lượt ý kiến và 2 văn bản đóng góp, cũng như phiên thảo luận tại hội trường ngày 24/5 với 44 ý kiến phát biểu và 1 văn bản. Quá trình này đã giúp cơ quan chủ trì thẩm tra và cơ quan soạn thảo đạt được sự thống nhất, không còn vấn đề có ý kiến khác nhau, đảm bảo dự thảo đủ điều kiện trình Quốc hội thông qua vào ngày 23/6/2025.

Dự thảo được xây dựng nhằm thể chế hóa quan điểm của Đảng, đáp ứng yêu cầu đổi mới xây dựng pháp luật, bảo đảm tính hợp hiến, hợp pháp và thống nhất với các luật chuyên ngành như Bộ luật Dân sự, Luật Xử lý vi phạm hành chính và Luật Dữ liệu. Mục tiêu là tạo khuôn khổ pháp lý bảo vệ quyền con người, đồng thời giảm chi phí tuân thủ cho doanh nghiệp và người dân trong bối cảnh chuyển đổi số.

Phạm vi điều chỉnh được mở rộng, áp dụng cho mọi cá nhân, cơ quan, tổ chức Việt Nam liên quan đến dữ liệu cá nhân, cũng như các tổ chức, cá nhân nước ngoài xử lý dữ liệu của công dân Việt Nam và người gốc Việt Nam, trên cả môi trường truyền thống và điện tử. Để tăng tính rõ ràng, khoản 2, Điều 1 đã bổ sung đối tượng áp dụng là công dân Việt Nam và người gốc Việt Nam chưa xác định quốc tịch nhưng được cấp giấy chứng nhận căn cước, thường gọi là “thẻ xanh”. Về giải thích từ ngữ, dự thảo xác định 12 khái niệm, làm rõ dữ liệu cá nhân, dữ liệu cá nhân cơ bản và nhạy cảm, đồng thời giao Chính phủ quy định danh mục chi tiết.

Các nội dung quan trọng như hành vi bị nghiêm cấm, xử lý vi phạm, chuyển dữ liệu xuyên biên giới và lực lượng bảo vệ dữ liệu cá nhân đã được chỉnh lý để phù hợp với thực tiễn và thông lệ quốc tế.

Dự thảo cũng đơn giản hóa thủ tục hành chính, cắt giảm 4 trong 5 dịch vụ do Chính phủ trình, chỉ giữ lại dịch vụ phân tích, tổng hợp dữ liệu cá nhân, và bỏ các quy định về cổng thông tin quốc gia, điều kiện kinh doanh dịch vụ bảo vệ dữ liệu. Quy định chuyển tiếp tại Điều 46 được bổ sung để đảm bảo tính khả thi khi luật có hiệu lực.

Cân bằng giữa bảo vệ và phát triển

Phó Chủ nhiệm Ủy ban Pháp luật của Quốc hội Nguyễn Trường Giang cho rằng, quy định cấm mua bán dữ liệu cá nhân tại khoản 6, Điều 7 còn chung chung, chưa dự tính các trường hợp như tặng cho, trao đổi, thuê mượn, có nguy cơ bị lách luật thông qua các giao dịch dân sự.

Ông lưu ý, khoản 4, Điều 17 quy định chuyển giao dữ liệu cá nhân, dù có thu phí hay không, không được coi là mua bán, nên cần làm rõ sự khác biệt để tránh nhầm lẫn. Về xử phạt hành chính tại Điều 8, ông nhận định, mức phạt tối đa 5% doanh thu năm liền trước cho hành vi chuyển dữ liệu xuyên biên giới và 3 tỷ đồng cho các hành vi khác là quá cao, không tương đồng với các lĩnh vực như an ninh mạng (100 triệu đồng) hay công nghiệp công nghệ số (100 triệu đồng) trong dự thảo sửa đổi Luật Xử lý vi phạm hành chính. Ông đề xuất chuyển mức phạt theo hành vi sang Luật Xử lý vi phạm hành chính để đảm bảo tính thống nhất.

Ngoài ra, ông cho rằng, yêu cầu thông báo khi ghi âm, ghi hình tại khoản 2, Điều 29 là không khả thi nên cần quản lý việc sử dụng dữ liệu thay vì thông báo. Đối với lực lượng bảo vệ dữ liệu cá nhân tại Điều 34, ông nhấn mạnh, doanh nghiệp nhỏ và khởi nghiệp chiếm 98%, cần đánh giá chi phí tuân thủ, ưu tiên hậu kiểm thay vì bắt buộc chỉ định nhân sự hoặc thuê chuyên gia sau 5 năm.

Phát biểu tại phiên họp, Phó Chủ tịch Quốc hội Lê Minh Hoan đề xuất cân nhắc quy định cấm mua bán dữ liệu cá nhân tại Điều 7 để vừa nghiêm minh, vừa tạo độ mở cho phát triển kinh tế số hợp pháp, đặc biệt khi có sự đồng ý của chủ thể dữ liệu. Ông lưu ý, cần làm rõ sự khác biệt giữa mua bán trái phép và chuyển giao hợp pháp dữ liệu cá nhân, tham chiếu Điều 17 để đảm bảo tính thống nhất. Đồng thời, tại Điều 30, ông cho rằng, cần làm rõ nội hàm “tại Việt Nam”, “trong nước” và “ở nước ngoài”, xác định liệu có bao gồm các tổ chức nước ngoài có chi nhánh tại Việt Nam và công dân không mang quốc tịch Việt Nam đang sinh sống, làm việc tại Việt Nam, nhằm tạo điều kiện áp dụng luật thuận lợi.

Phó Chủ tịch Quốc hội Vũ Hồng Thanh đồng tình với mức phạt cao tại Điều 8 để răn đe vi phạm ảnh hưởng quyền riêng tư, nhưng đề xuất phân tách giữa hành vi vi phạm nghiêm trọng và hành vi thông thường. Ông cho rằng, khái niệm “khoản thu trái pháp luật” tại khoản 3, Điều 8 cần được định nghĩa rõ, hoặc giao Chính phủ quy định chi tiết để tránh lạm dụng. Ông nhận định, mức phạt 5% doanh thu phù hợp với doanh nghiệp nhỏ, nhưng không khả thi với các tập đoàn lớn như Viettel (doanh thu 189.900 tỷ đồng), VNPT (58.500 tỷ đồng) hay Mobifone (23.500 tỷ đồng), và cần làm rõ cách áp dụng cho doanh nghiệp nước ngoài hoặc mới thành lập, chưa có doanh thu năm trước. Liên quan đến Điều 46, ông đề xuất phân loại doanh nghiệp nhỏ và khởi nghiệp dựa trên rủi ro và khối lượng dữ liệu xử lý, vì một số doanh nghiệp công nghệ, tài chính, y tế, quảng cáo xử lý dữ liệu lớn, không thể miễn trừ chung trong 5 năm.

Đại diện cơ quan soạn thảo Lê Quốc Hùng cho biết, luật được xây dựng trong bối cảnh 150/193 quốc gia đã ban hành quy định bảo vệ dữ liệu cá nhân, nhằm ngăn chặn xâm phạm dữ liệu, bảo vệ quyền con người và an ninh quốc gia. Ông khẳng định, dữ liệu cá nhân không phải hàng hóa thông thường, nên cấm mua bán, trừ trường hợp luật cho phép, phù hợp thông lệ quốc tế.

Dự thảo bổ sung khái niệm xử lý nhận dạng dữ liệu cá nhân tại khoản 11, Điều 2, cho phép mua bán dữ liệu sau khi xử lý nhận dạng. Về xử phạt, ông giải thích, mức phạt cao (3 tỷ đồng, 5% doanh thu, 10 lần khoản thu trái pháp luật) được tham khảo từ Mỹ, EU, Singapore, Indonesia, với các vụ phạt từ 4 tỷ đến 584 tỷ đồng, nhằm răn đe các doanh nghiệp lớn, đặc biệt là tập đoàn đa quốc gia. Dự thảo cũng cắt giảm 3/6 thủ tục hành chính, chỉ giữ hồ sơ đánh giá tác động và cấp chứng nhận dịch vụ phân tích, tổng hợp dữ liệu cá nhân, mang tính khuyến nghị.

Phó Chủ tịch Quốc hội Trần Quang Phương thì nhấn mạnh, cần làm rõ khái niệm mua bán trái pháp luật và chuyển giao dữ liệu tại khoản 6, Điều 7 và Điều 17, tránh nhầm lẫn, đảm bảo dữ liệu là tài nguyên đặc biệt, chỉ chuyển giao quyền sử dụng. Ông đồng tình với mức phạt cao để răn đe vi phạm quyền con người, nhưng đề xuất phân tách hành vi nghiêm trọng và thông thường, giao Chính phủ quy định chi tiết. Ông cũng yêu cầu làm rõ nội hàm “tại Việt Nam”, “trong nước”, “ở nước ngoài” tại Điều 30, bao gồm cả công dân không mang quốc tịch Việt Nam đang sinh sống tại Việt Nam. Về doanh nghiệp nhỏ và khởi nghiệp, ông cho rằng, cần phân loại dựa trên rủi ro và khối lượng dữ liệu, đánh giá chi phí tuân thủ, thay vì miễn trừ chung 5 năm tại Điều 46.

Dự thảo luật đã được tinh gọn, với cơ chế hậu kiểm cho chuyển dữ liệu xuyên biên giới, quy định chuyển tiếp tại Điều 46 và đơn giản hóa thủ tục hành chính. Thường trực Ủy ban Quốc phòng, An ninh và Đối ngoại được giao hoàn thiện dự thảo, rà soát kỹ thuật văn bản, chuẩn bị báo cáo tiếp thu, giải trình trước khi Quốc hội biểu quyết vào ngày 23/6/2025, hướng đến một khuôn khổ pháp lý cân bằng giữa bảo vệ quyền con người và thúc đẩy kinh tế số.