Dự thảo Nghị định quy định chi tiết một số điều của Luật Bảo vệ dữ liệu cá nhân, do Bộ Công an chủ trì soạn thảo, đang được lấy ý kiến rộng rãi từ người dân. Văn bản này có nhiều điểm mới đáng chú ý, đặc biệt trong việc phân loại và bảo vệ dữ liệu cá nhân nhạy cảm.
**Phân loại chi tiết dữ liệu cá nhân**
Dự thảo dành hai điều để định nghĩa cụ thể về dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. So với các quy định hiện hành, danh mục dữ liệu nhạy cảm được mở rộng và chi tiết hơn, bao gồm thông tin về nguồn gốc chủng tộc, quan điểm chính trị, đời tư cá nhân, tình trạng sức khỏe, và hành vi của cá nhân trên mạng xã hội. Bộ Công an nhấn mạnh rằng việc phân loại rõ ràng này sẽ giúp minh bạch hóa trách nhiệm xử lý dữ liệu, đồng thời tăng cường bảo vệ quyền riêng tư của mỗi cá nhân.
Theo đó, dữ liệu cá nhân cơ bản được hiểu là những thông tin phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên được sử dụng trong các giao dịch và quan hệ xã hội hàng ngày. Ngược lại, dữ liệu cá nhân nhạy cảm là những thông tin gắn liền với quyền riêng tư cá nhân, khi bị xâm phạm có thể gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của các tổ chức, cá nhân. Do đó, việc xử lý dữ liệu nhạy cảm đòi hỏi các biện pháp bảo mật nghiêm ngặt, bao gồm phân quyền giới hạn truy cập, quy trình xử lý chặt chẽ và các biện pháp bảo mật chuyên sâu.
Dự thảo nghị định liệt kê chi tiết 13 loại dữ liệu cá nhân nhạy cảm, bao gồm: nguồn gốc chủng tộc, dân tộc; quan điểm chính trị, tôn giáo, tín ngưỡng; đời tư cá nhân; tình trạng sức khỏe; thông tin sinh trắc học, đặc điểm di truyền; dữ liệu về đời sống tình dục, xu hướng tình dục; vị trí của cá nhân được xác định qua dịch vụ định vị; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch ngân hàng; và thông tin tài chính, tín dụng.
**Các biện pháp bảo vệ dữ liệu cá nhân nhạy cảm**
Dự thảo nghị định đề xuất rằng các bên kiểm soát và xử lý dữ liệu cá nhân nhạy cảm phải thông báo cho “người có dữ liệu nhạy cảm” khi có sự cố xảy ra. Việc chuyển giao dữ liệu cá nhân nhạy cảm phải đi kèm với các biện pháp “bảo mật vật lý” đối với thiết bị lưu trữ và truyền tải, cũng như các biện pháp mã hóa, ẩn danh hóa và các biện pháp bảo mật khác trong suốt quá trình chuyển giao. Bộ Công an cũng yêu cầu các đơn vị xử lý dữ liệu phải phân quyền giới hạn truy cập, thiết lập quy trình xử lý nghiêm ngặt và áp dụng các biện pháp bảo mật chặt chẽ đối với dữ liệu cá nhân nhạy cảm.
**Siết chặt bảo vệ dữ liệu trong lĩnh vực tài chính – ngân hàng**
Điều 8 của dự thảo Nghị định tập trung vào việc thiết lập một khung pháp lý chặt chẽ hơn cho lĩnh vực tài chính, ngân hàng và thông tin tín dụng, là những nơi thường xuyên xử lý dữ liệu nhạy cảm của người dân.
Theo đề xuất của Bộ Công an, các tổ chức, cá nhân lưu trữ và khai thác dữ liệu phải thông báo cho “chủ dữ liệu cá nhân” chậm nhất là 72 giờ sau khi phát hiện lộ, mất thông tin về tài khoản ngân hàng, tài chính hoặc tín dụng. Đây là một điểm mới so với quy định hiện hành tại Nghị định 13/2023, vốn không có mốc thời gian cụ thể, có thể dẫn đến việc thông báo chậm trễ và gây rủi ro cho khách hàng.
Dự thảo cũng quy định rõ trách nhiệm của các tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, tín dụng trong việc “bảo vệ dữ liệu cá nhân theo các tiêu chuẩn bảo vệ dữ liệu quốc tế”. Đồng thời, họ phải đánh giá việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ mỗi năm một lần và ghi lại nhật ký của toàn bộ hoạt động xử lý dữ liệu cá nhân. Đây là một điểm mới quan trọng, vì Nghị định 13/2023 hiện hành chỉ yêu cầu áp dụng “biện pháp kỹ thuật, quản lý phù hợp” mà không gắn với các tiêu chuẩn cụ thể hoặc thời hạn kiểm tra.
Ngoài ra, dự thảo làm rõ hơn về cơ chế xin sự đồng ý của khách hàng. Khi thu thập và xử lý dữ liệu cá nhân, các tổ chức phải liệt kê các mục đích cụ thể như chấm điểm, xếp hạng tín dụng, nêu rõ nguồn dữ liệu, các bên chia sẻ, thời gian lưu trữ, đồng thời công khai cách thức rút lại sự đồng ý và chính sách xóa dữ liệu.
**Bối cảnh và những lo ngại hiện hữu**
Trong bối cảnh gần đây, nhiều người dân đã bày tỏ lo ngại về việc thông tin tín dụng cá nhân bị đánh cắp, đặc biệt sau khi Trung tâm VNCERT thuộc A05, Bộ Công an, đưa ra thông báo về các hoạt động tấn công và xâm nhập để đánh cắp dữ liệu cá nhân tại Trung tâm Thông tin tín dụng quốc gia CIC vào tháng 9 vừa qua. Do đó, việc siết chặt các quy định về bảo vệ dữ liệu cá nhân trong lĩnh vực tài chính – ngân hàng được kỳ vọng sẽ giúp bảo đảm an toàn hơn cho thông tin cá nhân của người dân.
**Luật Bảo vệ dữ liệu cá nhân và những điểm mới**
Luật Bảo vệ dữ liệu cá nhân, được Quốc hội thông qua vào ngày 26/6 và có hiệu lực từ ngày 1/1/2026, là văn bản luật đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân. Trước đó, lĩnh vực này chỉ được điều chỉnh bởi Nghị định 13/2023. So với quy định cũ, luật bổ sung ba hành vi bị nghiêm cấm: sử dụng dữ liệu cá nhân của người khác hoặc cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái pháp luật; mua bán dữ liệu cá nhân; và chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Trong tờ trình gửi Chính phủ, Bộ Công an nhấn mạnh rằng dữ liệu cá nhân là một trong những “nguyên liệu chính” để thực hiện chuyển đổi số, phát triển kinh tế số và xây dựng xã hội số. Tuy nhiên, tình trạng lộ lọt dữ liệu cá nhân vẫn diễn ra thường xuyên trên không gian mạng.
Nhiều doanh nghiệp kinh doanh dịch vụ thu thập dữ liệu cá nhân của khách hàng, sau đó cho phép các đối tác thứ ba tiếp cận thông tin mà không có quy định chặt chẽ, dẫn đến việc dữ liệu bị buôn bán cho các bên khác. Một số doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng để hình thành “kho dữ liệu” và phân tích, xử lý để buôn bán cả dữ liệu thô lẫn dữ liệu đã qua xử lý.
Bộ Công an cho biết nhiều thông tin “rất chi tiết” của cá nhân và tổ chức đang bị mua bán, bao gồm họ tên, ngày sinh, số Căn cước công dân, địa chỉ, số điện thoại, tài khoản ngân hàng (bao gồm cả số dư), thông tin về thân nhân, chức vụ và vị trí công tác. Các nhóm mua bán này còn cam kết “bảo hành” và có khả năng cập nhật, trích xuất dữ liệu theo yêu cầu của người mua.
Tình trạng rao bán dữ liệu công khai, trong thời gian dài và với số lượng lớn, diễn ra trên các mạng xã hội như Facebook, Zalo, Telegram, và các diễn đàn tin tặc. Đáng lo ngại hơn, tội phạm còn sử dụng tài khoản ngân hàng để giao dịch mua bán dữ liệu, ghi rõ nội dung giao dịch là “mua bán dữ liệu”.
Thực tiễn triển khai công tác bảo vệ dữ liệu cá nhân cho thấy “quyền cơ bản của công dân đối với dữ liệu cá nhân chưa được đảm bảo”. Nhiều công dân chưa biết cách tự bảo vệ, khiếu kiện hoặc yêu cầu bồi thường thiệt hại khi quyền và lợi ích của mình bị xâm hại. Quy trình xử lý dữ liệu cá nhân cũng bộc lộ nhiều bất cập.
Ngoài ra, nhiều thông tin sinh trắc học, lý lịch cá nhân, mối quan hệ, tình trạng sức khỏe và tài chính đang được đăng tải công khai. Nhận thức của một số cán bộ, công chức, viên chức về việc cung cấp và quản lý hồ sơ, dữ liệu cá nhân còn chưa đầy đủ. Tâm lý sẵn sàng đánh đổi thông tin đời tư, thông tin cá nhân để đổi lấy sự tiện ích về mặt công nghệ cũng là một vấn đề đáng lưu tâm.
Theo dự thảo, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) thuộc Bộ Công an sẽ là cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Những thay đổi này hứa hẹn một tương lai bảo mật hơn cho dữ liệu cá nhân của người Việt Nam, đồng thời đặt ra những yêu cầu cao hơn đối với các tổ chức và cá nhân trong việc tuân thủ pháp luật về bảo vệ dữ liệu.
Admin
Nguồn: VnExpress
