Chuyên gia Meta: Cần phân tách, tránh chồng chéo giữa Luật Dữ liệu và Luật Bảo vệ dữ liệu cá nhân

Tránh chồng chéo, mâu thuẫn giữa Luật Dữ liệu và Luật Bảo vệ dữ liệu cá nhân

Phát biểu tại Hội thảo "Chiến lược Dữ liệu quốc gia - Xây dựng Luật Bảo vệ dữ liệu cá nhân" vừa được tổ chức tại Hà Nội chiều 11/8, TS Arianne T Jimenez, Giám đốc chính sách bảo mật và dữ liệu khu vực châu Á Thái Bình Dương, Tập đoàn Meta nói rằng đang có sự chồng chéo khi dữ liệu cá nhân - vốn được quy định riêng trong Nghị định Bảo vệ dữ liệu cá nhân (Nghị định 13/2023) và Dự thảo Luật Bảo vệ dữ liệu cá nhân, nay cũng thuộc phạm vi điều chỉnh của Dự thảo Luật Dữ liệu.

Bà Arianne T Jimenez cho rằng các nhà soạn thảo luật của Việt Nam cần xem xét phân tách phạm vi điều chỉnh giữa Luật dữ liệu và Luật bảo vệ dữ liệu cá nhân, tránh chồng chéo và mâu thuẫn.

Bà Arianne T Jimenez chia sẻ thêm rằng, theo kinh nghiệm quốc tế, các quốc gia khác thường chỉ điều chỉnh các dữ liệu cá nhân trong Luật bảo vệ dữ liệu cá nhân, còn các dữ liệu phi cá nhân sẽ được quy định trong Luật dữ liệu.

"Các vấn đề liên quan đến bảo vệ dữ liệu cá nhân cần được bỏ ra khỏi Luật Dữ liệu. Luật dữ liệu chỉ nên bao gồm các quy định chung, không nên quy định quá chi tiết. Các quy định cụ thể về bảo vệ dữ liệu cá nhân sẽ được điều chỉnh trong Luật bảo vệ dữ liệu cá nhân", chuyên gia Meta kiến nghị.

Bà Arianne T Jimenez cũng nói thêm rằng, cần có sự phân loại rõ ràng về dữ liệu để áp dụng các biện pháp bảo vệ phù hợp, đảm bảo cân bằng giữa bảo vệ dữ liệu và phát triển kinh tế - xã hội.

Đồng tình với nhận định này, giáo sư Trần Thọ Đạt, thành viên tổ tư vấn kinh tế của Thủ tướng chính phủ, nguyên Hiệu trưởng trường Đại học Kinh tế quốc dân, nói rằng phạm vi điều chỉnh của 2 Luật cần tránh chồng chéo và mâu thuẫn với các quy định pháp luật khác. Các khái niệm trong luật cần định nghĩa rõ ràng để doanh nghiệp và người dân dễ hiểu và thực hiện. Ngoài ra, đối với các quy định về quản lý, xử lý dữ liệu cá nhân, cần đảm bảo sự cân bằng giữa bảo vệ quyền riêng tư và nhu cầu sử dụng dữ liệu của các tổ chức, doanh nghiệp.

Quá phụ thuộc vào sự đồng ý của chủ thể dữ liệu

Dự thảo Luật Bảo vệ dữ liệu cá nhân yêu cầu đơn vị thu thập dữ liệu cá nhân cần phải được sự đồng ý của chủ thể dữ liệu. Luật này cũng không công nhận sự đồng ý mang tính chất ngụ ý, hoặc được coi là đồng ý (Điều 11.4 và 11.7)

Theo bà Arianne T Jimenez, quy định này không phải lúc nào cũng hợp lý. Bà Jimenez nêu trường hợp một người đi ăn nhà hàng, khi họ trả tiền bằng thẻ tín dụng có nghĩa là họ đã ngầm đồng ý (ngụ ý) để đơn vị trung gian thanh toán được phép xử lý dữ liệu về tín dụng của họ, không cần họ phải xác nhận trực tiếp. Nếu Luật bắt phải xác nhận mỗi lần thanh toán thì sẽ rất phiền hà.

Bà Jimenez kiến nghị các nhà soạn thảo luật bỏ bớt các yêu cầu về sự đồng ý. Công nhận sự đồng ý ngầm hoặc được cho rằng đã đồng ý.

Tán đồng với ý kiến trên, nhà báo Nguyễn Phạm Thu Uyên, phụ trách chương trình "Như chưa hề có cuộc chia ly" nói rằng Chương trình đã trải qua 17 năm, đã tìm ra và giúp đoàn tụ gần 3.000 trường hợp thất lạc gia đình, họ hàng. Trước đây, khi chưa có những quy định ràng buộc về bảo vệ dữ liệu cá nhân, việc tìm kiếm thân nhân mất tích theo nguyện vọng của người đăng ký được thực hiện tương đối dễ dàng qua sự hỗ trợ tra cứu của công an các tỉnh thành.

Kể từ khi có Nghị định 13/2023 và Nghị định 70/2024, Chương trình đã không thể đáp ứng được yêu cầu có được "sự đồng ý của chủ thể thông tin", bởi vẫn đang trong quá trình tìm kiếm họ. Chương trình cũng vô cùng khó để đáp ứng yêu cầu có "quyết định mất tích từ tòa án".

Nhà báo Thu Uyên kiến nghị các cơ quan hữu trách xem xét và tạo điều kiện cho Chương trình được tra cứu thông tin người mất tích/mất liên lạc theo Điều 10 Thông tư 07/2016 thay vì áp dụng các quy định của Nghị định 13 và sắp tới đây là Luật Bảo vệ dữ liệu cá nhân.

Quản lý dữ liệu nên cân bằng với đổi mới sáng tạo

Chia sẻ ý kiến tại Hội thảo, bà Annabel Lee – Giám đốc chính sách công khu vực ASEAN, Amazon Web Services nói rằng các quy định về dữ liệu cần có tính khả thi. Việc quản lý dữ liệu cần được cân bằng với đổi mới sáng tạo, tránh gây kìm hãm sự phát triển và đổi mới sáng tạo của các doanh nghiệp.

Cũng theo bà Annabel Lee, việc quản lý dữ liệu chỉ nên tập trung vào các tác nhân xấu và các doanh nghiệp dữ liệu có rủi ro cao. Nên giảm các quy định tiền kiểm (điều kiện và giấy phép) mà tăng các quy định hậu kiểm (giám sát và chịu trách nhiệm).

Vị chuyên gia của Amazon Web Service nói rằng các quy định của Luật Bảo vệ dữ liệu cá nhân nên tham khảo các Bộ luật đã ban hành của châu Âu, Mỹ, Trung Quốc... nhưng không nhất thiết phải giống những bộ luật này vì Việt Nam có điều kiện kinh tế, xã hội riêng. Tuy nhiên, Luật cũng cần phù hợp với các tiêu chuẩn và thông lệ quốc tế.

Tại hội thảo, luật sư Trần Mạnh Hùng, Giám đốc Công ty Luật quốc tế BMVN kiến nghị 4 điểm bao gồm: Giới hạn phạm vi Luật dữ liệu đối với dữ liệu phi cá nhân; Tham khảo Luật GDPR của Liên minh châu Âu để học hỏi kinh nghiệm; Điều chỉnh luật theo hướng hậu kiểm hơn là tiền kiểm; Khi áp dụng luật của nước ngoài thì nên tính đến điều kiện kinh tế, xã hội đặc thù của Việt Nam.

Nhìn chung, các diễn giả tham dự Hội thảo có chung nhận định rằng các phần thảo luận đã khẳng định tầm quan trọng của dữ liệu cá nhân đối với sự phát triển kinh tế của Việt Nam. Quá trình xây dựng Luật bảo vệ dữ liệu cá nhân đã diễn ra sôi nổi và nhận được sự tham gia đóng góp ý kiến rộng rãi từ các chuyên gia và người dân. Các ý kiến góp ý đều được tiếp thu và xem xét nghiêm túc, thể hiện tính cầu thị và trách nhiệm của cơ quan soạn thảo.

Việc hoàn thiện Luật Bảo vệ dữ liệu cá nhân sẽ góp phần bảo vệ quyền riêng tư của công dân, đồng thời tạo điều kiện để dữ liệu cá nhân trở thành nguồn tài nguyên mới, thúc đẩy sự phát triển kinh tế - xã hội của Việt Nam.