DỮ LIỆU CÁ NHÂN VÀ QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN

I/Dữ liệu cá nhân

a/Dữ liệu cá nhân là gì?

Khái niệm dữ liệu cá nhân chưa được quy định trong pháp luật hiện hành mà chỉ tồn tại dưới khái niệm thông tin cá nhân. Tuy nhiên, khái niệm về thông tin cá nhân đang được quy định ở nhiều văn bản pháp luật khác nhau nên chưa mang tính thống nhất chung, cụ thể:

• Nghị định 64/2007/NĐ-CP về ứng dụng công nghệ thông tin trong hoạt động của cơ quan Nhà nước định nghĩa thông tin cá nhân tại khoản 5 Điều 3 như sau: “Thông tin cá nhân là thông tin đủ để xác định chính xác danh tính một cá nhân, bao gồm ít nhất nội dung trong những thông tin sau đây: họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu. Những thông tin thuộc bí mật cá nhân gồm có hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác”.  

• Bên cạnh đó, khái niệm về thông tin cá nhân cũng được đưa ra tại Điều 3 Luật An toàn thông tin mạng 2015: “Thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể”.  

Từ đó, có thể hiểu rằng dữ liệu cá nhân là toàn bộ dữ liệu mà có thể xác định về một cá nhân nào đó một cách trực tiếp hoặc gián tiếp.

b/Phân loại dữ liệu cá nhân

Pháp luật Việt Nam hiện hành cũng không tồn tại quy định về phân loại dữ liệu cá nhân, do đó sẽ dựa vào các quy định về thông tin cá nhân để phân tích. Theo khái niệm về thông tin cá nhân được quy định tại khoản 5 Điều 3 Nghị định 64/2007/NĐ-CP thì có thể hiểu rằng thông tin cá nhân được phân định thành 02 dạng bao gồm: 

• Những thông tin cá nhân cơ bản như họ tên, ngày sinh, nghề nghiệp, chức danh, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, số hộ chiếu; và

• Những thông tin thuộc bí mật cá nhân như hồ sơ y tế, hồ sơ nộp thuế, số thẻ bảo hiểm xã hội, số thẻ tín dụng và những bí mật cá nhân khác.

II/Bảo vệ dữ liệu cá nhân

a/Một số quy định của pháp luật hiện hành về bảo vệ dữ liệu cá nhân

Hầu hết những quy định hiện hành xem xét vấn đề bảo vệ dữ liệu cá nhân là một phần của quyền riêng tư nói chung. Cụ thể: 

• Hiến pháp năm 2013 quy định: 

“1. Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. 

Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn. 

2. Mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác. 

Không ai được bóc mở, kiểm soát, thu giữ trái luật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư của người khác.”  

• Ngoài ra, Bộ luật dân sự năm 2015 cũng có quy định về quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình tại Điều 38 rằng đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ. Việc thu thập, lưu giữ, sử dụng, công khai thông tin phải được sự đồng ý. Thêm vào đó, khi giao kết hợp đồng thì các bên không được tiết lộ thông tin mà mình đã biết được trong quá trình xác lập, thực hiện hợp đồng.

• Luật An toàn thông tin mạng năm 2015 cũng có những quy định liên quan việc bảo vệ thông tin cá nhân trên mạng và được ghi nhận từ Điều 16 đến Điều 20.

b/Chế tài và xử phạt

Về chế tài xử phạt đối với các hành vi vi phạm, có thể viện dẫn quy định tại Điều 65 của Nghị định 185/2013/NĐ-CP, được sửa đổi bổ sung bởi Nghị định 124/2015/NĐ-CP thì mức phạt đối với các hành vi xâm phạm về bảo mật thông tin người tiêu dùng từ 10 triệu đồng đến 20 triệu đồng. Trường hợp thông tin có liên quan là thông tin thuộc về bí mật cá nhân của người tiêu dùng thì sẽ bị phạt gấp đôi. 

Ngoài ra, quy định tại Điều 84 của Nghị định số 15/2020/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực công nghệ thông tin thì mức phạt tiền là từ 10 triệu đồng đến 30 triệu đồng tuỳ thuộc vào tính chất của hành vi vi phạm.

III/Nội dung cơ bản của Dự thảo Nghị định về bảo vệ dữ liệu cá nhân

Trong thời đại công nghệ 4.0 thì các thông tin cá nhân ngày càng được quan tâm trong vấn đề bảo vệ. Thực trạng rò rỉ, mua bán hay xâm phạm đến thông tin, dữ liệu cá nhân không còn xa lại đối với Việt Nam nói riêng và thế giới nói chung, tuy nhiên, vấn đề này lại chưa được quy định rõ ràng, thống nhất trong luật pháp nước ta. Ngày 17 tháng 02 năm 2021, Chính phủ đã công bố bản dự thảo thứ hai cho Nghị định Quy định về bảo vệ dữ liệu cá nhân nhưng đến nay vẫn đang trong giai đoạn lấy ý kiến nên chưa có hiệu lực pháp lý. Sau đây là một số nội dung cơ bản trong Dự thảo Nghị định:

a/Khái niệm dữ liệu cá nhân: theo khoản 1 Điều 2 thì dữ liệu cá nhân là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể.

b/Phân loại dữ liệu cá nhân: gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm (khoản 2 Điều 2).

• Dữ liệu cá nhân cơ bản bao gồm: họ, chữ đệm và tên khai sinh, bí danh (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; nhóm máu, giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, địa chỉ thư điện tử; trình độ học vấn; dân tộc; quốc tịch; số điện thoại; số chứng minh nhân dân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội; tình trạng hôn nhân; và dữ liệu phản ánh hoạt động hoặc lịch sử hoạt động trên không gian mạng.

• Dữ liệu cá nhân nhạy cảm bao hàm các dữ liệu về quan điểm chính trị, tôn giáo; tình trạng sức khỏe; di truyền; sinh trắc học; tình trạng giới tính; đời sống, xu hướng tình dục; tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; về tài chính; vị trí; các mối quan hệ xã hội; và DLCN khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết

c/Các điều kiện để xử lý dữ liệu cá nhân hợp pháp

Cần phải có sự đồng ý của chủ thể dữ liệu. Hình thức của sự đồng ý này phải ở định dạng có thể được in hoặc sao chép bằng văn bản và có được từ chủ thể dữ liệu trên cơ sở tự nguyện dựa vào việc chủ thể dữ liệu biết rõ về loại dữ liệu được xử lý, mục đích xử lý dữ liệu, các điều kiện chuyển giao hoặc chia sẻ dữ liệu cá nhân cho một bên thứ ba (khoản 1 Điều 8).

d/Chế tài và xử phạt

Theo quy định tại Điều 24 Dự thảo Nghị định, Uỷ ban bảo vệ dữ liệu cá nhân là cơ quan có thẩm quyền để giải quyết các vấn đề liên quan đến hoạt động bảo vệ dữ liệu cá nhân. Khi có bất kỳ hành vi vi phạm nào liên quan đến việc xử lý hoặc tiết lộ dữ liệu cá nhân, bên xử lý dữ liệu cá nhân có thể chịu các hình thức xử phạt vi phạm hành chính như phạt tiền từ 50 triệu đồng đến 100 triệu đồng; tối đa 5% tổng doanh thu của bên xử lý vi phạm dữ liệu cá nhân tại Việt Nam đối với các hành vi vi phạm nhiều lần hoặc gây hậu quả nghiêm trọng; các hình thức xử phạt bổ sung như đình chỉ dữ liệu cá nhân từ 01 đến 03 tháng hoặc tước quyền sử dụng văn bản đồng ý xử lý dữ liệu cá nhân nhạy cảm và chuyển dữ liệu cá nhân ra khỏi biên giới (Điều 22)

CÔNG TY LUẬT QUỐC TẾ NGUYỄN VÀ CỘNG SỰ

Email: Luatsu@nvcs.vn

Hotline: 0916.303.656 

Liên hệ  : Thạc sĩ – Luật sư – Trọng tài viên thương mại: NGUYỄN THÀNH TỰU  tại đây.