Cập nhật pháp lý: Việt Nam đẩy mạnh hoàn thiện khung pháp lý bảo vệ dữ liệu cá nhân để thúc đẩy phát triển kinh tế

Cập nhật pháp lý: Việt Nam đẩy mạnh hoàn thiện khung pháp lý bảo vệ dữ liệu cá nhân để thúc đẩy phát triển kinh tế - xã hội.

Hiện tại, dự thảo Luật Bảo vệ Dữ liệu Cá nhân đang được xem xét và lấy ý kiến từ các cơ quan, tổ chức, cá nhân liên quan trước khi trình Quốc hội vào tháng 9/2025 và dự kiến thông qua vào cuối năm.

Luật bảo vệ dữ liệu cá nhân dự thảo được Bộ Công an lấy ý kiến xây dựng và dự kiến có hiệu lực từ ngày 01/01/2026, đánh dấu bước tiến quan trọng trong việc hoàn thiện khung pháp lý bảo vệ dữ liệu cá nhân tại Việt Nam.

Việt Nam đang tích cực hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân nhằm nâng cao năng lực của các tổ chức và cá nhân trong nước trong việc bảo vệ dữ liệu cá nhân ở cấp độ quốc tế và khu vực. Nỗ lực này nhằm thúc đẩy việc sử dụng hợp pháp dữ liệu cá nhân để phục vụ phát triển kinh tế - xã hội. Hiện tại, dự thảo Luật Bảo vệ dữ liệu cá nhân đang được xem xét và lấy ý kiến từ các cơ quan, tổ chức và cá nhân liên quan trước khi trình Quốc hội vào tháng 9 năm 2025 và dự kiến thông qua vào cuối năm.

Trong bối cảnh đó, Bộ Tư pháp đã tổ chức một cuộc họp để rà soát dự thảo luật với một số điểm chính sau:

Một số vấn đề chính được Bộ Công an xác định:

Thu thập dữ liệu quá mức: Nhiều tổ chức thu thập nhiều dữ liệu cá nhân hơn mức cần thiết mà không có cơ sở pháp lý rõ ràng.

Minh bạch trong xử lý dữ liệu: Các tổ chức chưa làm rõ cách thức xử lý dữ liệu cá nhân, mục đích sử dụng, đối tượng chuyển giao và tác động của nó.

Thiếu sự đồng thuận: Nhiều hoạt động thu thập và xử lý dữ liệu cá nhân diễn ra mà không có sự đồng ý của chủ thể dữ liệu, khiến việc liên hệ với chủ thể dữ liệu để xin sự đồng ý sau này thường sẽ bị từ chối, do họ không biết dữ liệu của mình ban đầu được thu thập như thế nào.

Quyền và sự bảo vệ của pháp luật:

Các quyền cơ bản của công dân liên quan đến dữ liệu cá nhân chưa được bảo đảm đầy đủ, người dân thiếu kiến thức về cách bảo vệ dữ liệu của mình, hay cách nộp đơn khiếu nại hoặc yêu cầu bồi thường khi quyền lợi bị xâm phạm do vi phạm pháp luật.

Nguyên nhân chính là do chưa có sự công nhận rõ ràng về quyền đối với dữ liệu cá nhân, sự hiểu biết hạn chế của người dân và cơ chế thực thi chưa hoàn chỉnh.

Sự cần thiết của Luật Bảo vệ dữ liệu cá nhân:

Hoàn thiện khung pháp lý: Luật này cần thiết để hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân, tạo cơ sở pháp lý cho việc bảo vệ dữ liệu cá nhân

Nâng cao năng lực bảo vệ dữ liệu: Luật hướng tới nâng cao năng lực của các tổ chức và cá nhân tại Việt Nam trong việc bảo vệ dữ liệu cá nhân theo tiêu chuẩn quốc tế và khu vực

Thúc đẩy sử dụng dữ liệu hợp pháp: Luật thúc đẩy việc sử dụng hợp pháp dữ liệu cá nhân nhằm hỗ trợ phát triển kinh tế - xã hội.

Các vấn đề cụ thể trong lĩnh vực tài chính, ngân hàng và tín dụng:

Thuật ngữ chuyên ngành: Dự thảo sử dụng nhiều thuật ngữ tài chính - ngân hàng cần được xem xét lại.

Phạm vi thông tin cá nhân: Hiện chủ yếu tập trung vào thông tin tín dụng, nhưng cần mở rộng bao gồm các loại dữ liệu khách hàng khác.

Chứng nhận dịch vụ xử lý dữ liệu: Chính phủ sẽ quy định chi tiết về chứng nhận dịch vụ xử lý dữ liệu cá nhân. Có ý kiến đề nghị tránh bổ sung các yêu cầu cấp phép không cần thiết hoặc đơn giản hóa quy trình này thông qua tham vấn với cơ quan có thẩm quyền.

Tác động tài chính và chi phí triển khai:

Dự thảo nhấn mạnh sự cần thiết của việc đầu tư từ chính phủ để thực thi luật, bao gồm chi phí in ấn tài liệu, hợp đồng truyền thông, mua sắm thiết bị và xây dựng đội ngũ bảo vệ dữ liệu. Tuy nhiên, cần có một đánh giá chi tiết hơn về tác động tài chính cũng như kế hoạch phân bổ nguồn lực.

Để hỗ trợ các đánh giá và phân tích này, Chính phủ Việt Nam đã ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân vào ngày 17/4/2023. Nghị định này nhằm điều chỉnh thực tiễn bảo vệ dữ liệu của Việt Nam theo các tiêu chuẩn quốc tế, như Quy định chung về bảo vệ dữ liệu (GDPR) của EU.

Nghị định 13/2023/NĐ-CP

Hiện nay, Nghị định 13/2023/NĐ-CP đã có hiệu lực* và các tổ chức, cá nhân tham gia vào việc xử lý dữ liệu cá nhân phải tuân thủ nghiêm ngặt. Dưới đây là một số điểm quan trọng cần lưu ý:

Phạm vi và đối tượng áp dụng:

Cơ quan, tổ chức, cá nhân Việt Nam: Nghị định áp dụng cho tất cả các đối tượng trong nước.

Tổ chức, cá nhân nước ngoài: Áp dụng cho các tổ chức, cá nhân nước ngoài hoạt động tại Việt Nam hoặc xử lý dữ liệu cá nhân của công dân Việt Nam.

Định nghĩa về dữ liệu cá nhân:

Dữ liệu cá nhân: Là thông tin có thể xác định danh tính cá nhân, được biểu đạt dưới dạng ký hiệu, chữ viết, số, hình ảnh, âm thanh trong môi trường điện tử.

Dữ liệu cá nhân cơ bản: Gồm họ tên, ngày sinh, địa chỉ, giới tính, quốc tịch, thông tin liên lạc, số định danh cá nhân.

Dữ liệu cá nhân nhạy cảm: Những thông tin có thể ảnh hưởng trực tiếp đến quyền lợi hợp pháp của cá nhân, như quan điểm chính trị, tín ngưỡng, tình trạng sức khỏe, dữ liệu sinh trắc học.

Quyền của cá nhân:

Quyền truy cập: Cá nhân có quyền tiếp cận dữ liệu cá nhân của mình do tổ chức nắm giữ.

Quyền chỉnh sửa: Cá nhân có thể yêu cầu sửa chữa thông tin sai lệch.

Quyền xóa dữ liệu: Cá nhân có thể yêu cầu xóa dữ liệu cá nhân trong một số trường hợp nhất định.

Nghĩa vụ của tổ chức kiểm soát dữ liệu:

Xin ý kiến đồng thuận: Phải có sự đồng ý rõ ràng của chủ thể dữ liệu trước khi xử lý dữ liệu cá nhân.

Biện pháp bảo mật: Phải áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo đảm an toàn dữ liệu.

Minh bạch thông tin: Phải cung cấp thông tin rõ ràng về hoạt động xử lý dữ liệu, bao gồm mục đích và cơ sở pháp lý.

Cơ quan bảo vệ dữ liệu:

Nghị định thiết lập một cơ quan bảo vệ dữ liệu chịu trách nhiệm giám sát việc bảo vệ dữ liệu cá nhân tại Việt Nam. Cơ quan này sẽ xử lý khiếu nại, tiến hành điều tra và thực thi việc tuân thủ các quy định của nghị định.

Nghĩa vụ báo cáo:

Báo cáo đánh giá rủi ro: Doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm phải thực hiện đánh giá rủi ro trước khi chuyển giao hoặc xử lý dữ liệu quan trọng.

Thông báo vi phạm dữ liệu: Các tổ chức phải báo cáo vi phạm dữ liệu cá nhân lên Bộ Công an trong vòng 72 giờ sau khi phát hiện.

Báo cáo thường niên: Doanh nghiệp có thể nộp báo cáo hàng năm về thực tiễn bảo vệ dữ liệu, biện pháp tuân thủ và các sự cố xảy ra trong năm.

Kết luận

Việc xây dựng Luật Bảo vệ dữ liệu cá nhân nhằm hoàn thiện hệ thống pháp luật, tạo cơ sở pháp lý bảo vệ dữ liệu cá nhân và nâng cao năng lực bảo vệ dữ liệu cho tổ chức, cá nhân trong nước theo tiêu chuẩn quốc tế. Tuy nhiên, trước khi luật được Quốc hội thông qua, các tổ chức, cá nhân, doanh nghiệp xử lý dữ liệu cá nhân phải tuân thủ nghiêm túc Nghị định 13/2023/NĐ-CP. Nếu vi phạm, có thể chịu:

Xử lý kỷ luật

Xử phạt hành chính

Truy cứu trách nhiệm hình sự

Tại ATLAS, chúng tôi cung cấp thông tin toàn diện về tuân thủ Nghị định 13/2023/NĐ-CP, bao gồm hỗ trợ đào tạo về tuân thủ xử lý dữ liệu cá nhân, tư vấn quy trình cần thiết, soạn thảo hồ sơ đánh giá tác động, hỗ trợ lập và nộp báo cáo thường niên cho cơ quan nhà nước có thẩm quyền

ATLAS LAW cam kết hỗ trợ nhà đầu tư và doanh nghiệp trong giai đoạn chuyển đổi này. Nếu cần thêm thông tin hoặc hỗ trợ trong việc tuân thủ pháp luật Việt Nam, vui lòng liên hệ ALTAS tại contact@altas.vn.

Cập nhật pháp lý: Việt Nam đẩy mạnh hoàn thiện khung pháp lý bảo vệ dữ liệu cá nhân để thúc đẩy phát triển kinh tế - xã hội.

Hiện tại, dự thảo Luật Bảo vệ Dữ liệu Cá nhân đang được xem xét và lấy ý kiến từ các cơ quan, tổ chức, cá nhân liên quan trước khi trình Quốc hội vào tháng 9/2025 và dự kiến thông qua vào cuối năm.

Luật bảo vệ dữ liệu cá nhân dự thảo được Bộ Công an lấy ý kiến xây dựng và dự kiến có hiệu lực từ ngày 01/01/2026, đánh dấu bước tiến quan trọng trong việc hoàn thiện khung pháp lý bảo vệ dữ liệu cá nhân tại Việt Nam.

Trong bối cảnh đó, Bộ Tư pháp đã tổ chức một cuộc họp để rà soát dự thảo luật với một số điểm chính sau:

Một số vấn đề chính được Bộ Công an xác định:

Thu thập dữ liệu quá mức: Nhiều tổ chức thu thập nhiều dữ liệu cá nhân hơn mức cần thiết mà không có cơ sở pháp lý rõ ràng.

Minh bạch trong xử lý dữ liệu: Các tổ chức chưa làm rõ cách thức xử lý dữ liệu cá nhân, mục đích sử dụng, đối tượng chuyển giao và tác động của nó.

Quyền và sự bảo vệ của pháp luật:

Nguyên nhân chính là do chưa có sự công nhận rõ ràng về quyền đối với dữ liệu cá nhân, sự hiểu biết hạn chế của người dân và cơ chế thực thi chưa hoàn chỉnh.

Sự cần thiết của Luật Bảo vệ dữ liệu cá nhân:

Hoàn thiện khung pháp lý: Luật này cần thiết để hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân, tạo cơ sở pháp lý cho việc bảo vệ dữ liệu cá nhân

Nâng cao năng lực bảo vệ dữ liệu: Luật hướng tới nâng cao năng lực của các tổ chức và cá nhân tại Việt Nam trong việc bảo vệ dữ liệu cá nhân theo tiêu chuẩn quốc tế và khu vực

Thúc đẩy sử dụng dữ liệu hợp pháp: Luật thúc đẩy việc sử dụng hợp pháp dữ liệu cá nhân nhằm hỗ trợ phát triển kinh tế - xã hội.

Các vấn đề cụ thể trong lĩnh vực tài chính, ngân hàng và tín dụng:

Thuật ngữ chuyên ngành: Dự thảo sử dụng nhiều thuật ngữ tài chính - ngân hàng cần được xem xét lại.

Phạm vi thông tin cá nhân: Hiện chủ yếu tập trung vào thông tin tín dụng, nhưng cần mở rộng bao gồm các loại dữ liệu khách hàng khác.

Tác động tài chính và chi phí triển khai:

Nghị định 13/2023/NĐ-CP

Hiện nay, Nghị định 13/2023/NĐ-CP đã có hiệu lực* và các tổ chức, cá nhân tham gia vào việc xử lý dữ liệu cá nhân phải tuân thủ nghiêm ngặt. Dưới đây là một số điểm quan trọng cần lưu ý:

Phạm vi và đối tượng áp dụng:

Cơ quan, tổ chức, cá nhân Việt Nam: Nghị định áp dụng cho tất cả các đối tượng trong nước.

Tổ chức, cá nhân nước ngoài: Áp dụng cho các tổ chức, cá nhân nước ngoài hoạt động tại Việt Nam hoặc xử lý dữ liệu cá nhân của công dân Việt Nam.

Định nghĩa về dữ liệu cá nhân:

Dữ liệu cá nhân: Là thông tin có thể xác định danh tính cá nhân, được biểu đạt dưới dạng ký hiệu, chữ viết, số, hình ảnh, âm thanh trong môi trường điện tử.

Dữ liệu cá nhân cơ bản: Gồm họ tên, ngày sinh, địa chỉ, giới tính, quốc tịch, thông tin liên lạc, số định danh cá nhân.

Dữ liệu cá nhân nhạy cảm: Những thông tin có thể ảnh hưởng trực tiếp đến quyền lợi hợp pháp của cá nhân, như quan điểm chính trị, tín ngưỡng, tình trạng sức khỏe, dữ liệu sinh trắc học.

Quyền của cá nhân:

Quyền truy cập: Cá nhân có quyền tiếp cận dữ liệu cá nhân của mình do tổ chức nắm giữ.

Quyền chỉnh sửa: Cá nhân có thể yêu cầu sửa chữa thông tin sai lệch.

Quyền xóa dữ liệu: Cá nhân có thể yêu cầu xóa dữ liệu cá nhân trong một số trường hợp nhất định.

Nghĩa vụ của tổ chức kiểm soát dữ liệu:

Xin ý kiến đồng thuận: Phải có sự đồng ý rõ ràng của chủ thể dữ liệu trước khi xử lý dữ liệu cá nhân.

Biện pháp bảo mật: Phải áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo đảm an toàn dữ liệu.

Minh bạch thông tin: Phải cung cấp thông tin rõ ràng về hoạt động xử lý dữ liệu, bao gồm mục đích và cơ sở pháp lý.

Cơ quan bảo vệ dữ liệu:

Nghị định thiết lập một cơ quan bảo vệ dữ liệu chịu trách nhiệm giám sát việc bảo vệ dữ liệu cá nhân tại Việt Nam. Cơ quan này sẽ xử lý khiếu nại, tiến hành điều tra và thực thi việc tuân thủ các quy định của nghị định.

Nghĩa vụ báo cáo:

Báo cáo đánh giá rủi ro: Doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm phải thực hiện đánh giá rủi ro trước khi chuyển giao hoặc xử lý dữ liệu quan trọng.

Thông báo vi phạm dữ liệu: Các tổ chức phải báo cáo vi phạm dữ liệu cá nhân lên Bộ Công an trong vòng 72 giờ sau khi phát hiện.

Báo cáo thường niên: Doanh nghiệp có thể nộp báo cáo hàng năm về thực tiễn bảo vệ dữ liệu, biện pháp tuân thủ và các sự cố xảy ra trong năm.

Kết luận

Xử lý kỷ luật

Xử phạt hành chính

Truy cứu trách nhiệm hình sự

ATLAS LAW cam kết hỗ trợ nhà đầu tư và doanh nghiệp trong giai đoạn chuyển đổi này. Nếu cần thêm thông tin hoặc hỗ trợ trong việc tuân thủ pháp luật Việt Nam, vui lòng liên hệ ALTAS tại contact@altas.vn.

Tác giả: ALTAS Managing Partner & Senior Legal Assistant Phạm Uyên Thy

Ngày: 10.02.2025