Bộ Công an hiện đang dự thảo Luật Bảo vệ dữ liệu cá nhân, dự kiến thời gian trình Quốc hội cho ý kiến vào Kỳ họp thứ 8, Quốc hội khóa XV (thời gian từ 20/10 đến 03/12/2024). Dự kiến thời gian trình Quốc hội thông qua vào Kỳ họp thứ 5, tháng 5 năm 2025.
Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Bảo vệ dữ liệu cá nhân là hoạt động tuyên truyền, hướng dẫn, bảo đảm, quản lý, vận hành, phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Việc xây dựng Luật Bảo vệ dữ liệu cá nhân nhằm hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân của nước ta, tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân trong nước tiếp cận trình độ quốc tế, khu vực; đẩy mạnh sử dụng dữ liệu cá nhân đúng pháp luật phục vụ phát triển kinh tế, xã hội.
Đề xuất phân loại dữ liệu cá nhân
Theo Điều 3 Dự thảo Luật, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
- Dữ liệu cá nhân cơ bản là thông tin cơ bản của công dân hoặc các thông tin khác không phải dữ liệu cá nhân nhạy cảm, gắn liền với danh tính của công dân, gồm:
+ Họ, chữ đệm và tên khai sinh, bí danh (nếu có);
+ Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
+ Giới tính;
+ Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
+ Quốc tịch;
+ Hình ảnh của cá nhân;
+ Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
+ Tình trạng hôn nhân;
+ Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
+ Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng.
+ Các thông tin khác gắn liền với danh tính của công dân không thuộc dữ liệu cá nhân nhạy cảm.
- Dữ liệu cá nhân nhạy cảm là thông tin khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gắn liền với quyền riêng tư của cá nhân, gồm:
+ Quan điểm chính trị, quan điểm tôn giáo;
+ Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
+ Thông tin liên quan đến nguồn gốc chủng tộc, thông tin liên quan đến nguồn gốc dân tộc,
+ Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
+ Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
+ Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
+ Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
+ Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
+ Thông tin về người sử dụng đất, dữ liệu đất đai có chứa thông tin về người sử dụng đất;
+ Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
+ Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
Không được yêu cầu dùng ảnh căn cước làm yếu tố xác thực tài khoản mạng xã hội
Cụ thể, tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian mạng (OTT) có trách nhiệm:
- Bảo vệ dữ liệu cá nhân của công dân Việt Nam khi hoạt động tại thị trường Việt Nam hoặc xuất hiện trên kho ứng dụng di động cung cấp cho thị trường Việt Nam.
- Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cài đặt và sử dụng mạng xã hội, dịch vụ OTT. Không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng.
- Không được yêu cầu chụp ảnh căn cước công dân, chứng minh nhân dân làm yếu tố xác thực tài khoản.
- Cung cấp lựa chọn cho phép người dùng từ chối thu thập cookies và chia sẻ cookies.
- Cung cấp lựa chọn "không theo dõi" hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ OTT khi có sự đồng ý của người sử dụng.
- Thông báo cụ thể, rõ ràng, bằng văn bản về việc chia sẻ dữ liệu cá nhân cũng như áp dụng biện pháp bảo mật khi thực hiện hoạt động quảng cáo, tiếp thị dựa trên dữ liệu cá nhân của khách hàng.
- Nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu là hành vi vi phạm pháp luật.
Các dữ liệu cá nhân đăng ký tài khoản mạng xã hội, dịch vụ OTT không phải là dữ liệu công khai và không thuộc trường hợp được xử lý mà không cần có sự đồng ý của chủ thể dữ liệu.
Như vậy, "Không được yêu cầu chụp ảnh căn cước công dân, chứng minh nhân dân làm yếu tố xác thực tài khoản" là một trong những trách nhiệm mà tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian mạng (OTT) phải thực hiện theo đề xuât của Bộ Công an.
Đề xuất chính sách nâng cao năng lực bảo vệ dữ liệu cá nhân
Theo Điều 53 Dự thảo Luật, chính sách nâng cao năng lực bảo vệ dữ liệu cá nhân được quy định như sau:
Nhà nước khuyến khích, tạo điều kiện để cơ quan, tổ chức, cá nhân nâng cao năng lực bảo vệ dữ liệu cá nhân và sử dụng dữ liệu cá nhân đúng pháp luật vào mục đích phát triển kinh tế, xã hội.
Chính phủ thực hiện các biện pháp sau đây để nâng cao năng lực bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân:
- Thúc đẩy chuyển giao, nghiên cứu, làm chủ và phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng để bảo vệ dữ liệu cá nhân;
- Thúc đẩy ứng dụng công nghệ mới, công nghệ tiên tiến liên quan đến bảo vệ dữ liệu cá nhân;
- Tổ chức đào tạo, phát triển và sử dụng nhân lực bảo vệ dữ liệu cá nhân;
- Tăng cường môi trường kinh doanh, cải thiện điều kiện cạnh tranh hỗ trợ doanh nghiệp nghiên cứu, sản xuất sản phẩm, dịch vụ, ứng dụng để bảo vệ dữ liệu cá nhân;
- Ban hành cơ chế, chính sách đúng quy định pháp luật nhằm sử dụng dữ liệu cá nhân phục vụ mục đích phát triển kinh tế, xã hội.
Theo Điều 54 Dự thảo Luật, việc giáo dục, bồi dưỡng, phổ biến kiến thức về bảo vệ dữ liệu cá nhân quy định như sau:
- Nhà nước có chính sách phổ biến kiến thức về bảo vệ dữ liệu cá nhân trong phạm vi cả nước, khuyến khích cơ quan nhà nước phối hợp với tổ chức tư nhân, cá nhân thực hiện chương trình giáo dục và nâng cao nhận thức về bảo vệ dữ liệu cá nhân.
- Bộ, ngành, cơ quan, tổ chức có trách nhiệm xây dựng và triển khai hoạt động phổ biến kiến thức về bảo vệ dữ liệu cá nhân cho cán bộ, công chức, viên chức, người lao động trong Bộ, ngành, cơ quan, tổ chức.
- Ủy ban nhân dân cấp tỉnh có trách nhiệm xây dựng và triển khai hoạt động phổ biến kiến thức, nâng cao nhận thức về bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân của địa phương.
- Mỗi người dân đều cần trang bị kiến thức, nhận thức, kỹ năng bảo vệ dữ liệu cá nhân.
- Nội dung giáo dục, bồi dưỡng kiến thức bảo vệ dữ liệu cá nhân được đưa vào chương trình đào tạo trong nhà trường, từ bậc tiểu học cho tới đào tạo đại học.
- Bộ Công an chủ trì, phối hợp với Bộ Giáo dục và Đào tạo, các Bộ, ngành có liên quan tổ chức bồi dưỡng nghiệp vụ bảo vệ dữ liệu cá nhân cho lực lượng bảo vệ an ninh mạng và công chức, viên chức, người lao động, học sinh, sinh viên.