Nếu phạt quá nhẹ, doanh nghiệp sẵn sàng nộp phạt để vi phạm về dữ liệu cá nhân

Sáng 5/6, Ủy ban Thường vụ Quốc hội họp phiên thứ 46 cho ý kiến về việc tiếp thu, giải trình, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân (DLCN).

Trình bày báo cáo một số vấn đề lớn giải trình, tiếp thu, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại của Quốc hội Lê Tấn Tới cho biết, dự thảo luật dự kiến tiếp thu, chỉnh lý gồm 5 chương và 47 điều, giảm 2 chương và 21 điều so với dự thảo luật do Chính phủ trình.

Cho đến nay, cơ quan thẩm tra và cơ quan soạn thảo đã thống nhất tất cả nội dung của dự thảo luật đã tiếp thu, chỉnh lý.

Trong đó, về hành vi bị nghiêm cấm (Điều 7), dự thảo luật dự kiến tiếp thu, chỉnh lý đã tập trung quy định nghiêm cấm các hành vi phổ biến, nguy cơ cao như xử lý DLCN nhằm chống Nhà nước; cản trở hoạt động bảo vệ DLCN; lợi dụng hoạt động bảo vệ DLCN để vi phạm pháp luật; thu thập, lưu trữ, tiết lộ, chuyển giao DLCN trái pháp luật; mua, bán DLCN (trừ trường hợp luật có quy định khác); chiếm đoạt, cố ý làm lộ, làm mất DLCN.

Về xử lý vi phạm pháp luật về bảo vệ DLCN (Điều 8), dự thảo luật xác định, về mức phạt hành chính: Do tính chất và hậu quả nghiêm trọng của hành vi vi phạm quy định về bảo vệ DLCN nên cần quy định mức phạt cao hơn để bảo đảm tính răn đe.

Quang cảnh phiên họp.

Đối với hành vi mua, bán DLCN, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm; đối với hành vi vi phạm quy định chuyển DLCN xuyên biên giới, mức phạt tiền tối đa 5% doanh thu năm liền trước; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 3 tỷ đồng. Đồng thời, quy định mức phạt đối với cá nhân bằng một phần hai mức phạt đối với tổ chức.

Về chuyển DLCN xuyên biên giới (Điều 30), Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới cho biết, đã chỉnh sửa tên Điều và thống nhất thuật ngữ “chuyển dữ liệu cá nhân xuyên biên giới” với quy định của Luật Dữ liệu. Áp dụng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới và chỉ kiểm tra khi cần thiết.

Về đánh giá tác động khi xử lý DLCN và khi chuyển DLCN xuyên biên giới (từ Điều 30 đến Điều 32), dự thảo luật cơ bản kế thừa các nội dung do Chính phủ trình, yêu cầu các bên kiểm soát, xử lý DLCN phải lập Hồ sơ đánh giá tác động xử lý DLCN (Điều 31) và Hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới (Điều 30). Doanh nghiệp chỉ cần lập hồ sơ này một lần cho suốt quá trình hoạt động và cập nhật khi có thay đổi.

Nhằm giảm gánh nặng tuân thủ pháp luật, quy định về việc phải có chuyên gia bảo vệ DLCN đã được điều chỉnh từ bắt buộc sang hình thức lựa chọn, cho phép doanh nghiệp có thể chỉ định nhân sự nội bộ thực hiện nhiệm vụ này hoặc lựa chọn dịch vụ phù hợp.

Đặc biệt, tại Điều 46 về Hiệu lực thi hành của dự thảo luật đã bổ sung quy định miễn trừ và tạo điều kiện linh hoạt, thuận lợi cho doanh nghiệp, đó là doanh nghiệp siêu nhỏ và hộ kinh doanh được miễn trừ hoàn toàn nghĩa vụ phải có nhân sự, chuyên gia bảo vệ DLCN cũng như yêu cầu về đánh giá tác động xử lý DLCN.

Đối với doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp, được quyền lựa chọn thực hiện hoặc không thực hiện các yêu cầu này trong thời hạn 5 năm kể từ khi thành lập hoặc kể từ khi luật này có hiệu lực.

Thượng tướng Lê Quốc Hùng, Thứ trưởng Bộ Công an.

Cho ý kiến về dự thảo luật, ông Nguyễn Trường Giang, Phó Chủ nhiệm Ủy ban Pháp luật và Tư pháp cho rằng, quy định cấm mua, bán dữ liệu cá nhân trong dự thảo Luật còn chung chung, chưa dự tính được hết các trường hợp trong giao dịch dân sự.

“Chủ thể tham gia giao dịch có thể thực hiện các hành vi để lách luật bằng các giao dịch có lợi ích, như tặng cho, trao đổi, thuê mượn. Đề nghị làm rõ, việc chuyển giao có thu phí có gì khác với mua, bán hay không”, ông Nguyễn Trường Giang nêu vấn đề.

Ngoài ra, Phó Chủ nhiệm Ủy ban Pháp luật và Tư pháp cũng cho rằng, cùng về xử phạt vi phạm hành chính nhưng quy định về mức phạt tiền tối đa về bảo vệ dữ liệu cá nhân trong dự thảo luật này lại cao hơn nhiều so với mức xử phạt tối đa trong các lĩnh vực khác tại Luật sửa đổi, bổ sung một số điều của Luật Xử lý vi phạm hành chính.

Phó Chủ nhiệm Ủy ban Pháp luật và Tư pháp Nguyễn Trường Giang cũng cho rằng, nếu quy định sau 5 năm, yêu cầu doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp phải có trách nhiệm chỉ định bộ phận nhân sự đủ điều kiện bảo vệ DLCN hoặc thuê tổ chức, chuyên gia bảo vệ DLCN thì cần có đánh giá chi phí tuân thủ.

“Quan trọng nhất là chúng ta quản lý hậu kiểm, tức là quản lý đầu ra, quản lý chất lượng bảo vệ DLCN chứ không phải quản lý bộ phận chuyên trách bảo vệ DLCN ở trong các doanh nghiệp này”, ông Nguyễn Trường Giang đề nghị.

Trong khi đó, Phó Chủ tịch Quốc hội Vũ Hồng Thanh lại cho rằng, vi phạm về bảo vệ dữ liệu cá nhân có tác động rất tiêu cực đến cá nhân và xã hội, vì vậy nếu xử phạt theo mức xử phạt hành chính thông thường sẽ khó bảo đảm tính răn đe. Vì vậy mức xử phạt vi phạm hành chính cần ở mức cao hơn.

Tuy nhiên, những vi phạm ảnh hưởng nhiều đến quyền riêng tư của cá nhân thì phải xử phạt nặng, còn vi phạm không gây ảnh hưởng nhiều có thể xử ở các mức xử phạt vi phạm hành chính thấp hơn.

Còn đối với quy định, mức phạt tiền tối đa 5% doanh thu năm liền trước của doanh nghiệp, Phó Chủ tịch Quốc hội cho rằng, Chính phủ cần có quy định chi tiết hướng dẫn cho phù hợp; rà soát phân tách theo mức độ xử lý dữ liệu cá nhân của doanh nghiệp chứ không theo tuổi đời hay quy mô hay doanh nghiệp khởi nghiệp như quy định tại Điều 46.

Báo cáo làm rõ thêm một số vấn đề mà các đại biểu quan tâm, Thượng tướng Lê Quốc Hùng, Thứ trưởng Bộ Công an cho biết, về cấm mua, bán DLCN, trong bối cảnh chuyển đổi số, khai phá tiềm năng của dữ liệu, dữ liệu cá nhân, Chính phủ thấy rằng, DLCN là nguồn tư liệu sản xuất quan trọng trong phát triển KTXH nhưng cần được sử dụng hiệu quả, hợp lý, phù hợp với nguyên tắc bảo vệ quyền con người, quyền công dân. Do đó, dự thảo luật đã bổ sung khái niệm “khử nhận dạng” DLCN; khẳng định DLCN sau khi được “khử nhận dạng” không còn là DLCN và được phép mua, bán theo quy định của pháp luật.

Ngoài ra, dự thảo luật quy định “Cấm mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác” xuất phát từ tình hình thực tiễn, theo đó DLCN là một loại tài nguyên đặc biệt, tài sản đặc biệt, yêu cầu khai thác, sử dụng phải đi đôi với bảo vệ ở mức cao nhất, nghiêm ngặt nhất.

Thứ trưởng Bộ Công an cũng cho biết, để đảm bảo sự phân định rõ ràng, tránh việc lách luật, dự thảo luật đã quy định “Cấm sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái pháp luật”; bổ sung Điều 17 về Chuyển giao dữ liệu cá nhân, trong đó quy định “Việc chuyển giao dữ liệu cá nhân trong các trường hợp quy định tại khoản 1 Điều này có thu phí hoặc không thu phí thì không được xác định là mua, bán dữ liệu cá nhân”.

Về xử lý vi phạm hành chính vi phạm về bảo vệ DLCN, Thượng tướng Lê Quốc Hùng cho biết, do tính chất hậu quả rất nghiêm trọng của hành vi vi phạm quy định về bảo vệ DLCN nên cần quy định mức phạt cao hơn để đảm bảo tính răn đe đối với các doanh nghiệp lớn, đặc biệt là các tập đoàn đa quốc gia hoặc doanh nghiệp có công nghệ cao có doanh thu hàng nghìn tỷ đồng.

“Nếu phạt quá nhẹ, các doanh nghiệp lớn, các doanh nghiệp xuyên biên giới này họ sẽ sẵn sàng nộp phạt, sẵn sàng vi phạm để chuyển giao dữ liệu cá nhân xuyên biên giới mà thu lại khoản lợi nhuận khổng lồ”, Thượng tướng Lê Quốc Hùng nhấn mạnh.

Cũng theo Thứ trưởng Bộ Công an, qua nghiên cứu, khảo sát kinh nghiệm quốc tế, Chính phủ nhận thấy nhiều quốc gia cũng quy định xử phạt cao và rất cao trong lĩnh vực này, như Mỹ, EU, Singpore, Indonesia.

Do đó, dự thảo luật sẽ được điều chỉnh theo hướng quy định như sau: Tăng mức phạt tối đa trong xử phạt VPHC đối với các hành vi vi phạm trong lĩnh vực bảo vệ DLCN là 3 tỷ đồng; sửa đổi bổ sung Khoản 3 Điều 24 Luật Xử lý vi phạm hành chính theo hướng mức phạt tiền tối đa trong lĩnh vực bảo vệ DLCN sẽ được thực hiện theo quy định của Luật Bảo vệ dữ liệu cá nhân. Đối với hành vi mua, bán DLCN, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm. Quy định mức phạt tiền tối đa 5% doanh thu năm liền trước của tổ chức doanh nghiệp có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới…