Theo dự thảo Luật Bảo vệ dữ liệu cá nhân trình Quốc hội tại Kỳ họp thứ 9, mỗi tổ chức, doanh nghiệp hoặc cá nhân hoạt động trong lĩnh vực có liên quan bắt buộc phải có ít nhất một chuyên gia bảo vệ dữ liệu cá nhân, phù hợp với ngành nghề và lĩnh vực kinh doanh (khoản 2, Điều 39).
Tuy nhiên, các doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp có thể được miễn áp dụng quy định này trong vòng 5 năm đầu kể từ ngày thành lập. Miễn trừ này không áp dụng đối với các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp có hoạt động xử lý dữ liệu cá nhân trực tiếp.
Dự thảo cũng định nghĩa chuyên gia bảo vệ dữ liệu cá nhân là người có đủ năng lực để đảm nhận vai trò này, có thể bao gồm: chuyên gia có cả kiến thức công nghệ và pháp lý, hoặc chuyên gia chuyên sâu về một trong hai lĩnh vực - công nghệ hoặc pháp lý.
Góp ý cụ thể về việc thể chế hóa trong Dự thảo Luật Bảo vệ Dữ liệu cá nhân, đa số các đại biểu cho rằng, Bộ Chính trị đã ban hành Nghị quyết số 57-NQ/TW, một Nghị quyết mang tính đột phá tạo xung lực mới cho phát triển quốc gia. Tổng Bí thư cũng chỉ đạo Nhà nước ưu tiên “hoàn thiện thể chế” và “đảm bảo an ninh, an toàn dữ liệu, bảo mật chủ quyền quốc gia.
Trong phiên thảo luận, đại biểu Nguyễn Trường Giang (Đắk Nông) bày tỏ sự đồng tình với sự cần thiết ban hành Luật Bảo vệ dữ liệu cá nhân. Tuy nhiên, ông cho rằng vẫn còn một số quy định cần được rà soát kỹ lưỡng để bảo đảm tính khả thi và hợp lý khi triển khai trên thực tế.
Thứ nhất, về quy định xử phạt vi phạm hành chính tại Điều 4, ông cho rằng mức phạt hành chính lên tới 5% doanh thu của doanh nghiệp vi phạm là quá cao và chưa hợp lý.
“Ví dụ, doanh thu hợp nhất của Viettel là khoảng 189.900 tỷ đồng, VNPT là 58.500 tỷ đồng, Mobifone là 23.500 tỷ đồng, như vậy, mức phạt tối thiểu 1% cũng đã là một con số rất lớn, chưa nói đến 5%. Trong khi đó, lợi nhuận trên vốn chủ sở hữu của các doanh nghiệp này chỉ dưới 10%. Như vậy, nếu xử phạt dựa trên doanh thu thì quá nặng, thậm chí có thể ảnh hưởng đến sự tồn tại của doanh nghiệp”, địa biểu lấy ví dụ.
Do đó, theo đại biểu Giang, mức xử phạt cần đảm bảo tính răn đe nhưng cũng phải công bằng và tương xứng với mức độ vi phạm. Đồng thời, đại biểu đề nghị cơ quan soạn thảo cần thuyết minh rõ cơ sở pháp lý, kinh tế cho mức phạt này, và làm rõ mối quan hệ với các luật chuyên ngành như Luật An ninh mạng, Luật Giao dịch điện tử và Luật An toàn thông tin mạng.
Thứ hai, liên quan đến quy định cấm mua bán dữ liệu cá nhân, đại biểu cho rằng cần làm rõ phạm vi và bối cảnh áp dụng. Nếu dữ liệu cá nhân được xem là tài sản, thì theo quy định dân sự, chủ sở hữu có quyền định đoạt - bao gồm cả mua bán, tặng cho, thừa kế, thế chấp... Do đó, việc cấm hoàn toàn hoạt động mua bán dữ liệu có thể vi phạm quyền dân sự. Đại biểu đề nghị cần xác định rõ các trường hợp bị cấm, chẳng hạn như khi dữ liệu thu thập không hợp pháp hoặc bị sử dụng sai mục đích, thay vì áp dụng một lệnh cấm chung chung.
Thứ ba, về việc xử lý dữ liệu cá nhân thu được từ ghi âm, ghi hình tại nơi công cộng, ông cho rằng quy định hiện tại còn nhiều bất cập. Trong bối cảnh ghi hình nơi công cộng là hoạt động phổ biến (như qua camera an ninh, truyền hình, sự kiện…), việc yêu cầu thông báo cho từng chủ thể dữ liệu là không khả thi. Ông nhấn mạnh, cần phân biệt rõ mục đích sử dụng dữ liệu – nếu sử dụng sai mục đích mới cần xử phạt, thay vì áp dụng quy định cứng nhắc, thiếu thực tiễn.
Cuối cùng, đại biểu Giang cũng cho rằng việc bắt buộc doanh nghiệp phải có chuyên gia bảo vệ dữ liệu cá nhân là chưa phù hợp. Theo ông, tùy theo quy mô, khả năng tài chính và mức độ rủi ro của dữ liệu, doanh nghiệp nên được quyền lựa chọn hình thức bảo vệ phù hợp - có thể thuê bên thứ ba hoặc tự triển khai nếu đủ năng lực. Việc áp dụng cứng nhắc có thể gây áp lực không cần thiết lên các doanh nghiệp nhỏ, trong khi mục tiêu bảo vệ dữ liệu hoàn toàn có thể đạt được thông qua các giải pháp linh hoạt hơn.
Đồng tình ý kiến, theo đại biểu Nguyễn Thị Hà (Bắc Ninh), việc bắt buộc mỗi tổ chức, doanh nghiệp có ít nhất một chuyên gia bảo vệ dữ liệu cá nhân, tuy nhiên không có quy định về quy mô hay lĩnh vực hoạt động có thể sẽ chưa phù hợp với thực tiễn.
Đại biểu cũng nêu thực tế, nguồn nhân lực về bảo vệ dữ liệu cá nhân hiện nay ở Việt Nam còn hạn chế về cả số lượng và chất lượng, trong khi các cơ sở đào tạo về lĩnh vực này cũng chưa thể đáp ứng được nhu cầu thực tế.
"Tôi cho rằng yêu cầu này có thể dẫn tới nguy cơ có tên mà không có người hoặc hình thức hóa chức danh, không đảm bảo được hiệu quả thực chất", đại biểu Nguyễn Thị Hà cho hay.
Từ thực tế trên, đại biểu đề nghị cần phân loại đối tượng áp dụng dựa trên quy mô, lĩnh vực hoạt động, cũng như mức độ rủi ro trong xử lý dữ liệu.
Có thể bắt buộc và bố trí chuyên gia bảo vệ dữ liệu trong các tổ chức, doanh nghiệp hoạt động trong những lĩnh vực có mức độ rủi ro cao, như tài chính, ngân hàng, giáo dục, y tế, thương mại điện tử, các đơn vị xử lý khối lượng lớn dữ liệu cá nhân nhạy cảm...
