Hiệp hội An ninh mạng Quốc gia (NCA) đã tổ chức tọa đàm “Góp ý Dự thảo Luật Bảo vệ Dữ liệu cá nhân”. Tọa đàm được tổ chức với mục tiêu tăng cường lấy ý kiến rộng rãi của các cơ quan, tổ chức, doanh nghiệp và người dân, đồng thời góp phần trang bị kiến thức và nâng cao nhận thức xã hội về bảo vệ dữ liệu cá nhân, đảm bảo an toàn thông tin, an ninh mạng và quyền riêng tư trong kỷ nguyên số. Đây cũng là hoạt động góp phần hoàn thiện Dự thảo Luật trước khi trình Quốc hội thông qua vào tháng 5 năm 2025. Luật dự kiến có hiệu lực từ tháng 1 năm 2026. Đại diện Công ty cổ phần An ninh dữ liệu Việt Nam (VNDS) đã có bài tham luận góp ý tại sự kiện.
Phát biểu khai mạc, Trung tướng Nguyễn Minh Chính, Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), Phó Chủ tịch thường trực NCA nhấn mạnh về tính cấp bách của việc xây dựng và hoàn thiện Luật Bảo vệ dữ liệu cá nhân.
Theo ông Nguyễn Minh Chính, trong bối cảnh hiện nay, mức độ phổ biến của dữ liệu cá nhân trên không gian mạng tỷ lệ thuận với hậu quả xảy ra khi dữ liệu cá nhân không được bảo vệ tương xứng, đúng cách. Trong khi đó, nhận thức về bảo vệ dữ liệu cá nhân còn hạn chế; nhiều thông tin sinh trắc học, lý lịch cá nhân, mối quan hệ, tình trạng sức khỏe, tài chính được đăng tải công khai, trở thành nguồn dữ liệu cho các chương trình thu thập thông tin tự động.
Theo Cục trưởng A05, tình trạng lộ, lọt, đánh cắp, buôn bán thông tin cá nhân trên không gian mạng cũng thường xuyên diễn ra.“Ngày càng nhiều chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra hành vi vi phạm về bảo vệ dữ liệu cá nhân. Nhiều dịch vụ trên không gian mạng mới xuất hiện, có hoạt động thu thập, khai thác, phân tích thông tin, dữ liệu cá nhân nhưng không có cơ chế quản lý dữ liệu người dùng đặt ra nhiều vấn đề liên quan tới an ninh quốc gia, trật tự an toàn xã hội, xâm hại đến quyền và lợi ích hợp pháp của tổ chức, cá nhân”, ông Chính nói.
Những thách thức này đặt ra yêu cầu cấp bách xây dựng và hoàn thiện Luật Bảo vệ dữ liệu cá nhân nhằm thể chế hóa các quy định của Hiến pháp và pháp luật về quyền bảo vệ bí mật cá nhân, quyền con người, quyền công dân. Đồng thời thống nhất trong hệ thống pháp luật, bảo đảm hài hòa với thông lệ quốc tế về bảo vệ dữ liệu cá nhân; phát triển kinh tế xã hội, tạo nền tảng pháp lý cho hoạt động kinh doanh có liên quan tới dữ liệu cá nhân; hạn chế tiến tới khắc phục tình trạng dữ liệu cá nhân đang bị mua bán, lộ, mất tràn lan; đồng thời cũng giúp nâng cao nhận thức, ý thức về bảo vệ dữ liệu cá nhân hiện nay.
Lãnh đạo A05 cho biết trên thế giới đã có hơn 140 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Việt Nam cũng không thể chậm trễ hơn trong việc ban hành Luật, Bộ Công an đã khẩn trương tham mưu Chính phủ trình Quốc hội dự án Luật Bảo vệ dữ liệu cá nhân để xem xét, thông qua tại kỳ họp thứ 9, Quốc hội khóa XV tháng 5/2025.
Tham gia góp ý vào dự án Luật Bảo vệ dữ liệu cá nhân, đại diện VNDS đã có bài tham luận dựa trên thực tiễn triển khai đào tạo và hỗ trợ các doanh nghiệp trong việc tuân thủ quy định về bảo vệ dữ liệu cá nhân.
Theo ông Bạch Trọng Đức, Trưởng phòng Đào tạo và tuân thủ VNDS, các tổ chức, doanh nghiệp vẫn còn nhiều khó khăn, thách thức trong thực hiện tuân thủ như: Phải hiểu sâu sắc về quy định bảo vệ dữ liệu cá nhân; quy định có sự kết hợp giữa pháp lý và kỹ thuật; phải hoàn thiện hệ thống kỹ thuật để đáp ứng các quyền chủ thể dữ liệu; hay việc các đơn vị lúng túng trong thực hiện thủ tục hành chính, áp dụng tiêu chuẩn để bảo vệ dữ liệu cá nhân.
Góp ý cụ thể cho dự thảo Luật Bảo vệ dữ liệu cá nhân, ông Bạch Trọng Đức cho rằng dự luật cần làm rõ định nghĩa "khử nhận dạng dữ liệu cá nhân" bởi đây là việc vô cùng cần thiết nhằm đảm bảo tính minh bạch, thống nhất và khả thi trong triển khai thực tế. Từ quan điểm này, đại diện VNDS đề xuất tách định nghĩa "khử nhận dạng dữ liệu cá nhân" thành 2 trường hợp cụ thể. Theo đó, dữ liệu sau khi được khử nhận dạng đến mức mà dù áp dụng tất cả biện pháp kỹ thuật và công nghệ hiện có cũng không thể xác định được chủ thể dữ liệu, thì cần được phân loại là “dữ liệu phi cá nhân”.
Đại diện VNDS cho rằng, đối với trường hợp dữ liệu đã được khử nhận dạng, chỉ dựa trên bản thân dữ liệu mới được tạo ra đó thì không thể xác định được chủ thể; nhưng nếu kết hợp với các tập dữ liệu khác, vẫn có thể suy luận hoặc xác định cá nhân liên quan. Lúc này, dữ liệu vẫn cần được phân loại là dữ liệu cá nhân, vì nguy cơ tái định danh vẫn tồn tại. “Việc phân biệt rõ hai cấp độ này không chỉ giúp cơ quan quản lý và doanh nghiệp hiểu đúng bản chất pháp lý của dữ liệu sau khi được xử lý, mà còn tạo nền tảng cho việc xác định nghĩa vụ tuân thủ phù hợp trong từng tình huống cụ thể”, ông Đức nói.
