Thời sự

Đại biểu Quốc hội đoàn Nghệ An thảo luận về Luật Bảo vệ dữ liệu cá nhân

Thành Duy - Phan Hậu 24/05/2025 11:44

Sáng 24/5, Quốc hội họp phiên toàn thể tại hội trường tiến hành thảo luận về Dự án Luật Bảo vệ dữ liệu cá nhân.

bna_5835350670f2c5ac9ce3(1).jpg
Quang cảnh phiên làm việc sáng 24/5 tại Hội trường Diên Hồng, Nhà Quốc hội. Ảnh: Nam An

Chỉ nên quy định danh mục dữ liệu cá nhân nhạy cảm trong luật

Phát biểu thảo luận, ông Hoàng Minh Hiếu - Ủy viên là ĐBQH hoạt động chuyên trách tại Ủy ban Pháp luật và Tư pháp của Quốc hội, đại biểu đoàn Nghệ An bày tỏ đồng tình rất cao với việc ban hành Luật này.

“Đây là một bước tiến quan trọng trong quá trình hoàn thiện hệ thống pháp luật nhằm đáp ứng yêu cầu bảo vệ quyền con người, quyền cá nhân, cũng như yêu cầu chuyển đổi số ở Việt Nam”, vị đại biểu đoàn Nghệ An nhận định: “Qua nghiên cứu, chúng tôi cũng nhận thấy về cơ bản các quy định của dự thảo đã tiệm cận với chuẩn mực quốc tế”.

bna_1a9b1f2af4dd418318cc.jpg
Đồng chí Võ Thị Minh Sinh - Phó Bí thư Tỉnh ủy, Chủ tịch Ủy ban MTTQ Việt Nam tỉnh, Trưởng Đoàn ĐBQH tỉnh Nghệ An và các ĐBQH đoàn Nghệ An tại phiên làm việc sáng 24/5. Ảnh: Nam An

Bên cạnh đó, đại biểu Hoàng Minh Hiếu cũng đóng góp một số nội dung để hoàn thiện dự thảo Luật. Trước hết, về việc phân biệt giữa dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, ông cho rằng, việc dự thảo Luật phân biệt các loại dữ liệu cá nhân, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm là hết sức cần thiết vì dữ liệu nhạy cảm đòi hỏi các biện pháp bảo vệ chặt chẽ hơn.

Chẳng hạn, theo quy định của dự thảo thì việc bảo vệ dữ liệu cá nhân trong lĩnh vực sức khỏe, bảo hiểm, tài chính, ngân hàng phải áp dụng quy định về bảo vệ dữ liệu cá nhân nhạy cảm.

Tuy nhiên, về kỹ thuật lập pháp thì việc dự thảo Luật giao Chính phủ liệt kê cả 2 danh mục về 2 loại dữ liệu này, theo đại biểu Hoàng Minh Hiếu sẽ nảy sinh bất cập là sẽ có tình huống có thể phát sinh những loại thông tin đáp ứng đủ các tiêu chí được quy định nhưng không thuộc 1 trong 2 danh mục thì sẽ không được xem là dữ liệu cá nhân.

Vì vậy, đại biểu đề nghị chỉ nên quy định danh mục đối với loại dữ liệu cá nhân nhạy cảm. Những dữ liệu còn lại đáp ứng các tiêu chí quy định của Luật thì đương nhiên được xem là dữ liệu cá nhân cơ bản. Việc quy định như vậy bảo đảm tính khoa học vừa bảo đảm tính bao quát, dễ áp dụng.

Bên cạnh đó, theo kinh nghiệm của nhiều nước thì dữ liệu cá nhân nhạy cảm là nội dung quan trọng, liên quan đến quyền của các cá nhân, nên luật các nước thường quy định một số những dữ liệu cá nhân nhạy cảm ngay trong luật. Ví dụ như theo luật của Nhật Bản thì có những dữ liệu như trạng thái xã hội, hồ sơ bệnh án, hồ sơ phạm tội…

Luật của Trung Quốc liệt kê dữ liệu nhạy cảm bao gồm nhận dạng sinh trắc học, tín ngưỡng tôn giáo, dữ liệu y tế, chăm sóc sức khỏe, tài khoản tài chính, dữ liệu theo dõi vị trí.

Vì vậy, ông đề nghị cơ quan soạn thảo có thể quy định một số loại cơ bản ngay trong luật, còn những thông tin khác thì giao Chính phủ quy định, bổ sung thêm phù hợp với yêu cầu của từng thời kỳ.

Bổ sung thêm quy định về cách thức khử nhận dạng dữ liệu

Đối với việc khử nhận dạng dữ liệu cá nhân, dự thảo Luật đã đưa ra định nghĩa về khử nhận dạng dữ liệu cá nhân và đồng thời, dự thảo nêu rõ dữ liệu cá nhân sau khi khử nhận dạng thì không được coi là dữ liệu cá nhân.

Đại biểu Hoàng Minh Hiếu đánh giá, đây là điểm quan trọng và tiến bộ, tạo cơ sở pháp lý rất thuận lợi cho việc sử dụng dữ liệu lớn cho mục đích nghiên cứu và đặc biệt là đào tạo các mô hình trí tuệ nhân tạo.

bna_3b217bdc982b2d75743a.jpg
Ông Hoàng Minh Hiếu - Ủy viên là ĐBQH hoạt động chuyên trách tại Ủy ban Pháp luật và Tư pháp của Quốc hội, đại biểu đoàn Nghệ An phát biểu thảo luận. Ảnh: Nam An

Tuy nhiên, qua nghiên cứu ông nhận thấy dự thảo và các quy định của các luật có liên quan như: Luật Dữ liệu, Luật Công nghiệp công nghệ số đều chưa quy định cách thức để thực hiện việc khử nhận dạng dữ liệu cá nhân và các cách thức để bảo đảm những dữ liệu này không thể tái nhận dạng. Trong thực tiễn, nếu không quy định rõ tiêu chí và cách thức thực hiện thì doanh nghiệp rất khó nhận biết khi nào dữ liệu đã thực sự được khử định danh đầy đủ và hợp pháp.

Do vậy, ông Hoàng Minh Hiếu kiến nghị cần nghiên cứu bổ sung thêm quy định về cách thức khử nhận dạng dữ liệu để thuận tiện cho việc triển khai thực hiện. Ở đây, có thể tham khảo danh mục các trường dữ liệu cần phải loại bỏ hoặc mã hóa như luật của một số nước đã quy định, nếu không quy định trong luật thì có thể nghiên cứu theo danh mục Chính phủ quy định.

Vị đại biểu đoàn Nghệ An đề nghị rà soát bỏ quy định tại Dự thảo Luật Công nghiệp công nghệ số về phi cá nhân hóa dữ liệu số vì khái niệm này trùng lắp với nội hàm khái niệm khử nhận dạng dữ liệu cá nhân trong Luật Bảo vệ dữ liệu cá nhân, để bảo đảm không gây ra mâu thuẫn, chồng chéo, tạo điểm nghẽn trong quá trình triển khai thực thi luật.

Về việc phân loại rủi ro đối với dữ liệu cá nhân trong phát triển trí tuệ nhân tạo, dự thảo Luật quy định về việc bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây, trong đó, có yêu cầu phân loại mức độ rủi ro trong xử lý dữ liệu cá nhân theo 4 mức độ gồm: rủi ro không thể chấp nhận, rủi ro cao, rủi ro hạn chế và rủi ro thấp.

Ông Hoàng Minh Hiếu cho rằng, quy định này là chưa rõ ràng, có thể ảnh hưởng đến việc sử dụng dữ liệu để phát triển các hệ thống trí tuệ nhân tạo. Cụ thể, dự thảo chưa xác định rõ tiêu chí đánh giá các mức độ rủi ro; chưa quy định trách nhiệm xác định rủi ro thuộc về ai (doanh nghiệp, Nhà nước hay bên thứ ba?).

Vì vậy, đại biểu đề nghị cần có quy định rõ ràng, cụ thể về đánh giá rủi ro xử lý dữ liệu cá nhân trong phát triển trí tuệ nhân tạo để điều kiện thuận lợi cho việc phát triển các hệ thống trí tuệ nhân tạo.

Bên cạnh đó, đại biểu cũng đề nghị rà soát các quy định tại Điều 27 để tránh trùng lặp với các quy định hiện có về phát triển trí tuệ nhân tạo trong dự thảo Luật Công nghiệp công nghệ số dự kiến cũng được thông qua tại kỳ họp này.

Xem xét áp dụng các quy định tuân thủ theo hướng phân tầng

Dự thảo Luật đã đặt ra nhiều nghĩa vụ cho bên kiểm soát dữ liệu và bên xử lý dữ liệu, bao gồm các nghĩa vụ như đánh giá tác động xử lý dữ liệu cá nhân, cập nhật theo định kỳ, thông báo sớm trong trường hợp có vi phạm, phải có chuyên gia bảo vệ dữ liệu cá nhân…

Theo đại biểu, mặc dù dự thảo đã có quy định cho phép doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được miễn trừ quy định về chuyên gia bảo vệ dữ liệu cá nhân trong 5 năm đầu… nhưng các nghĩa vụ khác vẫn có thể tạo gánh nặng đáng kể cho các doanh nghiệp, đặc biệt là cho các doanh nghiệp nhỏ và vừa không hoạt động chính trong lĩnh vực dữ liệu.

bna_c6a50134e3c3569d0fd2.jpg
Các vị ĐBQH đoàn Nghệ An tại phiên làm việc sáng 24/5. Ảnh: Quang Vinh

Vì vậy, ông kiến nghị cơ quan chủ trì soạn thảo tiếp tục rà soát, nghiên cứu để giảm gánh nặng tuân thủ cho các bên, để vừa khuyến khích được việc phát triển các ngành công nghiệp mới, vừa bảo vệ được quyền của người dân.

Theo đó, có thể xem xét áp dụng các quy định tuân thủ theo hướng phân tầng, dựa trên quy mô doanh nghiệp, đặc biệt, dựa trên khối lượng và tính nhạy cảm của dữ liệu được xử lý. Cụ thể, có thể miễn trừ hoặc đơn giản hóa quy trình đánh giá tác động xử lý dữ liệu cá nhân, cho các doanh nghiệp nhỏ và vừa xử lý dữ liệu có rủi ro thấp và có khối lượng dữ liệu được xử lý không nhiều thay vì áp dụng cùng một bộ quy tắc cho tất cả các doanh nghiệp.

"Chúng tôi nhận thấy khi dự thảo luật này có hiệu lực thì sẽ có tác động rất lớn đến toàn bộ cá nhân trong xã hội và các doanh nghiệp, nhất là khi sử dung các nền tảng số. Vì vậy, chúng tôi đề nghị Chính phủ sớm có kế hoạch tuyên truyền, phổ biến để tạo thói quen tuân thủ luật khi ứng dụng các nền tảng số", vị đại biểu đoàn Nghệ An kiến nghị.

Cũng trong sáng 24/5, Quốc hội nghe tờ trình và báo cáo thẩm tra dự án Luật Chuyển giao người đang chấp hành án phạt tù; Dự án Luật Dẫn độ và thảo luận về Dự thảo Nghị quyết của Quốc hội về thí điểm về một số cơ chế, chính sách đặc thù phát triển nhà ở xã hội.

Thành Duy - Phan Hậu