Делегаты Национальной ассамблеи от Нгеана обсуждают Закон о защите персональных данных

Необходимо указывать только категории конфиденциальных персональных данных.по закону

Выступая на обсуждении, г-н Хоанг Минь Хьеу - депутат Национальной ассамблеи, постоянный член Комитета Национальной ассамблеи по вопросам права и правосудия, делегат делегации Нге Ан, выразил свое решительное согласие с обнародованием данного закона.

«Это важный шаг в процессе совершенствования правовой системы для соответствия требованиям защиты прав человека, индивидуальных прав, а также требованиям цифровой трансформации во Вьетнаме», — заявил представитель делегации Нге Ан. «Благодаря исследованию мы также обнаружили, что проект нормативных актов в целом приближается к международным стандартам».

Кроме того, делегат Хоанг Минь Хьеу также внес свой вклад в разработку законопроекта. Прежде всего, касательно разграничения базовых персональных данных и конфиденциальных персональных данных, он отметил, что разграничение в законопроекте видов персональных данных, включая базовые персональные данные и конфиденциальные персональные данные, крайне необходимо, поскольку конфиденциальные данные требуют более строгих мер защиты.

Например, согласно проекту, защита персональных данных в сферах здравоохранения, страхования, финансов и банковского дела должна регулироваться положениями о защите конфиденциальных персональных данных.

Однако с точки зрения законодательных технологий законопроект, поручающий правительству перечислить обе категории этих двух типов данных, по мнению делегата Хоанг Минь Хьеу, создаст проблему, поскольку возникнут ситуации, когда информация, которая соответствует всем установленным критериям, но не относится ни к одной из двух категорий, не будет считаться персональными данными.

В связи с этим делегат предложил уточнить перечень только для конфиденциальных персональных данных. Остальные данные, соответствующие критериям, установленным Законом, безусловно, следует считать базовыми персональными данными. Такое регулирование обеспечивает научность, полноту и простоту применения.

Кроме того, согласно опыту многих стран, конфиденциальные персональные данные представляют собой важную информацию, связанную с правами личности, поэтому законодательство многих стран часто предусматривает наличие некоторых конфиденциальных персональных данных. Например, согласно законодательству Японии, к ним относятся такие данные, как социальный статус, медицинские карты, сведения о судимости и т. д.

В китайском законодательстве к конфиденциальным данным относятся биометрическая идентификация, религиозные убеждения, медицинские данные, данные о здравоохранении, финансовые счета и данные об отслеживании местоположения.

Поэтому он предположил, что законопроектный орган мог бы предусмотреть в законе некоторые основные виды прав, а правительство будет регулировать и дополнять остальную информацию в соответствии с требованиями каждого периода.

Добавить положения о порядке деидентификации данных

Что касается обезличивания персональных данных, то в проекте Закона дано определение обезличивания персональных данных и в то же время в проекте четко указано, что персональные данные после обезличивания не считаются персональными данными.

Делегат Хоанг Минь Хьеу оценил это как важный и прогрессивный момент, создающий весьма благоприятную правовую основу для использования больших данных в исследовательских целях и, в частности, для обучения моделей искусственного интеллекта.

Однако, проведя исследование, он обнаружил, что проекты и нормативные акты смежных законов, таких как Закон о данных и Закон о цифровой индустрии, пока не содержат четких указаний о том, как обезличить персональные данные и как обеспечить невозможность повторной идентификации. На практике, если критерии и методы реализации не определены четко, компаниям крайне сложно определить, когда данные были полностью и законно обезличены.

В связи с этим г-н Хоанг Минь Хьеу высказался о необходимости изучения и дополнения нормативных актов, регулирующих деперсонификацию данных, для облегчения внедрения. В качестве примера можно привести список полей данных, которые необходимо удалить или закодировать в соответствии с законодательством некоторых стран. Если это не предусмотрено законодательством, можно ознакомиться со списком, установленным правительством.

Делегат делегации Нге Ан предложил пересмотреть и исключить положения проекта Закона об индустрии цифровых технологий о деперсонализации цифровых данных, поскольку эта концепция пересекается с концепцией деидентификации персональных данных в Законе о защите персональных данных, чтобы гарантировать, что это не приведет к конфликтам, дублированию или созданию узких мест в процессе реализации закона.

В части классификации рисков для персональных данных при развитии искусственного интеллекта законопроект предусматривает защиту персональных данных при обработке больших данных, искусственного интеллекта, блокчейна, виртуальной вселенной, облачных вычислений, в том числе требование о классификации уровня риска при обработке персональных данных по 4 уровням: неприемлемый риск, высокий риск, ограниченный риск и низкий риск.

Г-н Хоанг Минь Хьеу отметил, что данное положение неясно и может повлиять на использование данных для разработки систем искусственного интеллекта. В частности, в проекте не определены чётко критерии оценки уровня риска; не указано, кто отвечает за определение рисков (предприятия, государство или третьи лица?).

Поэтому делегаты предложили разработать четкие и конкретные правила оценки рисков обработки персональных данных при разработке искусственного интеллекта, чтобы способствовать развитию систем искусственного интеллекта.

Кроме того, делегаты также предложили пересмотреть положения статьи 27, чтобы избежать дублирования с существующими правилами развития искусственного интеллекта в проекте Закона об отрасли цифровых технологий, который, как ожидается, будет принят на этой сессии.

Рассмотрите возможность применения многоуровневых правил соответствия

Законопроект устанавливает множество обязательств для контролеров и обработчиков данных, включая такие обязательства, как оценка воздействия обработки персональных данных, периодическое обновление, раннее уведомление в случае нарушений и наличие эксперта по защите персональных данных...

По словам делегата, хотя в проекте есть положения, позволяющие малому бизнесу и стартапам освобождаться от правил в отношении экспертов по защите персональных данных в течение первых 5 лет... другие обязательства все равно могут создать значительную нагрузку для предприятий, особенно для малых и средних предприятий, которые не работают в основном в секторе данных.

Поэтому он рекомендовал агентству-разработчику продолжить изучение и исследование с целью снижения бремени соблюдения требований для всех сторон, чтобы стимулировать развитие новых отраслей и защищать права людей.

Соответственно, можно рассмотреть возможность применения правил соответствия на поэтапной основе, в зависимости от размера предприятия, в частности, объёма и конфиденциальности обрабатываемых данных. В частности, можно исключить или упростить процедуру оценки воздействия обработки персональных данных для малых и средних предприятий, обрабатывающих данные с низким уровнем риска и небольшим объёмом обрабатываемых данных, вместо того, чтобы применять один и тот же набор правил ко всем предприятиям.

«Мы понимаем, что вступление этого законопроекта в силу окажет огромное влияние на всех членов общества и предприятий, особенно при использовании цифровых платформ. Поэтому мы предлагаем правительству в ближайшее время разработать план по его распространению, чтобы сформировать привычку соблюдать закон при использовании цифровых платформ», — предложил делегат делегации Нге Ан.

Также утром 24 мая Национальная Ассамблея заслушала презентацию и отчет по обзору проекта Закона о передаче лиц, отбывающих наказание в виде лишения свободы, проекта Закона об экстрадиции, а также обсудила проект Постановления Национальной Ассамблеи о пилотировании ряда конкретных механизмов и политик по развитию социального жилья.

Тхань Зуй - Фан Хау