Vừa vướng vừa xung đột
Tại tọa đàm “Triển khai Nghị định số 13 của Chính phủ về bảo vệ dữ liệu cá nhân”, Phó Chủ tịch kiêm Tổng Thư ký Hiệp hội Ngân hàng Nguyễn Quốc Hùng cho biết, Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới. Dữ liệu cá nhân của hơn 2/3 dân số nước ta đang được lưu trữ, đăng tải, chia sẻ và thu thập trên không gian mạng với nhiều hình thức và mức độ khác nhau. Tình trạng mất an toàn dữ liệu, mua bán, trao đổi dữ liệu cá nhân trái phép diễn ra ngày càng phổ biến, trong khi các quy định về bảo vệ dữ liệu cá nhân còn nhiều hạn chế, chưa có sự thống nhất.
Để quản lý việc sử dụng và bảo vệ dữ liệu cá nhân, Chính phủ ban hành Nghị định 13 về bảo vệ dữ liệu cá nhân và có hiệu lực từ ngày 1/7/2023. Đây là hành lang pháp lý quan trọng nhằm quy định chặt chẽ các nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân.
Tuy nhiên, trong quá trình nghiên cứu tổ chức triển khai Nghị định 13, các tổ chức tín dụng phản ánh một số vướng mắc, gây lúng túng khi thực hiện cụ thể quy định liên quan đến một số vấn đề như: Nguyên tắc việc xử lý dữ liệu cá nhân; phân biệt dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm trong lĩnh vực tài chính ngân hàng; quyền của các chủ thể dữ liệu (quyền rút lại sự đồng ý, quyền xóa dữ liệu; quyền truy cập…); yêu cầu về lập Báo cáo đánh giá tác động xử lý dữ liệu và chuyển dữ liệu cá nhân ra nước ngoài.
Cụ thể hơn những vướng mắc, đại diện CLB Pháp chế Ngân hàng, Hiệp hội Ngân hàng cho rằng: Nghị định 13 quy định chủ thể có quyền được biết về việc xử lý dữ liệu cá nhân của mình, trừ trường hợp Luật khác có quy định khác. “ Chủ thể có quyền không đồng ý xử lý dữ liệu cá nhân của mình; Chủ thể có quyền xóa, truy cập, yêu cầu hạn chế xử lý dữ liệu, phản đối xử lý dữ liệu, trừ trường hợp Luật khác có quy định khác...”.
Bên cạnh , Nghị định 13 yêu cầu bên kiểm soát dữ liệu, bên xử lý dữ liệu khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào đều phải được sự đồng ý của chủ thể dữ liệu và trong tất cả các quy trình xử lý; trước khi tiến hành hoạt động xử lý dữ liệu phải thông báo cho chủ thể dữ liệu cá nhân. Tuy nhiên, việc cung ứng dịch vụ, sản phẩm của tổ chức tín dụng được thực hiện theo nhiều quy trình và sản phẩm. Mỗi quy trình/sản phẩm gồm nhiều bước khác nhau và hầu hết đều có liên quan đến việc thu thập, đánh giá, phân tích, lưu trữ dữ liệu khách hàng và được thực hiện trên một tập khách hàng lớn.
Cần thống nhất các luật chuyên ngành
Ông Triệu Mạnh Tùng - Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an cho biết, trong 3 năm qua, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới 1.300 GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.
Ông Phạm Anh Tuấn, Vụ trưởng Vụ Thanh toán, NHNN đánh giá Nghị định 13 là một bước tiến lớn trong vấn đề bảo vệ dữ liệu cá nhân tiệm cận với thông lệ quốc tế. Việc tuân thủ bảo mật thông tin khách hàng là hết sức cần thiết, tuy nhiên trong quá trình thực hiện sẽ có nhiều khó khăn.
“Quan điểm của Vụ Thanh toán là Nghị định không phải là một văn bản duy nhất quyết định toàn bộ nội dung này mà còn có các nội dung liên quan đến luật chuyên ngành, chi phối các tổ chức tín dụng, các tổ chức tài chính đang hoạt động liên quan đến Luật Ngân hàng Nhà nước, Luật Các tổ chức tín dụng”, ông Phạm Anh Tuấn nhấn mạnh.
Theo đó, ông Phạm Anh Tuấn mong muốn: “Hiệp hội Ngân hàng tổng kết lại từng vấn đề lớn để có những buổi làm việc chi tiết với A05. Qua đó, sẽ có văn bản để thông tin đến tất cả các tổ chức tín dụng. Đồng thời sẽ có những các thông tư, văn bản hướng dẫn dưới luật để các tổ chức tín dụng yên tâm tổ chức thực hiện”.
