Ngày 17/4/2023, Chính phủ ban hành Nghị định 13/2023/NĐ-CP (“Nghị định 13/2023”) về bảo vệ dữ liệu cá nhân. Nghị định này là khung pháp lý mới nhất về bảo vệ dữ liệu cá nhân và sẽ ảnh hưởng rất lớn đến các doanh nghiệp có nhu cầu thu thập, xử lý dữ liệu cá nhân của khách hàng hoặc người tiêu dùng. Nghị định 13/2023 áp dụng đối với mọi cá nhân, cơ quan, tổ chức Việt Nam hoặc nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam và có các nội dung quan trọng sau:
1. Lần đầu giới thiệu những khái niệm mới về dữ liệu cá nhân
Điểm đặc biệt của Nghị định 13/2023 là Nghị định này lần đầu tiên giới thiệu nhiều khái niệm pháp lý mới về dữ liệu cá nhân.
a. Dữ liệu cá nhân
Về tổng thể, dữ liệu cá nhân (DLCN) được hiểu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Xa hơn thế, Nghị định 13/2023 giới thiệu hai khái niệm mới hình thành DLCN bao gồm DLCN cơ bản và DLCN nhạy cảm.
DLCN cơ bản bao gồm họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế…
DLCN nhạy cảm là DLCN gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân, như: quan điểm chính trị, quan điểm tôn giáo; tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án; các thông tin liên quan đến nguồn gốc chủng tộc, đặc điểm di truyền, đời sống tình dục; dữ liệu về vị trí được xác định qua dịch vụ định vị; thông tin khách hàng của tổ chức tín dụng…
Như vậy, DLCN cơ bản gần gũi với cách hiểu thông thường về thông tin cá nhân trực tiếp xác định một người, trong khi DLCN nhạy cảm rộng hơn, thể hiện cả xu hướng, quan điểm, thói quen, thậm chí là vị trí địa lý, …. mà những thông tin này hiện nay ít doanh nghiệp coi đó là thông tin cá nhân và ít quan tâm về pháp lý trong việc thu thập, xử lý và sử dụng các thông tin này.
b. Chủ thể dữ liệu
Chủ thể dữ liệu cũng là một khái niệm mới được giới thiệu trong Nghị định 13/2023. Chủ thể dữ liệu được định nghĩa là cá nhân được DLCN phản ánh. Như vậy, thông tin về doanh nghiệp sẽ không được coi là DLCN. Nói cách khác, chỉ có thông tin của cá nhân mới được điều chỉnh, và bảo vệ theo Nghị định 13/2023.
Với tư cách là chủ thể dữ liệu, cá nhân có 11 quyền trong Nghị định 13/2023, bao gồm: (1) Quyền được biết; (2) Quyền đồng ý; (3) Quyền truy cập; (4) Quyền rút lại sự đồng ý; (5) Quyền xóa dữ liệu; (6) Quyền hạn chế xử lý dữ liệu; (7) Quyền cung cấp dữ liệu; (8) Quyền phản đối xử lý dữ liệu; (9) Quyền khiếu nại, tố cáo, khởi kiện; (10) Quyền yêu cầu bồi thường thiệt hại; và (11) Quyền tự bảo vệ. Với những quyền chi tiết như trên, chủ thể dữ liệu có quyền rộng rãi hơn với các DLCN của mình, ở chiều ngược lại, các doanh nghiệp (được coi là Bên Kiểm soát và xử lý DLCN) sẽ khó khăn hơn rất nhiều trong việc thu thập, xử lý, chuyển giao DLCN. Ví dụ, chủ thể dữ liệu được phản đối Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN xử lý DLCN của mình nhằm ngăn chặn hoặc hạn chế tiết lộ DLCN hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác. Trong trường hợp đó, bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
2. Các biện pháp bảo vệ DLCN
Bảo vệ DLCN là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến DLCN theo quy định của pháp luật. Nghị định 13/2023 nêu rõ, biện pháp bảo vệ DLCN được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý DLCN, bao gồm 5 biện pháp sau đây:
- Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý DLCN thực hiện;
- Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý DLCN thực hiện;
- Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định 13/2023 và pháp luật có liên quan;
- Biện pháp điều tra, tố tụng do cơ quan Nhà nước có thẩm quyền thực hiện; và
- Các biện pháp khác theo quy định của pháp luật.
Các biện pháp bảo vệ DLCN sẽ được áp dụng tùy vào hình thức của DLCN là DLCN cơ bản hay DLCN nhạy cảm. Một cổng thông tin quốc gia về bảo vệ DLCN sẽ được thành lập, ngoài mục đích cung cấp thông tin về các quy định pháp luật liên quan đến bảo vệ DLCN, cổng còn là nơi tiếp nhận thông báo vi phạm quy định về bảo vệ DLCN.
3. Chỉ được sử dụng DLCN để tiếp thị, quảng cáo nếu được khách hàng đồng ý
Theo Điều 21 của Nghị định 13/2023, các tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo chỉ được sử dụng DLCN của khách hàng được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo khi có sự đồng ý của chủ thể dữ liệu. Đồng thời, việc xử lý DLCN của khách hàng để kinh doanh dịch vụ tiếp thị, quảng cáo cũng phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.
4. Thu thập, chuyển giao, mua, bán DLCN mà không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật
Điều 3.4 và Điều 22.2 của Nghị định 13/2023 không cho phép tổ chức, cá nhân mua bán DLCN dưới mọi hình thức. Do đó, việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán DLCN mà không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật. Tùy theo mức độ vi phạm quy định bảo vệ DLCN, các cơ quan, tổ chức, cá nhân có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, hoặc xử lý hình sự theo quy định.
5. Chuyển DLCN ra nước ngoài
DLCN của công dân Việt Nam được chuyển ra nước ngoài phải có văn bản đồng ý của chủ thể dữ liệu trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh. Đồng thời, phải có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận DLCN của Công dân Việt Nam về việc xử lý DLCN.
Để chuyển DLCN ra nước ngoài, Bên chuyển dữ liệu (gồm Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN, Bên Xử lý DLCN, Bên thứ ba) phải lập Hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài theo quy định và gửi đến Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời gian 60 ngày kể từ ngày tiến hành xử lý DLCN. Nếu có yêu cầu cập nhật, bổ sung hồ sơ thì Bên chuyển dữ liệu phải hoàn thiện trong thời gian 10 ngày kể từ ngày yêu cầu.
Sau khi việc chuyển dữ liệu diễn ra thành công, Bên chuyển dữ liệu gửi văn bản thông báo đến Bộ Công an thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách.
Nghị định 13/2023 sẽ có hiệu lực từ ngày 01/7/2023.