(KTSG Online) – Nghiêm cấm mua bán dữ liệu cá nhân dưới mọi hình thức. Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc xử lý hình sự theo quy định.
Đó là một số nội dung trong Nghị định Bảo vệ dữ liệu cá nhân vừa được Chính phủ ban hành và sẽ có hiệu lực thi hành từ ngày 1-7-2023.
Theo Cổng thông tin Bộ Công an, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP quy định chặt chẽ về bảo vệ dữ liệu và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
Nghị định quy định, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Dữ liệu cá nhân cơ bản gồm: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại, số chứng minh nhân dân, số căn cước công dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế…
Với dữ liệu cá nhân nhạy cảm, đây là những dữ liệu gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của công dân, trong đó liên quan đến quan điểm chính trị, tôn giáo, tình trạng sức khỏe, nguồn gốc chủng tộc, đặc điểm di truyền, đời sống tình dục, dữ liệu vị trí, thông tin khách hàng của tổ chức tín dụng,...
Dữ liệu cá nhân sẽ được xử lý theo quy định pháp luật. Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu. Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc xử lý hình sự theo quy định.
Cổng thông tin Chinhphu.vn đưa tin, Nghị định 13 cũng quy định một số hành vi xử lý dữ liệu cá nhân trái quy định pháp luật, xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác bị nghiêm cấm.
Đáng chú ý, nghị định mới quy định việc xử lý dữ liệu cá nhân phải thông báo và nhận được sự đồng ý của chủ thể dữ liệu. Chủ thể dữ liệu cũng được yêu cầu bên kiểm soát dữ liệu cung cấp cho bản thân hoặc chỉnh sửa, xóa dữ liệu cá nhân của mình.
Nghị định 13 đưa ra nhiều trường hợp được thu thập thông tin cá nhân mà không cần xin phép: Trong tình huống khẩn cấp, cần xử lý để bảo vệ tính mạng, sức khỏe của chủ thể hoặc người khác; công khai dữ liệu cá nhân theo quy định của luật; xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong tình trạng khẩn cấp về quốc phòng, an ninh, thảm họa lớn, dịch bệnh nguy hiểm; thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với các cơ quan; phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Cơ quan, tổ chức có thẩm quyền được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động này tại nơi công cộng với mục đích bảo vệ an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân mà không cần sự đồng ý của chủ thể dữ liệu.
Với dữ liệu cá nhân của trẻ em, việc xử lý các dữ liệu này phải có sự đồng ý của trẻ em trong trường hợp trẻ từ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ, trừ một số trường hợp đặc biệt. Theo TTXVN.
Đối với hoạt động tiếp thị, quảng cáo, tổ chức, cá nhân chỉ được sử dụng dữ liệu cá nhân của khách hàng được thu thập qua hoạt động kinh doanh của mình khi có sự đồng ý của chủ thể dữ liệu. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh tiếp thị, giới thiệu sản phẩm phải được sự đồng ý của khách hàng, trên cơ sở biết rõ nội dung, phương thức, tần suất giới thiệu sản phẩm.
Nghị định cũng quy định rõ, tổ chức, cá nhân liên quan tới xử lý dữ liệu phải áp dụng các biện pháp bảo vệ để ngăn chặn tình trạng thu thập dữ liệu trái phép từ hệ thống, dịch vụ của mình. Việc thiết lập các phần mềm, biện pháp kỹ thuật hoặc tổ chức thu thập, chuyển giao, mua, bán dữ liệu cá nhân khi không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
Ngoài ra, Nghị định còn áp dụng đối với các cơ quan, tổ chức, cá nhân Việt Nam, và những cơ quan, cá nhân tổ chức nước ngoài tại Việt Nam, trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
Cổng thông tin Bộ Công an cho biết, hiện tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng; người sử dụng chưa ý thức tự bảo vệ hoặc lộ trong quá trình chuyển giao, lưu trữ. Doanh nghiệp kinh doanh dịch vụ thu thập dữ liệu khách hàng, cho phép bên thứ ba tiếp cận nhưng không có yêu cầu, quy định chặt chẽ để họ chuyển giao, buôn bán cho đối tác khác.
Thậm chí, việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết bảo hành và có khả năng cập nhật, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn. Một số công ty được thành lập chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận.