(KTSG) - Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 1-7-2023. Cùng với Luật An ninh mạng 2018 và Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng, Nghị định 13 này là văn bản pháp lý tiếp theo được ban hành trong kế hoạch hoàn thiện khung pháp lý điều chỉnh các hoạt động trên không gian mạng, quy định riêng vấn đề bảo vệ dữ liệu cá nhân.
- Cisco chi 28 tỉ đô la để thâu tóm Công ty an ninh mạng Splunk
- Ngân hàng đẩy mạnh chuyển đổi số, tăng ngân sách cho bảo mật và an ninh mạng
Nghị định 13 áp dụng cho mọi tổ chức, cá nhân trong nước hoặc nước ngoài có liên quan đến việc xử lý dữ liệu cá nhân (DLCN) tại Việt Nam, bất kể việc xử lý DLCN được thực hiện bên trong hay ngoài lãnh thổ Việt Nam. Do vậy, đối tượng chịu trách nhiệm pháp lý có thể là cá nhân, tổ chức có hành vi vi phạm các quy định về bảo vệ DLCN.
DLCN là một khái niệm pháp lý mới, có tính bao quát và tính mở. Đơn giản nhất, DLCN chính là “thông tin cá nhân” và các “thông tin để được xem là DLCN” phải thỏa mãn các điều kiện gồm: (i) tồn tại dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử và (ii) gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.
Bên cạnh các quy định chi tiết về trách nhiệm, nghĩa vụ của các bên có liên quan trong hoạt động xử lý DLCN, một vấn đề được quan tâm chính là chế tài đảm bảo thi hành Nghị định 13. Theo đó, điều 4 Nghị định 13 quy định về ba chế tài, tùy theo mức độ vi phạm và chủ thể thực hiện hành vi, bao gồm: (i) xử lý kỷ luật; (ii) xử phạt vi phạm hành chính; và (iii) xử lý hình sự.
Thứ nhất, chế tài “xử lý kỷ luật
Đây là chế tài hành chính và đối tượng chịu trách nhiệm chỉ có thể là cá nhân vi phạm, tổ chức không thể bị xử lý kỷ luật (vì hiện không có hành lang pháp lý). Một cách khái quát, “xử lý kỷ luật” là cách thức xử lý vi phạm phổ biến trong cả khối các cơ quan nhà nước (đối với cán bộ, công chức, viên chức thực hiện theo Nghị định 112/2020/NĐ-CP và các quy định chuyên biệt của các bộ, ngành quản lý trực tiếp) và trong khối dân doanh (đối với người lao động, người làm việc theo các quy định của pháp luật lao động và nội quy lao động).
Thứ hai, chế tài “xử phạt vi phạm hành chính”
Đây cũng là chế tài hành chính, tuy nhiên đối tượng chịu trách nhiệm có thể là bất kỳ cơ quan, tổ chức, cá nhân có hành vi vi phạm. Để có thể áp dụng chế tài này, điều kiện tiên quyết là cần phải có văn bản pháp luật quy định cụ thể về hành vi vi phạm, hình thức xử phạt (bao gồm cả mức phạt, biện pháp khắc phục hậu quả), thẩm quyền xử phạt. Đáng chú ý là Nghị định 13 chỉ mới có hiệu lực thi hành từ ngày 1-7-2023 và cho đến nay vẫn chưa có quy định về xử phạt vi phạm hành chính đối với các hành vi vi phạm.
Các quy định xử phạt vi phạm hành chính hiện hành gần gũi nhất với chủ đề có thể kể đến Nghị định 15/2020/NĐ-CP được sửa đổi, bổ sung bởi Nghị định 14/2022/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử.
Văn bản này chỉ quy định một số hành vi vi phạm liên quan đến thông tin cá nhân như cung cấp, sử dụng trái phép thông tin trên mạng, về thu thập, sử dụng thông tin cá nhân, hay bảo đảm an toàn thông tin cá nhân trên mạng; tuy nhiên, lại không dự liệu điều chỉnh hành vi vi phạm quy định về bảo vệ DLCN theo Nghị định 13 (đơn giản là vì Nghị định 15 được ban hành trước Nghị định 13 nên không thể điều chỉnh đầy đủ các hành vi vi phạm quy định về bảo vệ DLCN).
Bộ khung “chế tài” thì tạm thời chưa đầy đủ và chưa rõ ràng. Tuy nhiên, không được vì thế mà xem nhẹ việc tuân thủ hoặc có tâm lý chủ quan đợi cho đến khi có “đủ chế tài” mới thực thi.
Để đảm bảo việc thực thi các quy định về an ninh mạng nói chung và bảo vệ DLCN phù hợp với Nghị định 13 nói riêng, ngày 31-5-2023 Bộ Công an đã công bố bản dự thảo lần 3 Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (dự thảo Nghị định XPVPHC) để lấy ý kiến rộng rãi. Dự thảo Nghị định XPVPHC quy định các hành vi không tuân thủ trong lĩnh vực an ninh mạng và bảo vệ DLCN, đồng thời thay thế một số quy định hiện hành tại các Nghị định 15 và Nghị định 14.
Thứ ba, chế tài “xử lý hình sự”
Đây là chế tài có tính nghiêm khắc và răn đe cao nhất. Xem xét các quy định hiện nay của Bộ luật Hình sự 2015 (BLHS 2015), thấy rằng chưa có quy định xử lý hình sự trực tiếp đối với hành vi vi phạm về bảo vệ DLCN tương thích với Nghị định 13. Dựa vào bản chất đơn giản nhất của DLCN chính là “thông tin cá nhân”, người viết tìm thấy trong các quy định hiện hành của BLHS 2015 một số tội phạm có đối tượng tác động (là đối tượng cụ thể chịu sự tác động trực tiếp của hành vi phạm tội) là “thông tin cá nhân” như sau:
- Điều 159: Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác. Một số hành vi khách quan của tội này là chiếm đoạt thư tín, điện báo, telex, fax hoặc văn bản khác, nghe, ghi âm cuộc gọi trái pháp luật, cố ý lấy thông tin, nội dung thư tín, điện báo, telex, fax được truyền bằng mạng bưu chính, viễn thông...
- Điều 155: Tội làm nhục người khác. Điều luật không mô tả rõ hành vi khách quan của tội này; tuy nhiên trong nhiều cách thức làm nhục, một cách thức được sử dụng phổ biến ngày nay là đưa những “thông tin cá nhân” có tính chất nhạy cảm về đời tư, tình cảm và tình dục nhằm mục đích xúc phạm nghiêm trọng nhân phẩm, danh dự của người khác, bất kể là đưa thông tin trực tiếp hoặc trên không gian mạng trực tuyến.
- Điều 288: Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông. Một số hành vi khách quan của tội này bao gồm đưa thông tin trái pháp luật, mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin riêng (cá nhân) của người khác... trên mạng máy tính, mạng viễn thông (trực tuyến).
- Điều 290: Tội sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản. Một số hành vi khách quan của tội này gồm sử dụng thông tin tài khoản ngân hàng, thẻ ngân hàng để chiếm đoạt tài sản, truy cập bất hợp pháp vào tài khoản của cá nhân khác nhằm chiếm đoạt tài sản...
- Điều 331: Tội lợi dụng các quyền tự do dân chủ xâm phạm lợi ích của Nhà nước, quyền, lợi ích hợp pháp của tổ chức, cá nhân.
Theo nghiên cứu của người viết, hầu hết các vụ việc liên quan đến buôn bán dữ liệu cá nhân trong thời gian trước khi Nghị định 13 được ban hành đều được xem xét, xử lý theo điều 159 và điều 288 BLHS 2015. Đáng chú ý, các tội phạm liên quan đến đối tượng tác động là “thông tin cá nhân” được liệt kê nêu trên đều là các tội phạm mà chủ thể chịu trách nhiệm hình sự chỉ là cá nhân, chứ không thể là pháp nhân hay cơ quan. Lý do là vì pháp nhân thương mại chỉ chịu trách nhiệm đối với một số tội phạm thuộc danh mục các tội được liệt kê tại điều 76 BLHS 2015 mà các tội phạm nêu trên lại không thuộc danh mục này.
Trước mắt, nên theo hướng nào?
Kể từ khi Nghị định 13 có hiệu lực, lần đầu tiên DLCN đã được định nghĩa một cách vừa cụ thể vừa khái quát. Do vậy có quan điểm cho rằng, khái niệm “thông tin cá nhân” được dùng rộng rãi trước đây có thể coi là tương đồng và gần gũi nhất với khái niệm “DLCN” quy định tại Nghị định 13.
Tác giả ủng hộ quan điểm diễn giải và áp dụng pháp luật trên. Với quan điểm này, có thể hiểu rằng, thông tin cá nhân ở các điều luật kể trên của BLHS 2015 là một phần trong khái niệm DLCN theo quy định của Nghị định 13 và cách hiểu này có ưu điểm là các cơ quan tiến hành tố tụng có thể áp dụng các quy định của BLHS 2015 để xử lý các hành vi vi phạm đối với cả “thông tin cá nhân” và DLCN mà không buộc phải sửa đổi ngay BLHS để ghi nhận hành vi vi phạm nghĩa vụ bảo vệ DLCN. Tuy vậy, cần thêm thời gian để sớm ban hành những hướng dẫn, giải thích áp dụng thống nhất pháp luật.
Như vậy, mặc dù hiện nay không có quy định trực tiếp về trách nhiệm hình sự đối với hành vi vi phạm liên quan đến DLCN, nhưng cá nhân có thể bị xử lý hình sự theo một trong các tội phạm tương ứng tùy vào hành vi vi phạm cụ thể trong hoạt động “xử lý DLCN” nói chung và tác động đến “thông tin cá nhân” nói riêng, cũng như khách thể xâm phạm (hiểu đơn giản là đối tượng mà tội phạm xâm phạm đến, ví dụ sức khỏe, tính mạng, tài sản, an ninh trật tự xã hội...) của hành vi và hậu quả gây ra.
Đừng đợi “đủ chế tài” mới thực thi
Có thể thấy, hiện tại, pháp luật chỉ mới quy định về trách nhiệm tuân thủ bảo vệ DLCN của các bên có liên quan trong quá trình xử lý dữ liệu (gồm thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân), còn bộ khung “chế tài” thì tạm thời chưa đầy đủ và chưa rõ ràng.
Tuy nhiên, không được vì thế mà xem nhẹ việc tuân thủ hoặc có tâm lý chủ quan đợi cho đến khi có “đủ chế tài” mới thực thi. Thay vào đó, cần từng bước lên kế hoạch, hành động kịp thời nhằm chuyển hóa quy định trên giấy vào “hơi thở” cuộc sống của doanh nghiệp, cá nhân.
Riêng đối doanh nghiệp, việc thực thi Nghị định 13 sẽ khá phức tạp, làm thay đổi và tác động đến nhiều mặt, nhiều hoạt động của từng doanh nghiệp trải rộng từ sử dụng nhân sự, quản trị nội bộ, hoạt động kinh doanh đến quan hệ khách hàng và đối tác... Do vậy, việc nhanh chóng nắm bắt và hiểu rõ các quy định của Nghị định 13 sẽ giúp doanh nghiệp chủ động kiểm soát rủi ro từ nhiều phía.
(*) Công ty Luật TNHH MTV Lawlink Việt Nam