Bản tin pháp lý số tháng 5/2023 – Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân

Kính gửi Quý khách hàng,

Trong những năm gần đây, tình trạng mua bán, tiết lộ dữ liệu cá nhân (“DLCN”) đang diễn ra ngày một phổ biến trên các không gian mạng, gây ảnh hưởng nghiêm trọng đến quyền tự do, riêng tư của người sử dụng. Chính vì vậy, ngày 17 tháng 4 năm 2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ DLCN (“Nghị định 13”) có hiệu lực thi hành kể từ ngày 01/07/2023. Nghị định này được xem là văn bản pháp lý toàn diện đầu tiên điều chỉnh về việc bảo vệ DLCN tại Việt Nam.

Để hiểu rõ hơn các quy định về bảo vệ DLCN cũng như trách nhiệm bảo vệ DLCN của tổ chức, cá nhân có liên quan theo quy định tại Nghị định này, Quý Khách hàng có thể tham khảo bài viết dưới đây của chúng tôi.

1. Đối tượng áp dụng

Điều 1.2 của Nghị định 13 đã làm rõ các đối tượng phải tuân thủ quy định của Nghị định bao gồm:

(i)        Cơ quan, tổ chức, cá nhân Việt Nam;

(ii)       Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;

(iii)      Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài;

(iv)      Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý DLCN tại Việt Nam.

Như vậy, nhìn chung Nghị định 13 áp dụng cho mọi tổ chức, cá nhân trong nước hoặc nước ngoài có liên quan đến việc xử lý DLCN tại Việt Nam (ví dụ: nhân viên, khách hàng, nhà cung cấp, người dùng hoặc cá nhân khác), kể cả khi việc xử lý DLCN được thực hiện bên ngoài Việt Nam.

Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa[1], doanh nghiệp khởi nghiệp[2] được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ DLCN trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp. Ngược lại, các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý DLCN không áp dụng quy định này[3].

2. DLCN và DLCN nhạy cảm

Nếu như trước đây, hệ thống pháp luật Việt Nam chưa đưa ra một định nghĩa cụ thể nào về DLCN thì tại Nghị định 13, lần đầu tiên khái niệm về DLCN được định nghĩa một cách toàn diện. Theo đó, DLCN được hiểu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể[4]. Sự xuất hiện của thuật ngữ DLCN đã góp phần tạo một cách hiểu chung thống nhất giữa các thuật ngữ tương đồng (gần 10 thuật ngữ) đang tồn tại trong các văn bản pháp luật khác nhau.

Nghị định 13 phân loại DLCN thành 2 loại, đó là DLCN cơ bản và DLCN nhạy cảm. Trong đó, DLCN cơ bản bao gồm: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; Giới tính; Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; Quốc tịch; Hình ảnh của cá nhân; Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số BHXH, số thẻ BHYT; Tình trạng hôn nhân; Thông tin về mối quan hệ gia đình (cha mẹ, con cái); Thông tin về tài khoản số của cá nhân; DLCN phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể mà không thuộc DLCN nhạy cảm[5].

Nhằm phân biệt DLCN nhạy cảm so với DLCN cơ bản, Nghị định 13 cũng lần đầu ghi nhận khái niệm “DLCN nhạy cảm”. Cụ thể, Điều 2.4 Nghị định 13 quy định:

“4. DLCN nhạy cảm là DLCN gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:

a) Quan điểm chính trị, quan điểm tôn giáo; 

b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;

c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;

d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;

đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;

e) Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;

g) Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

h) Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;

i) Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;

k) DLCN khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.”

Việc ghi nhận này phản ánh sự tương thích của pháp luật Việt Nam với các đạo luật về bảo vệ DLCN trên thế giới, từ đó tạo tiền đề để đặt ra yêu cầu pháp lý ở mức độ cao nhằm bảo vệ DLCN nhạy cảm. Đáng lưu ý, khái niệm DLCN nhạy cảm ở đây được đề cập gắn liền với quyền riêng tư của cá nhân. Do đó, các quy định của pháp luật về bảo vệ dữ liệu nhằm hướng đến bảo mật thông tin cá nhân, đặc biệt những thông tin nhạy cảm có khả năng gây tổn hại đến đời sống riêng tư của cá nhân.

3. Xử lý DLCN của chủ thể dữ liệu

Bên cạnh khái niệm DLCN và DLCN nhạy cảm, “chủ thể dữ liệu” cũng là một khái niệm mới được đề cập đến trong Nghị định 13. Chủ thể dữ liệu được định nghĩa là cá nhân được DLCN phản ánh[6]. Như vậy, thông tin về doanh nghiệp sẽ không được coi là DLCN. Nói cách khác, chỉ có thông tin của cá nhân mới được điều chỉnh và bảo vệ theo Nghị định 13.

Nhìn chung, sự đồng ý của chủ thể dữ liệu là cơ sở quan trọng để đảm bảo tính hợp pháp của việc xử lý DLCN. Tương tự như các đạo luật về bảo vệ DLCN trên thế giới, Nghị định 13 quy định sự đồng ý của chủ thể dữ liệu sẽ được áp dụng đối với tất cả các hoạt động trong quy trình xử lý DLCN. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau: (i) Loại DLCN được xử lý; (ii) Mục đích xử lý DLCN; (iii) Tổ chức, cá nhân được xử lý DLCN; (iv) Các quyền, nghĩa vụ của chủ thể dữ liệu. Ngoài ra, theo quy định tại Điều 11 Nghị định 13, sự đồng ý của chủ thể dữ liệu phải:

(i)      được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

(ii)      được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.

(iii)      được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

Đặc biệt, sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý. Đối với xử lý DLCN nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là DLCN nhạy cảm. Chủ thể dữ liệu có quyền rút lại sự đồng ý của mình bất cứ lúc nào[7].

Ngoài ra, Nghị định 13 cũng quy định xử lý DLCN trong một số trường hợp đặc biệt như xử lý DLCN trong trường hợp không cần sự đồng ý của chủ thể dữ liệu[8], xử lý DLCN thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng[9], xử lý DLCN của người bị tuyên bố mất tích, đã chết[10], xử lý DLCN của trẻ em[11], bảo vệ DLCN trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo[12]. Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ DLCN của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác[13].

4. Chuyển DLCN ra nước ngoài

DLCN của công dân Việt Nam được chuyển ra nước ngoài phải có văn bản đồng ý của chủ thể dữ liệu trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh. Đồng thời, phải có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận DLCN của Công dân Việt Nam về việc xử lý DLCN.

Để chuyển DLCN của công dân Việt Nam ra nước ngoài, theo quy định tại Điều 25 Nghị định 13 Bên chuyển dữ liệu (gồm Bên Kiểm soát DLCN[14], Bên Kiểm soát và xử lý DLCN[15], Bên Xử lý DLCN[16], Bên thứ ba[17]) phải lập Hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài theo quy định[18] và gửi đến Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định 13 trong thời gian 60 ngày kể từ ngày tiến hành xử lý DLCN. Nếu có yêu cầu cập nhật, bổ sung hồ sơ thì Bên chuyển dữ liệu phải hoàn thiện trong thời gian 10 ngày kể từ ngày yêu cầu. Sau khi việc chuyển dữ liệu diễn ra thành công, Bên chuyển dữ liệu gửi văn bản thông báo đến Bộ Công an thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách.

Bộ Công an có quyền kiểm tra việc chuyển dữ liệu ra nước ngoài và có thể ra quyết định ngừng việc chuyển DLCN ra nước ngoài trong trường hợp không tuân thủ quy định tại Nghị định[19].

5. Các biện pháp bảo vệ DLCN

Theo quy định tại Điều 2.5 Nghị định 13, bảo vệ DLCN là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến DLCN theo quy định của pháp luật. Trong quá trình xử lý DLCN, các tổ chức, cá nhân có liên quan bắt buộc phải áp dụng các biện pháp bảo vệ DLCN để ngăn chặn tình trạng thu thập DLCN trái phép từ hệ thống, trang thiết bị dịch vụ của mình.

Biện pháp bảo vệ DLCN được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý DLCN, bao gồm 5 biện pháp như sau[20]:

(i)       Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý DLCN thực hiện;

(ii)      Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý DLCN thực hiện;

(iii)     Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;

(iv)     Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;

(v)     Các biện pháp khác theo quy định của pháp luật.

Các biện pháp bảo vệ DLCN sẽ được áp dụng tùy vào hình thức của DLCN là DLCN cơ bản hay DLCN nhạy cảm[21]. Chính vì vậy, mọi doanh nghiệp, tổ chức cần nhanh chóng ban hành quy trình nội bộ về bảo vệ DLCN phù hợp với các quy định tại Nghị định này.

6. Nghĩa vụ thông báo trong trường hợp vi phạm quy định về bảo vệ DLCN

Điều 3.4 và Điều 22.2 của Nghị định 13 không cho phép tổ chức, cá nhân mua, bán DLCN dưới mọi hình thức. Do đó, việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán DLCN mà không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.

Trường hợp phát hiện xảy ra vi phạm quy định bảo vệ DLCN, Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm theo Mẫu số 03 tại Phụ lục của Nghị định13. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn. Đồng thời, Bên Xử lý DLCN phải thông báo cho Bên Kiểm soát DLCN một cách nhanh nhất có thể sau khi nhận thấy có sự vi phạm quy định về bảo vệ DLCN.

Bên Kiểm soát DLCN, Bên Kiểm soát và xử lý DLCN phải lập Biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ DLCN, phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) xử lý hành vi vi phạm.

Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ DLCN tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định[22]. Ngoài ra, cơ quan, tổ chức, cá nhân này còn bị đình chỉ một số hoạt động nhất định ví dụ như quyết định ngừng chuyển dữ liệu ra nước ngoài.

7. Cơ quan chuyên trách bảo vệ DLCN

Theo Điều 29 của Nghị định 13, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an (A05) sẽ đóng vai trò là cơ quan chuyên trách về bảo vệ DLCN. Do đó, cơ quan này có thẩm quyền rà soát, đánh giá, thanh tra, kiểm tra về việc tuân thủ các quy định bảo vệ DLCN của doanh nghiệp và các tổ chức, cá nhân khác.

Như thường lệ, chúng tôi hy vọng Quý khách hàng thấy bài viết này hữu ích và mong muốn được làm việc với Quý khách hàng trong thời gian tới.

Công ty Luật TNHH ENT

Quý khách hàng có thể tìm đọc bản đầy đủ của Bản tin pháp lý này tại đây.

———————————————–

[1] Điều 4.1, Điều 4.2 Luật Hỗ trợ doanh nghiệp nhỏ và vừa số 04/2017/QH14 của Quốc hội ngày 12 tháng 6 năm 2017 (“Luật Hỗ trợ doanh nghiệp nhỏ và vừa năm 2017”) [Tiêu chí xác định doanh nghiệp nhỏ và vừa]

“1. Doanh nghiệp nhỏ và vừa bao gồm doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ và doanh nghiệp vừa, có số lao động tham gia bảo hiểm xã hội bình quân năm không quá 200 người và đáp ứng một trong hai tiêu chí sau đây:

a) Tổng nguồn vốn không quá 100 tỷ đồng;

b) Tổng doanh thu của năm trước liền kề không quá 300 tỷ đồng.

c) Doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ và doanh nghiệp vừa được xác định theo lĩnh vực nông nghiệp, lâm nghiệp, thủy sản; công nghiệp và xây dựng; thương mại và dịch vụ.”

[2] Điều 3.2 Luật Hỗ trợ doanh nghiệp nhỏ và vừa số năm 2017: “Doanh nghiệp nhỏ và vừa khởi nghiệp sáng tạo là doanh nghiệp nhỏ và vừa được thành lập để thực hiện ý tưởng trên cơ sở khai thác tài sản trí tuệ, công nghệ, mô hình kinh doanh mới và có khả năng tăng trưởng nhanh”.

[3] Điều 43.2, Điều 43.3 Nghị định 13.

[4] Điều 2.1 Nghị định 13.

[5] Điều 2.3 Nghị định 13.

[6] Điều 2.6 Nghị định 13.

[7] Điều 12 Nghị định 13.

[8] Điều 17 Nghị định 13.

[9] Điều 18 Nghị định 13.

[10] Điều 19 Nghị định 13.

[11] Điều 20 Nghị định 13.

[12] Điều 21 Nghị định 13.

[13] Điều 9.10 Nghị định 13.

[14] Điều 2.9 Nghị định 13: “Bên Kiểm soát DLCN là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý DLCN”.

[15] Điều 2.11 Nghị định 13: “Bên Kiểm soát và xử lý DLCN là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý DLCN”.

[16] Điều 2.10 Nghị định 13: “Bên Xử lý DLCN là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu”.

[17] Điều 2.12 Nghị định 13: “Bên thứ ba là tổ chức, cá nhân ngoài Chủ thể dữ liệu, Bên Kiểm soát DLCN Bên Xử lý DLCN, Bên Kiểm soát và xử lý DLCN được phép xử lý DLCN”.

[18] Điều 25.2 Nghị định 13.

[19] Điều 25.8 Nghị định 13.

[20] Điều 26.2 Nghị định 13.

[21] Điều 27, Điều 28 Nghị định 13.

[22] Điều 4 Nghị định 13.