Mới đây, Bộ Công an đang lấy ý kiến dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân. Trong số những điểm mới có đề xuất tại Điều 58 dự thảo Nghị định về việc xử phạt từ 50-70 triệu đồng đối với “chủ thể dữ liệu không tự bảo vệ dữ liệu cá nhân”.
Nhiều ý kiến cho rằng quy định này cần được làm rõ hơn về hành vi vi phạm cụ thể, bởi trong thực tế, người dùng thường ở thế bị động, khó kiểm soát toàn bộ quá trình thu thập, lưu trữ và sử dụng dữ liệu của mình. Nếu thiếu tiêu chí rõ ràng, việc xử phạt có thể dẫn đến cách hiểu khác nhau và gây lo ngại về tính công bằng.
Ảnh minh họa. Nguồn: Internet.
Theo Luật sư Hà Thị Khuyên, Đoàn Luật sư TP. Hà Nội, trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, dữ liệu cá nhân đã và đang trở thành một loại “tài sản đặc biệt”, gắn liền với quyền con người và quyền công dân. Việc Bộ Công an xây dựng Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân là bước đi cần thiết nhằm hoàn thiện hành lang pháp lý. Tuy nhiên, đề xuất tại Điều 58 của dự thảo Nghị định về việc xử phạt từ 50–70 triệu đồng đối với “chủ thể dữ liệu không tự bảo vệ dữ liệu cá nhân” đang đặt ra nhiều vấn đề pháp lý cần được phân tích một cách thấu đáo.
Trước hết, cần khẳng định rằng pháp luật Việt Nam đã có những quy định nền tảng liên quan đến bảo vệ dữ liệu cá nhân. Hiến pháp năm 2013 quy định mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình.” Đồng thời, Bộ luật Dân sự năm 2015 cũng khẳng định quyền về đời sống riêng tư, bí mật cá nhân và bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ.
Gần đây nhất, Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã thiết lập khung pháp lý tương đối toàn diện, trong đó phân định rõ vai trò của các chủ thể như: Bên kiểm soát dữ liệu, bên xử lý dữ liệu và chủ thể dữ liệu. Đáng chú ý, Nghị định này còn quy định về quyền của chủ thể dữ liệu, bao gồm quyền được biết, quyền đồng ý, quyền truy cập, chỉnh sửa, xóa dữ liệu… Tuy nhiên, nghĩa vụ của chủ thể dữ liệu lại không được đặt nặng theo hướng phải “tự bảo vệ” một cách chủ động và toàn diện.
Chính vì vậy, việc dự thảo Nghị định mới đề xuất xử phạt đối với hành vi “không tự bảo vệ dữ liệu cá nhân” đặt ra một vấn đề pháp lý lớn: Liệu có đang dịch chuyển trách nhiệm từ phía các tổ chức thu thập, xử lý dữ liệu sang phía người dân hay không? Về nguyên tắc pháp lý, trách nhiệm bảo vệ dữ liệu cá nhân trước hết thuộc về các tổ chức, cá nhân thu thập và xử lý dữ liệu. Điều này phù hợp với thông lệ quốc tế và cũng đã được ghi nhận trong Nghị định 13/2023/NĐ-CP. Cụ thể, Nghị định này quy định bên kiểm soát dữ liệu có trách nhiệm áp dụng các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu cá nhân, ngăn chặn hành vi truy cập trái phép, rò rỉ hoặc mất mát dữ liệu.
Trong khi đó, người dùng – tức chủ thể dữ liệu – trong phần lớn các trường hợp lại ở vị trí bị động. Họ thường không có đủ công cụ, kiến thức chuyên môn, cũng như khả năng kiểm soát các hệ thống công nghệ phức tạp để bảo vệ dữ liệu của mình một cách toàn diện. Theo Luật sư Khuyên, việc đồng ý với các điều khoản sử dụng (terms of service) trên các nền tảng số thường mang tính hình thức, khi người dùng không có lựa chọn thực sự nếu muốn sử dụng dịch vụ. Do đó, nếu quy định xử phạt mà không làm rõ thế nào là “không tự bảo vệ dữ liệu cá nhân” thì sẽ vi phạm nguyên tắc cơ bản của pháp luật xử lý vi phạm hành chính, một trong những nguyên tắc quan trọng là “mọi hành vi vi phạm hành chính phải được quy định rõ trong pháp luật”. Nói cách khác, hành vi vi phạm phải được mô tả cụ thể, rõ ràng, có thể nhận diện và chứng minh. Nếu chỉ dừng lại ở một khái niệm mang tính định tính như “không tự bảo vệ dữ liệu cá nhân”, cơ quan thực thi sẽ gặp khó khăn trong việc áp dụng, đồng thời dễ dẫn đến tình trạng tùy nghi diễn giải. Điều này có thể kéo theo nguy cơ xâm phạm quyền và lợi ích hợp pháp của người dân, cũng như làm suy giảm niềm tin vào tính minh bạch và công bằng của pháp luật.Một vấn đề khác cần được xem xét là yếu tố lỗi trong xử phạt vi phạm hành chính.
"Theo quy định chung, để xử phạt một cá nhân, cần xác định được lỗi của họ (cố ý hoặc vô ý). Trong trường hợp dữ liệu cá nhân bị lộ lọt do tấn công mạng, lừa đảo công nghệ cao hoặc lỗi từ phía nhà cung cấp dịch vụ, thì rất khó để quy kết lỗi cho người dùng. Nếu không phân định rõ ràng, quy định này có thể dẫn đến việc “phạt oan” những người vốn dĩ là nạn nhân", Luật sư cho hay.
Cũng theo Luật sư, từ góc độ thực tiễn, có thể hình dung một số tình huống: Người dùng bị lừa cung cấp mã OTP qua điện thoại; tài khoản bị hack do lỗ hổng bảo mật của nền tảng; hoặc dữ liệu bị rò rỉ từ chính hệ thống của doanh nghiệp. Trong các trường hợp này, nếu áp dụng máy móc quy định xử phạt “không tự bảo vệ dữ liệu”, thì sẽ đi ngược lại nguyên tắc công bằng và hợp lý trong pháp luật. Vậy, hướng hoàn thiện nào là phù hợp?
Thứ nhất, cần làm rõ khái niệm “không tự bảo vệ dữ liệu cá nhân” bằng việc liệt kê cụ thể các hành vi vi phạm. Ví dụ: cố ý chia sẻ thông tin cá nhân nhạy cảm lên môi trường công cộng mà không có biện pháp bảo vệ; sử dụng mật khẩu yếu trong các hệ thống quan trọng dù đã được cảnh báo; hoặc cho mượn, cho thuê tài khoản dẫn đến hậu quả nghiêm trọng. Những hành vi này cần được định lượng và gắn với tiêu chí cụ thể để tránh cách hiểu tùy tiện.
Thứ hai, cần phân định rõ ranh giới trách nhiệm giữa cá nhân và tổ chức. Nguyên tắc chung nên là: tổ chức phải chịu trách nhiệm chính trong việc bảo vệ dữ liệu mà họ thu thập và xử lý; cá nhân chỉ bị xử phạt trong những trường hợp có lỗi rõ ràng và hành vi vi phạm cụ thể.
Thứ ba, cần bổ sung cơ chế chứng minh và giải trình. Người bị xử phạt phải có quyền chứng minh rằng họ đã thực hiện các biện pháp hợp lý để bảo vệ dữ liệu của mình, hoặc việc vi phạm không xuất phát từ lỗi của họ. Điều này phù hợp với nguyên tắc bảo đảm quyền bào chữa và quyền lợi hợp pháp của cá nhân trong xử lý vi phạm hành chính.Thứ tư, bên cạnh chế tài xử phạt, cần tăng cường các biện pháp hỗ trợ và nâng cao nhận thức cho người dân. Bảo vệ dữ liệu cá nhân không thể chỉ dựa vào chế tài, mà cần một hệ sinh thái bao gồm giáo dục, công nghệ và trách nhiệm của doanh nghiệp. Nhà nước nên đẩy mạnh tuyên truyền, hướng dẫn kỹ năng an toàn số, đồng thời yêu cầu các nền tảng cung cấp công cụ bảo mật dễ sử dụng cho người dùng.
Tóm lại, đề xuất xử phạt “chủ thể dữ liệu không tự bảo vệ dữ liệu cá nhân” là một ý tưởng có thể xuất phát từ mục tiêu nâng cao ý thức của người dân. Tuy nhiên, nếu không được thiết kế một cách chặt chẽ, minh bạch và hợp lý, quy định này có thể gây ra nhiều hệ lụy pháp lý và xã hội. Một quy định tốt không chỉ nằm ở mức phạt cao, mà quan trọng hơn là ở tính khả thi, công bằng và phù hợp với thực tiễn. Đây là điều mà cơ quan soạn thảo cần đặc biệt lưu ý trước khi ban hành chính thức.
