Hoàn thiện hệ thống phát luật về bảo vệ dữ liệu cá nhân dựa trên đánh giá Nghị định số 13/2023/NĐ-CP

TÓM TẮT:

Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân là văn bản pháp lý quan trọng nhằm nâng cao mức độ bảo vệ thông tin cá nhân tại Việt Nam. Nghị định quy định rõ ràng về trách nhiệm của các bên liên quan, quy trình xử lý dữ liệu cá nhân và chế tài đối với hành vi vi phạm. Tuy nhiên, bên cạnh những điểm tích cực, Nghị định cũng tồn tại một số hạn chế cần được điều chỉnh nhằm đảm bảo tính khả thi và hiệu quả trong thực tế. Bài viết đi vào phân tích những điểm hạn chế, từ đó đưa ra kiến nghị nhằm hoàn thiện pháp lý liên quan đến vấn đề bảo vệ dữ liệu cá nhân.

Từ khóa: bảo vệ dữ liệu cá nhân, Nghị định số 13/2023/NĐ-CP, quyền riêng tư, xử lý dữ liệu, an toàn thông tin.

1. Đặt vấn đề

Trong thời đại công nghệ số phát triển mạnh mẽ, dữ liệu cá nhân trở thành tài sản quan trọng, có giá trị không chỉ đối với cá nhân mà còn đối với doanh nghiệp và tổ chức. Việc thu thập, xử lý và chia sẻ dữ liệu cá nhân ngày càng phổ biến, đặc biệt trong các lĩnh vực thương mại điện tử, tài chính - ngân hàng, y tế và truyền thông. Tuy nhiên, điều này cũng đi kèm với nhiều rủi ro liên quan đến quyền riêng tư và bảo mật thông tin cá nhân. Các vụ rò rỉ dữ liệu, lạm dụng thông tin cá nhân ngày càng gia tăng, đòi hỏi một khung pháp lý chặt chẽ để bảo vệ quyền lợi của người dân.

Nhận thức được tầm quan trọng của việc bảo vệ dữ liệu cá nhân, Chính phủ Việt Nam đã ban hành Nghị định số 13/2023/NĐ-CP nhằm tạo hành lang pháp lý cụ thể cho việc xử lý, quản lý và bảo vệ dữ liệu cá nhân. Nghị định này đưa ra các nguyên tắc xử lý dữ liệu, yêu cầu về bảo mật, quyền và nghĩa vụ của các bên liên quan, đồng thời áp dụng các chế tài nghiêm khắc đối với hành vi vi phạm. Tuy nhiên, trong quá trình triển khai, vẫn còn nhiều ý kiến trái chiều về mức độ hiệu quả và tính khả thi của Nghị định. Vì vậy, việc đánh giá tổng quan về Nghị định là cần thiết để hiểu rõ hơn về những điểm nổi bật cũng như những hạn chế cần khắc phục trong tương lai.

2. Một số điểm nổi bật của Nghị định số 13/2023/NĐ-CP

Nghị định số 13/2023/NĐ-CP có nhiều quy định quan trọng, tạo cơ sở pháp lý vững chắc để bảo vệ dữ liệu cá nhân. Dưới đây là một số điểm nổi bật:

- Phạm vi điều chỉnh và đối tượng áp dụng: Theo Điều 1 và Điều 2 của Nghị định, quy định này áp dụng cho cả tổ chức, cá nhân trong và ngoài nước có hoạt động liên quan đến xử lý dữ liệu cá nhân của công dân Việt Nam. Điều này có nghĩa là ngay cả các doanh nghiệp nước ngoài cung cấp dịch vụ tại Việt Nam cũng phải tuân thủ các quy định về bảo vệ dữ liệu cá nhân.

- Phân loại dữ liệu cá nhân: Điều 2 của Nghị định chia dữ liệu cá nhân thành hai loại: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân cơ bản bao gồm thông tin như họ tên, ngày sinh, số điện thoại, email, địa chỉ cư trú. Trong khi đó, dữ liệu cá nhân nhạy cảm bao gồm thông tin tài chính, sức khỏe, thông tin sinh trắc học, quan điểm chính trị, tôn giáo. Đối với dữ liệu nhạy cảm, yêu cầu bảo vệ được nâng cao hơn, đặc biệt là trong các giao dịch điện tử và dịch vụ tài chính.

- Nguyên tắc xử lý dữ liệu cá nhân: Điều 3 của Nghị định quy định rằng việc xử lý dữ liệu cá nhân phải đảm bảo các nguyên tắc minh bạch, hợp pháp, hạn chế phạm vi xử lý và chỉ sử dụng dữ liệu cho mục đích đã được thông báo trước. Điều này giúp hạn chế tình trạng thu thập dữ liệu tràn lan, không rõ mục đích.

- Quy định về sự đồng ý: Điều 11 của Nghị định quy định dữ liệu cá nhân chỉ được thu thập khi có sự đồng ý của chủ thể dữ liệu. Sự đồng ý này phải rõ ràng, cụ thể, có thể chứng minh được và có quyền rút lại bất cứ lúc nào. Ngoài ra, đối với dữ liệu cá nhân nhạy cảm, việc thu thập phải có sự đồng ý bằng văn bản hoặc hình thức tương đương.

- Trách nhiệm của bên kiểm soát và xử lý dữ liệu: Điều 25 và 26 nêu rõ rằng các tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân phải có biện pháp bảo vệ an toàn dữ liệu, hạn chế truy cập trái phép và đảm bảo dữ liệu không bị lộ, lọt hoặc bị khai thác trái phép.

- Chế tài xử lý vi phạm: Theo Điều 41 và 42, Nghị định đặt ra mức xử phạt nghiêm khắc đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, bao gồm phạt tiền, đình chỉ hoạt động hoặc truy cứu trách nhiệm hình sự tùy theo mức độ vi phạm. Điều này nhằm răn đe các tổ chức, cá nhân cố tình vi phạm quyền riêng tư của người dùng.

Những quy định trên cho thấy Nghị định đã có những bước tiến quan trọng trong việc bảo vệ quyền lợi cá nhân trong bối cảnh số hóa. Tuy nhiên, để đảm bảo tính thực thi hiệu quả, vẫn cần có các điều chỉnh và hướng dẫn cụ thể hơn.

3. Một số điểm hạn chế của Nghị định số 13/2023/NĐ-CP trong bảo vệ dữ liệu cá nhân

Mặc dù Nghị định số 13/2023/NĐ-CP đã đặt nền tảng quan trọng cho việc bảo vệ dữ liệu cá nhân, tuy vậy vẫn còn một số hạn chế cần được xem xét để nâng cao hiệu quả thực thi.

Thứ nhất, tính khả thi trong thực tế của Nghị định vẫn còn là một thách thức lớn. Quy định yêu cầu tất cả các tổ chức và cá nhân xử lý dữ liệu cá nhân phải có biện pháp bảo vệ dữ liệu nghiêm ngặt (Điều 25, 26), tuy nhiên, nhiều DNVVN không có đủ nguồn lực tài chính và công nghệ để tuân thủ đầy đủ các yêu cầu này. Điều này có thể tạo ra gánh nặng không cần thiết và ảnh hưởng đến hoạt động kinh doanh.

Thứ hai, quy định về sự đồng ý của chủ thể dữ liệu vẫn chưa thực sự linh hoạt. Điều 11 yêu cầu dữ liệu cá nhân chỉ được thu thập khi có sự đồng ý rõ ràng, có thể chứng minh được và có thể bị rút lại bất cứ lúc nào. Tuy nhiên, trong thực tế, việc thu thập và xử lý dữ liệu cá nhân diễn ra nhanh chóng và trên nhiều nền tảng khác nhau, khiến quá trình thu thập sự đồng ý có thể trở nên phức tạp, gây khó khăn cho cả doanh nghiệp và người dùng.

Thứ ba, các quy định về truyền dữ liệu ra nước ngoài còn chưa rõ ràng. Điều 24 yêu cầu tổ chức, cá nhân muốn chuyển dữ liệu cá nhân ra nước ngoài phải thực hiện đánh giá tác động và báo cáo với cơ quan có thẩm quyền. Tuy nhiên, Nghị định 13 chưa đưa ra hướng dẫn chi tiết về tiêu chí đánh giá tác động, quy trình báo cáo và sự phối hợp giữa các cơ quan quản lý, khiến các doanh nghiệp gặp khó khăn trong việc tuân thủ.

Thứ tư, việc thực thi chế tài xử phạt còn nhiều thách thức. Điều 41 và 42 quy định các mức phạt hành chính và trách nhiệm hình sự đối với hành vi vi phạm bảo vệ dữ liệu cá nhân. Tuy nhiên, do chưa có hệ thống giám sát và thực thi hiệu quả, việc xử lý vi phạm có thể gặp khó khăn, dẫn đến tình trạng Nghị định số 13/2023/NĐ-CP chỉ mang tính hình thức mà chưa thực sự tạo ra tác động răn đe mạnh mẽ.

Cuối cùng, thiếu các cơ chế bảo vệ quyền lợi của cá nhân trong trường hợp vi phạm. Mặc dù Nghị định 13 quy định trách nhiệm của các tổ chức, cá nhân trong bảo vệ dữ liệu, nhưng chưa có cơ chế cụ thể để hỗ trợ người dân khi quyền riêng tư của họ bị xâm phạm, chẳng hạn như hệ thống khiếu nại, bồi thường thiệt hại hay quy trình giải quyết tranh chấp.

Nhìn chung, mặc dù Nghị định số 13/2023/NĐ-CP là một bước tiến lớn trong việc bảo vệ dữ liệu cá nhân, nhưng vẫn cần những điều chỉnh để đảm bảo tính khả thi và hiệu quả trong thực tế.

4. Đề xuất nhằm hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân

Để khắc phục những hạn chế của Nghị định số 13/2023/NĐ-CP và nâng cao hiệu quả bảo vệ dữ liệu cá nhân, cần xem xét một số giải pháp sau:

Thứ nhất, cần có lộ trình và hỗ trợ kỹ thuật cho doanh nghiệp nhỏ và vừa. Nhà nước có thể xây dựng các hướng dẫn chi tiết, hỗ trợ đào tạo và cung cấp công cụ bảo vệ dữ liệu giúp doanh nghiệp đáp ứng các yêu cầu của Nghị định mà không bị áp lực quá lớn về chi phí và công nghệ. Ngoài ra, cần có các chính sách ưu đãi về thuế hoặc tài chính để khuyến khích doanh nghiệp đầu tư vào công nghệ bảo vệ dữ liệu.

Thứ hai, cải thiện quy trình thu thập sự đồng ý của người dùng. Cần có các hướng dẫn cụ thể về cách thu thập, lưu trữ và chứng minh sự đồng ý, đồng thời cho phép linh hoạt hơn trong một số trường hợp nhất định, chẳng hạn như khi dữ liệu được xử lý vì lợi ích hợp pháp của tổ chức. Việc áp dụng công nghệ blockchain hoặc các nền tảng xác thực điện tử có thể giúp đơn giản hóa quy trình này và tăng tính minh bạch.

Thứ ba, làm rõ các quy định về truyền dữ liệu ra nước ngoài. Chính phủ cần ban hành văn bản hướng dẫn chi tiết về tiêu chí đánh giá tác động, quy trình báo cáo và cơ chế giám sát để đảm bảo các doanh nghiệp có thể tuân thủ mà không gây ảnh hưởng đến hoạt động kinh doanh quốc tế. Đồng thời, cần có các thỏa thuận quốc tế hoặc quy định chung với các quốc gia có nền tảng pháp lý tương đồng nhằm đảm bảo tính nhất quán trong bảo vệ dữ liệu xuyên biên giới.

Thứ tư, tăng cường giám sát và thực thi chế tài xử phạt. Cần thành lập các cơ quan chuyên trách giám sát việc thực thi bảo vệ dữ liệu, đồng thời xây dựng cơ chế báo cáo và kiểm tra định kỳ để ngăn chặn vi phạm ngay từ đầu. Việc ứng dụng trí tuệ nhân tạo trong giám sát bảo vệ dữ liệu cũng có thể giúp phát hiện các hành vi vi phạm nhanh chóng hơn.

Thứ năm, xây dựng cơ chế bảo vệ quyền lợi cá nhân khi bị vi phạm dữ liệu. Chính phủ có thể xây dựng một hệ thống khiếu nại và giải quyết tranh chấp nhanh chóng, đồng thời yêu cầu các tổ chức phải có quy trình bồi thường thiệt hại rõ ràng khi để xảy ra sự cố rò rỉ dữ liệu cá nhân. Bên cạnh đó, cần tạo ra một cơ chế kiểm tra độc lập nhằm đánh giá mức độ tuân thủ của các doanh nghiệp và đảm bảo tính minh bạch trong xử lý vi phạm.

Thứ sáu, tăng cường nhận thức và giáo dục về bảo vệ dữ liệu cá nhân. Không chỉ doanh nghiệp, mà cả cá nhân cũng cần được nâng cao nhận thức về quyền lợi và trách nhiệm trong vấn đề bảo vệ dữ liệu cá nhân. Nhà nước có thể triển khai các chiến dịch truyền thông, tổ chức các chương trình đào tạo và cung cấp tài liệu hướng dẫn để giúp người dân hiểu rõ hơn về các quy định pháp luật, cũng như các biện pháp tự bảo vệ dữ liệu cá nhân.

Cuối cùng, phát triển hệ thống đánh giá rủi ro bảo vệ dữ liệu. Việc xây dựng một hệ thống đánh giá rủi ro theo tiêu chuẩn quốc tế sẽ giúp các doanh nghiệp dễ dàng xác định các điểm yếu trong hệ thống bảo vệ dữ liệu của mình và có biện pháp khắc phục kịp thời.

Những điều chỉnh này không chỉ giúp Nghị định số 13/2023/NĐ-CP trở nên khả thi hơn mà còn góp phần nâng cao hiệu quả thực thi, đảm bảo quyền lợi của cá nhân và doanh nghiệp trong bối cảnh chuyển đổi số ngày càng mạnh mẽ.

5. Kết luận

Nghị định số 13/2023/NĐ-CP là một bước tiến quan trọng trong việc bảo vệ dữ liệu cá nhân tại Việt Nam. Tuy nhiên, để nâng cao hiệu quả thực thi, cần có những điều chỉnh và bổ sung nhằm đảm bảo tính khả thi và phù hợp với thực tiễn. Việc hoàn thiện quy định về bảo vệ dữ liệu cá nhân không chỉ giúp bảo vệ quyền lợi cá nhân mà còn góp phần xây dựng môi trường số an toàn và đáng tin cậy.

TÀI LIỆU THAM KHẢO:

Bạch Thị Nhã Nam (2022), Hướng tiếp cận và hoàn thiện pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam trước tác động của lập pháp thế giới và khu vực.

Chính phủ (2023), Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

Quốc hội (2018), Luật số 24/2018/QH14 - Luật an ninh mạng.

Minh Hiển (2024), Hoàn thiện hành lang pháp lý, nâng cao năng lực bảo vệ dữ liệu cá nhân, truy cập tại http://baochinhphu.vn/hoan-thien-hang-lang-phap-ly-nang-cao-nang-luc-bao-ve-du-lieu-ca-nhan-102240926111856533.htm

Enhancing Vietnam’s personal data protection legal framework: An assessment of Decree No. 13/2023/ND-CP

Tran Manh Toan

Faculty of Political Theory and Law, University of Economics - Technology for Industries

Abstract:

Decree No. 13/2023/ND-CP on personal data protection marks a significant step forward in enhancing personal information security in Vietnam. The Decree outlines the responsibilities of relevant parties, procedures for processing personal data, and penalties for violations. Despite its positive contributions, the Decree still presents certain limitations that may hinder its practical implementation. This study analyzes these shortcomings and offers recommendations to strengthen the legal framework, aiming to enhance the feasibility and effectiveness of personal data protection in Vietnam.

Keywords: personal data protection, Decree No. 13/2023/ND-CP, privacy, data processing, information security.

[Tạp chí Công Thương - Các kết quả nghiên cứu khoa học và ứng dụng công nghệ, Số 9 năm 2025]