Quy định mới về trách nhiệm của doanh nghiệp hoạt động trong các lĩnh vực đặc thù trong Dự thảo Luật Bảo vệ DLCN

Bản tin pháp luật

Quy định mới về trách nhiệm của doanh nghiệp hoạt động trong các lĩnh vực đặc thù trong Dự thảo Luật Bảo vệ DLCN

LexNovum Lawyers

LexNovum Lawyers

22/05/2025

Trong thế giới hiện đại và phát triển mạnh mẽ về công nghệ như hiện nay, dữ liệu cá nhân (“DLCN”) dần được xem là một tài sản quan trọng cần phải bảo vệ đối với mỗi cá nhân, và của cả quốc gia[1]. Nghị định 13/2023/NĐ-CP (“Nghị định 13”) ra đời từng bước định hình hành lang pháp lý và khẳng định tính quan trọng của DLCN, cũng như ràng buộc trách nhiệm cho các bên có liên quan trong việc thu thập và xử lý DLCN tại Việt Nam[2].

Nhằm hoàn thiện hơn nữa các quy định pháp luật về DLCN, Quốc hội đã giao Bộ Công an tiến hành xây dựng Luật Bảo vệ DLCN. Ngày 10/3/2025, trong phiên bản cập nhật mới nhất, Dự thảo Luật Bảo vệ DLCN (“Dự thảo”) đã đưa ra những quy định đối với các doanh nghiệp hoạt động trong các lĩnh vực đặc thù. Đây được xem là những quy định bắt kịp với bối cảnh xã hội, nhằm đảm bảo tốt hơn quyền của chủ thể dữ liệu, đồng thời khẳng định hơn nữa tầm quan trọng của DLCN trong đời sống. Trong bài viết này, LNV sẽ đưa ra góc nhìn đối với các quy định mới trong Dự thảo và trách nhiệm của doanh nghiệp hoạt động trong các lĩnh vực đặc thù này.

Trong Dự thảo mới nhất, các lĩnh vực đặc thù có mức độ xử lý DLCN cao được đề cập trong các điều khoản từ Điều 25 đến Điều 35. Cụ thể: Điều 25 (Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể); Điều 26 (Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn); Điều 27 (Bảo vệ dữ liệu cá nhân trong trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo); Điều 28 (Bảo vệ dữ liệu cá nhân trong điện toán đám mây); Điều 29 (Bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động); Điều 31 (Bảo vệ dữ liệu cá nhân có liên quan tới thông tin sức khỏe, bảo hiểm); Điều 33 (Dữ liệu vị trí);  Điều 35 (Dữ liệu sinh trắc học).

Đây là các lĩnh vực còn rất mới, hình thành như hệ quả của sự phát triển của đời sống xã hội, đặc biệt là trong lĩnh vực khoa học – công nghệ. Việc bổ sung quy định cho các ngành nghề đặc thù này thể hiện nỗ lực của nhà làm luật trong việc đáp ứng yêu cầu thực tiễn của nền kinh tế số và bảo vệ tốt hơn quyền riêng tư của công dân.

Theo đó, bên cạnh những nguyên tắc về bảo vệ DLCN được áp dụng chung cho toàn bộ các bên có liên quan đến việc xử lý DLCN, các doanh nghiệp hoạt động trong lĩnh vực đặc thù còn phải tuân thủ một số trách nhiệm khi hoạt động trong lĩnh vực tương ứng, có thể kể đến một số trường hợp như:

  • Việc kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể từ trước đến nay luôn mang lại thu nhập lớn cho các doanh nghiệp nhưng cũng ít nhiều gây phiền toái cho người sử dụng. Bởi lẽ các website, ứng dụng ngày nay được xây dựng để theo dõi và thu thập thông tin người dùng (thông tin về lịch sử truy cập, nội dung truy cập, thời gian truy cập…), từ đó phân tích hành vi truy cập và định hướng quảng cáo cá biệt hóa đối với mỗi người dùng internet, sau đó gợi ý sản phẩm và thúc đẩy hành vi mua hàng của người dùng thông qua sự kết nối trên các nền tảng khác nhau[3], đôi khi là những sản phẩm/dịch vụ trái pháp luật (cờ bạc, forex, crypto…)[4]. Tuy nhiên, tại Điều 25 của Dự thảo mới này, việc theo dõi và thu thập hành vi của người dùng cũng như những DLCN khác sẽ khó khăn hơn bởi nó chỉ được thực hiện khi có sự đồng ý của chủ thể dữ liệu. Đồng thời, “các tổ chức, cá nhân kinh doanh dịch vụ quảng cáo theo hành vi hoặc có mục tiêu cụ thể phải thiết lập hoạt động cho phép chủ thể dữ liệu từ chối chia sẻ dữ liệu cho các bối cảnh khác nhau; xác định rõ thời gian lưu trữ dữ liệu hành vi và xóa bỏ dữ liệu khi không còn cần thiết; nội dung quảng cáo theo hành vi hoặc có mục tiêu cụ thể phải phù hợp với quy định của pháp luật và đạo đức xã hội”. Điều này bắt buộc phía doanh nghiệp phải có những bước điều chỉnh quan trọng trong quá trình vận hành, hoạt động kinh doanh, cũng như điều chỉnh các thuật toán, các công cụ liên quan đến hoạt động quảng cáo cho phù hợp.
  • Một ví dụ khác trong lĩnh vực công nghệ. Ngày nay, các thuật ngữ như: Dữ liệu lớn (Big Data), trí tuệ nhân tạo (AI), chuỗi khối (blockchain), vũ trụ ảo (metaverse), hay điện toán đám mây (cloud) … đã không còn xa lạ với hầu hết người dùng internet. Những mô hình và hoạt động gắn với các thuật ngữ này tạo ra những lợi ích to lớn đối với sự phát triển của internet toàn cầu, nhưng cũng đòi hỏi việc thu thập, xử lý và lưu trữ DLCN ở một mức độ khổng lồ mà nếu không được quản lý một cách kỹ càng, việc xảy ra rủi ro có thể gây những thiệt hại nặng nề ở một quy mô lớn[5]. Do đó, pháp luật cũng đã lường trước và đặt ra những quy định nghiêm ngặt đối với các doanh nghiệp hoạt động trong lĩnh vực này. Điều 26 của Dự thảo đặt ra 11 biện pháp bảo vệ DLCN mà các cơ quan, tổ chức, cá nhân có liên quan khi xử lý dữ liệu lớn phải thực hiện (Tuân thủ quy định về bảo vệ DLCN, áp dụng mã hóa, sử dụng các phương thức xác thực mạnh mẽ và phân quyền truy cập, ẩn danh DLCN, giả danh dữ liệu…). Ngoài việc giới hạn các lĩnh vực mà tổ chức, cá nhân áp dụng các biện pháp bảo vệ DLCN trong trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, Điều 27 của Dự thảo còn đặt ra yêu cầu đảm bảo tính minh bạch và trách nhiệm giải trình trong các hoạt động này; còn tại Điều 28 của Dự thảo quy định về Bảo vệ DLCN trong điện toán đám mây đặt ra 7 trách nhiệm đối với các tổ chức, cá nhân ký kết hợp đồng có liên quan tới xử lý DLCN với các doanh nghiệp cung cấp dịch vụ điện toán đám mây và 3 trách nhiệm phải tuân thủ đối với các doanh nghiệp cung cấp dịch vụ điện toán đám mây…
  • Một quy định khác trong Dự thảo cũng được đánh giá là ảnh hưởng sâu rộng tới toàn bộ các doanh nghiệp, đó là bảo vệ DLCN trong giám sát và tuyển dụng lao động (Điều 29 Dự thảo). Theo đó, việc thu thập DLCN của người lao động trong quá trình tuyển dụng và giám sát, cũng như của các công ty nước ngoài có tuyển dụng và xử lý DLCN của nhân viên là người Việt Nam ngày càng được chặt chẽ và rõ ràng, giới hạn việc thu thập và xử lý trong khuôn khổ các quy định của pháp luật, từ đó bảo vệ tốt hơn DLCN của người lao động. Doanh nghiệp nào cũng thực hiện việc giám sát và tuyển dụng lao động, do đó, nếu quy định này của Dự thảo được thông qua, tất cả các doanh nghiệp cần rà soát lại quy trình trong hoạt động này để đảm bảo tuân thủ các quy định của pháp luật hiện hành.
  • Với doanh nghiệp sử dụng ứng dụng di động có chức năng thu thập vị trí, Điều 33 quy định bắt buộc các nền tảng phải thông báo rõ ràng với người dùng về việc thu thập vị trí, đồng thời cung cấp các tùy chọn để người dùng kiểm soát hoạt động theo dõi vị trí. Điều này đòi hỏi doanh nghiệp cần rà soát lại quy trình thiết kế app và chính sách bảo mật để đảm bảo minh bạch và quyền lựa chọn cho người dùng.
  • Đối với doanh nghiệp xử lý dữ liệu sinh trắc học (ví dụ như khuôn mặt, vân tay, giọng nói…), Điều 35 yêu cầu áp dụng các biện pháp bảo mật vật lý với thiết bị lưu trữ, đồng thời mã hóa mạnh mẽ trong quá trình lưu trữ và truyền tải, và hạn chế quyền truy cập vào loại dữ liệu nhạy cảm này. Đây là những tiêu chuẩn cao hơn mức bảo vệ thông thường và có thể đòi hỏi doanh nghiệp phải đầu tư thêm về kỹ thuật và chính sách đào tạo nhân sự.

Dự án Luật Bảo vệ DLCN dự kiến được trình Quốc hội thông qua vào tháng 5/2025. Nếu các quy định mới nêu trên được thông qua, đây sẽ là một thách thức không nhỏ đối với doanh nghiệp hoạt động trong lĩnh vực đặc thù, buộc doanh nghiệp phải thật sự cẩn trọng, lưu ý trong quá trình hoạt động. Trước những thay đổi của pháp luật về việc thu thập và xử lý DLCN, các doanh nghiệp trong những lĩnh vực nói trên cần chủ động nghiên cứu để chuẩn bị nguồn lực cả về kỹ thuật và pháp lý để sẵn sàng trong việc tuân thủ. Việc này không chỉ giúp tránh rủi ro pháp lý có thể mắc phải, mà còn nâng cao uy tín và niềm tin của khách hàng về mặt bảo vệ DLCN, từ đó khẳng định chất lượng sản phẩm, dịch vụ và tăng sức cạnh tranh của doanh nghiệp trên thị trường.

Người thực hiện: Thanh Phong

Lưu ý:

Bài viết này được thực hiện dựa trên quy định của pháp luật Việt Nam (hiện hành) và kinh nghiệm thực tế. Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý khách vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.  

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu. 

 

[1] https://nhandan.vn/du-lieu-ca-nhan-la-tai-san-quan-trong-cua-nen-kinh-te-so-post626927.html

[2] https://lsvn.vn/phap-luat-ve-bao-ve-du-lieu-ca-nhan-o-viet-nam-nhung-khoang-trong-va-huong-hoan-thien-a156811.html

[3] https://danchuphapluat.vn/quang-cao-thuong-mai-truc-tuyen-mo-hinh-hoat-dong-va-huong-tiep-can-cua-phap-luat

[4] https://thanhnien.vn/quang-cao-co-bac-an-trong-hon-600-website-viet-185240926112831504.htm

[5] https://lsvn.vn/phap-luat-ve-bao-ve-du-lieu-ca-nhan-o-viet-nam-nhung-khoang-trong-va-huong-hoan-thien-a156811.html

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage