Bộ Công an đang dự thảo Luật Bảo vệ dữ liệu cá nhân để lấy ý kiến đóng góp của các cơ quan, tổ chức và cá nhân.
Dự thảo Luật quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
Dự thảo luật đã quy định cụ thể các nội dung về nguyên tắc bảo vệ dữ liệu cá nhân; xử lý vi phạm quy định bảo vệ dữ liệu cá nhân; quyền và nghĩa vụ của chủ thể dữ liệu; các quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân...
Theo đó, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể, hoặc giúp xác định một con người cụ thể, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Trong đó, dữ liệu cá nhân cơ bản là thông tin cơ bản của công dân hoặc các thông tin khác không phải dữ liệu cá nhân nhạy cảm, gắn liền với danh tính của công dân, gồm: Họ, chữ đệm và tên khai sinh, bí danh (nếu có); Ngày, tháng, năm sinh; Ngày, tháng, năm chết hoặc mất tích; Giới tính; Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; Quốc tịch…
Dữ liệu cá nhân nhạy cảm là thông tin khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gắn liền với quyền riêng tư của cá nhân.
Loại này, gồm có quan điểm chính trị, quan điểm tôn giáo; Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu; Thông tin liên quan đến nguồn gốc chủng tộc, thông tin liên quan đến nguồn gốc dân tộc...
Trong dự thảo Luật Bảo vệ dữ liệu cá nhân, Bộ Công an nêu rõ dữ liệu cá nhân không được mua, bán dưới mọi hình thức.
Tại Điều 33 (Phòng, chống thu thập, chuyển giao trái phép, mua, bán dữ liệu cá nhân) có nêu rõ: Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình.
Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
Việc cho phép các tổ chức, cá nhân sử dụng dịch vụ của mình để mua bán dữ liệu cá nhân là vi phạm pháp luật.
Bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em
Theo Điều 20 (Xử lý dữ liệu cá nhân của trẻ em) trong dự thảo Luật Bảo vệ dữ liệu cá nhân, xử lý dữ liệu cá nhân của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em.
Trước khi xử lý dữ liệu cá nhân của trẻ em, bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba phải xác minh tuổi của trẻ em và được sự đồng ý của cha, mẹ hoặc người giám hộ theo quy định.
Không xử lý dữ liệu cá nhân của trẻ em mà không được sự đồng ý của trẻ em từ đủ 7 tuổi trở lên và của cha, mẹ, người giám hộ của trẻ em, trừ trường hợp quy định tại Điều 17 nghị định này.
Ngừng xử lý dữ liệu cá nhân của trẻ em, xóa không thể khôi phục hoặc hủy dữ liệu cá nhân của trẻ em trong các trường hợp, gồm xử lý dữ liệu không đúng mục đích, hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân được chủ thể dữ liệu đồng ý, trừ trường hợp pháp luật có quy định khác.
Cha, mẹ hoặc người giám hộ của trẻ em rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, trừ trường hợp pháp luật có quy định khác.
Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác.