Dự thảo nghị định thay thế Nghị định 72 có một số quy định liên quan việc thu thập, lưu trữ, tiết lộ, xử lý thông tin cá nhân của người sử dụng internet mà không cần sự đồng ý của họ.
Bộ Thông tin và Truyền thông (Bộ TT-TT) đã công bố dự thảo nghị định thay thế Nghị định 72/2013/NĐ-CP về quản lý, cung cấp, sử dụng dịch vụ internet, thông tin trên mạng. Một trong những nội dung nhận được nhiều sự quan tâm liên quan đến quy định về tiết lộ thông tin cá nhân của người sử dụng dịch vụ.
Dự thảo nghị định có một số quy định yêu cầu hoặc cho phép thu thập, lưu trữ, tiết lộ, xử lý thông tin cá nhân của người sử dụng internet mà không cần sự đồng ý của họ như quy định tại Điều 24 khoản 8 điểm b; Điều 26 khoản 3 (đ); Điều 30 khoản 2; Điều 38 khoản 10; Điều 51 khoản 1 (đ); Điều 60 khoản 1 (đ); Điều 66 khoản 4; Điều 68; Điều 81.
Đặc biệt, Điều 24 khoản 8 điểm b dự thảo nghị định quy định tổ chức, doanh nghiệp cung cấp dịch vụ trên mạng không được tiết lộ thông tin cá nhân của người sử dụng dịch vụ trừ các trường hợp: Người sử dụng đồng ý cung cấp thông tin; các tổ chức, doanh nghiệp có thỏa thuận với nhau bằng văn bản về việc cung cấp thông tin cá nhân để phục vụ cho việc tính cước, lập hóa đơn, chứng từ và ngăn chặn hành vi trốn tránh thực hiện nghĩa vụ theo hợp đồng; khi có yêu cầu của cơ quan quản lý nhà nước có thẩm quyền theo quy định của pháp luật.
Tại khoản 3 Điều 26 dự thảo nghị định này cũng quy định tổ chức, cá nhân nước ngoài cung cấp thông tin xuyên biên giới sử dụng dịch vụ cho thuê chỗ lưu trữ dữ liệu tại Việt Nam hoặc có tổng số lượt truy cập từ Việt Nam thường xuyên trong 1 tháng từ 100.000 lượt trở lên phải thực hiện việc lưu trữ thông tin cá nhân của người dùng Việt Nam.
Cụ thể: họ và tên, ngày tháng năm sinh, thư điện tử (email), số điện thoại di động tại Việt Nam; thực hiện việc xác thực tài khoản người dùng dịch vụ với số điện thoại di động khi đăng ký tài khoản; cung cấp thông tin cá nhân cho cơ quan quản lý nhà nước có thẩm quyền khi có yêu cầu bằng văn bản để phục vụ công tác điều tra, xử lý hành vi vi phạm pháp luật về quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng; bảo đảm quyền quyết định của người dùng khi cho phép thông tin cá nhân của mình được sử dụng cho mục đích quảng bá, truyền thông và cung cấp cho tổ chức, cá nhân khác.
Góp ý về nội dung này, TS Lưu Hương Ly, Vụ Pháp luật dân sự - kinh tế, Bộ Tư pháp cho rằng các quy định này chưa phù hợp với quy định tại khoản 2 Điều 38 Bộ luật Dân sự 2015 và khoản 2 Điều 9 Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân về quyền của cá nhân đối với thông tin cá nhân của mình.
Cụ thể, Khoản 2 Điều 38 Bộ luật Dân sự 2015 quy định “Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến bí mật gia đình phải được các thành viên gia đình đồng ý, trừ trường hợp luật có quy định khác”.
Khoản 2 Điều 9 Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân quy định “Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 nghị định này”.
Điều 17 Nghị định 13/2023/NĐ-CP quy định các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu bao gồm trường hợp khẩn cấp, cần xử lý ngay dữ liệu để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác; việc công khai dữ liệu cá nhân theo quy định của luật; trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, thảm họa lớn; thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật; phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành”.
Như vậy, bà Ly cho rằng các trường hợp thu thập, lưu trữ, tiết lộ, xử lý thông tin cá nhân của người sử dụng internet mà không cần sự đồng ý của họ cần phải được quy định ở văn bản cấp độ luật.
Theo quy định tại khoản 3 Điều 19 Luật ban hành văn bản quy phạm pháp luật thì đối với những vấn đề cần thiết thuộc thẩm quyền của Quốc hội, Ủy ban Thường vụ Quốc hội nhưng chưa đủ điều kiện xây dựng thành luật hoặc pháp lệnh để đáp ứng yêu cầu quản lý nhà nước, quản lý kinh tế, quản lý xã hội thì Chính phủ có thể xây dựng nghị định nhưng trước khi ban hành nghị định này phải được sự đồng ý của Ủy ban Thường vụ Quốc hội.
Góp ý về các quy định liên quan đến nghĩa vụ thu thập và lưu trữ dữ liệu tại Việt Nam, ông Vũ Tú Thành, Phó giám đốc Điều hành khu vực Hội đồng Kinh doanh Mỹ-ASEAN cho rằng yêu cầu về lưu trữ dữ liệu tại Việt Nam đối với các nhà cung cấp dịch vụ xuyên biên giới có tác động bất lợi đến an ninh, hạn chế đổi mới và tăng chi phí kinh doanh cho các tổ chức internet nước ngoài khi nỗ lực tuân thủ.
Theo ông Thành, điều này dẫn đến chi phí có thể cao hơn cho các doanh nghiệp Việt Nam khi sử dụng các nền tảng này. Ngoài ra, yêu cầu này cũng trùng lặp với các yêu cầu liên quan trong Nghị định 53/2022 hướng dẫn Luật An ninh mạng mới ban hành - vốn đã gây căng thẳng cho các nhà cung cấp dịch vụ nước ngoài trong việc làm rõ các nghĩa vụ cần tuân thủ.
Do đó, ông Thành cho rằng việc bổ sung yêu cầu lưu trữ dữ liệu tại Việt Nam như vậy trong một nghị định khác có thể tạo ra gánh nặng lớn cho các nhà cung cấp dịch vụ ra nước ngoài và là một bước thụt lùi nghiêm trọng đối với hệ sinh thái số của Việt Nam.