Đại biểu Dương Khắc Mai (Đoàn Đắk Nông) bày tỏ quan điểm tán thành cao sự cần thiết ban hành Luật Bảo vệ dữ liệu cá nhân. Việc ban hành luật nhằm cụ thể hóa chủ trương, đường lối, quan điểm chỉ đạo của Đảng về chuyển đổi số quốc gia, phát triển kinh tế số, xây dựng xã hội số đáp ứng yêu cầu ngày càng cao trong hội nhập quốc tế, đặc biệt là ngăn chặn kịp thời các hành vi xâm phạm dữ liệu cá nhân, thu thập, tấn công, chiếm đoạt, mua bán trái phép dữ liệu cá nhân trong thời gian vừa qua diễn ra hết sức phức tạp.

Về các hành vi bị nghiêm cấm, tại khoản 5 Điều 7 của dự thảo luật quy định nghiêm cấm mua bán dữ liệu cá nhân. Tuy nhiên ông Mai đề nghị, làm rõ cấm mua bán dữ liệu cá nhân thì có cấm hành vi tặng, cho hay không?.

Ông Mai phân tích: Dữ liệu mà tổ chức, doanh nghiệp thu thập được của chủ thể dữ liệu cá nhân là dữ liệu đã được xử lý. Theo quy định tại khoản 8 Điều 2 thì xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân như thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, tiết lộ, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền, đưa, cung cấp, chuyển giao, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan. Do đó, lúc này dữ liệu do doanh nghiệp, tổ chức thu thập là tập hợp dữ liệu của nhiều chủ thể dữ liệu cá nhân và chi phí của doanh nghiệp, tổ chức cho hoạt động xử lý dữ liệu cá nhân. Vì vậy, việc cấm mua bán dữ liệu cá nhân cần được cân nhắc.

Theo đại biểu Nguyễn Thị Sửu (Đoàn Thừa Thiên Huế), bảo vệ dữ liệu cá nhân trong quá trình sử dụng dữ liệu cá nhân đầu tiên vẫn phải sử dụng dữ liệu cá nhân như thế nào? thứ hai là bảo vệ dữ liệu cá nhân, thứ ba là bảo vệ trong quá trình sử dụng dữ liệu cá nhân.

“Có dữ liệu cá nhân thì mới có bảo vệ dữ liệu cá nhân trên các phương diện xử lý, sử dụng, khai thác và trên các lĩnh vực liên quan như kinh doanh, hay những thông tin trên mạng xã hội. Vì vậy Ban soạn thảo cần bổ sung một chương riêng quy định về dữ liệu cá nhân, đồng thời bổ sung quy định về dữ liệu phi cá nhân”, bà Sửu kiến nghị.

Đại biểu Nguyễn Trường Giang (Đoàn Đắk Nông) cũng cho rằng, dữ liệu cá nhân nếu bình thường nằm riêng lẻ là của mỗi một cá nhân. Tuy nhiên dữ liệu cá nhân theo luật này đã được qua xử lý, tức là qua tập hợp, qua mã hóa thành một tệp. Bây giờ chúng ta cấm mua bán thì thấy không ổn.

“Không ổn ở chỗ nếu chỉ cấm mua bán thì chúng ta có được trao đổi không? Trên thực tế một tập đoàn người ta có thể rất nhiều công ty và người ta thu thập các dữ liệu, mã hóa và xử lý thì người ta phải chuyển cho các công ty khác để phục vụ cho sản xuất, kinh doanh của người ta thì chúng ta cấm mua bán nhưng trong khi đó trao đổi thì không rõ có trao đổi hay không?”ông Mai nêu vấn đề và đề nghị phải làm rất rõ ở chỗ khi nào được mua bán? khi nào được trao đổi.

Ông Giang cũng nhắc lại vừa qua cá nhân ông đi với Ủy ban Quốc phòng, an ninh và đối ngoại thì chính bản thân các doanh nghiệp họ cũng kiến nghị liên quan đến vấn đề chuyển dữ liệu cá nhân từ bộ phận này sang bộ phận khác như nào để phát huy hiệu quả nhất đối với gói dữ liệu cá nhân đã được xử lý?

Theo ĐB Thạch Phước Bình (Đoàn Trà Vinh), dự thảo luật chưa quy định rõ về việc quản lý dữ liệu cá nhân của công dân Việt Nam khi dữ liệu này được lưu trữ, xử lý hoặc chia sẻ với các tổ chức, cá nhân ở nước ngoài. Điều này đặt ra một số thách thức như: nhiều công ty công nghệ lớn như Google, Facebook, Tiktok lưu trữ dữ liệu người dùng trên các máy chủ đặt ngoài Việt Nam nếu không có cơ chế giám sát rõ ràng, nguy cơ dữ liệu bị sử dụng sai mục đích hoặc bị xâm phạm là rất lớn.

Cũng theo ông Bình, nếu không có quy định về việc áp dụng luật Việt Nam đối với các tổ chức xử lý dữ liệu nước ngoài việc yêu cầu xóa dữ liệu, ngăn chặn hành vi vi phạm hoặc xử lý tranh chấp sẽ gặp nhiều trở ngại.

“Các quốc gia châu Âu hay Trung Quốc đều có cơ chế kiểm soát dữ liệu xuyên biên giới hết sức nghiêm ngặt cho nên nước ta cần có quy định tương tự để bảo vệ dữ liệu công dân không bị khai thác trái phép”, ông Bình dẫn chứng. Từ đó ông Bình đề nghị, quy định rõ ràng về phạm vi điều chỉnh của luật đối với dữ liệu cá nhân được lưu trữ ở nước ngoài. Yêu cầu các tổ chức nước ngoài xử lý dữ liệu của công dân Việt Nam phải tuân thủ quy định của pháp luật Việt Nam tương tự như cách các nước châu Âu yêu cầu công ty ngoài châu Âu tuân thủ luật bảo vệ dữ liệu của họ.