Bộ Công an đang lấy ý kiến về Dự thảo Luật Bảo vệ dữ liệu cá nhân. Trong đó, có những nội dung đáng chú ý như dữ liệu cơ bản/nhạy cảm của cá nhân hay các bên khai thác dữ liệu của cá nhân. Cụ thể như sau.
https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/9/24/dt-luat-du-lieu-ca-nhan.docx Dự thảo Luật Bảo vệ dữ liệu cá nhân
(1) Dữ liệu cá nhân cơ bản và dữ liệu nhạy cảm
Cụ thể, tại khoản 3 Điều 2 Dự thảo Luật Bảo vệ dữ liệu cá nhân có nêu rõ, dữ liệu cá nhân cơ bản là thông tin cơ bản của công dân hoặc các thông tin khác không phải dữ liệu cá nhân nhạy cảm, gắn liền với danh tính của công dân, bao gồm:
- Họ, chữ đệm và tên khai sinh, bí danh (nếu có);
- Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
- Giới tính;
- Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
- Quốc tịch;
- Hình ảnh của cá nhân;
- Số điện thoại, số CMND, số định danh cá nhân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
- Tình trạng hôn nhân;
- Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
- Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng.
- Các thông tin khác gắn liền với danh tính của công dân không thuộc quy định tại 4 Điều này.
Bên cạnh, tại Dự thảo Luật cũng có đề cập đến dữ liệu cá nhân nhạy cảm là thông tin khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của tổ chức, cá nhân, gắn liền với quyền riêng tư của cá nhân, bao gồm:
- Quan điểm chính trị, quan điểm tôn giáo.
- Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu.
- Thông tin liên quan đến nguồn gốc chủng tộc, thông tin liên quan đến nguồn gốc dân tộc.
- Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân.
- Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân.
- Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân.
- Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật.
- Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
- Thông tin về người sử dụng đất, dữ liệu đất đai có chứa thông tin về người sử dụng đất.
- Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
- Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
(2) Sự đồng ý của chủ thể dữ liệu
Cụ thể, sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, ngoại trừ trường hợp luật có quy định khác. Cụ thể, sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực nếu dựa trên sự tự nguyện và biết rõ các nội dung sau:
- Loại dữ liệu cá nhân được xử lý.
- Mục đích xử lý dữ liệu cá nhân.
- Tổ chức, cá nhân được xử lý dữ liệu cá nhân.
- Các quyền, nghĩa vụ của chủ thể dữ liệu.
Không được kèm theo điều kiện bắt buộc phải đồng ý chuyển giao dữ liệu cá nhân của chủ thể dữ liệu cho các dịch vụ khác không đúng mục đích thu thập. Chủ thể dữ liệu có quyền từ chối điều kiện này.
Sự đồng ý của chủ thể dữ liệu phải được đưa ra bởi một hành động khẳng định tạo ra một chỉ dẫn rõ ràng, cụ thể, như: Bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
- Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
- Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
- Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
- Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
- Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều 11 Dự thảo Luật, trừ trường hợp luật có quy định khác.
(3) Mạng xã hội hoạt động tại Việt Nam không được yêu cầu chụp ảnh CCCD làm yếu tố xác thực tài khoản
Cụ thể, tại Điều 31 Dự thảo Luật Bảo vệ dữ liệu cá nhân có đề xuất các tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua không gian mạng (OTT) có trách nhiệm như sau:
- Bảo vệ dữ liệu cá nhân của công dân Việt Nam khi hoạt động tại thị trường Việt Nam hoặc xuất hiện trên kho ứng dụng di động cung cấp cho thị trường Việt Nam.
- Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cài đặt và sử dụng mạng xã hội, dịch vụ OTT. Không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng.
- Không được yêu cầu chụp ảnh CCCD, CMND làm yếu tố xác thực tài khoản.
- Cung cấp lựa chọn cho phép người dùng từ chối thu thập cookies và chia sẻ cookies.
- Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ OTT khi có sự đồng ý của người sử dụng.
- Thông báo cụ thể, rõ ràng, bằng văn bản về việc chia sẻ dữ liệu cá nhân cũng như áp dụng biện pháp bảo mật khi thực hiện hoạt động quảng cáo, tiếp thị dựa trên dữ liệu cá nhân của khách hàng.
- Nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu là hành vi vi phạm pháp luật.
Bên cạnh đó, tại Dự thảo Luật cũng nêu rõ, dữ liệu cá nhân đăng ký tài khoản mạng xã hội, dịch vụ OTT không phải là dữ liệu công khai và không thuộc trường hợp được xử lý mà không cần có sự đồng ý của chủ thể dữ liệu.
Xem thêm: Thông tin về đời sống tình dục, xu hướng tình dục là dữ liệu nhạy cảm của cá nhân