So sánh mô hình cơ quan bảo vệ dữ liệu cá nhân tại một số quốc gia trên thế giới và gợi ý cho Việt Nam

Chia sẻ: Tưởng Trì Hoài | Ngày: | Loại File: PDF | Số trang:13

Thêm vào BST

Báo xấu

3
lượt xem 2
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài viết "So sánh mô hình cơ quan bảo vệ dữ liệu cá nhân tại một số quốc gia trên thế giới và gợi ý cho Việt Nam" sẽ tập trung vào việc so sánh mô hình của cơ quan bảo vệ dữ liệu cá nhân tại Việt Nam với các quốc gia khác trên thế giới. Sau đó, nhóm tác giả đưa ra các gợi ý và học hỏi từ các quốc gia khác nhằm phát triển một mô hình cơ quan bảo vệ dữ liệu cá nhân hiệu quả cho Việt Nam. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: So sánh mô hình cơ quan bảo vệ dữ liệu cá nhân tại một số quốc gia trên thế giới và gợi ý cho Việt Nam

SO SÁNH MÔ HÌNH CƠ QUAN BẢO VỆ DỮ LIỆU CÁ NHÂN TẠI MỘT SỐ QUỐC GIA TRÊN THẾ GIỚI VÀ GỢI Ý CHO VIỆT NAM ThS. Mai Nguyễn Dũng, Trường Kinh tế, Luật và Quản lý Nhà nước, Đại học Kinh tế TP.HCM Bùi Thị Phương Ngọc Trường Kinh tế, Luật và Quản lý Nhà nước, Đại học Kinh tế TP.HCM Tóm tắt: Nghị định số 13/2023/NĐ-CP ban hành vào tháng 4 năm 2023 (“Nghị định 13/2023”) đã thiết lập một khung pháp lý chi tiết về thu thập, xử lý, lưu trữ và bảo vệ dữ liệu cá nhân tại Việt Nam, đồng thời xác định vai trò và quyền hạn cụ thể của cơ quan bảo vệ dữ liệu cá nhân trong việc thực thi quy định này. Bài viết này sẽ tập trung vào việc so sánh mô hình của cơ quan bảo vệ dữ liệu cá nhân tại Việt Nam với các quốc gia khác trên thế giới. Sau đó, nhóm tác giả đưa ra các gợi ý và học hỏi từ các quốc gia khác nhằm phát triển một mô hình cơ quan bảo vệ dữ liệu cá nhân hiệu quả cho Việt Nam. Summary: Decree No. 13/2023/NĐ-CP, issued in April 2023 (“Decree 13/2023”), has established a detailed legal framework for the collection, processing, storage, and protection of personal data in Vietnam, while specifying the roles and specific authorities of the personal data protection agency in enforcing these regulations. This article will focus on comparing the model of Vietnam's personal data protection authority with those of other countries. The aim of the article is to provide suggestions and learnings from other countries to develop an effective personal data protection authority model for Vietnam. Từ khóa: Bảo vệ dữ liệu cá nhân, Nghị định 13/2023/NĐ-CP, Cơ quan bảo vệ dữ liệu cá nhân, So sánh mô hình. Key words: Personal data protection, Decree No. 13/2023/NĐ-CP, Personal data protection authority, Model comparison. 628
Giới thiệu chung Sự ra đời của Nghị định 13/2023 đánh dấu sự tiến bộ trong việc tiếp cận bảo vệ dữ liệu cá nhân (“BVDLCN”) một cách toàn diện và thống nhất. Nghị định này đã đặt nền móng cho việc áp dụng các quy định liên quan đến BVDLCN tại Việt Nam. Tuy nhiên, việc thực thi các quy định này đòi hỏi một mô hình Cơ quan bảo vệ dữ liệu cá nhân (“CQBVDLCN”) hiệu quả. Châu Âu đã tiên phong trong việc đặt ra quy định về BVDLCN, đặc biệt là Luật bảo vệ dữ liệu châu Âu (General Data Protection Regulation, GDPR) đã tạo ra sự thay đổi toàn cầu về quản lý và BVDLCN. Trong những năm vừa qua, đã có nhiều nghiên cứu tập trung vào vai trò và trách nhiệm của CQBVDLCN, so sánh mô hình CQBVDLCN ở các quốc gia tại Liên minh châu Âu và đánh giá hiệu quả của chúng trong việc đảm bảo tuân thủ và thực thi quy định về BVDLCN. Một số ít nghiên cứu khác xem xét đến tính đa dạng trong quy định và tiêu chuẩn BVDLCN hay chiến lược của CQBVDLCN tại các khu vực khác như châu Á - Thái Bình Dương, Châu Phi, ... Nghiên cứu này tiếp tục mở rộng phạm vi hiểu biết về các mô hình CQBVDLCN trên thế giới và xem xét cách Việt Nam có thể học hỏi từ các quốc gia khác để nâng cao hiệu quả trong mô hình CQBVDLCN của mình. Mục tiêu của nghiên cứu bao gồm: hiểu rõ khái niệm và vai trò của các CQBVDLCN, phân tích mô hình CQBVDLCN ở nhiều quốc gia trên thế giới, xem xét mô hình CQBVDL tại Việt Nam, và những hàm ý chính sách để tối ưu hóa mô hình Việt Nam trong lĩnh vực BVDLCN và quyền riêng tư. Khái quát về Cơ quan bảo vệ dữ liệu cá nhân Lịch sử phát triển của Cơ quan bảo vệ dữ liệu cá nhân Lịch sử của CQBVDLCN có xuất phát điểm từ Thụy Điển năm 1973 khi họ thi hành Luật Dữ liệu (SFS 1973:289). Sự phát triển của CQBVDLCN lan rộng khắp Châu Âu trong thập kỷ 1980, ví dụ Đức đã thành lập CQBVDLCN của mình, Ủy ban liên bang về bảo vệ dữ liệu (“BVDL”) và tự do thông tin (BfDI), vào năm 1978. Chỉ thị về BVDL của Liên minh châu Âu (chỉ thị 95/46/EC) được thông qua năm 1995 đã tạo ra cơ sở pháp lý cho BVDL tại châu Âu. Nhưng quyền riêng tư và vai trò của CQBVDLCN đã mở rộng rất nhiều sau khi GDPR có hiệu lực vào năm 2018. Mỗi quốc gia thành viên có một CQBVDLCN riêng để thực thi GDPR tại 629
lãnh thổ của họ, tạo ra một cách tiếp cận đồng nhất hơn đối với BVDL trong châu Âu. GDPR đã đặt nền tảng cho khung pháp lý về BVDL của châu Âu hiện tại. Tầm ảnh hưởng của CQBVDLCN không giới hạn trong lãnh thổ của họ, đặc biệt sau khi GDPR được áp dụng. Nhiều tổ chức trên toàn thế giới phải tuân thủ các quy định của GDPR khi xử lý dữ liệu cá nhân của công dân châu Âu. Điều này đã thúc đẩy sự phát triển các thảo luận về vai trò của các CQBVDLCN trên phạm vi toàn cầu. Định nghĩa Cơ quan bảo vệ dữ liệu cá nhân CQBVDLCN là một tổ chức chính phủ hoặc độc lập, được thành lập bởi luật tại một quốc gia hoặc khu vực cụ thể. Chức năng chính của CQBVDLCN bao gồm: giám sát việc thực thi và tuân thủ quy định về BVDL, đảm bảo tính hợp pháp và tuân thủ của việc xử lý dữ liệu cá nhân (“DLCN”), giải quyết khiếu nại từ phía công dân về việc xử lý DLCN, cung cấp hướng dẫn và hỗ trợ cho các tổ chức và cá nhân liên quan đến BVDL. Tuy nhiên, tên gọi, định nghĩa và vai trò của CQBVDLCN có thể khác nhau tùy thuộc vào quốc gia hoặc khu vực cụ thể. Dưới tác động của các hướng dẫn và quy chuẩn quốc tế, như GDPR của Liên minh châu Âu, nhiều quốc gia đã điều chỉnh và thích nghi định nghĩa và vai trò của CQBVDLCN của họ để tuân thủ các tiêu chuẩn quốc tế, góp phần làm cho vai trò của CQBVDLCN trở nên tương đối đồng nhất trên phạm vi châu Âu và nhiều nước khác trên thế giới. Mô hình của Cơ quan bảo vệ dữ liệu cá nhân Theo nghiên cứu của Stewart (2004), có các dạng mô hình CQBVDLCN như sau: Mô hình Ủy viên (Commissioner model): Đây có thể coi là mô hình phổ biến nhất và linh hoạt nhất trong việc đảm bảo tuân thủ luật BVDL. Trong đó, một Ủy viên được bổ nhiệm và sẽ có trách nhiệm thành lập văn phòng, quy định việc tuyển dụng nhân viên để đảm bảo tuân thủ. Mô hình này linh hoạt và phản ứng nhanh chóng trước các thách thức liên quan đến BVDL. Tuy nhiên, hiệu quả phụ thuộc vào sự lựa chọn đúng đắn của Ủy viên. Mô hình Ủy viên có thể được thấy rộng rãi ở nhiều quốc gia, bao gồm Châu Âu, Canada, Australia và Hồng Kông. Mô hình Ủy ban (Commission model): Mô hình này yêu cầu thành lập một Ủy ban có thành viên được bổ nhiệm theo quy trình nhất định. Ủy ban thực hiện toàn bộ các quyền hạn và chức năng liên quan đến BVDL và quyền riêng tư. Mô hình này đảm bảo sự đa dạng và khả năng đạt quyết định đồng thuận, nhưng có thể đòi hỏi chi phí cao hơn. Một số quốc gia đi theo mô hình này bao gồm Pháp, Hàn Quốc,… 630
Cơ quan đa chức năng (Multipurpose Agencies): Mô hình này kết hợp các chức năng của CQBVDL với các chức năng liên quan hoặc tương thích khác. Cơ quan đa chức năng thường tổng hợp giám sát BVDL và tự do thông tin. Việc kết hợp các chức năng giúp tiết kiệm chi phí và đảm bảo sự đa dạng trong quyết định và đại diện cho các bên liên quan. Một trong các đại diện tiêu biểu cho mô hình này là CQBVDL của Hoa Kỳ. Ngoài các mô hình cơ bản, có nhiều biến thể khác tùy thuộc vào nhu cầu và nguồn lực của mỗi quốc gia, và mỗi mô hình đều có ưu điểm và nhược điểm riêng. Đối tượng giám sát và quyền hạn của Cơ quan bảo vệ dữ liệu cá nhân Đối tượng giám sát: CQBVDLCN giám sát hoạt động của tổ chức tư nhân, tổ chức phi lợi nhuận, cũng như cơ quan chính phủ và các cơ quan công quyền trong nhiều lĩnh vực kinh doanh và ngành công nghiệp. Ví dụ, Cơ quan thương mại liên bang Hoa Kỳ (Federal Trade Commission, FTC) giám sát hoạt động của cơ quan tư nhân ở Hoa Kỳ, trong khi CQBVDLCN bang California (California Privacy Protection Agency) tập trung vào việc giám sát tuân thủ cho tổ chức và cơ quan công quyền ở California. Phạm vi lãnh thổ: Phạm vi lãnh thổ mà CQBVDLCN có thẩm quyền giám sát và BVDLCN có thể khác nhau. Một số CQBVDLCN chỉ có thẩm quyền trong lãnh thổ quốc gia của họ, trong khi nhiều CQBVDLCN ở châu Âu có thẩm quyền áp dụng quy định BVDLCN cho các tổ chức nằm ngoài lãnh thổ quốc gia. Điều này quan trọng đặc biệt trong việc xử lý DLCN của người dân châu Âu hoặc liên quan đến việc cung cấp hàng hoá hoặc dịch vụ cho họ. Quyền hạn: CQBVDLCN có quyền thực hiện các biện pháp như mở cuộc điều tra, đưa ra quyết định và xử phạt trong trường hợp vi phạm BVDLCN. Họ cũng có thể tham gia vào việc đề xuất và xây dựng chính sách liên quan đến BVDLCN và thường hợp tác với cơ quan tương tự ở các quốc gia khác để giải quyết các vấn đề liên quan đến BVDL xuyên biên giới. Tóm lại, CQBVDLCN đóng vai trò quan trọng trong việc đảm bảo tuân thủ và thực thi quy định BVDL, và đối tượng giám sát, phạm vi lãnh thổ hay vai trò của họ có thể khác nhau tùy thuộc vào quốc gia hoặc khu vực cụ thể. Mô hình Cơ quan bảo vệ dữ liệu cá nhân tại một số quốc gia trên thế giới Cơ quan bảo vệ dữ liệu cá nhân tại châu Âu GDPR là quy tắc quan trọng về BVDL cá nhân tại châu Âu, thay thế Chỉ thị 95/46/EC, với mục tiêu là bảo vệ quyền riêng tư của người dân và áp dụng cho tất cả tổ chức xử lý DLCN của 631
người dân châu Âu. GDPR bao gồm các nguyên tắc quan trọng như bảo mật, công bằng, tối ưu hóa dữ liệu và báo cáo vi phạm. Các quyền của công dân và nghĩa vụ của tổ chức theo GDPR bao gồm quyền đồng tình, truy cập, sửa đổi, xóa dữ liệu, giới hạn xử lý và truyền dữ liệu, cũng như quyền không phải chịu sự quyết định tự động. Đồng thời, quy tắc này yêu cầu tổ chức tuân thủ các nghĩa vụ như bảo mật dữ liệu, xử lý theo mục đích cụ thể, chịu trách nhiệm, báo cáo chuyển dữ liệu và thông báo khi xảy ra vi phạm. GDPR cũng đặt yêu cầu cho việc thành lập CQBVDLCN ở mỗi quốc gia thành viên của châu Âu. Các CQBVDLCN có quyền và nhiệm vụ quan trọng để giám sát tuân thủ GDPR, đưa ra quyết định và áp đặt biện pháp phạt, hỗ trợ công dân và tổ chức, xử lý khiếu nại, và hợp tác quốc tế. GDPR tạo ra nền tảng pháp lý chung cho BVDLCN tại châu Âu và đặt ra thách thức đối với CQBVDLCN để đảm bảo tính tuân thủ và thực thi quy tắc này. Những tiền đề cho CQBVDLCN hiện nay tại châu Âu Các CQBVDLCN tại châu Âu đã trải qua một quá trình phát triển đáng kể qua các giai đoạn khác nhau. Ban đầu, trước khi GDPR được áp dụng, quốc gia thành viên của Liên minh châu Âu đã phát triển quy định BVDL tại cấp quốc gia, dẫn đến sự xuất hiện của các cơ quan quốc gia riêng lẻ, ví dụ: CNIL ở Pháp và ICO ở Vương quốc Anh. Chỉ thị 95/46/EC (1995) đã tạo ra khung pháp lý cơ bản cho CQBVDLCN tại EU, nhưng các thách thức liên quan đến xử lý dữ liệu xuyên biên giới đã tạo ra tranh chấp và thúc đẩy sự phát triển của quyền và quyền hạn của CQBVDLCN. Quyết định vụ Google ở Tây Ban Nha đã mở rộng phạm vi của Chỉ thị 95/46/EC bao gồm cả các công ty đặt trụ sở ngoài Liên minh châu Âu, đòi hỏi họ tuân theo quy tắc BVDL của EU. Quyết định vụ Weltimmo đã xác định quyền và khả năng của các CQBVDLCN khi xử lý dữ liệu nằm trong phạm vi của luật của một quốc gia thành viên khác. Sau đó, GDPR đã thay thế Chỉ thị 95/46/EC với các quy tắc hiện đại hơn và áp dụng trực tiếp trên toàn Liên minh châu Âu. Nó tạo ra "cơ chế một cửa" để làm cho quyền lực của CQBVDLCN mạnh mẽ hơn và đảm bảo tính nhất quán trong việc áp dụng quy định. Quyền và quyền hạn của CQBVDLCN đã được định rõ và củng cố, bao gồm quyền điều tra, quyền sửa đổi, và quyền phê duyệt và tư vấn. Cơ chế một cửa giúp phối hợp hiệu quả giữa các CQBVDLCN và đảm bảo tính nhất quán trong việc thực thi BVDL trên toàn Liên minh châu Âu. 632
Thẩm quyền của Cơ quan bảo vệ dữ liệu cá nhân theo GDPR Thẩm quyền của CQBVDLCN theo GDPR bao gồm thẩm quyền đơn lẻ và thẩm quyền hợp tác. Thẩm quyền đơn lẻ dựa trên nguyên tắc lãnh thổ, trong đó một CQBVDLCN xử lý vụ án một mình khi nó liên quan đến hoạt động tại quốc gia của họ hoặc các vấn đề quốc gia. Trong trường hợp liên quan đến quốc gia thành viên khác, họ phải thông báo cho CQBVDLCN chính có thẩm quyền. Thẩm quyền hợp tác được kích hoạt khi xử lý dữ liệu xuyên biên giới, đòi hỏi sự hợp tác giữa nhiều CQBVDLCN. CQBVDLCN "điều phối" được xác định dựa trên địa điểm của cơ quan chủ quản chính, trong khi các CQBVDLCN "có liên quan" được xác định bởi tình hình cụ thể. Cơ chế một cửa giúp đảm bảo sự thống nhất trong việc giám sát các hoạt động xử lý dữ liệu xuyên biên giới trong Liên minh châu Âu. Dưới quy định GDPR, các công ty kinh doanh tại nhiều quốc gia thành viên có một CQBVDL duy nhất là điểm liên hệ. CQBVDL "điều phối" phối hợp giám sát tất cả các hoạt động xử lý của công ty trên toàn châu Âu, giúp đảm bảo nhất quán và hiệu quả. Cơ chế hợp tác này đòi hỏi sự thiết lập quy tắc bảo mật và hợp tác giữa các CQBVDLCN để BVDL và đảm bảo sự đồng nhất trong việc áp dụng quy định trên toàn lãnh thổ châu Âu. Cơ cấu tổ chức – Yêu cầu về tính độc lập Cơ cấu tổ chức của CQBVDLCN trong Liên minh châu Âu đang trải qua sự thay đổi với mô hình Ủy viên trở nên phổ biến hơn so với mô hình Ủy ban. Điều quan trọng là CQBVDLCN phải hoạt động hoàn toàn độc lập khi thực hiện nhiệm vụ và quyền hạn của họ, theo quy định của Điều 52 (1) của GDPR. Để đảm bảo tính độc lập hoàn toàn, GDPR đặt ra nhiều yêu cầu cụ thể, bao gồm độc lập trong quyết định, tự chủ của người ra quyết định, nguồn lực đủ, độc lập trong tổ chức, và độc lập trong tài chính. Những quy định này cùng với Điều 53 và 54 GDPR đảm bảo rằng CQBVDLCN có khả năng hoạt động độc lập và hiệu quả, bảo vệ quyền riêng tư và DLCN của công dân một cách tốt nhất. Cơ chế hợp tác và thống nhất qua Hội đồng Bảo vệ Dữ liệu châu Âu Cơ chế hợp tác và thống nhất thông qua Hội đồng Bảo vệ Dữ liệu châu Âu (European Data Protection Board, EDPB) đóng vai trò quan trọng trong việc đảm bảo việc thực hiện thống nhất của Quy tắc BVDL trên toàn Liên minh châu Âu. 633
Thứ nhất, khi một CQBVDL đưa ra biện pháp pháp lý ảnh hưởng đến nhiều quốc gia thành viên, đòi hỏi họ cần phải yêu cầu ý kiến của EDPB. Điều này là một điều kiện tiên quyết cho tính hợp pháp của những biện pháp này. Mặc dù GDPR không trực tiếp trao quyền ra quyết định ràng buộc cho EDPB, nhưng nó quy định nếu một CQBVDL không tuân theo ý kiến của EDPB, EDPB có quyền ra quyết định cuối cùng. Thứ hai, tính thống nhất thể hiện trong việc giải quyết tranh chấp giữa các CQBVDL liên quan hoặc khi có sự xung đột về quyền thẩm quyền đối với CQBVDL điều phối. Trong tình huống này, EDPB can thiệp và đưa ra quyết định ràng buộc. GDPR cho phép tính thống nhất trong các tình huống có ảnh hưởng toàn cầu hoặc tác động pháp lý ở nhiều quốc gia thành viên, không phụ thuộc vào quyền thẩm quyền. EDPB có quyền đưa ra quyết định dựa trên đa số đơn giản hoặc đa số hai phần ba, tùy thuộc vào tình huống. Tuy nhiên, quyền này của EDPB có thể đặt ra câu hỏi về tính độc lập của các CQBVDL quốc gia. Do đó, CQBVDL có thể tìm cách giải quyết các vấn đề thông qua sự hợp tác trong cơ chế một cửa thay vì kích hoạt tính thống nhất này. Luật BVDL châu Âu GDPR đang tạo ra tiêu chuẩn quốc tế cho BVDLCN. Một số quốc gia đã sửa đổi luật của họ để tuân theo nguyên tắc của GDPR. Dự kiến trong tương lai, sự thống nhất về BVDL sẽ lan rộng và đặt áp lực cho cả công dân và doanh nghiệp trên toàn thế giới. Cơ quan bảo vệ dữ liệu cá nhân tại một số quốc gia khác Hoa Kỳ sử dụng mô hình Cơ quan đa chức năng trong BVDLCN, trong đó Cơ quan Thương mại Liên bang (FTC) đóng vai trò quan trọng. FTC có quyền điều tra, yêu cầu tuân thủ, và áp đặt khoản phạt về việc vi phạm an toàn dữ liệu, đồng thời thúc đẩy minh bạch. Tuy nhiên, Hoa Kỳ là thành viên duy nhất của Tổ chức OECD không có một CQBVDL độc lập và thiếu một hệ thống luật BVDL toàn diện. Điều này tạo ra một khoảng trống trong việc đảm bảo BVDLCN và quyền riêng tư của người tiêu dùng, khiến đội ngũ thực thi và quản lý dữ liệu phân tán và thiếu tính hiệu quả. Theo đó, một CQBVDL độc lập tại Hoa Kỳ là cần thiết để đảm bảo việc bảo vệ hiệu quả hơn cho DLCN và quyền riêng tư của người tiêu dùng, và để đối phó với các thách thức đối mặt trong thời đại số hóa ngày nay. Singapore, ngược lại, có một mô hình Ủy ban BVDLCN (Personal Data Protection Commission, PDPC) vững mạnh. PDPC có quyền yêu cầu yêu cầu tổ chức và cá nhân cung cấp thông tin và tài liệu liên quan đến việc xử lý dữ liệu cá nhân, áp đặt khoản phạt tài chính lên đến 10% tổng doanh thu hàng năm của tổ chức, và có quyền xử lý qua các biện pháp tùy ý. 634
PDPC cũng hợp tác quốc tế để đảm bảo BVDLCN qua biên giới. Với quyền hạn mạnh mẽ và khả năng thực thi rộng rãi, PDPC đã thiết lập một cam kết mạnh mẽ đối với BVDLCN. PDPC đã sử dụng quyền hạn của mình một cách thiết thực, đặc biệt là trong việc đảm bảo tuân thủ và thúc đẩy việc sử dụng khoản phạt tài chính như một công cụ để bảo vệ quyền riêng tư và đảm bảo sự tuân thủ của Luật BVDLCN. Với sự tập trung vào hợp tác quốc tế và việc đảm bảo rằng DLCN của người dân Singapore được bảo vệ khi truyền đến các tổ chức hoặc quốc gia khác, PDPC đã định vị mình là một trong những cơ quan dẫn đầu trong việc thúc đẩy tiêu chuẩn quốc tế về quyền riêng tư và BVDL tại khu vực Đông Nam Á. Cơ quan bảo vệ dữ liệu tại Việt Nam Cơ quan bảo vệ dữ liệu cá nhân tại Việt Nam Theo bản Dự thảo Nghị định BVDLCN được công bố và lấy ý kiến vào năm 2021, CQBVDLCN được gọi là Ủy Ban BVDLCN, tổ chức trực thuộc Chính Phủ, có vai trò quản lý và giám sát BVDLCN tại Việt Nam. Tuy nhiên, Nghị định 13/2023 cuối cùng giao trách nhiệm thực hiện yêu cầu BVDLCN cho cơ quan hiện có trong Bộ Công an (“BCA”), Cục an ninh mạng và phòng chống tội phạm (“Cục ANM & PCTP”). Với quy định này, CQBVDL hiện tại của Việt Nam đang thực hiện theo mô hình Cơ quan đa chức năng, kết hợp chức năng bảo vệ dữ liệu vào các chức năng hiện tại của Cục ANM & PCTP. Ngoài ra, Nghị định 13/2023 cũng thiết lập một cổng thông tin quốc gia cho mục đích BVDLCN. CQBVDLCN của Việt Nam các quyền hạn và trách nhiệm như giúp BCA thực hiện quản lý nhà nước về BVDLCN, quản lý và giám sát việc thực thi pháp luật BVDLCN và cung cấp thông tin và tuyên truyền về BVDLCN. So sánh và đánh giá Về cách tiếp cận đối với mục tiêu bảo vệ dữ liệu Việt Nam tiếp cận BVDLCN theo hướng truyền thống, với mục tiêu chính là bảo vệ DLCN khỏi việc sử dụng trái phép, tập trung vào việc đảm bảo tính bảo mật và sự đồng tình (consent) của cá nhân. GDPR tại châu Âu thiết lập một tiêu chuẩn cao hơn, với tập trung vào bảo vệ quyền cá nhân và tự do thông tin của người dân châu Âu. Về mô hình của Cơ quan bảo vệ dữ liệu Xét về mô hình, VN chọn cách tiếp cận theo mô hình Cơ quan đa chức năng tương tương tự như Mỹ. Tuy nhiên, FTC của Mỹ có chức năng chính là bảo vệ quyền và lợi ích của người tiêu 635
dùng, đảm bảo sự cạnh tranh trên thị trường và thúc đẩy các thực tiễn kinh doanh công bằng và đạo đức. Trong khi đó, chức năng chính của Cục ANM & PCTP, như chính tên gọi, là bảo đảm an ninh và an toàn mạng, và các biện pháp phòng ngừa, phát hiện, điều tra xử lý tội phạm sử dụng công nghệ cao. Tuy nhiên, việc FTC và Cục ANM & PCTP có sự tập trung và mục tiêu chính khác nhau trong công việc của họ cũng không thể dẫn đến một kết luận nào tại thời điểm hiện tại, khi mà việc thực thi chức năng chuyên trách về BVDL của Cục ANM & PCTP chỉ vừa mới bắt đầu. Tại châu Âu, như đã trình bày tại phần 3, CQBVDL của EU được thực hiện theo mô hình Ủy ban/Ủy viên nên có quyền hạn mạnh mẽ và độc lập so với cơ quan chuyên trách BVDLCN của Việt Nam. Họ có thể áp dụng các biện pháp trừng phạt nếu các tổ chức vi phạm quy định về bảo vệ dữ liệu cá nhân và có khả năng đánh giá và quyết định độc lập về việc xử lý DLCN. Tương tự, Ủy ban BVDL tại Singapore cũng có quyền hạn mạnh mẽ hơn và độc lập hơn so với cơ quan tương tự ở Việt Nam. Họ có thể áp dụng các biện pháp trừng phạt và có thẩm quyền để kiểm tra, điều tra và quyết định về việc xử lý DLCN. Một số gợi ý đối với mô hình cơ quan bảo vệ dữ liệu Việt Nam Một số cơ hội và thách thức đối với Cơ quan bảo vệ dữ liệu Việt Nam Việc ban hành Nghị định 13/2023 đại diện cho cam kết quan trọng của Chính phủ Việt Nam đối với việc BVDLCN, và điều này mang lại cơ hội và thách thức đối với CQBVDLCN. Trước hết, Nghị định này cung cấp nền tảng pháp lý vững chắc, đặt ra khung pháp lý rõ ràng để quản lý và BVDLCN tại Việt Nam, đảm bảo tính minh bạch và khuyến khích tuân thủ. Nó tạo ra giới hạn cụ thể về việc thu thập, xử lý và lưu trữ DLCN, ngăn chặn sự lạm dụng DLCN. Tuy nhiên, CQBVDLCN của Việt Nam đối diện với một số thách thức. Một trong những điểm yếu nổi bật là tính độc lập bị hạn chế, khi CQBVDLCN nằm dưới sự quản lý của BCA và Cục An ninh mạng. Điều này có thể gây xung đột giữa việc bảo vệ quyền cá nhân và đảm bảo an ninh mạng. Cân bằng giữa quyền cá nhân và an ninh mạng, quyền hạn hạn chế của CQBVDLCN, khả năng đánh giá bị hạn chế và thiếu sự trải nghiệm cũng là những thách thức mà CQBVDLCN cần vượt qua để đảm bảo hiệu quả trong việc BVDLCN và quyền riêng tư của công dân. Gợi ý đối với cơ quan bảo vệ dữ liệu cá nhân Việt Nam 636
Với những thách thức đã trình bày ở trên, một số hàm ý chính sách nhằm mục đích tăng cường tính độc lập, quyền hạn, khả năng đánh giá, trình độ chuyên môn, và hợp tác quốc tế có thể cân nhắc như sau. Thứ nhất, cần cải thiện mô hình CQBVDLCN. Từ góc nhìn tổng quan, có thể thấy rất rõ rằng để đảm bảo tính độc lập và hiệu quả của việc BVDLCN, nên tách biệt CQBVDLCN khỏi các cơ quan khác và tạo ra một môi trường làm việc độc lập cho nó. Ngoài ra, cũng có thể xem xét lại quy định hành chính để giảm bớt sự liên kết với các cơ quan an ninh khác. Bằng cách làm như vậy, CQBVDLCN có thể đảm bảo rằng quyết định liên quan đến BVDLCN được đưa ra một cách độc lập và không bị ảnh hưởng bởi các yếu tố khác như an ninh quốc gia. Thứ hai, CQBVDLCN cần được trang bị quyền hạn mạnh mẽ. Quyền hạn này bao gồm thẩm quyền để kiểm tra, xem xét, và áp dụng các biện pháp trừng phạt đối với các tổ chức vi phạm quy định về BVDLCN. Ngoài ra, CQBVDLCN cũng cần tăng cường sự kiểm tra và giám sát. Điều này đòi hỏi có nguồn lực về tài chính và nhân lực để thực hiện các hoạt động kiểm tra hiệu quả. Thứ ba, CQBVDLCN nên đào tạo nhân viên về quản lý và giám sát DLCN, bao gồm việc đánh giá tác động của việc xử lý dữ liệu và quản lý rủi ro. Điều này giúp đảm bảo rằng nhân viên có đủ kiến thức và kỹ năng để thực hiện các nhiệm vụ liên quan đến BVDLCN một cách chính xác và hiệu quả. Ngoài ra, việc sử dụng công nghệ là một phần quan trọng trong việc xây dựng khả năng đánh giá. CQBVDLCN nên đầu tư vào công nghệ và công cụ đánh giá hiện đại để theo dõi và đánh giá hiệu quả của các biện pháp BVDL. Thứ tư, cần thiết phải thiết lập một cơ chế báo cáo và phản hồi hiệu quả để tăng cường khả năng thích nghi và đảm bảo tính minh bạch trong hoạt động của CQBVDLCN. Cơ chế này nên cho phép người dân và tổ chức báo cáo mọi vi phạm liên quan đến BVDLCN. Một trong những lợi ích quan trọng của cơ chế này là tạo ra sự tin tưởng của người dân và doanh nghiệp vào khả năng và cam kết của CQBVDLCN trong việc BVDLCN. Điều này cũng đảm bảo rằng các vi phạm sẽ được xử lý một cách nghiêm túc, đảm bảo tính công bằng và tuân thủ quy định về BVDLCN. Thứ năm, CQBVDLCN cần đầu tư vào trình độ chuyên môn bằng cách tìm kiếm và tuyển dụng các chuyên gia có kiến thức sâu về an ninh thông tin và quyền riêng tư. Các chuyên gia này có thể đóng vai trò quan trọng trong việc phát triển và thực thi các quy định hiệu quả liên quan đến BVDLCN. Để làm được như vậy, CQBVDLCN cần tạo điều kiện làm việc hấp dẫn với các ưu đãi và môi trường làm việc phù hợp. Điều này có thể bao gồm các chính sách thu 637
nhập và phúc lợi cạnh tranh, cũng như cơ hội thăng tiến và phát triển sự nghiệp trong lĩnh vực BVDLCN. Thứ sáu, CQBVDLCN nên tìm kiếm các cơ hội hợp tác quốc tế trong lĩnh vực BVDLCN. Hợp tác này không chỉ giúp chia sẻ kinh nghiệm và học hỏi từ các quốc gia có trình độ cao trong lĩnh vực BVDLCN mà còn mang lại nhiều lợi ích khác. Những đề xuất này ngoài việc góp phần vào sự thành công của BVDLCN trong bối cảnh nhiều thách thức, chúng cũng đóng vai trò rất quan trọng để đảm bảo sự hiệu quả của CQBVDLCN trong việc bảo vệ quyền riêng tư và DLCN của người dân. Những điều này sẽ giúp Việt Nam thích nghi và phản ứng hiệu quả trong môi trường số hóa ngày càng phức tạp ngày nay. Kết luận Việc BVDLCN là một vấn đề được các tổ chức và nhiều quốc gia quan tâm và đi trước nước ta trong một khoảng thời gian đáng kể, tích lũy nhiều kinh nghiệm pháp lý và thực tiễn triển khai thi hành. Tuy nhiên, do hệ thống pháp luật, trình độ nhận thức và điều kiện xã hội, kinh tế khác nhau, việc tiếp thu cần phải đảm bảo sự hài hòa dựa trên tình hình thực tiễn của Việt Nam. Nghiên cứu này đã xây dựng cái nhìn tổng quan về mô hình hoạt động và vai trò của CQBVDLCN ở một số quốc gia, giúp hiểu rõ hơn về cơ cấu, quyền hạn, và cơ chế vận hành của họ. Với sự ra đời của Nghị định 13/2023, Việt Nam đã có bước tiến quan trọng trong việc thiết lập cơ sở pháp lý cho lĩnh vực BVDLCN. Tuy nhiên, việc thúc đẩy và cải tiến mô hình CQBVDLCN để đáp ứng mọi thách thức của thời đại số hóa vẫn đòi hỏi sự quyết tâm và nỗ lực liên tục. Theo đó, những đề xuất trình bày ở đây, nếu được thực hiện, sẽ góp phần không nhỏ vào sự thành công trong việc thực thi của CQBVDLCN, đồng thời góp phần tạo lập một môi trường kinh doanh công bằng và tuân thủ pháp luật tại Việt Nam./. Tài liệu tham khảo Danh mục văn bản pháp luật Nghị định số 13/2023/NĐ-CP ngày ngày 17 tháng 4 năm 2023 của Chính phủ về Bảo vệ dữ liệu cá nhân General Data Protection Regulation GDPR, Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 638
Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995. Federal Trade Commission Act. The 2012 Personal Data Protection Act of Singapore. Danh mục tài liệu tham khảo Dao, K. T. (2025). Harmonizing Vietnamese personal data protection Law with Asean standards: Lessons learned from the Singaporean. ADM, 24-25. Daigle, B., & Khan, M. (2020). The EU general data protection regulation: an analysis of enforcement trends by eu data protection authorities. J. Int'l Com. & Econ., 1. Giurgiu, A., & Larsen, T. A. (2016). Roles and powers of national data protection authorities. Eur. Data Prot. L. Rev., 2, 342 Shawn Marie Boyne, Data Protection in the United States, The American Journal of Comparative Law, Volume 66, Issue suppl_1, July 2018, Pages 299– 343, https://doi.org/10.1093/ajcl/avy016 Schütz, Philip. (2022). Data Protection Authorities under the EU General Data Protection Regulation. A New Global Benchmark (extended version). 10.24406/ISI-N-642963. Stewart, B. (2004). A comparative survey of data protection authorities-Part 1: Form and structure. Privacy Law and Policy Reporter, 11(2). CJEU - C-230/14 – Weltimmo, Judgment of the Court (Third Chamber) of 1 October 2015. Weltimmo s.r.o. v Nemzeti Adatvédelmi és Információszabadság Hatóság, https://gdprhub.eu/index.php?title=CJEU_-_C-230/14_-_Weltimmo, truy cập ngày 23/9/2023 DataGuidance, “Sweden - Data Protection Overview” (2023), https://www.dataguidance.com/notes/sweden-data-protection-overview, truy cập ngày 05/09/2023 Deloitte: Unity in diversity the Asia pacific privacy guide. Retrieved from https://www2.deloitte.com/content/dam/Deloitte/sg/Documents/risk/sea-risk-unity- diversity-privacy-guide.pdf (2019) EUR-Lex - 62012CJ0131 - EN - EUR-Lex. (2023), https://eur-lex.europa.eu/legal- content/EN/TXT/?uri=CELEX%3A62012CJ0131, truy cập ngày 23/09/2023 639
Federal Commissioner for Data Protection and Freedom of Information, BfDI - Tasks and powers. (2023), https://www.bfdi.bund.de/EN/DerBfDI/UeberUns/DieBehoerde/diebehoerde_node.html, truy cập ngày 09/09/2023 Future of Privacy Forum, “A Look into DPA Strategies in the African Continent (2022), https://fpf.org/wp-content/uploads/2022/05/African-DPAs-Strategies-Report.pdf, truy cập ngày 21/08/2023 640