intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Sự ly khai khỏi GDPR của Vương quốc Anh và hàm ý chính sách cho Việt Nam

Chia sẻ: Tưởng Trì Hoài | Ngày: | Loại File: PDF | Số trang:18

5
lượt xem
3
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài viết "Sự ly khai khỏi GDPR của Vương quốc Anh và hàm ý chính sách cho Việt Nam" phân tích về những khó khăn trong áp dụng GDPR từ ví dụ cụ thể của UK - một quốc gia đã bắt đầu xu hướng ly khai khỏi GDPR để tạo điều kiện nhiều hơn cho doanh nghiệp và thúc đẩy sự phát triển của công nghệ. Trên cơ sở kinh nghiệm của UK, bài viết đưa ra những hàm ý chính sách cho Việt Nam. Mời các bạn cùng tham khảo!

Chủ đề:
Lưu

Nội dung Text: Sự ly khai khỏi GDPR của Vương quốc Anh và hàm ý chính sách cho Việt Nam

  1. SỰ LY KHAI KHỎI GDPR CỦA VƯƠNG QUỐC ANH VÀ HÀM Ý CHÍNH SÁCH CHO VIỆT NAM ThS. Lương Lê Minh Cục cạnh tranh và Bảo vệ người tiêu dùng, Bộ Công thương Email: luongleminh.hlu@gmail.com Vũ Thị Mai Chinh Trường Đại học Luật Hà Nội Email: chinhmai781@gmail.com Hoàng Minh Đức Friedrich-Ebert-Stiftung Vietnam Email: hmduc99@gmail.com Tóm tắt: Với nhiều điểm mới ưu việt, Quy định chung về Bảo vệ Dữ liệu (GDPR) của Liên minh châu Âu hiện đang là hình mẫu cho quy định về bảo vệ dữ liệu cá nhân trên phạm vi toàn cầu. Tuy nhiên, khi áp dụng trên thực tiễn tại Vương quốc Anh (UK), GDPR bộc lộ không ít bất cập, gây cản trở hoạt động kinh doanh. Bài viết phân tích về những khó khăn trong áp dụng GDPR từ ví dụ cụ thể của UK - một quốc gia đã bắt đầu xu hướng ly khai khỏi GDPR để tạo điều kiện nhiều hơn cho doanh nghiệp và thúc đẩy sự phát triển của công nghệ. Trên cơ sở kinh nghiệm của UK, bài viết đưa ra những hàm ý chính sách cho Việt Nam. Từ khóa: Vương quốc Anh, bảo vệ dữ liệu cá nhân, GDPR, Việt Nam Abstract: With many outstanding new features, the European Union's General Data Protection Regulation (GDPR) has become a model for regulations of personal data protection throughout the world. However, GDPR implementation in the United Kingdom (UK) revealed many of its shortcomings, all causing obstacles to business. The article analyzes the difficulties in applying GDPR from the case of the UK - which has begun the trend of seceding from GDPR to create favorable conditions for business and technological development. Learning from that case, the article provides policy implications for Vietnam. Keyword: United Kingdom, data privacy and protection, GDPR, Vietnam 687
  2. Ảnh hưởng toàn cầu của GDPR - Liệu có phù hợp với mọi quốc gia? Trong bối cảnh những thành tựu của cuộc cách mạng công nghệ 4.0 đã phổ biến đến mọi mặt của đời sống xã hội, vấn đề quyền riêng tư nói chung, bảo vệ dữ liệu cá nhân nói riêng ngày càng được chú trọng. Nhiều quốc gia đã xây dựng và ban hành các quy định về bảo vệ dữ liệu cá nhân, tiêu biểu là Quy định chung về bảo vệ dữ liệu (General Data Protection Regulation - GDPR) của Liên minh châu Âu (EU). GDPR được xem như một mẫu mực trong các quy định về bảo vệ dữ liệu, và là nền tảng pháp lý quan trọng cho việc thiết lập mô hình bảo vệ quyền riêng tư, với ảnh hưởng không chỉ trong phạm vi châu Âu, mà còn tác động đến toàn thế giới. Có hiệu lực từ ngày 25/5/2018, GDPR đã trở thành một cuộc cách mạng về bảo vệ dữ liệu cá nhân. Không chỉ tạo thay đổi lớn đến hoạt động bảo vệ dữ liệu cá nhân của các quốc gia tại châu Âu, GDPR còn là hình mẫu để học hỏi đối với quá trình xây dựng pháp luật về bảo vệ dữ liệu cá nhân tại nhiều quốc gia khác, trong đó có Việt Nam. GDPR được Nghị viện châu Âu và Hội đồng châu Âu thông qua và được coi như một “luật khung” trong lĩnh vực bảo vệ dữ liệu cá nhân. Trên cơ sở đó, các quốc gia ở châu Âu không chỉ áp dụng song song GDPR cùng với pháp luật của nước mình mà còn không ngừng sửa đổi các quy định của pháp luật quốc gia để phù hợp với xu hướng chung được xác định trong GDPR. Pháp đã điều chỉnh luật pháp nước mình theo định hướng của GDPR với việc thông qua Luật số 2018-493 ngày 20/6/2018 về bảo vệ dữ liệu cá nhân, thay đổi những thủ tục vốn tồn tại trước đó theo hướng nâng cao trách nhiệm giải trình của mỗi bên liên quan trong GDPR. Đức ngoài việc tuân thủ GDPR, cũng đã ban hành Đạo luật Bảo vệ Dữ liệu Liên bang Đức (Bundesdatenschutzgesetz, thường được viết tắt là BDSG), bổ sung thêm các quy định theo triết lý và định hướng của GDPR, nêu rõ quyền và trách nhiệm của người kiểm soát dữ liệu thông qua các điều khoản cụ thể hơn. Tại châu Á, Nhật Bản có thể được coi là một trong những quốc gia đi đầu trong xây dựng pháp luật về bảo vệ dữ liệu cá nhân, với việc ban hành Đạo luật bảo vệ thông tin cá nhân (Act on the Protection of Personal Information, thường được viết tắt là APPI) từ năm 2003. Khi GDPR xuất hiện, xu hướng bảo vệ toàn diện của quy định này cũng ảnh hưởng tới pháp luật Nhật Bản, thúc đẩy việc sửa đổi khung pháp lý tại quốc gia châu Á này. Vào năm 2017, chỉ một năm sau khi GDPR được thông qua và trước khi quy định này của châu Âu có hiệu lực, Nhật Bản đã sửa đổi Đạo luật bảo vệ thông tin cá nhân. APPI đã bổ sung quy định về mục đích sử dụng thông tin cá nhân; khi thu thập thông tin, việc phải thông báo hoặc công bố tới chủ thể dữ liệu 688
  3. là bắt buộc. Trong thông báo hoặc công bố đó, mục đích sử dụng dữ liệu phải được thể hiện một cách rõ ràng. Đây vốn là một xu hướng bảo vệ dữ liệu mới do GDPR thúc đẩy. Nhìn chung, có thể thấy rằng, GDPR có ảnh hưởng rộng rãi tới việc xây dựng quy định về bảo vệ dữ liệu cá nhân của nhiều quốc gia, không chỉ giới hạn trong châu Âu mà cả các quốc gia ở các khu vực khác trên thế giới. Tuy nhiên, những ảnh hưởng này không hoàn toàn là tích cực. Cần nhìn nhận một thực tế rằng GDPR được xây dựng trong bối cảnh, tiêu chuẩn và học thuyết pháp lý của châu Âu, nên khi được du nhập, cấy ghép vào hệ thống pháp luật của các nước khác có thể phát sinh những mâu thuẫn với hệ thống pháp luật quốc gia sở tại. Bên cạnh đó, những quy định được xây dựng theo ảnh hưởng từ GDPR khi được áp dụng vào thực tế các quốc gia khác chưa chắc đã hợp lý và dễ dàng thực thi. Trong phạm vi bài viết này, các tác giả nghiên cứu trường hợp Vương quốc Anh, tìm hiểu những lý do dẫn đến sự ly khai của đất nước này khỏi GDPR của EU. Những vướng mắc, bất cập khi áp dụng quy định của GDPR ở Anh cũng sẽ là bài học lớn cho Việt Nam trong xây dựng và thực thi pháp luật về bảo vệ dữ liệu cá nhân. Sự ly khai của Vương quốc Anh khỏi ảnh hưởng của GDPR 2.1 Bối cảnh và Nguyên nhân Vương quốc Anh tiến hành sửa luật Đối với Vương quốc Anh, GDPR có những ảnh hưởng sâu sắc tới hệ thống pháp luật nội địa về bảo vệ dữ liệu, dù là khi nước này còn là thành viên của EU hay đã rời khỏi tổ chức đa quốc gia này. Trước khi rời EU vào tháng 01/2020, Vương quốc Anh đã tuân thủ nghiêm ngặt các quy định trong GDPR với tư cách là một thành viên. Bằng việc thông qua Đạo luật bảo vệ dữ liệu 2018 (DPA) vào ngày 23/05/2018, Vương quốc Anh đã nội luật hóa các quy định tại GDPR và đưa vào hệ thống pháp luật nội địa của mình, áp dụng song song với quy định ở tầm khu vực của GDPR. Ngay cả khi nước Anh đã rời EU kể từ ngày 31/12/2020 (sự kiện vốn được biết đến rộng rãi với tên gọi Brexit), GDPR trên thực tế vẫn được áp dụng tại đất nước này. Sau Brexit, vốn dĩ Vương quốc Anh không còn là thành viên của EU và do đó một quy định của EU là GDPR sẽ ngừng bảo vệ các quyền và quyền tự do của Công dân Vương quốc Anh liên quan đến thông tin cá nhân của họ. Để đảm bảo các quyền của công dân liên quan đến bảo vệ dữ liệu cá nhân tiếp tục được duy trì một cách toàn diện, chính phủ Anh đã ban hành Quy định Bảo vệ dữ liệu, quyền riêng tư và truyền thông điện tử sửa đổi (DPPEC Amendment), có hiệu lực từ ngày 01/01/2021, sửa đổi DPA 2018 để hợp nhất DPA 2018 với các quy định còn nghiêm ngặt hơn của GDPR, tạo thành một cơ chế bảo vệ dữ liệu mới của riêng quốc gia này hậu Brexit. Dù 689
  4. không còn chính thức đưa GDPR của EU vào áp dụng trực tiếp trong luật pháp của nước mình như là một thành viên của EU, có thể thấy được Vương quốc Anh vẫn xây dựng hệ thống pháp luật về bảo vệ dữ liệu của mình theo định hướng phù hợp và hài hoà với các quy định của GDPR. Tuy nhiên, ngay từ khi còn là một thành viên của EU, Chính phủ Anh nhận thấy một thực tế là GDPR vẫn còn tồn đọng không ít những hạn chế gây khó khăn cho doanh nghiệp khi thực hiện tuân thủ. Trong nhiều trường hợp, các doanh nghiệp cần có sự đồng ý để xử lý thông tin cá nhân của khách hàng. Họ sẽ không được phép lưu trữ dữ liệu lâu hơn mức cần thiết và phải đáp ứng yêu cầu từ những khách hàng muốn xóa dữ liệu của mình. Các công ty cũng có thể phải chứng minh rằng họ đang xử lý dữ liệu một cách chính xác, nghĩa là tăng thêm nghĩa vụ giám sát và ghi chép, kéo theo đó là không ít công việc giấy tờ và thủ tục hành chính. Một số doanh nghiệp có thể phải thuê nhân viên bảo vệ dữ liệu. Vì những lý do đó, chi phí cho việc tuân thủ các quy định của GDPR là không hề rẻ. Nhiều chuyên gia ước tính các công ty lớn trên thế giới đang phải chi hàng chục triệu USD để chuẩn bị cho việc tuân thủ các quy định của GDPR. Điều này đặc biệt gây ra khó khăn cho các doanh nghiệp vừa và nhỏ (SMEs) khi họ không có cùng nguồn lực, bao gồm máy móc và đội ngũ sẵn sàng để thực sự hỗ trợ liên tục kiểu tuân thủ này. Những khó khăn đối với doanh nghiệp khi triển khai tuân thủ GDPR đã được dự báo từ trước. Trước khi triển khai GDPR, nghiên cứu của đơn vị bảo hiểm doanh nghiệp QBE EU đã chỉ ra rằng chỉ hơn một phần tư (27,6%) doanh nghiệp tại Vương quốc Anh cảm thấy rằng họ có thể tuân thủ các quy định mới một cách đầy đủ. Sau khi đạo luật này có hiệu lực, tính tại thời điểm năm 2018, có đến 57% doanh nghiệp ở Anh không thể đáp ứng đầy đủ các quy định về bảo vệ dữ liệu cá nhân theo GDPR. Sau một khoảng thời gian thực hiện GDPR, đa phần các doanh nghiệp, không chỉ tại Anh mà cả các doanh nghiệp ở Mỹ, Hồng Kông đều cho rằng việc tuân thủ này khó hơn nhiều so với họ dự kiến trước đó. Vậy nguyên nhân của những khó khăn khi thực thi này đến từ đâu? Quy định theo định hướng của GDPR được cho là áp đặt các hạn chế nghiêm ngặt về những gì bên kiểm soát dữ liệu có thể làm với dữ liệu cá nhân của khách hàng. Thậm chí, GDPR đã chịu nhiều chỉ trích vì quá phụ thuộc vào các quyền với dữ liệu dựa trên sự đồng ý, điều mà một số người cho rằng đã dẫn đến sự bùng nổ trong hoạt động “box-ticking” (chỉ hoạt động đánh dấu vào ô trống thể hiện sự đồng ý của chủ thể dữ liệu đối với chính sách về bảo vệ dữ liệu của các công ty) nhưng lại ít có ý nghĩa trong thực tiễn bảo vệ dữ liệu của công dân. Thêm vào đó, mức 690
  5. tiền phạt cho các vi phạm đối với bảo vệ dữ liệu cá nhân được cho là rất cao. Một số doanh nghiệp nổi tiếng ở Anh như British Airways và Marriott đã bị phạt với số tiền lần lượt là 183 triệu và 99 triệu bảng Anh bởi Văn phòng Ủy ban Thông tin (ICO) Anh với lý do không bảo vệ dữ liệu khách hàng. Như đã đề cập ở trên, hậu Brexit, chính phủ Anh đã ban hành DPPEC, trong đó tích hợp bao gồm một phiên bản quy định của GDPR với không nhiều sửa đổi (phiên bản này thường được gọi là UK GDPR). UK GDPR về cơ bản có định hướng chung với luật ban đầu của EU. Điều này có nghĩa là hai văn bản này khá giống nhau và không có sự thay đổi quá lớn. Chính vì thế, những khó khăn mà doanh nghiệp Anh gặp phải và nêu ra từ trước khi Anh rời EU dường như không được cải thiện. Trong khi đó, các hoạt động thương mại dựa trên dữ liệu đã tạo ra 85% tổng xuất khẩu dịch vụ của Vương quốc Anh và đóng góp ước tính khoảng 259 tỷ bảng Anh cho nền kinh tế vào năm 2021. Vì lý do UK GDPR tạo gánh nặng tuân thủ quá mức và ảnh hưởng xấu đến kinh tế, nhu cầu sửa đổi luật về bảo vệ dữ liệu tại Vương quốc Anh được đặt ra một cách rõ ràng. Chính phủ Anh cho biết, với việc sửa đổi quy định về bảo vệ dữ liệu, họ sẽ ưu tiên “việc sử dụng dữ liệu một cách sáng tạo và có trách nhiệm” để có thể “thúc đẩy tăng trưởng, đặc biệt là đối với các công ty khởi nghiệp và doanh nghiệp nhỏ, tăng tốc khám phá khoa học và cải thiện dịch vụ công”. 2.2 Dự thảo Luật Bảo vệ Dữ liệu và Thông tin số (DPDIB) Những nguyên nhân nêu trên đưa Vương quốc Anh tới một quyết định tất yếu - sửa đổi quy định pháp luật về bảo vệ dữ liệu cá nhân nhằm khắc phục những khó khăn mà doanh nghiệp nước này gặp phải khi tiến hành tuân thủ theo UK GDPR. Dự luật Bảo vệ Dữ liệu và Thông tin Số (DPDIB) 2022-23 được giới thiệu tại Hạ viện Anh vào ngày 18/07/2022. Dự luật này đã được rút lại vào ngày 08/03/2023 và ngay sau đó, dự thảo DPDIB thứ hai đã được giới thiệu vào cùng ngày. Chính phủ Anh cho biết, đối với dự thảo lần này, các bộ trưởng có thể đồng tham gia vào quá trình đồng xây dựng dự thảo với các nhà lãnh đạo doanh nghiệp và chuyên gia dữ liệu - đảm bảo rằng chế độ mới được xây dựng dựa trên các tiêu chuẩn cao của Vương quốc Anh về bảo vệ dữ liệu và quyền riêng tư, đồng thời tìm cách đảm bảo khả năng sử dụng đầy đủ của dữ liệu trong khi loại bỏ dần cách tiếp cận ”one- size-fits-all” (chỉ một cách tiếp cận giống nhau cho mọi trường hợp) của EU GDPR. 691
  6. DPDIB dự tính được sửa đổi sẽ làm thay đổi cách tiếp cận bảo vệ dữ liệu của Vương quốc Anh, nhằm trợ giúp đắc lực cho các doanh nghiệp đồng thời vẫn đảm bảo việc bảo vệ dữ liệu cá nhân của công dân. Trong đó, những thay đổi sau là những thay đổi căn bản, cụ thể: Thứ nhất, dự thảo sẽ giới thiệu một khuôn khổ tận dụng các yếu tố tốt nhất của UK GDPR, nhưng đồng thời phải đơn giản, rõ ràng và thân thiện với doanh nghiệp, không gây khó hoặc tốn kém trong triển khai, và giúp doanh nghiệp linh hoạt hơn trong cách họ tuân thủ quy định về bảo vệ dữ liệu mới. Dự luật sẽ giảm bớt các yêu cầu quản lý rủi ro đối với một số tổ chức, đặc biệt là cả các doanh nghiệp vừa và nhỏ (SMEs). Tính linh hoạt và giảm bớt gánh nặng về tuân thủ sẽ được áp dụng cho các nghĩa vụ cụ thể của các tổ chức, bao gồm các yêu cầu bổ nhiệm Nhân viên chuyên trách bảo vệ dữ liệu, duy trì hồ sơ về các hoạt động xử lý dữ liệu và tiến hành Đánh giá tác động bảo vệ dữ liệu. Thứ hai, dự thảo còn cắt giảm số lượng thủ tục giấy tờ mà các tổ chức cần hoàn thành để thể hiện sự tuân thủ. Giờ đây, chỉ những tổ chức có hoạt động xử lý có khả năng gây ra rủi ro cao đối với quyền và quyền tự do của cá nhân mới cần lưu giữ hồ sơ xử lý. Bộ Kỹ thuật số, Văn hóa, Truyền thông và Thể thao (DCMS) đã tuyên bố rằng việc giảm bớt các nghĩa vụ này sẽ giúp các doanh nghiệp tiết kiệm chi phí hơn một tỷ bảng Anh trong vòng mười năm. Không chỉ vậy, một trong những thay đổi nhận được sự hưởng ứng đông đảo của các doanh nghiệp là những cải cách thúc đẩy đổi mới, bao gồm các quy định cho phép họ áp dụng các công nghệ tự động như hệ thống trí tuệ nhân tạo (AI) nhằm hỗ trợ cho hoạt động quyết định đồng ý xử lý dữ liệu. Cải tiến này cũng làm giảm bớt một số gánh nặng hành chính như những gánh nặng xung quanh lưu trữ hồ sơ. Với cải cách này, gánh nặng kinh tế về việc chi tiêu cho hoạt động bảo vệ dữ liệu cá nhân phần nào sẽ được giảm bớt. Thứ ba, các yêu cầu chấp thuận cookies theo Quy định về quyền riêng tư và truyền thông điện tử ("PECR") cũng sẽ được cập nhật, giảm các yêu cầu "chọn tham gia" (opt in) hiện tại thành mô hình "chọn không tham gia" (opt out). Thay vì người dùng sẽ phải lựa chọn từng loại thông tin người dùng muốn lưu, vốn có số lượng lớn, thì người dùng sẽ chỉ cần lựa chọn một số ít những thông tin người dùng không muốn lưu. Dự thảo cũng sẽ nới lỏng các quy tắc liên quan đến cookies để nhà điều hành trang web có thể đặt một số loại cookies thống kê, bảo mật và vị trí vốn không xâm phạm dữ liệu mà không cần phải có được sự đồng ý như hiện tại. Điều này giảm bớt các yêu cầu mà hiện tại doanh nghiệp phải tuân theo. Như vậy, trong DPDIB, Chính phủ Anh đã đề xuất những sửa đổi tương đối lớn cho hệ thống pháp luật về bảo vệ dữ liệu của nước này. Những sửa đổi này cho thấy Chính phủ Anh đã nhận 692
  7. thức được những nguyên nhân tạo nên hạn chế cho UK GDPR, cụ thể là gây nên gánh nặng tuân thủ cho doanh nghiệp trên các phương diện nhân lực, thủ tục cũng như tài chính. Từ đó, họ đề ra ba nhóm giải pháp trên nhằm khắc phục những gánh nặng. Do DPDIB vẫn còn là dự thảo, chúng ta chưa thể quan sát được tác động của nó trên thực tế. Tuy nhiên, việc dự báo những tác động này là hết sức cần thiết để thấy được liệu việc sửa đổi quy định rời xa khỏi quy chuẩn của GDPR có phải là một lựa chọn hợp lý. 2.3. Tác động tiềm năng mà quá trình sửa đổi luật của Vương quốc Anh mang lại Về tác động của DPDIB, việc Vương quốc Anh ban hành đạo luật sửa đổi này không chỉ có thể gây nên những tác động tới bối cảnh trong nước mà còn có thể tác động lên quan hệ của Vương quốc Anh với các quốc gia khác trên thế giới, đặc biệt là Liên minh châu Âu. Nguyên nhân là bởi thời kỳ hiện nay là thời kỳ toàn cầu hóa, hội nhập quốc tế, và dữ liệu cũng không nằm ngoài xu thế hội nhập đó. Việc dữ liệu được tạo ra ở một nước nhưng được xử lý tại nhiều quốc gia khác là một thực tế không còn quá xa lạ. Vì vậy, xem xét những quy định khác nhau về bảo vệ dữ liệu cá nhân ở các nước sẽ đòi hỏi phải xem xét những quy định tương tự ở những nước khác liên quan. Đối với tình hình nội địa, những đề xuất trong dự thảo mới được dự đoán sẽ nhận được sự hoan nghênh đến từ các doanh nghiệp. Lí do là vì những đề xuất này sẽ đưa kim chỉ nam của chế độ bảo vệ dữ liệu theo hướng thực tế, mở rộng hơn, mang cách tiếp cận thân thiện hơn với doanh nghiệp. Các doanh nghiệp đặc biệt hưởng lợi nhiều phải kể đến các doanh nghiệp vừa và nhỏ khi được đơn giản hoá tương đối nhiều thủ tục về bảo vệ dữ liệu cá nhân phải thông qua. Những cải cách được đề xuất của Dự thảo cũng mang lại cơ hội cho Vương quốc Anh định hình lại cách tiếp cận quy định bên ngoài hệ thống chung của EU, từ đó, nắm bắt cơ hội tạo nên bởi sự tự do trong quy định mới của mình. Điều này bao gồm việc sử dụng quyền hạn 'đầy đủ', vốn bị giới hạn một phần bởi thẩm quyền của EU khi Vương quốc Anh còn là một thành viên, để loại bỏ các rào cản không phù hợp đối với luồng dữ liệu cá nhân của Vương quốc Anh nhằm hỗ trợ thương mại, hợp tác khoa học, an ninh quốc gia và hợp tác thực thi pháp luật. Đối với quan hệ với các quốc gia khác trong bảo vệ dữ liệu cá nhân, việc ban hành dự thảo luật mới cũng đem lại những ảnh hưởng tích cực. Tại Vương quốc Anh, việc truyền dữ liệu ra quốc tế và vào Vương quốc Anh cực kì được chú trọng, bởi điều này “thúc đẩy thương mại, hỗ trợ nghiên cứu và đổi mới, đồng thời giúp mọi người duy trì kết nối xã hội”. Vương quốc Anh cam kết duy trì các tiêu chuẩn bảo vệ dữ liệu cao và tiếp tục luồng dữ liệu cá nhân tự do giữa các quốc gia có cùng quan điểm, hỗ trợ các dịch vụ như điều hướng GPS, công nghệ nhà thông 693
  8. minh và dịch vụ truyền phát nội dung, thiết kế. Nhằm thúc đẩy điều này, Dự luật cố gắng loại bỏ sự quan liêu không cần thiết liên quan đến việc truyền dữ liệu quốc tế, đồng thời vẫn đảm bảo các tiêu chuẩn cao về bảo vệ dữ liệu cá nhân. Để đảm bảo tiêu chuẩn đó, các nhà xuất khẩu phải xem xét liệu các tiêu chuẩn bảo vệ có thấp hơn đáng kể so với các tiêu chuẩn áp dụng ở Vương quốc Anh hay không và phải hành động “hợp lý và cân đối” khi xem xét liệu thử nghiệm này có được đáp ứng hay không. Thêm vào đó, Dự thảo đưa ra một thử nghiệm bảo vệ dữ liệu khéo léo hơn về mặt ngoại giao, khi Bộ trưởng Ngoại giao phải xem xét liệu tiêu chuẩn bảo vệ có thấp hơn đáng kể so với tiêu chuẩn ở Vương quốc Anh hay không. Các yếu tố được xem xét linh hoạt hơn, bao gồm việc tôn trọng pháp quyền và nhân quyền; sự tồn tại và quyền hạn của cơ quan giám sát; khắc phục; quy định chuyển tiếp; nghĩa vụ quốc tế có liên quan và hiến pháp, truyền thống và văn hóa của đất nước. Ngoài ra, có thể xem xét nhu cầu chuyển dữ liệu đến và đi từ Vương quốc Anh – mặc dù điều này không loại bỏ nhu cầu đáp ứng thử nghiệm trên. Tất nhiên, việc thay đổi này cũng tồn tại một vài hạn chế tiềm tàng. Trả lời báo The London Times, một luật sư tư vấn tại London lo ngại rằng khi sự phù hợp với các quy định của EU bị mất đi, các doanh nghiệp tại Vương quốc Anh có khả năng phải hứng chịu một khoản phí đáng kể liên quan đến việc tuân thủ quy định của châu Âu về bảo vệ dữ liệu cá nhân. Một số luật sư khác cho rằng việc Vương quốc Anh sửa đổi luật có thể vô tình gây ra rào cản giữa các doanh nghiệp tại Vương quốc Anh và các doanh nghiệp tại EU nói riêng các doanh nghiệp trên toàn thế giới nói riêng. Nguyên nhân có thể dễ dàng nhận thấy là sự phát triển chóng mặt của nhu cầu xây dựng hành lang pháp lý về bảo vệ dữ liệu cá nhân cộng với việc GDPR được coi như hình mẫu của một văn bản pháp lý toàn diện trong lĩnh vực này đã khiến cho nhiều quy định của vô số quốc gia trong và ngoài EU có những nét tương đồng với GDPR. Chính vì thế, khi sửa đổi luật, Vương quốc Anh có thể vô tình đi ngược lại xu hướng chung của thế giới về bảo vệ dữ liệu cá nhân. Tuy nhiên, những hạn chế này không loại trừ những triển vọng trên, và các nhà lập pháp Vương quốc Anh vẫn tích cực thúc đẩy việc sửa đổi luật theo kế hoạch. Với những thay đổi trong chính sách dữ liệu, Vương quốc Anh được kỳ vọng trở thành nơi tốt nhất để các doanh nghiệp và viện khoa học thực hiện hoạt động dựa trên dữ liệu, từ đó thu hút các giao dịch thương mại quốc tế dựa trên dữ liệu, vốn là ngành nghề chiếm phần trăm rất lớn trong các ngành liên quan tới dịch vụ xuất nhập khẩu. Bất chấp một số hạn chế, tiến triển này hứa hẹn sẽ tác động tích cực tới tình hình kinh doanh của doanh nghiệp Anh trong và ngoài nước, cũng như quan hệ của Vương quốc Anh với các quốc gia khác trên nhiều phương diện, 694
  9. vốn đều cần đến trao đổi dữ liệu. Những tác động của việc sửa đổi luật tại Vương quốc Anh là một tham khảo thú vị khi ta đối chiếu với những quy định tương tự tại Việt Nam, cũng như hoạt động thực thi những quy định đó trên thực tế. Hàm ý chính sách cho Việt Nam từ việc Vương quốc Anh li khai khỏi GDPR 3.1. Quy định pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam Tại Việt Nam, theo thống kê cho thấy, trước khi Nghị định 13/2023/NĐ-CP của Chính phủ về Bảo vệ dữ liệu cá nhân (Nghị định 13/2023/NĐ-CP) có hiệu lực, có khoảng 65 văn bản quy phạm pháp luật được rà soát có liên quan đến dữ liệu cá nhân như Hiến pháp năm 2013, Bộ luật Dân sự 2015, Bộ luật Hình sự 2015 (sửa đổi, bổ sung năm 2017), Luật Giao dịch điện tử năm 2005, Luật An toàn thông tin năm 2015, Luật An ninh mạng năm 2018. Tuy nhiên, các quy định này chủ yếu mang tính nguyên tắc, khả năng áp dụng thực tiễn tương đối hạn chế và bộc lộ nhiều bất cập. Vậy nên, cũng như nhiều quốc gia khác, GDPR đã trở thành nguồn cảm hứng lớn đối với Việt Nam - một quốc gia còn khá “non trẻ” trong lĩnh vực xây dựng luật pháp về bảo vệ dữ liệu cá nhân. Khi xây dựng Nghị định 13/2023/NĐ-CP - văn bản quy phạm pháp luật đầu tiên quy định khung pháp lý toàn diện cho việc bảo vệ dữ liệu cá nhân, Chính phủ Việt Nam cũng đã có sự đối chiếu, tham khảo các quy định của GDPR. Có thể dễ dàng thấy được tinh thần đó qua những quy định của Nghị định 13/2023/NĐ-CP. Một số điểm nổi bật thể hiện sự tương đồng giữa hai văn bản pháp có thể kể đến như khái niệm “Dữ liệu cá nhân”, phạm vi điều chỉnh là ba chủ thể: “bên kiểm soát dữ liệu cá nhân”, “bên xử lý dữ liệu cá nhân” và “bên kiểm soát và xử lý dữ liệu cá nhân”. Trước đây, Dự thảo Nghị Định 13/2023/NĐ-CP chỉ sử dụng thuật ngữ “bên xử lý dữ liệu cá nhân” cho cả bên kiểm soát dữ liệu cá nhân và bên xử lý dữ liệu cá nhân. Tuy nhiên tại phiên bản chính thức của Nghị định 13/2023/NĐ-CP, đã có sự thay đổi nhằm phân biệt rõ ràng các thuật ngữ “bên kiểm soát dữ liệu” và “bên xử lý dữ liệu” tương tự như các thuật ngữ được quy định trong GDPR. Điều này thể hiện việc Nghị Định 13/2023/NĐ-CP được xây dựng phù hợp với các thông lệ quốc tế, đặc biệt là GDPR. Về cơ bản, những điểm tương đồng trên đã phản ánh sự tham khảo quy định vốn được thừa nhận phổ quát trên thế giới. Tuy được coi là bước tiến mới trong việc xây dựng hành lang pháp lý cho hoạt động bảo vệ dữ liệu cá nhân tại Việt Nam, nhưng chỉ một thời gian ngắn thi hành Nghị định 13/2023/NĐ-CP trong thực tiễn đã cho thấy quy định mới gây ra không ít khó khăn cho doanh nghiệp, tương tự như tình hình tại Vương quốc Anh. Doanh nghiệp phải thực hiện xử lý khá nhiều thông tin, cùng với đó phải chịu nhiều trách nhiệm cũng như thực hiện nhiều thủ tục khác nhau, được quy 695
  10. định rải rác xuyên suốt Nghị định 13/2023/NĐ-CP. Nghĩa vụ tuân thủ ảnh hưởng tiêu cực tới hoạt động kinh doanh bình thường của doanh nghiệp, đặc biệt là những doanh nghiệp có quy mô vừa và nhỏ vốn thiếu nguồn nhân lực và tài chính để thích nghi với những thay đổi của pháp luật. Từ khi Nghị định 13/2023/NĐ-CP có hiệu lực, nhiều doanh nghiệp đã thể hiện sự quan ngại về những vướng mắc khi phải áp dụng một cách cứng nhắc các quy định vào lĩnh vực của họ. Cụ thể, theo quan điểm của các tổ chức tín dụng, những hoạt động xử lý dữ liệu cá nhân như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, truy cập, thu hồi, mã hóa, sao chép, truyền đưa, cung cấp, xóa, hủy dữ liệu cá nhân, v.v… là bắt buộc, tất yếu không chỉ với việc phục vụ cung cấp dịch vụ cho khách hàng mà còn để quản lý rủi ro trong hoạt động ngân hàng, bảo đảm an toàn an ninh của hệ thống tiền tệ. Đại diện Câu lạc bộ Pháp chế Ngân hàng thuộc Hiệp hội ngân hàng Việt Nam cho rằng nhiều hoạt động xử lý dữ liệu khách hàng cá nhân không thể và không cần sự chấp thuận của khách hàng, trong khi những dữ liệu này theo quy định mới sẽ cần sự chấp thuận. Điều này đã thể hiện rõ sự khó khăn cho các ngân hàng khi áp dụng quy định về quyền được thông báo cũng như sự đồng ý của chủ thể dữ liệu khi xử lý dữ liệu cá nhân. Không chỉ vậy, để tuân thủ đầy đủ các quy định tại Nghị định 13/2023/NĐ-CP, các tổ chức tín dụng sẽ phải bố trí nguồn tài chính và nhân lực lớn để rà soát, điều chỉnh hệ thống để vận hành trên thực tế, có thể dẫn đến việc kéo dài thời gian/tiến độ khi cung cấp dịch vụ của tổ chức tín dụng đến khách hàng do phải tăng thêm các bước vận hành. Tình hình này không chỉ diễn ra trong lĩnh vực tín dụng ngân hàng, mà còn trong nhiều lĩnh vực khác của nền kinh tế, đặc biệt là các ngành sử dụng nhiều dữ liệu cá nhân. Đối với một số công ty thuộc các tập đoàn toàn cầu như Samsung Electronics, việc chuyển dữ liệu ra nước ngoài (về công ty mẹ cũng như qua các công ty con ở các quốc gia khác) là hoạt động diễn ra thường xuyên. Các công ty thuộc diện này gặp phải một số những khó khăn nhất định liên quan tới thủ tục hành chính, mà cụ thể là nghĩa vụ gửi báo cáo đánh giá tác động xử lý dữ liệu cá nhân và báo cáo chuyển dữ liệu cá nhân ra nước ngoài. Nghị định 13/2023/NĐ- CP quy định hồ sơ đánh giá tác động dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải được thực hiện thành hai thủ tục với hai biểu mẫu hồ sơ khác nhau. Thêm vào đó, khi các công ty này thực hiện chuyển dữ liệu tự động ra nước ngoài ngay lập tức sau khi thông tin được đưa vào hệ thống, nên việc báo cáo kết quả chuyển dữ liệu cá nhân ra nước ngoài là rất khó với khối lượng dữ liệu lớn, được chuyển tự động và liên tục. Nghị định 13/2023/NĐ-CP cũng không có quy định về thủ tục làm báo cáo riêng cho hình thức chuyển dữ liệu thủ công hay tự động. Việc này tạo ra khó khăn cũng như một khoản chi phí rất 696
  11. lớn cho những doanh nghiệp thuộc các tập đoàn toàn cầu khi thực hiện việc chuyển dữ liệu cá nhân ra nước ngoài liên tục và thường xuyên. Tương tự như tại Vương quốc Anh, quy định về bảo vệ dữ liệu cá nhân tại nước ta, vốn chịu ảnh hưởng từ tinh thần của GDPR, đã bộc lộ những khó khăn khi thực thi, tác động xấu đến hoạt động của các doanh nghiệp. Vì vậy, việc Vương quốc Anh sửa đổi luật để có thể khắc phục khó khăn đó là một ví dụ đáng tham khảo cho Việt Nam, đặc biệt là trong bối cảnh Nghị định 13/2023/NĐ-CP cần được sửa đổi để nâng lên thành luật. Cụ thể, cần xem xét những quy định có khả năng gây ảnh hưởng tới doanh nghiệp trong UK GDPR mà DPDIB đã loại bỏ, xem liệu những quy định đó có tồn tại tại Nghị định 13/2023/NĐ-CP hay không. 3.2. Đối chiếu quy định bảo vệ dữ liệu cá nhân của Vương quốc Anh và Việt Nam Đối chiếu DPDIB của Vương quốc Anh, mà các quy định nổi bật đã được nhóm tác giả trình bày tại phần 2.2, với Nghị định 13/2023 của Việt Nam, ta có thể thấy Nghị định 13/2023/NĐ-CP cũng đang tồn tại những vướng mắc đối với hoạt động bảo vệ và xử lý dữ liệu cá nhân của doanh nghiệp khá tương đồng với UK GDPR. Thứ nhất, DPDIB hướng tới xây dựng một khung pháp luật rõ ràng và thân thiện với doanh nghiệp, không khó triển khai hoặc tốn kém. Dự luật sẽ giảm bớt các yêu cầu quản lý rủi ro đối với một số tổ chức, đặc biệt là cả các doanh nghiệp vừa và nhỏ, cụ thể trong việc bổ nhiệm Nhân viên chuyên trách bảo vệ dữ liệu. Tại Việt Nam, Nghị định 13/2023/NĐ-CP cũng đã có những ưu ái riêng dành cho các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa và doanh nghiệp khởi nghiệp. Cụ thể, tại Điều 43.2 Nghị định 13/2023/NĐ-CP, Chính phủ quy định các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp, trừ khi trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân, được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian hai năm đầu kể từ khi thành lập. Như vậy, tuy doanh nghiệp quy mô vừa và nhỏ ở Việt Nam nhận được sự ưu ái nhất định qua việc được miễn trừ nghĩa vụ tuân thủ, những miễn trừ đó sẽ chỉ tồn tại hai năm sẽ chỉ tồn tại hai năm sau khi thành lập. Hơn nữa, nếu các doanh nghiệp trong phạm vi kể trên thành lập trước thời điểm nghị định này được ban hành và hoạt động trên hai năm thì vẫn chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân bình thường. Thứ hai, DPDIB đã cắt giảm số lượng lớn thủ tục giấy tờ vốn được quy định tại GDPR mà các tổ chức cần hoàn thành để thực hiện nghĩa vụ tuân thủ. Trong phần 3.1 về những vướng mắc mà doanh nghiệp Việt Nam gặp phải khi áp dụng Nghị định 13/2023/NĐ-CP trên thực tiễn, nhóm tác giả đã khẳng định rằng việc nhiều thủ tục riêng lẻ mà doanh nghiệp phải thực 697
  12. hiện khi xử lý cũng như chuyển dữ liệu cá nhân ra nước ngoài gây ra không ít tốn kém và khó khăn cho doanh nghiệp. Ở phần này có thể thấy, khó khăn mà doanh nghiệp Vương quốc Anh gặp phải khi áp dụng UK GDPR và doanh nghiệp Việt Nam khi áp dụng Nghị định 13/2023/NĐ-CP có nét tương đồng. Thứ ba, DPDIB cập nhật, giảm các yêu cầu "chọn tham gia" hiện tại thành mô hình "chọn không tham gia" mới. Tức, thay vì người dùng sẽ phải lựa chọn từng loại thông tin người dùng muốn lưu, vốn có số lượng lớn, thì người dùng sẽ chỉ cần lựa chọn một số ít những thông tin người dùng không muốn lưu. Việc này vừa giúp tạo thế chủ động cũng như giảm thiểu rủi ro vi phạm quy định về bảo vệ dữ liệu trong quá trình xử lý cá nhân của doanh nghiệp, vừa tạo ra sự linh hoạt cho cả khách hàng trong việc cung cấp thông tin cũng như cho doanh nghiệp trong việc thu thập thông tin. Khách hàng sẽ cảm thấy thuận tiện hơn khi sử dụng dịch vụ của doanh nghiệp, từ đó ảnh hưởng tích cực lên hoạt động kinh doanh. Hiện nay, Nghị định 13/2023/NĐ-CP có quy định khi có nhiều mục đích thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra. Đây chính là các yêu cầu “chọn tham gia” mà DPDIB đang muốn loại bỏ. Có thể thấy, có ít nhất ba nhóm quy định mà DPDIB muốn thay đổi với lí do có khả năng gây ảnh hưởng tới doanh nghiệp hiện được áp dụng tại Việt Nam thông qua Nghị định 13/2023/NĐ-CP. Điều này đòi hỏi chính sách về bảo vệ dữ liệu cá nhân của Việt Nam cần có những sửa đổi để khắc phục những hạn chế đã được trình bày trong các phần trên. 3.3. Kiến nghị hoàn thiện chính sách bảo vệ dữ liệu cá nhân của Việt Nam dựa trên kinh nghiệm từ hiện tượng tại Vương quốc Anh Từ phân tích, đối chiếu, nhóm tác giả kiến nghị một số thay đổi nhằm hoàn thiện chính sách về bảo vệ dữ liệu cá nhân của Việt Nam: Thứ nhất, đối với những miễn trừ cho doanh nghiệp vừa và nhỏ trong việc thực hiện nghĩa vụ tuân thủ quy định về bảo vệ dữ liệu cá nhân, không nên mặc định coi những miễn trừ đó là một biện pháp tạm thời chỉ kéo dài hai năm để cho các doanh nghiệp này thêm thời gian thích ứng. Cần xem xét, đánh giá chi tiết khả năng tuân thủ của đối tượng doanh nghiệp này. Trong trường hợp những nghĩa vụ đó, đặc biệt là nghĩa vụ bổ nhiệm Nhân viên chuyên trách bảo vệ dữ liệu và những gánh nặng tài chính liên quan, gây tác động xấu tới hoạt động bình thường của doanh nghiệp mà qua thời gian cũng không thể khắc phục, cần có những miễn trừ hoặc những biện pháp hỗ trợ doanh nghiệp. Điều cần thiết là phải nâng cao tiêu chuẩn về bảo 698
  13. vệ dữ liệu, trong khi không làm ảnh hưởng tới hoạt động kinh doanh. Có thể xem xét việc miễn trừ vĩnh viễn một số nghĩa vụ tuân thủ cho đối tượng doanh nghiệp vừa và nhỏ. Thứ hai, cần giảm bớt các thủ tục giấy tờ gây phiền hà cho quá trình vận hành của doanh nghiệp. Doanh nghiệp Việt Nam vốn đã chịu nhiều ảnh hưởng của một nền hành chính tương đối phức tạp vì nhiều thủ tục giấy tờ, mà nay còn chịu gánh nặng tuân thủ thêm nhiều thủ tục mới trong lĩnh vực bảo vệ dữ liệu cá nhân. Những vướng mắc nêu tại phần 3.1 của các tổ chức tín dụng hay các doanh nghiệp có vốn đầu tư nước ngoài đều hết sức căn bản, ảnh hưởng tới những hoạt động xử lý dữ liệu cốt lõi nhất của họ. Vì vậy, cần xem xét cụ thể từng đối tượng xử lý dữ liệu, đảm bảo các hoạt động xử lý dữ liệu khác nhau sẽ cần tuân thủ những biện pháp bảo vệ dữ liệu tương ứng. Hay nói cách khác, cần tránh cách quy định “cào bằng” như hiện nay, với doanh nghiệp ở lĩnh vực khác nhau, có vốn nội địa hay nước ngoài, xử lý dữ liệu thủ công hay tự động đều phải chịu những nghĩa vụ tuân thủ tương đối giống nhau. Thứ ba, chỉ nên quy định khi có nhiều mục đích thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải liệt kê các mục đích để chủ thể dữ liệu không đồng ý với một hoặc nhiều mục đích nêu ra. Nói cách khác, quy định của Việt Nam nên sử dụng mô hình yêu cầu "chọn không tham gia" thay vì "chọn tham gia", với những lợi ích rõ ràng như đã trình bày tại các phần trên. Việc quy định khi có nhiều mục đích thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra như hiện nay đang hoàn toàn đi theo hướng yêu cầu “chọn tham gia”. Kết luận Với nguyên nhân quy định hiện hành về bảo vệ dữ liệu, vốn kế thừa quy định của GDPR từ khi Vương quốc Anh còn là một phần của EU, gây ra những tác động tiêu cực đến hoạt động của các doanh nghiệp, Vương quốc Anh đã tiến hành sửa đổi theo hướng giảm gánh nặng cho doanh nghiệp, bớt thủ tục hành chính, và tạo thuận lợi cho việc chủ sở hữu dữ liệu xác nhận cho doanh nghiệp được xử lý. Mặc dù những tiêu chuẩn do GDPR đặt ra được coi là chuẩn mực, nhưng vì nó được ban hành tại châu Âu, theo những hoàn cảnh của nền kinh tế, xã hội các nước sở tại, những tiêu chuẩn đó chưa chắc đã phù hợp với quốc gia khác, mà Vương quốc Anh là một ví dụ điển hình. Vì thế, trong bối cảnh Việt Nam cũng gặp phải tình hình khó khăn khi thực thi Nghị định 13/2023/NĐ-CP, nước ta lại vốn cũng có những quy định với cách tiếp cận từ GDPR như quy định của Vương quốc Anh, việc tham khảo kinh nghiệm của quốc gia này là hết sức phù hợp. 699
  14. DANH MỤC TÀI LIỆU THAM KHẢO Văn bản pháp luật The Data Protection Act 2018 (Luật bảo vệ Dữ liệu 2018) The Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 (Quy định về Bảo vệ Dữ liệu, Quyền riêng tư và Liên lạc Điện tử (sửa đổi, v.v.) (Rời khỏi EU) 2019). The Data Protection and Digital Information Bill 2022-23 (Dự thảo Luật Bảo vệ Dữ liệu và Thông tin số 2022-23). Nghị định 13/2023/NĐ-CP ngày 17/04/2023 của Chính phủ về Bảo vệ Dữ liệu cá nhân. Sách, báo, tạp chí ThS. Bạch Thị Nhã Nam (2022), “Hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân”, Tạp chí Nghiên cứu Lập pháp, số 05/2022. Tài liệu khác Chu Thị Hoa (2020), “Báo cáo rà soát pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam”, Kỷ yếu hội thảo chia sẻ kinh nghiệm về bảo vệ dữ liệu cá nhân trên không gian mạng, tập trung vào nhóm đối tượng yếu thế tại Việt Nam, Bộ Công an, Hà Nội. Bộ Công an, Tài liệu Hội nghị phổ biến, hướng dẫn Nghị định số 13/2023/NĐ-CP ngày 17/04/2023 của Chính phủ về Bảo vệ Dữ liệu cá nhân. Website Bảo vệ dữ liệu tại EU, Trang thông tin Uỷ ban châu Âu, truy cập tại: https://commission.europa.eu/law/law-topic/data-protection/data-protection- eu_en#:~:text=The%20General%20Data%20Protection%20Regulation%20(GDPR),- Regulation%20(EU)%202016&text=A%20single%20law%20will%20also,information%20fo r%20companies%20and%20individuals.https://commission.europa.eu/law/law-topic/data- protection/data-protection- eu_en#:~:text=The%20General%20Data%20Protection%20Regulation%20(GDPR),- Regulation%20(EU)%202016&text=A%20single%20law%20will%20also,information%20fo r%20companies%20and%20individuals, truy cập ngày 19/09/2023. 700
  15. Bộ Thông tin và Truyền thông, “Cần xây dựng luật bảo vệ cá nhân”, truy cập tại https://mic.gov.vn/mic_2020/Pages/TinTuc/tinchitiet.aspx?tintucid=159257&fbclid=IwAR0 HJ7j0T8jmoQ-gJv8IzxufMoD4b_hLGOR6RWPsYJfzYJKp-AZ0mJUqCiY, truy cập ngày 30/09/2023. CNNMoney (London), These companies are getting killed by GDPR (Các doanh nghiệp trên bờ vực phá sản bởi GDPR), truy cập tại https://money.cnn.com/2018/05/11/technology/gdpr- tech-companies-losers/index.html, truy cập ngày 12/09/2023. Department for Science, Innovation and Technology and The Rt Hon Michelle Donelan MP, British Businesses to save billions under new UK version of GDPR (Các doanh nghiệp Anh tiết kiệm hàng tỷ bảng Anh khi áp dụng GDPR của Vương quốc Anh), truy cập tại https://www.gov.uk/government/news/british-businesses-to-save-billions-under-new-uk- version-of-gdpr, truy cập ngày 16/09/2023. GDPRAdvisor, UK GDPR Updated for Brexit (Cập nhật Quy tắc chung về Bảo vệ Dữ liệu Cá nhân của Vương quốc Anh hậu Brexit), truy cập tại https://uk-gdpr.org/, truy cập ngày 12/09/2023. Higgs LLP, A change in law on data protection (Thay đổi luật về bảo vệ dữ liệu), truy cập tại https://www.higgsllp.co.uk/latest/2023/08/11/a-change-in-law-on-data-protection/, truy cập ngày 20/09/2023. Hiroyuki Tanaka, Noboru Kitayama, Japan enacts Amendments to the Act on the Protection of Personal Information (Nhật Bản ban hành Sửa đổi Đạo luật Bảo vệ Thông tin Cá nhân), truy cập tại: Japan enacts Amendments to the Act on the Protection of Personal Information (iapp.org), truy cập ngày 19/09/2023. House of Commons Library, The Data Protection and Digital Information Bill 2022-23 (Dự thảo Luật Bảo vệ Dữ liệu và Thông tin số 2022-23), truy cập tại https://commonslibrary.parliament.uk/research-briefings/cbp-9606/, truy cập ngày 16/09/2023. Information Comissioner’s Office, The UK GDPR (Quy tắc chung về Bảo vệ Dữ liệu Cá nhân của Vương quốc Anh), truy cập tại The UK GDPR | ICO, truy cập ngày 12/09/2023. 701
  16. Mayer Brown, UK Government sets out its plan for UK data protection reform (Chính phủ Anh lên kế hoạch cải cách quy định về bảo vệ dữ liệu), truy cập tại https://www.mayerbrown.com/en/perspectives-events/publications/2022/06/uk-government- sets-out-its-plans-for-uk-data-protection-reform , truy cập ngày 18/09/2023. Nam Kiên, Vướng mắc, "xung đột" pháp luật trong triển khai thực hiện Nghị định 13 về bảo vệ dữ liệu cá nhân, truy cập tại https://phaply.net.vn/vuong-mac-xung-dot-phap-luat-trong-trien-khai-thuc-hien-nghi-dinh- 13-ve-bao-ve-du-lieu-ca-nhan-a257113.html, truy cập ngày 29/09/2023. Nguyễn Thu Hằng (YKVN), Nội dung cập nhật pháp lý về Bảo vệ dữ liệu cá nhân, truy cập tại https://www.lexology.com/library/detail.aspx?g=a28db8f2-2d96-4c12-a0d4-50d7a3c3a9f9, truy cập ngày29/09/2023. Orrick, The Data Protection and Digital Information Bill: Taking Back Control of UK Data Protection? (Dự luật Bảo vệ Dữ liệu và Thông tin Kỹ thuật số: Lấy lại quyền kiểm soát Bảo vệ Dữ liệu của Vương quốc Anh?), truy cập tại https://www.orrick.com/en/Insights/2022/08/The-Data-Protection-and-Digital-Information- Bill-Taking-Back-Control-of-UK-Data-Protection, truy cập ngày 20/09/2023. Phan Thị Ngọc Thắng, Doanh nghiệp phải ‘gánh’ gần hết trách nhiệm bảo vệ dữ liệu cá nhân, truy cập tại Doanh nghiệp phải 'gánh' gần hết trách nhiệm bảo vệ dữ liệu cá nhân - Tạp chí Kinh tế Sài Gòn (thesaigontimes.vn), truy cập ngày 29/09/2023. Philip Kempermann, Thomas Jansen (2023), “Data Protection & Privacy 2023”, Chambers and Partners, truy cập tại: Data Protection & Privacy 2023 - Germany | Global Practice Guides | Chambers and Partners, truy cập ngày 19/09/2023. Pinsent Masons, Data protection law reforms set out in the UK (Cải cách luật về bảo vệ dữ liệu tại Vương quốc Anh) truy cập tại https://www.pinsentmasons.com/out-law/news/data- protection-law-reforms-set-out-in-the-uk, truy cập ngày 18/09/2023. QBE, UK businesses struggle to be GDPR compliant in time (Các doanh nghiệp tại Anh gặp trở ngại trong việc tuân thủ GDPR đúng thời hạn), truy cập tại https://qbeeurope.com/news- and-events/press-releases/uk-businesses-struggle-to-be-gdpr-compliant-in-time/ , truy cập ngày 13/09/2023. 702
  17. Ruth Boardman, Emma Drake, James Moss, UK data protection reform: An overview (Cải cách bảo vệ dữ liệu của Vương quốc Anh: Cái nhìn ổng quan), truy cập tại https://iapp.org/resources/article/uk-data-protection-reform-an-overview/, truy cập ngày 21/09/2023. The Guardian, UK to overhaul privacy rules in post-Brexit departure from GDPR (Vương quốc Anh sửa đổi các quy tắc về quyền riêng tư, li khai khỏi GDPR hậu Brexit), truy cập tại https://www.theguardian.com/technology/2021/aug/26/uk-to-overhaul-privacy-rules-in-post- brexit-departure-from-gdpr, truy cập ngày 14/09/2023. The Times, Data protection regulation divides opinion (Quy định về bảo vệ dữ liệu cá nhân nhận lại những ý kiến trái chiều), truy cập tại https://www.thetimes.co.uk/article/data- protection-regulation-divides-opinion- lzrtfbxpb?utm_source=Sailthru&utm_medium=email&utm_campaign=The%20Brief%2C%2 0June%201%2C%202023&utm_term=audience_THE_BRIEF&fbclid=IwAR1BGbBdZNs2 YIqslkWUEsQuuGfATmW1zo1QI3Z-qYXyWP2Hj74yZs3JVF0, truy cập ngày 26/09/2023. Trang thông tin Hiệp hội Ngân hàng Việt Nam, Ngân hàng lúng túng, gặp khó khăn với những quy định về bảo vệ dữ liệu cá nhân, truy cập tại: https://vnba.org.vn/hoat-dong/hiep- hoi/item/11393-ngan-hang-lung-tung-gap-kho-khan-voi-nhung-quy-dinh-ve-bao-ve-du-lieu- ca-nhan, truy cập ngày 19/09/2023. Thomson Reuters, GDPR Report (Báo cáo về GDPR), tr.7, truy cập tại https://legalsolutions.thomsonreuters.co.uk/blog/wp- content/uploads/sites/14/2019/12/Thomson-Reuters-GDPR-Report.pdf, truy cập ngày 13/09/2023. Thomson Reuters (Legal Insights Europe), Companies struggle with GDPR and global privacy - a report (Các doanh nghiệp gặp khó khăn với việc áp dụng GDPR và quyền riêng tư toàn cầu - bá cáo), truy cập tại https://legalsolutions.thomsonreuters.co.uk/blog/2019/12/30/companies- struggle-with-gdpr-and-global-privacy-a-report/, truy cập tại 14/09/2023. UK Government, Data protection: The Data Protection Act (Bảo vệ dữ liệu: Đạo luật Bảo vệ Dữ liệu), truy cập tại: Data protection: The Data Protection Act - GOV.UK (www.gov.uk), truy cập ngày 12/09/2023. Venture North Law, Nghị định mới về Bảo vệ Dữ liệu Cá nhân tại Việt Nam và So sánh với GDPR, truy cập tại 703
  18. https://vietnam-business-law.info/blog-lut-kinh-doanh/2023/6/2/ngh-nh-mi-v-bo-v-d-liu-c- nhn-ti-vit-nam-v-so-snh-vi-gdpr, truy cập ngày 29/09/2023. PGS.TS. Vũ Công Giao, ThS. Lê Trần Như Tuyên (2020), “Bảo vệ quyền đối với dữ liệu cá nhân trong pháp luật quốc tế, pháp luật ở một số quốc gia và giá trị tham khảo cho Việt Nam”, Tạp chí Nghiên cứu lập pháp, truy cập tại: http://lapphap.vn/Pages/tintuc/tinchitiet.aspx?tintucid=210546, truy cập ngày 19/09/2023. 704
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
4=>1