Dự thảo Nghị định do Bộ Công an chủ trì xây dựng được xem là bước cụ thể hóa các nội dung của Luật Bảo vệ dữ liệu cá nhân, tạo hành lang pháp lý nhằm tăng cường trách nhiệm của cơ quan, tổ chức, cá nhân trong việc thu thập, khai thác, xử lý dữ liệu cá nhân, đồng thời bảo vệ tốt hơn quyền riêng tư và lợi ích hợp pháp của người dân trong môi trường số. Phạm vi điều chỉnh của dự thảo bao phủ cả các tổ chức, cá nhân trong và ngoài nước nếu có hoạt động liên quan đến dữ liệu cá nhân của công dân Việt Nam, cũng như người gốc Việt chưa xác định quốc tịch nhưng đang sinh sống tại Việt Nam và đã được cấp giấy chứng nhận căn cước.

Theo nội dung dự thảo, dữ liệu cá nhân nhạy cảm được hiểu là những thông tin gắn liền với đời tư, quyền riêng tư của cá nhân, khi bị xâm phạm sẽ có thể gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của người đó. Nhóm dữ liệu này vốn đã bao gồm các thông tin về tình trạng sức khỏe, đặc điểm sinh trắc học, nguồn gốc dân tộc, tôn giáo, quan điểm chính trị, hành vi phạm tội, đời sống tình dục. Nay, dự thảo bổ sung thêm thông tin tài chính, tín dụng như dữ liệu thẻ ngân hàng, lịch sử giao dịch, điểm tín dụng, hồ sơ vay vốn, dữ liệu bảo hiểm và chứng khoán vào nhóm dữ liệu cá nhân nhạy cảm cần được bảo vệ ở mức độ cao.

Việc đưa thông tin tài chính và tín dụng vào diện dữ liệu nhạy cảm đồng nghĩa với việc các đơn vị như ngân hàng, tổ chức tín dụng, công ty tài chính, chi nhánh ngân hàng nước ngoài, đơn vị cung cấp dịch vụ trung gian thanh toán và các tổ chức liên quan khác phải tuân thủ nhiều quy định nghiêm ngặt hơn. Cụ thể, các đơn vị này cần áp dụng tiêu chuẩn bảo mật quốc tế, đồng thời tuân thủ quy chuẩn an ninh mạng do Việt Nam ban hành. Hàng năm, họ phải thực hiện đánh giá việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân và lưu trữ đầy đủ nhật ký hoạt động xử lý dữ liệu.

Đáng chú ý, khi xin sự đồng ý của khách hàng để khai thác thông tin, các tổ chức phải cung cấp rõ ràng mục đích sử dụng, nguồn thu thập, thời gian lưu trữ, danh sách bên thứ ba được chia sẻ dữ liệu, cũng như cơ chế để người dùng có thể rút lại sự đồng ý hoặc yêu cầu xóa dữ liệu. Các hoạt động như chấm điểm tín dụng, đánh giá mức độ tín nhiệm cá nhân chỉ được thực hiện khi có sự chấp thuận rõ ràng từ người dùng – là chủ thể của dữ liệu.

Một nội dung quan trọng khác trong dự thảo là yêu cầu các tổ chức phải thông báo cho khách hàng trong vòng 72 giờ kể từ thời điểm phát hiện sự cố rò rỉ, mất mát dữ liệu tài chính, tín dụng. Mục tiêu của quy định này là nhằm hạn chế tối đa các tác động tiêu cực có thể xảy ra và đảm bảo quyền lợi hợp pháp của người dân trong trường hợp dữ liệu bị xâm phạm.

Dự thảo cũng yêu cầu việc thiết lập phân quyền truy cập, quy trình xử lý chặt chẽ đối với dữ liệu nhạy cảm, bên cạnh việc mở rộng danh mục dữ liệu cần bảo vệ trên không gian mạng, như thông tin thuê bao viễn thông, lịch sử sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến. Đây được xem là những bước tiến mạnh mẽ trong việc xây dựng khung pháp lý toàn diện về bảo vệ dữ liệu cá nhân, đặc biệt trong bối cảnh các hoạt động số hóa và giao dịch trực tuyến đang phát triển nhanh chóng hiện nay.

PV