5月5日下午,副总理黎成春代表总理向国会提交了《个人数据保护法》草案。草案列举了六组被严格禁止的行为,包括:非法处理个人数据,对国家、国防、安全、组织和个人的合法权益产生负面影响;阻碍职能部门的数据保护活动;利用数据保护进行违法行为;违反规定收集、处理、转移数据;买卖个人数据;故意侵占、泄露或丢失个人数据。
2023年第13号法令规定“个人数据不得以任何形式买卖”,但实际上这种情况目前普遍存在,公开进行,许多行为因缺乏法律规定而未被处理。在数字化转型广泛进行的背景下,个人数据经常被转移到电子环境中。这导致在转移、存储、交换过程中普遍发生泄露,服务于商业活动或因保护措施不足导致被侵占和公开。
此外,一些企业没有与合作伙伴达成严格的个人数据处理协议,允许合作伙伴将数据转移、出售给第三方。甚至,企业主动收集、形成个人数据库,进行分析、处理、买卖。一些类型的犯罪攻击、侵入信息系统以侵占、散布恶意软件收集网络环境中的个人数据。
公安部已经发现、打击、处理了一些在越南大规模侵占、买卖个人数据的案件,数据量高达数千GB,其中包括许多内部、敏感的个人数据。例如2024年,一起数据加密攻击结合个人信息盗窃案件,数据量高达10TB,造成总损失估计达1100万美元;越南有1450万个账户被泄露,占全球的12%。
当前的情况迫切需要一个统一、协调的个人数据保护法律框架,明确规定以确保数据主体的权利。
法案审查机构——国防、安全和外交委员会表示,一些成员提议明确“买卖个人数据”的定义,以便为禁止这种行为提供坚实的法律基础。有代表建议排除组织、企业内部为处理和使用业务目的而进行的转移、提供、共享数据活动。
然而,一些意见认为个人数据是一种特殊商品,数据主体的权利可以进行交易。绝对禁止买卖可能会对组织、企业的生产、经营活动产生不小的影响。
“需要规定更加宽松以疏通资源,鼓励创新,不阻碍数据市场”,委员会提议,认为不应为数据市场设置障碍,而应通过透明化、加强监管、应用先进保护技术来严格管理,确保数据主体的权益。
审查机构提议政府调整规定,禁止“非法买卖个人数据”。对于个人数据权利的买卖交易,如果得到数据主体的同意并服务于经济社会发展目标,保障国防、国家安全,可以允许。
委员会建议禁止企业强制要求用户提供个人数据作为使用服务的先决条件,特别是限制滥用姓名、地理位置、生物识别信息等敏感数据。此外,政府需要研究禁止收集、形成个人数据库,分析和处理数据以进行商业、买卖;严格禁止大规模、系统性、有组织地出售个人数据;并阻止操作专门技术系统非法收集个人数据。
除了个人数据买卖政策外,法案还调整了一系列其他重要内容,包括规定数据主体的11项权利和义务;为商业服务组织建立严格的个人数据保护条件;严格规定个人数据向国外转移;确定必要的个人数据保护活动并建立负责个人数据保护的专门机构。
预计,国会将于5月24日在大会上详细讨论该法案,并在会议的第二阶段投票通过。
(编译:Ivy 越南中文社;审校:Suki;来源:VNExpress)
