Làm rõ phân loại dữ liệu và quy định khử nhận dạng

Đồng tình rất cao với việc ban hành Luật Bảo vệ dữ liệu cá nhân tại Việt Nam, đại biểu Hoàng Minh Hiếu nhấn mạnh: Đây là một bước tiến rất quan trọng trong quá trình hoàn thiện hệ thống pháp luật nhằm đáp ứng yêu cầu bảo vệ quyền con người, quyền cá nhân cũng như yêu cầu chuyển đổi số tại Việt Nam. Qua nghiên cứu, đại biểu nhận thấy các quy định trong dự thảo cơ bản phù hợp và tiệm cận với các chuẩn mực quốc tế.

z6633462082594_8d6043ac44b62d023e406d802b4dfe35.jpg
ĐBQH Hoàng Minh Hiếu phát biểu tại Hội trường. Ảnh: Quang Khánh

Về việc phân biệt giữa dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, đại biểu cho rằng: Việc dự thảo phân loại dữ liệu cá nhân thành hai nhóm là cần thiết. Với dữ liệu nhạy cảm, cần có các biện pháp bảo vệ chặt chẽ hơn, đặc biệt trong các lĩnh vực như sức khỏe, bảo hiểm, tài chính, ngân hàng… Tuy nhiên, về kỹ thuật lập pháp, hiện dự thảo đang giao Chính phủ liệt kê cả hai danh mục của hai loại dữ liệu này.

“Đây là điều bất hợp lý, vì có thể phát sinh tình huống thông tin đáp ứng đủ tiêu chí được quy định tại khoản 1 Điều 2 của dự thảo nhưng không thuộc một trong hai danh mục thì sẽ không được coi là dữ liệu cá nhân”, đại biểu đánh giá.

Vì vậy, đại biểu đề nghị chỉ nên quy định danh mục dữ liệu cá nhân nhạy cảm; các thông tin còn lại, nếu đáp ứng tiêu chí tại khoản 1 Điều 2 thì đương nhiên được xem là dữ liệu cá nhân cơ bản, không cần liệt kê. Quy định như vậy vừa bảo đảm tính khoa học, vừa bảo đảm tính bao quát và dễ áp dụng.

Theo đại biểu, dữ liệu nhạy cảm là những thông tin quan trọng liên quan đến quyền cá nhân. Hiện nhiều quốc gia đã quy định một phần dữ liệu nhạy cảm ngay trong luật. Ví dụ, luật của Nhật Bản quy định các dữ liệu về trạng thái xã hội, hồ sơ phạm tội, hồ sơ bệnh án…; luật của Trung Quốc cũng nêu rõ các dữ liệu như sinh trắc học, tôn giáo, y tế, tài chính, sức khỏe… Dẫn kinh nghiệm của nhiều nước, đại biểu đề nghị Cơ quan soạn thảo có thể quy định ngay một số loại dữ liệu cơ bản thuộc nhóm nhạy cảm trong luật. Những thông tin khác có thể giao Chính phủ quy định bổ sung sau, phù hợp với yêu cầu thực tiễn từng thời kỳ.

z6633464015833_32eb3ab8b52eff9ee42cd6d7a1abd387.jpg
Đoàn ĐBQH tỉnh Nghệ An tham dự phiên họp. Ảnh: Quang Vinh

Liên quan đến việc khử nhận dạng dữ liệu cá nhân, đại biểu cho biết: Hiện nay, khoản 11 Điều 2 của dự thảo Luật đã đưa ra định nghĩa về khử nhận dạng dữ liệu cá nhân và đồng thời cũng nêu rõ: Dữ liệu cá nhân sau khi được khử nhận dạng thì không còn được coi là dữ liệu cá nhân. “Đây là một điểm rất quan trọng, là bước tiến pháp lý đáng ghi nhận nhằm tạo điều kiện thuận lợi cho việc sử dụng dữ liệu lớn trong nghiên cứu, đặc biệt là trong đào tạo các mô hình trí tuệ nhân tạo”, đại biểu nhấn mạnh.

Mặt khác, đại biểu cho rằng: Dự thảo và các quy định của các luật có liên quan như Luật Dữ liệu, Luật Công nghiệp công nghệ số đều chưa quy định rõ cách thức để thực hiện việc khử nhận dạng dữ liệu cá nhân và các cách thức để bảo đảm những dữ liệu này không thể bị tái nhận dạng. Trong thực tiễn, nếu không quy định rõ tiêu chí và cách thức thực hiện thì doanh nghiệp rất khó nhận biết khi nào dữ liệu đã thực sự được khử nhận dạng đầy đủ và hợp pháp.

Do đó, đại biểu kiến nghị cần nghiên cứu bổ sung quy định về cách thức khử nhận dạng dữ liệu để thuận tiện cho việc triển khai thực hiện. “Ở đây, có thể tham khảo danh mục các trường dữ liệu cần phải loại bỏ hoặc mã hóa như luật của một số nước đã quy định. Nếu không thể quy định cụ thể trong luật thì có thể nghiên cứu theo danh mục do Chính phủ quy định”, đại biểu đề xuất.

Bên cạnh đó, để tránh trùng lặp, đề nghị rà soát quy định tại Điều 27 của dự thảo Luật Công nghiệp công nghệ số về phi cá nhân hóa dữ liệu số vì khái niệm này trùng lặp với nội hàm của khái niệm khử nhân dạng dữ liệu cá nhân trong dự thảo Luật này. Điều đó là cần thiết để bảo đảm không gây mâu thuẫn, chồng chéo và tạo điểm nghẽn trong quá trình triển khai thực thi luật.

Bảo đảm tính khả thi, giảm gánh nặng tuân thủ

Liên quan đến việc phân loại rủi ro đối với dữ liệu cá nhân trong phát triển trí tuệ nhân tạo, đại biểu cho biết: Điều 27 của dự thảo quy định về việc bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây, trong đó có yêu cầu phân loại mức độ rủi ro theo 4 mức: rủi ro không thể chấp nhận, rủi ro cao, rủi ro hạn chế và rủi ro thấp.

Tuy nhiên, quy định này chưa rõ ràng và có thể ảnh hưởng đến việc sử dụng dữ liệu để phát triển các hệ thống trí tuệ nhân tạo. Cụ thể, dự thảo chưa xác định rõ tiêu chí đánh giá các mức độ rủi ro; chưa quy định rõ trách nhiệm xác định rủi ro thuộc về ai: doanh nghiệp, cơ quan nhà nước hay bên thứ ba?

z6633464255567_1e4fa53e6dcda8290e73ab5e81e2de46.jpg
Các ĐBQH tỉnh Nghệ An dự phiên thảo luận tại Hội trường sáng 24/5. Ảnh: Quang Vinh

Do đó, đại biểu đề nghị cần có quy định rõ ràng, cụ thể về việc đánh giá rủi ro trong xử lý dữ liệu cá nhân khi phát triển trí tuệ nhân tạo, nhằm tạo điều kiện thuận lợi cho việc xây dựng và triển khai các hệ thống AI. Đồng thời, cần rà soát các quy định tại Điều 27 của dự thảo để tránh trùng lặp với các quy định hiện hành trong dự thảo Luật Công nghiệp công nghệ số – một dự án luật khác dự kiến cũng sẽ được Quốc hội xem xét thông qua tại kỳ họp này.

Về hoàn thiện dự thảo để giảm gánh nặng cho doanh nghiệp trong việc tuân thủ các quy định của luật, đại biểu cho rằng: Dự thảo đã đặt ra nhiều nghĩa vụ cho bên kiểm soát dữ liệu và bên xử lý dữ liệu, bao gồm các nghĩa vụ như: đánh giá tác động xử lý dữ liệu cá nhân, cập nhật định kỳ, thông báo sớm khi có vi phạm, bố trí chuyên gia bảo vệ dữ liệu cá nhân…

Mặc dù khoản 4 Điều 34 đã cho phép doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được miễn trừ nghĩa vụ bố trí chuyên gia bảo vệ dữ liệu cá nhân trong 5 năm đầu, nhưng các nghĩa vụ còn lại vẫn có thể tạo gánh nặng lớn, nhất là với doanh nghiệp nhỏ và vừa, không hoạt động chính trong lĩnh vực dữ liệu. Vì vậy, đại biểu kiến nghị cơ quan chủ trì soạn thảo tiếp tục rà soát, nghiên cứu để giảm gánh nặng tuân thủ cho doanh nghiệp, nhằm vừa khuyến khích phát triển các ngành công nghiệp mới, vừa bảo đảm quyền của người dân. Có thể áp dụng một số quy định tuân thủ theo hướng phân tầng, dựa trên quy mô doanh nghiệp, khối lượng và tính nhạy cảm của dữ liệu được xử lý. Cụ thể, có thể miễn trừ hoặc đơn giản hóa quy trình đánh giá tác động đối với các doanh nghiệp nhỏ và vừa khi xử lý dữ liệu có rủi ro thấp và khối lượng dữ liệu không nhiều – thay vì áp dụng một quy trình đồng nhất cho mọi đối tượng.

Đại biểu Hoàng Minh Hiếu cũng nhấn mạnh: Khi Luật này có hiệu lực, sẽ có tác động rất lớn đến toàn bộ cá nhân trong xã hội và các doanh nghiệp, nhất là trong điều kiện ứng dụng nền tảng số ngày càng sâu rộng. Vì vậy, đề nghị Chính phủ sớm có kế hoạch tuyên truyền, phổ biến rộng rãi Luật này để tạo ra thói quen tuân thủ pháp luật về bảo vệ dữ liệu cá nhân trong toàn xã hội.