Hai luật, một mục tiêu, hai con đường khác nhau
Nghị định 13/2023/NĐ-CP (còn gọi là PDPD, Personal Data Protection Decree) có hiệu lực ngày 1/7/2023. Đây là văn bản pháp luật đầu tiên của Việt Nam quy định toàn diện về bảo vệ dữ liệu cá nhân, thay thế cho các quy định rải rác trước đó trong Luật An toàn thông tin mạng và Luật Công nghệ thông tin.
GDPR (General Data Protection Regulation) có hiệu lực tháng 5/2018 tại EU. Kể từ đó, GDPR đã trở thành chuẩn tham chiếu cho nhiều quốc gia khi xây dựng luật bảo vệ dữ liệu, bao gồm Việt Nam.
Cả hai đều bảo vệ quyền riêng tư của cá nhân. Tuy nhiên, cách tiếp cận về phạm vi dữ liệu nhạy cảm, yêu cầu đăng ký, và cơ chế thực thi có sự khác biệt đáng kể. Những khác biệt này ảnh hưởng trực tiếp đến cách công ty Việt Nam xây dựng chương trình tuân thủ.
Nguồn Nghị định 13: thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-568408.aspx
Nguồn GDPR: eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
So sánh tổng quan
| Nghị định 13/2023 | GDPR | |
|---|---|---|
| Ban hành | 2023, Việt Nam | 2016/2018, EU |
| Phạm vi áp dụng | Tổ chức xử lý dữ liệu công dân Việt Nam | Tổ chức xử lý dữ liệu cư dân EU |
| Cơ quan quản lý | Bộ Công an (Cục Bảo vệ dữ liệu cá nhân) | DPA từng quốc gia EU thành viên |
| Định nghĩa dữ liệu nhạy cảm | Rộng hơn: bao gồm vị trí địa lý, mạng xã hội, người chưa thành niên | Hẹp hơn theo GDPR Article 9 |
| Yêu cầu đăng ký | Có: đăng ký xử lý dữ liệu nhạy cảm với Bộ Công an | Không có yêu cầu đăng ký tương đương |
| Data Processing Agreement | Không quy định tường minh như GDPR Article 28 | Bắt buộc theo GDPR Article 28 |
| Chuyển dữ liệu ra nước ngoài | Yêu cầu thông báo/phê duyệt, hướng dẫn chi tiết đang được hoàn thiện | SCC, adequacy decision, BCR |
| Phạt tối đa | Khung xử phạt hành chính đang được xây dựng | 20 triệu EUR hoặc 4% doanh thu toàn cầu |
Định nghĩa dữ liệu nhạy cảm: điểm khác biệt lớn nhất
GDPR Article 9 liệt kê "special categories of personal data" gồm: chủng tộc và nguồn gốc dân tộc, quan điểm chính trị, tín ngưỡng tôn giáo, tư cách thành viên công đoàn, dữ liệu di truyền, dữ liệu sinh trắc học dùng để định danh, dữ liệu sức khỏe, và dữ liệu về đời sống tình dục hoặc xu hướng tính dục. Danh sách này tương đối cụ thể và giới hạn.
Nghị định 13 định nghĩa "dữ liệu cá nhân nhạy cảm" bao gồm nhiều hạng mục hơn: quan điểm chính trị, quan điểm tôn giáo, tình trạng sức khỏe và đời tư, nguồn gốc chủng tộc, dữ liệu sinh trắc học, dữ liệu di truyền, thông tin về đời sống tình dục, dữ liệu về tội phạm và vi phạm pháp luật, thông tin khách hàng của tổ chức tín dụng, dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị, và dữ liệu cá nhân của trẻ em.
Điểm khác biệt có ý nghĩa thực tế: dữ liệu vị trí địa lý là "dữ liệu nhạy cảm" theo Nghị định 13, nhưng không phải theo GDPR (trừ khi kết hợp với dữ liệu sức khỏe hoặc tôn giáo). Nghĩa là một ứng dụng theo dõi vị trí người dùng Việt Nam sẽ phải tuân thủ các yêu cầu nghiêm ngặt hơn về dữ liệu nhạy cảm theo Nghị định 13, kể cả khi ứng dụng đó không xử lý bất kỳ thông tin nào thuộc GDPR Article 9.
Consent: điểm giống nhau nhưng khác ở chi tiết triển khai
Cả hai framework đều yêu cầu consent (đồng ý) rõ ràng trước khi xử lý dữ liệu nhạy cảm.
GDPR quy định consent phải "freely given, specific, informed, and unambiguous." Pre-ticked boxes không hợp lệ. Bundled consent (gộp nhiều mục đích vào một lần xin phép) cũng không hợp lệ. Người dùng phải có khả năng rút lại consent dễ dàng như khi đã cho.
Nghị định 13 yêu cầu đồng ý bằng văn bản với dữ liệu nhạy cảm. Tuy nhiên, định nghĩa "văn bản" trong môi trường kỹ thuật số chưa được hướng dẫn chi tiết trong nhiều trường hợp cụ thể. Cơ quan quản lý chưa ban hành hướng dẫn chính thức về việc checkbox trên web có đủ điều kiện "bằng văn bản" không trong mọi tình huống.
Hệ quả thực tế: nếu bạn đã xây consent flow đáp ứng GDPR, phần lớn logic đó cũng phù hợp với Nghị định 13. Chỗ cần chú ý là lưu audit trail rõ ràng hơn cho dữ liệu nhạy cảm của người dùng Việt Nam, để có bằng chứng về đồng ý bằng văn bản khi cần.
Quyền của cá nhân: điểm giống nhau cốt lõi
Cả hai framework trao cho cá nhân quyền truy cập dữ liệu của mình, quyền yêu cầu sửa đổi, quyền yêu cầu xóa, và quyền phản đối việc xử lý. Đây là phần overlap cao nhất giữa hai luật.
Nếu đã xây dựng quy trình xử lý Subject Access Request theo GDPR, bao gồm cơ chế nhận yêu cầu, xác minh danh tính, và phản hồi trong thời hạn, phần lớn cơ sở hạ tầng đó cũng đáp ứng được yêu cầu tương đương trong Nghị định 13.
Điểm cần đối chiếu là thời hạn phản hồi. GDPR cho phép tối đa một tháng với khả năng gia hạn thêm hai tháng trong trường hợp phức tạp. Nghị định 13 quy định thời hạn cụ thể cho từng loại yêu cầu, và con số đó chưa hẳn khớp. Cần kiểm tra để đảm bảo quy trình nội bộ của bạn đáp ứng cả hai.
Yêu cầu đăng ký: điểm khác biệt quan trọng
Nghị định 13 yêu cầu tổ chức xử lý dữ liệu nhạy cảm phải đăng ký hoạt động xử lý với Cục Bảo vệ dữ liệu cá nhân thuộc Bộ Công an. Đây là yêu cầu không có trong GDPR.
GDPR từng có yêu cầu đăng ký với cơ quan quản lý ở nhiều quốc gia EU thời kỳ trước 2018 (dưới Directive 95/46/EC). Khi GDPR thay thế, yêu cầu đăng ký chung bị bãi bỏ, thay bằng cơ chế Records of Processing Activities (ROPA) nội bộ.
Nghị định 13 giữ lại mô hình đăng ký nhưng chỉ cho dữ liệu nhạy cảm. Hướng dẫn chi tiết về quy trình đăng ký và biểu mẫu đang được hoàn thiện. Điều này có nghĩa là công ty đang xử lý dữ liệu nhạy cảm của công dân Việt Nam cần theo dõi văn bản hướng dẫn từ Bộ Công an để biết khi nào và cách đăng ký.
Data Processing Agreement: yêu cầu bất đối xứng
GDPR Article 28 bắt buộc phải có Data Processing Agreement (DPA) giữa data controller và data processor. DPA phải quy định rõ phạm vi xử lý, mục đích, loại dữ liệu, nghĩa vụ bảo mật, và điều kiện sử dụng sub-processor.
Nghị định 13 không có yêu cầu tường minh tương đương GDPR Article 28 về DPA giữa controller và processor. Tuy nhiên, các nguyên tắc chung về trách nhiệm của bên xử lý dữ liệu vẫn được quy định trong nghị định.
Hệ quả cho công ty Việt Nam cung cấp dịch vụ cho khách hàng EU: bạn vẫn phải ký DPA theo yêu cầu GDPR Article 28. DPA đó không tự động bao gồm các yêu cầu của Nghị định 13.
Chuyển dữ liệu ra nước ngoài: cả hai đều phức tạp
GDPR yêu cầu dữ liệu cá nhân của cư dân EU chỉ được chuyển ra ngoài EU nếu đáp ứng một trong các điều kiện: adequacy decision (quốc gia nhận đã được EC công nhận có mức bảo vệ tương đương), Standard Contractual Clauses (SCC), hoặc Binding Corporate Rules (BCR). Việt Nam chưa có adequacy decision từ EC, vì vậy luồng dữ liệu EU sang Việt Nam hiện phải dựa vào SCC hoặc BCR.
Nghị định 13 yêu cầu đánh giá tác động và thông báo/phê duyệt của Bộ Công an trước khi chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài. Chi tiết về thủ tục phê duyệt và điều kiện miễn trừ đang tiếp tục được hướng dẫn thêm.
Tình huống phổ biến cần xem xét cả hai: công ty Việt Nam xây phần mềm cho khách hàng EU, nhận dữ liệu từ EU, xử lý trên hạ tầng Việt Nam, và gửi báo cáo về cho khách hàng EU. Luồng dữ liệu này chạm cả GDPR (từ EU vào Việt Nam cần SCC) và Nghị định 13 (từ Việt Nam ra EU cần tuân thủ quy định chuyển dữ liệu xuyên biên giới).
Khi nào cần tuân thủ cả hai
Nếu bạn xử lý dữ liệu cá nhân của cả công dân Việt Nam và cư dân EU, bạn phải tuân thủ cả hai. Phạm vi áp dụng dựa trên nơi ở của chủ thể dữ liệu, không phải nơi đặt trụ sở của công ty.
Ví dụ cụ thể: nền tảng thương mại điện tử phục vụ cả thị trường Việt Nam và Đức phải áp dụng Nghị định 13 cho người dùng Việt Nam và GDPR cho người dùng Đức. Hai framework áp dụng song song.
Điểm chung giữa hai luật (consent, quyền cá nhân, bảo mật kỹ thuật, breach notification) có thể xây một lần và dùng chung cho cả hai. Điểm khác nhau phải xử lý riêng:
- Đăng ký xử lý dữ liệu nhạy cảm với Bộ Công an: chỉ áp dụng cho Nghị định 13
- DPA theo GDPR Article 28 với khách hàng EU: chỉ áp dụng cho GDPR
- SCC cho luồng dữ liệu từ EU vào Việt Nam: chỉ áp dụng cho GDPR
- Phê duyệt chuyển dữ liệu xuyên biên giới từ Bộ Công an: chỉ áp dụng cho Nghị định 13
Bước tiếp theo thực tế
Bắt đầu bằng data inventory: liệt kê dữ liệu cá nhân bạn đang xử lý, phân loại theo nguồn gốc của chủ thể (công dân Việt Nam, cư dân EU, hay cả hai). Không biết mình có gì thì không xác định được framework nào áp dụng.
Với dữ liệu của công dân Việt Nam, xem có xử lý "dữ liệu nhạy cảm" theo định nghĩa Nghị định 13 không. Đặc biệt chú ý dữ liệu vị trí và dữ liệu của người chưa thành niên, hai hạng mục có trong Nghị định 13 nhưng không có trong GDPR Article 9. Nếu có, theo dõi hướng dẫn đăng ký từ Bộ Công an.
Với dữ liệu của cư dân EU, kiểm tra xem DPA theo GDPR Article 28 với khách hàng EU đã có chưa và SCC đã được ký cho luồng dữ liệu từ EU vào Việt Nam chưa.
Với cả hai, đối chiếu breach notification procedure hiện tại với thời hạn của từng framework. GDPR yêu cầu thông báo cho cơ quan quản lý trong vòng 72 giờ. Nghị định 13 có yêu cầu thông báo riêng cần xem kỹ.
Tài liệu tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-568408.aspx)
- GDPR, Regulation (EU) 2016/679 (eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679)