The Vietnamese government wants to completely ban the buying and selling of personal data
In light of the rampant buying and selling of personal data posing risks of fraud and asset appropriation, the Government has proposed legalizing a complete ban on this practice. Deputy Prime Minister Lê Thành Long, on the afternoon of May 5, presented the Personal Data Protection Bill to the National Assembly on behalf of the Prime Minister.
The bill lists six groups of prohibited behaviors, including: unlawful processing of personal data, negatively affecting the state, national defense, security, and the legal rights and interests of organizations and individuals; obstructing the data protection activities of competent authorities; exploiting data protection to violate the law; collecting, processing, and transferring data in violation of regulations; buying and selling personal data; intentionally appropriating, leaking, or losing personal data.
Decree No. 13/2023 has stipulated that “personal data cannot be bought or sold in any form,” but in reality, this situation is currently widespread and public, with many actions not being addressed due to a lack of legal regulations. In the context of widespread digital transformation, personal data is frequently transferred to electronic environments. This leads to the widespread occurrence of data breaches during the transfer, storage, and exchange processes for business activities or due to inadequate protective measures resulting in theft and public disclosure. Additionally, some businesses do not have strict agreements for personal data processing with their partners, allowing partners to transfer or sell the data to third parties.
Even businesses proactively collect, form personal data warehouses, analyze, process for business, and sell. Some types of criminals attack and infiltrate information systems to steal and spread malware that collects personal data in the online environment.
The Ministry of Public Security of Vietnam has discovered, fought against, and dealt with several large-scale personal data theft and trading networks in Vietnam, amounting to thousands of GB of data, including many sensitive internal personal data.
For example, in 2024, a data encryption attack combined with the theft of personal information reached up to 10 terabytes, causing an estimated total damage of up to 11 million USD; 14.5 million accounts in Vietnam were leaked, accounting for 12% of the global total.
The current situation demands an urgent need for a unified and synchronized legal framework for personal data protection, with clear regulations to ensure the rights of data subjects.
The law project verification agency – the National Defense, Security, and Foreign Affairs Committee stated that some members proposed clarifying the definition of “buying and selling personal data” to provide a solid legal basis for prohibiting this act.
For transactions involving the sale of personal data rights, they may be permitted if agreed upon by the subject and serve the purpose of socio-economic development, ensuring national defense and security.
Besides the policy on the sale and purchase of personal data, the law also regulates a series of other important contents, including stipulating 11 rights and obligations of data subjects; establishing strict conditions for the protection of personal data for service business organizations; tightly regulating the transfer of personal data abroad; identifying necessary personal data protection activities; and establishing a specialized agency responsible for personal data protection. It is expected that the National Assembly will discuss this bill in detail in the hall on May 24 and vote on it in the second session of the meeting.
Chính phủ Việt Nam muốn cấm hoàn toàn mua bán dữ liệu cá nhân
Trước tình trạng mua bán dữ liệu cá nhân tràn lan gây nguy cơ lừa đảo và chiếm đoạt tài sản, Chính phủ đề xuất luật hóa việc cấm hoàn toàn hành vi mua bán này. Phó thủ tướng Lê Thành Long chiều 5/5 thừa ủy quyền Thủ tướng trình Quốc hội dự án Luật Bảo vệ dữ liệu cá nhân.
Dự luật liệt kê 6 nhóm hành vi bị nghiêm cấm, bao gồm: xử lý dữ liệu cá nhân trái luật, gây ảnh hưởng tiêu cực đến Nhà nước, quốc phòng, an ninh, quyền và lợi ích hợp pháp của tổ chức, cá nhân; cản trở hoạt động bảo vệ dữ liệu của cơ quan chức năng; lợi dụng bảo vệ dữ liệu để vi phạm pháp luật; thu thập, xử lý, chuyển giao dữ liệu trái quy định; mua, bán dữ liệu cá nhân; cố ý chiếm đoạt, làm lộ hoặc làm mất dữ liệu cá nhân.
Nghị định số 13/2023 đã quy định “dữ liệu cá nhân không được mua, bán dưới mọi hình thức”, song thực tế tình trạng này hiện diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Trong bối cảnh chuyển đổi số diễn ra sâu rộng, dữ liệu cá nhân được chuyển lên môi trường điện tử thường xuyên. Việc này dẫn đến tình trạng lộ, lọt diễn ra phổ biến trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai. Ngoài ra, một số doanh nghiệp không có thỏa thuận xử lý dữ liệu cá nhân chặt chẽ với đối tác, để đối tác chuyển giao, bán cho bên thứ ba.
Thậm chí, doanh nghiệp chủ động thu thập, hình thành kho dữ liệu cá nhân, phân tích, xử lý kinh doanh, buôn bán. Một số loại tội phạm tấn công, xâm nhập hệ thống thông tin để chiếm đoạt, tán phát mã độc thu thập dữ liệu cá nhân trên môi trường mạng.
Bộ Công an Việt Nam đã phát hiện, đấu tranh, xử lý một số đường dây chiếm đoạt, mua bán dữ liệu cá nhân quy mô lớn tại Việt Nam lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.
Đơn cử năm 2024, vụ tấn công mã hóa dữ liệu kết hợp đánh cắp thông tin cá nhân lên đến 10 terabyte, gây tổng thiệt hại ước tính lên đến 11 triệu USD; 14,5 triệu tài khoản ở Việt Nam bị rò rỉ, chiếm 12% toàn cầu.
Thực trạng hiện nay đặt ra yêu cầu cấp bách về một khung pháp lý bảo vệ dữ liệu cá nhân thống nhất, đồng bộ, với các quy định rõ ràng nhằm bảo đảm quyền của chủ thể dữ liệu.
Cơ quan thẩm tra dự án luật – Ủy ban Quốc phòng, An ninh và Đối ngoại cho biết một số thành viên đề xuất làm rõ định nghĩa “mua, bán dữ liệu cá nhân” để có cơ sở pháp lý vững chắc cho việc cấm hành vi này.
Đối với các giao dịch mua bán quyền dữ liệu cá nhân, có thể cho phép nếu được sự đồng ý của chủ thể và phục vụ mục tiêu phát triển kinh tế xã hội, bảo đảm quốc phòng, an ninh quốc gia.
Bên cạnh chính sách về mua bán dữ liệu cá nhân, dự Luật còn điều chỉnh một loạt nội dung quan trọng khác, bao gồm việc quy định 11 quyền và nghĩa vụ của chủ thể dữ liệu; thiết lập điều kiện bảo vệ dữ liệu cá nhân nghiêm ngặt đối với các tổ chức kinh doanh dịch vụ; quy định chặt chẽ việc chuyển giao dữ liệu cá nhân ra nước ngoài; xác định các hoạt động bảo vệ dữ liệu cá nhân cần thiết và thiết lập cơ quan chuyên trách chịu trách nhiệm bảo vệ dữ liệu cá nhân. Dự kiến, Quốc hội thảo luận chi tiết về dự luật này tại hội trường vào ngày 24/5 và biểu quyết thông qua tại đợt hai của kỳ họp.
