Dự thảo Luật Bảo vệ dữ liệu cá nhân gồm 7 chương, 68 điều được xây dựng dựa trên cơ sở luật hóa quy định của Nghị định 13 về bảo vệ dữ liệu cá nhân ngày 17/4/2023 của Chính phủ.
Đáng chú ý, tại Điều 43 quy định cụ thể về Bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến.
Theo đó, Dự thảo Luật quy định, mạng xã hội là nền tảng cho phép người dùng tạo hồ sơ, chia sẻ nội dung, và tương tác với người khác; nhắn tin văn bản, gửi hình ảnh, video và gọi điện qua Internet; thực hiện cuộc gọi video giữa các thiết bị; nền tảng và dịch vụ cho phép người chơi tham gia vào các trò chơi qua Internet; tổ chức cuộc họp, hội thảo và lớp học trực tuyến.
Ảnh minh họa.
Dịch vụ truyền thông trực tuyến là các nền tảng cung cấp nội dung video như phim, chương trình truyền hình và video ngắn qua mạng Internet; các nền tảng cho phép người dùng nghe nhạc trực tuyến; các dịch vụ cho phép phát trực tiếp nội dung video tới người xem trong thời gian thực.
Dự thảo quy định việc tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm:
- Bảo vệ dữ liệu cá nhân của công dân Việt Nam khi hoạt động tại thị trường Việt Nam hoặc xuất hiện trên kho ứng dụng di động cung cấp cho thị trường Việt Nam;
- Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng;
- Không được yêu cầu hình ảnh, video chứa nội dung đầy đủ hoặc một phần căn cước, CCCD, CMTND làm yếu tố xác thực tài khoản;
- Cung cấp lựa chọn cho phép người dùng từ chối thu thập cookies và chia sẻ cookies;
- Cung cấp lựa chọn "không theo dõi" hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;
- Thông báo cụ thể, rõ ràng, bằng văn bản về việc chia sẻ dữ liệu cá nhân cũng như áp dụng biện pháp bảo mật khi thực hiện hoạt động quảng cáo, tiếp thị dựa trên dữ liệu cá nhân của khách hàng;
- Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu;
- Cung cấp cơ chế để để người dùng báo cáo các vi phạm về bảo mật và quyền riêng tư;
- Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng quyền truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho thông tin cá nhân; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi được chuyển giao ra bên ngoài lãnh thổ Việt Nam; thiết lập cơ chế để người dùng báo cáo các vi phạm về bảo vệ dữ liệu cá nhân; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả;
- Thông báo cho chủ thể dữ liệu về các sự cố và vi phạm quy định về bảo vệ dữ liệu cá nhân về tài khoản mạng xã hội, dịch vụ truyền thông trực tuyến trong vòng 72 giờ kể từ khi xảy ra hành vi vi phạm hoặc sự cố, kèm theo kết quả xử lý, khắc phục hậu quả, đánh giá mức độ nghiêm trọng của sự cố và nguy cơ tiềm ẩn phát sinh.
Một điểm nữa tại Điều 34 quy định đó là: Dữ liệu cá nhân đăng ký tài khoản mạng xã hội, dịch vụ truyền thông trực tuyến không thuộc trường hợp được xử lý mà không cần có sự đồng ý của chủ thể dữ liệu.
