Dự thảo Nghị định đề xuất 5 trường hợp được thu thập, giải mã, công khai dữ liệu cá nhân mà không cần sự đồng ý của chủ thể. Tờ trình về việc ban hành Nghị định do Chính phủ gửi UBTVQH nêu, trường hợp thứ nhất là để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác trong tình huống khẩn cấp.
Thứ hai là công khai dữ liệu cá nhân theo quy định của luật.
Ba là việc xử lý dữ liệu của cơ quan Nhà nước thẩm quyền trong tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, TTATXH, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa ANQP nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố; phòng, chống tội phạm và vi phạm pháp luật.
Bốn là thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan.
Năm là phục vụ hoạt động của cơ quan Nhà nước đã được quy định theo luật chuyên ngành.
Chính phủ cho biết quy định như trên đảm bảo phù hợp thông lệ quốc tế, quyền con người, đáp ứng yêu cầu thực tiễn. Nếu không quy định sẽ ảnh hưởng đến chủ quyền dữ liệu, an ninh quốc gia, gây ngưng trệ một số hoạt động phát triển KTXH, tạo ra một số khoảng trống pháp luật.
Dự thảo Nghị định coi dữ liệu cá nhân như một nguồn tài nguyên có thể kinh doanh phục vụ phát triển KTXH, nhưng phải có sự quản lý chặt chẽ của Nhà nước, bảo đảm nguyên tắc luôn có sự đồng ý của chủ thể dữ liệu.
Chủ thể dữ liệu phải được biết về hoạt động liên quan tới xử lý dữ liệu của mình. Dự thảo nghiêm cấm mua, bán dữ liệu cá nhân dưới mọi hình thức...
Bộ Công an đánh giá tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng; người sử dụng chưa ý thức tự bảo vệ hoặc lộ trong quá trình chuyển giao, lưu trữ. DN kinh doanh dịch vụ thu thập dữ liệu khách hàng, cho phép bên thứ ba tiếp cận nhưng không có yêu cầu, quy định chặt chẽ, để họ chuyển giao, buôn bán cho đối tác khác.
Thậm chí, việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết bảo hành và có khả năng cập nhật, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn. Một số Cty được thành lập chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh, thu lợi nhuận.
Hai năm 2019-2020, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới gần 1.300 GB, trong đó có nhiều dữ liệu nội bộ, nhạy cảm.
Hiện pháp luật lại chưa có chế tài hình sự về các vi phạm liên quan đến dữ liệu cá nhân. Các vụ việc buôn bán dữ liệu đang được hoàn thiện theo hướng chứng minh hai tội danh trong BLHS là Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác (Điều 159) và tội Đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông (Điều 288) với mức phạt 3-7 năm tù.
Ngoài ra, chế tài hành chính và dân sự cũng chưa được quy định cụ thể trong luật hiện hành và khó áp dụng do nằm rải rác ở nhiều văn bản. Vì vậy, Chính phủ cho rằng việc ban hành Nghị định quy định về bảo vệ dữ liệu cá nhân là cần thiết; là tiền đề quan trọng để triển khai, đúc rút và nghiên cứu, xây dựng thành Luật Bảo vệ dữ liệu cá nhân.