وباعتبارها واحدة من الدول التي تتمتع بأعلى سرعة في تطوير وتطبيق الإنترنت في العالم، حيث يستخدمه ما يقرب من 80% من السكان، يتم تخزين البيانات الشخصية لنحو ثلثي سكان فيتنام ونشرها ومشاركتها وجمعها على الفضاء الإلكتروني في أشكال ومستويات مختلفة من التفاصيل.

في عامي 2022 و2023، قامت فيتنام بمحاكمة خمس قضايا جنائية تتعلق بشراء وبيع آلاف الجيجابايت من البيانات ومليارات المعلومات الشخصية. وهذا يدل على أنه من الضروري تحسين قانون حماية البيانات الشخصية على أساس البحث والرجوع إلى القانون الدولي.

القانون الدولي بشأن حماية البيانات الشخصية

يعتبر اللائحة العامة لحماية البيانات (GDPR) خطوة قانونية كبيرة إلى الأمام، حيث أنها تخلق آلية حماية المعلومات الشخصية الأكثر صرامة في العالم اليوم.

اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي (EU) . يعتبر اللائحة العامة لحماية البيانات (GDPR) خطوة قانونية رئيسية إلى الأمام، حيث أنها تخلق آلية حماية المعلومات الشخصية الأكثر صرامة في العالم اليوم ويتم تطبيقها على جميع المنظمات والشركات التي تقوم بمعالجة البيانات الشخصية للمواطنين في الاتحاد الأوروبي.

يطبق قانون حماية البيانات العامة (GDPR) عقوبات موحدة على الشركات في جميع المجالات. وتحديدا، تصل الغرامة إلى 2% من رقم الأعمال أو 10 ملايين يورو في حالة المخالفات البسيطة، و4% من رقم الأعمال أو 20 مليون يورو في حالة المخالفات الكبرى. بالإضافة إلى الغرامات، قد تخضع الشركات التي تنتهك اللائحة العامة لحماية البيانات أيضًا لعقوبات أخرى، مثل إجبارها على التوقف عن معالجة البيانات أو حذف البيانات التي تمت معالجتها في انتهاك للائحة العامة لحماية البيانات.

إن سلطة حماية البيانات الشخصية في الاتحاد الأوروبي هي هيئة الإشراف على حماية البيانات في الاتحاد الأوروبي (EDPS) - وهي هيئة مستقلة تضم في عضويتها محامين ذوي خبرة وخبراء في تكنولوجيا المعلومات ومديرين.

وتتمثل وظيفتها الرئيسية في الإشراف على معالجة البيانات الشخصية في هيئات ومؤسسات الاتحاد الأوروبي وتقديم المشورة بشأن المسائل المتعلقة بالبيانات الشخصية. ويتطلب اللائحة العامة لحماية البيانات أيضًا إنشاء هيئة لحماية البيانات الشخصية في كل دولة عضو، مثل لجنة وطنية لحماية البيانات الشخصية (فرنسا، وأيرلندا، وما إلى ذلك) أو هيئة تفتيش حماية البيانات (فنلندا، ولاتفيا، وما إلى ذلك).

إلى جانب الهيئة الأوروبية لحماية البيانات، أنشأ الاتحاد الأوروبي أيضًا مجلس حماية البيانات الأوروبي (EDPB)، والذي يتألف من ممثلين عن سلطات حماية البيانات الوطنية في الدول الأعضاء وممثلين عن الاتحاد الأوروبي، ويعمل كهيئة استشارية مستقلة رئيسية بشأن قضايا حماية البيانات الشخصية، والمسؤول عن التطبيق المتسق للوائح حماية البيانات العامة في جميع أنحاء الاتحاد.

ينص قانون حماية البيانات العامة (GDPR) على عقوبات رادعة للغاية، مادية وغير مادية. بالإضافة إلى ذلك، يتم تنفيذ سلطة حماية البيانات الشخصية في الاتحاد الأوروبي وفقًا لنموذج المفوضية/المفوض، وبالتالي فهي تتمتع بصلاحيات واسعة ومستقلة لفرض العقوبات إذا انتهكت المنظمات لوائح حماية البيانات الشخصية، وهي قادرة على تقييم ومعالجة البيانات الشخصية بشكل مستقل.

ويعتبر قانون حماية المعلومات الشخصية في الصين (PIPL) الذي صدر في عام 2021 أول قانون شامل لحماية المعلومات الشخصية على المستوى الوطني في الصين. يتبنى قانون حماية البيانات الشخصية وجهة نظر موحدة نسبيًا للبيانات الشخصية/المعلومات الشخصية باعتبارها معلومات تحدد أو تحدد فردًا معينًا، ويستهدف مجموعة ضيقة من الأفراد داخل أراضي الصين (المادة 4 الفصل 1 من قانون حماية البيانات الشخصية). وفي الوقت نفسه، يتم وضع لوائح بشأن قضايا البيانات الشخصية الحساسة بهدف وضع لوائح بشأن حقوق والتزامات الأطراف فيما يتعلق بمجموعات أكثر تحديدًا من البيانات.

إن العقوبات المفروضة على انتهاكات حقوق البيانات الشخصية بموجب قانون حماية البيانات الشخصية شديدة للغاية، مثل الإصلاح القسري، ومصادرة الدخل غير المشروع، وتعليق الخدمات، وإلغاء تراخيص التشغيل أو الأعمال التجارية، وغرامات تصل إلى 50 مليون يوان أو 5٪ من الإيرادات السنوية للمنظمة في السنة المالية السابقة. وبالإضافة إلى ذلك، قد يتم تسجيل المخالفات أيضًا في "ملف الائتمان" الخاص بوحدة المعالجة بموجب نظام الائتمان الاجتماعي الوطني.

علاوة على ذلك، ستكون وحدات المعالجة مسؤولة عن تعويض الأضرار إذا انتهكت حقوق ومصالح المنظمات والأفراد. كما يتم تنظيم العقوبات الجنائية لهذه الأنواع من الانتهاكات على وجه التحديد بموجب القانون الجنائي الصيني، الذي ينص على مسؤولية جنائية أشد على المسؤولين عن سرية المعلومات، ويضيف شكل مصادرة الممتلكات، وينص على السجن مدى الحياة كأقصى عقوبة سجن.

قانون حماية البيانات الشخصية في سنغافورة (PDPA) الذي صدر في عام 2012 (تم تعديله في عام 2020). يعترف القانون في سنغافورة بالحق في حماية البيانات الشخصية وكذلك الحاجة إلى قيام المنظمات بجمع المعلومات واستخدامها والإفصاح عنها لأغراض مناسبة في ظروف معينة.

وينص قانون حماية البيانات الشخصية أيضًا على فرض عقوبات مالية شديدة على انتهاكات البيانات. وسوف يتعرض المخالفون الأفراد للغرامات أو السجن. تعتمد الغرامة على طبيعة الفعل وشدته، بما في ذلك غرامة تتراوح بين 2000 و100000 دولار سنغافوري (ما يعادل 1.6 مليار دونج) أو/والسجن لمدة لا تزيد على 12 شهرًا، وفي حالة الجرائم الخطيرة، تصل إلى 3 سنوات1؛ بالنسبة للوكالات والشركات التي تخالف القانون، قد يتم تطبيق غرامات تصل إلى 10٪ من حجم المبيعات السنوية.

إن الهيئة التي تلعب دورًا رئيسيًا في ضمان تنفيذ قانون حماية البيانات الشخصية هي لجنة حماية البيانات الشخصية (PDPC). وهي هيئة متخصصة تتمتع بصلاحيات كبيرة وقدرات إنفاذ واسعة حيث يحق لها طلب المعلومات والوثائق المتعلقة بمعالجة البيانات الشخصية من الأفراد والمنظمات، وفرض عقوبات مالية على المخالفين، فضلاً عن معالجتها بتدابير أخرى.

إن إنشاء وكالة متخصصة، وهي لجنة حماية البيانات الشخصية في سنغافورة، والتي تعمل بشكل مستقل واستباقي في الكشف عن الانتهاكات ومعالجتها وتطبيق العقوبات، يعد أيضًا أحد الشروط اللازمة للتنفيذ الفعال لحماية البيانات الشخصية في سنغافورة.

توصيات لتحسين قوانين حماية البيانات الشخصية في فيتنام

يوجد حاليًا في فيتنام 69 وثيقة قانونية مرتبطة بشكل مباشر بقضية حماية البيانات الشخصية المنصوص عليها في وثائق مختلفة بما في ذلك الدستور، والقانون (4)، والقانون (39)، والمرسوم (1)، والمرسوم (2)، والتعميم/التعميم المشترك (4)، وقرار الوزير (1).

تقترب هذه الوثائق بشكل أساسي من قضية حماية البيانات الشخصية في اتجاه تعزيز مبدأ ضمان خصوصية الموضوع، ومع ذلك، هناك لوائح مختلفة بشأن المعلومات المتعلقة بالبيانات الشخصية، تشير إلى قضايا حقوق والتزامات الموضوعات، ومعالجة المعلومات، وطرق حماية البيانات الشخصية. حققت قوانين فيتنام التي تنظم حماية البيانات الشخصية بعض النتائج الرائعة، وخاصة في 17 أبريل 2023، أصدرت الحكومة المرسوم رقم 12/2023/ND-CP بشأن حماية البيانات الشخصية - وهي وثيقة منفصلة تنظم هذه القضية في بلدنا. وقد خلقت هذه الوثائق القانونية ممرًا قانونيًا لحماية البيانات الشخصية؛ تحديد حقوق أصحاب البيانات وكذلك أطراف المعالجة، ووصف العقوبات في حالة انتهاك حماية البيانات الشخصية، وتحديد الوكالة المتخصصة لحماية البيانات الشخصية كإدارة الأمن السيبراني والوقاية من الجرائم التكنولوجية العالية التابعة لوزارة الأمن العام...

تواجه فيتنام العديد من المخاطر والتحديات والأخطار الناجمة عن الفضاء الإلكتروني، وخاصة تسرب المعلومات والبيانات الشخصية والاستيلاء عليها، مما يسبب العديد من الآثار الضارة على المواطنين والمجتمع.

ومع ذلك، فإن التنفيذ الفعلي لهذه الوثائق كشف أيضًا عن العديد من القيود مثل الوثائق القانونية المنفصلة الحالية على مستوى المرسوم فقط، ولا تلبي أهمية حماية البيانات الشخصية، والعديد من المحتويات حاليًا منظمة بشكل عام وغير واضحة، مما يؤدي إلى عدم وجود إرشادات محددة لكل حالة محددة، والعقوبات لا تزال خفيفة وغير رادعة بما فيه الكفاية.

وفي مواجهة هذا الوضع، فإن الاستمرار في تحسين قانون حماية البيانات الشخصية في فيتنام كان ولا يزال قضية تحتاج إلى البحث على أساس الخبرة المكتسبة من بلدان أخرى. خاصة:

أولاً، بناء قانون لحماية البيانات الشخصية . في سياق الثورة الصناعية 4.0، أصدرت 80 دولة، على المستوى الإقليمي والوطني، وثائق قانونية منفصلة لحماية البيانات الشخصية. تحتاج فيتنام إلى البحث وإصدار قانون عام متخصص في مجال البيانات قريبًا مثل قانون خصوصية البيانات مثل الاتحاد الأوروبي أو الصين أو سنغافورة، والذي يحدد القضايا والمبادئ الأساسية لحماية البيانات الشخصية. إن إصدار قانون منفصل بشأن البيانات الشخصية سيكون بمثابة أساس قانوني مهم لحماية البيانات الشخصية عندما تكون الوثائق القانونية الحالية المتعلقة بهذه القضية في بلدنا غير متسقة سواء في استخدام المصطلحات أو في تنظيم المحتوى.

ثانياً، تعديل واستكمال العقوبات المفروضة على انتهاكات البيانات الشخصية بشكل أكثر شدة لتتناسب مع طبيعة وخطورة المخالفة. على الرغم من أن العقوبات المفروضة على انتهاكات البيانات الشخصية في بلدنا تشمل عقوبات إدارية ومدنية وجنائية، إلا أنها في العموم خفيفة للغاية ولا تتمتع بتأثير رادع كبير. الطريقة الرئيسية حاليًا لا تزال تتمثل في تطبيق العقوبات على المخالفات الإدارية، ومع ذلك، فإن اللوائح متناثرة في العديد من المراسيم بغرامات منخفضة للغاية، وأعلىها: 100 مليون دونج للأفراد و200 مليون دونج للمنظمات.

في حين أن الضرر الذي يمكن أن تسببه الانتهاكات الإدارية للبيانات الشخصية ليس ضررًا ماديًا فحسب، بل أيضًا للشرف والكرامة. بالإضافة إلى العقوبات الإدارية، فإن العقوبات الجنائية لانتهاكات البيانات الشخصية تنعكس فقط في اللوائح المتعلقة بالخصوصية ومجالات تكنولوجيا المعلومات وأمن الشبكات في المادة 159 والمادة 288 من قانون العقوبات الحالي مع أحكام بالسجن منخفضة نسبيًا لا تزيد عن 7 سنوات سجنًا وغرامات لا تزيد عن مليار دونج. إن هذه الغرامة، عند مقارنتها بغرامة العشرين مليون يورو التي فرضها الاتحاد الأوروبي، أو مليون دولار سنغافوري التي فرضتها سنغافورة، أو السجن مدى الحياة الذي فرضته الصين، لا تزال منخفضة للغاية ولا تتناسب مع العديد من الانتهاكات.

وفي الوقت نفسه، من الضروري تنظيم العديد من مجموعات السلوكيات التي لم يتم ذكرها حاليًا في القانون، مثل تداول البيانات على نطاق واسع، وإنشاء أنظمة لانتهاك البيانات، والانتهاكات في أعمال خدمات التسويق، وما إلى ذلك.

ثالثا، على نموذج وكالة حماية البيانات الشخصية في فيتنام . في الوقت الحالي، تعد إدارة الأمن السيبراني والوقاية من الجرائم التكنولوجية العالية التابعة لوزارة الأمن العام هي الوكالة المتخصصة لحماية البيانات الشخصية. وبالرجوع إلى الأنظمة الدولية، يمكننا أن نفكر في إنشاء هيئة مستقلة لحماية البيانات الشخصية تكون مسؤولة عن تطبيق قانون حماية البيانات الشخصية، وإجراء عمليات التفتيش والفحوصات، وإصدار المبادئ التوجيهية وتقديم التوصيات، وتطبيق العقوبات على الانتهاكات إن وجدت.

ويمكننا الرجوع إلى هذه النماذج في الاتحاد الأوروبي أو سنغافورة... لتطبيق قوانين حماية البيانات الشخصية بشكل فعال، وتحقيق التوازن بين حماية الحقوق الشخصية وضمان أمن الشبكة.

إن حماية البيانات الشخصية ليست قضية بسيطة، خاصة عندما يتم وضعها في سياق التكامل، حيث تتم أنشطة مراقبة البيانات الشخصية وجمعها على نطاق واسع، ولا يزال النظام القانوني الفيتنامي الذي ينظم هذه القضية في طور البناء والإتقان.

إن البحث في القانون الدولي بشأن هذه القضية مع الإشارة إلى الوضع العملي في فيتنام سيساعدنا في بناء إطار قانوني لحماية البيانات الشخصية الشاملة، والمتوافق مع القانون الدولي والتنفيذ الفعال.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html