Thu thập dữ liệu cá nhân chưa được cho phép có thể bị phạt tới 40 triệu đồng

Thu thập dữ liệu trái phép có thể bị phạt tới 70 triệu đồng

Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực dữ liệu, do Bộ Công an soạn thảo, có 5 chương, 44 Điều, gồm: Những quy định chung; yêu cầu, điều kiện bảo vệ dữ liệu cá nhân; thực thi công tác bảo vệ dữ liệu cá nhân và Điều khoản thi hành.

Thu thập dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể có thể bị phạt đến 40 triệu đồng (lsvn.vn)

Theo đó, dự thảo Nghị định này quy định về hành vi vi phạm hành chính, hình thức xử phạt, mức xử phạt, biện pháp khắc phục hậu quả đối với từng hành vi vi phạm hành chính, đối tượng bị xử phạt, thẩm quyền lập biên bản và thẩm quyền xử phạt, mức phạt tiền cụ thể theo từng chức danh đối với hành vi vi phạm hành chính trong lĩnh vực dữ liệu.

Đáng chú ý, tại dự thảo Nghị định này, Bộ Công an đề xuất phạt đến 40 triệu đồng hành vi thu thập dữ liệu không được sự đồng ý hoặc không có căn cứ pháp lý rõ ràng. Cụ thể, theo Điều 9 dự thảo Nghị định quy định, phạt tiền từ 20 - 40 triệu đồng đối với một trong những hành vi “Thu thập, tạo lập dữ liệu mà không được sự đồng ý của chủ thể dữ liệu, chủ sở hữu dữ liệu hoặc không có căn cứ pháp lý rõ ràng”.

Cùng mức phạt trên được áp dụng với các hành vi: Thu thập, tạo lập dữ liệu làm sai lệch nguồn gốc, thời gian, nội dung dữ liệu gốc; Thu thập, tạo lập dữ liệu giả mạo, không đúng sự thật hoặc không có mục đích rõ ràng, không thông báo, không đăng ký với cơ quan có thẩm quyền theo quy định...

Đồng thời, Ban soạn thảo cũng đề xuất, phạt tiền từ 40 - 70 triệu đồng nếu có một trong các tình tiết sau: Thu thập, tạo lập dữ liệu vượt quá phạm vi, mục đích đã thông báo hoặc ảnh hưởng đến nhiều cơ quan, tổ chức, cá nhân; Dữ liệu thuộc danh mục dữ liệu cốt lõi, dữ liệu quan trọng quốc gia, dữ liệu nhạy cảm;

Ngoài việc bị phạt tiền, cá nhân, tổ chức vi phạm có thể bị áp dụng một hoặc nhiều biện pháp khắc phục hậu quả: Buộc xóa, tiêu hủy toàn bộ dữ liệu đã thu thập, tạo lập trái phép; Buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm.

Dự thảo nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực dữ liệu đã được Bộ Công an lấy ý kiến các Bộ, ngành, địa phương, lấy ý kiến rộng rãi nhân dân. Dự thảo cũng đã được Bộ Tư pháp thẩm định và đang được Bộ Công an hoàn thiện, trước khi trình Chính phủ ban hành.

Xử phạt thu thập dữ liệu trái phép: tín hiệu đúng hướng nhưng chưa đủ mạnh

Vì sao cần phải xử phạt nặng hành vi thu thập dữ liệu khi chưa được sự đồng ý của chủ thể?

Phóng viên VOVGT đã có cuộc trao đổi với Tiến sĩ Đoàn Trung Sơn, Giám đốc Chương trình đào tạo An toàn thông tin, Đại học Phenikaa về nội dung này.

Tiến sĩ Đoàn Trung Sơn, Giám đốc Chương trình đào tạo An toàn thông tin, Đại học Phenikaa

PV: Theo ông, những khoảng trống pháp lý nào trong quản lý và xử phạt vi phạm hành chính về dữ liệu mà dự thảo nghị định hướng tới?

Tiến sĩ Đoàn Trung Sơn: Việc ban hành và thực thi các quy định về xử phạt vi phạm hành chính trong lĩnh vực dữ liệu là hết sức cần thiết, trong bối cảnh dữ liệu đã trở thành một tài sản chiến lược của quốc gia, cũng như là các doanh nghiệp.

Thứ nhất là chế tài hành chính để tạo cơ chế răn đe hữu hiệu buộc các tổ chức nền tảng số phải tuân thủ nghiêm túc nghĩa vụ bảo vệ dữ liệu cá nhân. Thứ hai là nó góp phần chuẩn hóa hành vi xử lý dữ liệu, giảm các tình trạng thu thập, sử dụng và chia sẻ dữ liệu một cách tùy tiện. Thứ ba là hệ thống chế tài rõ ràng giúp nâng cao trách nhiệm giải trình của các doanh nghiệp công nghệ, đặc biệt là các nền tảng có ảnh hưởng lớn tới xã hội…

PV: Một trong những nội dung đáng chú ý của dự thảo nghị định này là Ban soạn thảo đề xuất phạt đến 40 triệu đồng đối với hành vi thu thập dữ liệu vượt quá phạm vi cần thiết. Ông có ý kiến như thế nào về đề xuất này?

Tiến sĩ Đoàn Trung Sơn: Dự thảo nghị định bảo vệ dữ liệu cá nhân thì quy định mức xử phạt đến 40 triệu đối với hành vi lấy dữ liệu cá nhân khi chưa được phép, là cần thiết, nhưng theo tôi là chưa đủ.

Thứ nhất, quy định này là một bước tiến quan trọng nhằm khẳng định dữ liệu cá nhân là quyền lợi hợp pháp của cá nhân, không phải là tài nguyên có thể thu thập tùy tiện bởi các nền tảng mạng xã hội và mức phạt là 40 triệu đồng là tạo ra một ngưỡng răn đe ban đầu. Đặc biệt với các cá nhân, các tổ chức nhỏ thì mức độ thiệt hại nhỏ góp phần chấm dứt tình trạng thu thập trước rồi xin phép sau. Thứ hai là về tính hợp lý thì mức phạt này là phù hợp với hệ hệ thống xử phạt hành chính hiện hành của Việt Nam và đảm bảo tính khả thi trong việc thực thi.

Tuy nhiên, với các doanh nghiệp công nghệ lớn, này tảng số có doanh thu và lượng dữ liệu khổng lồ thì 40 triệu đồng là tương đối thấp, chưa tương xứng với lợi ích kinh tế thu được từ việc khai thác dữ liệu trái phép.

Năm 2024, mức độ thiệt hại do các hình thức lừa đảo trực tuyến lên tới 18.900 tỷ đồng. Với mức độ thiệt hại rất lớn như vậy mà chỉ 40 triệu đồng là quá thấp.

PV: Vậy theo ông, cần thiết kế mức phạt ra sao để góp phần ngăn chặn tinh trạng này?

Tiến sĩ Đoàn Trung Sơn: Để hoàn thiện về mặt pháp luật, để cho quy định nó thực sự hiệu quả hơn, chúng ta cần có ba điểm sau: Thứ nhất là phải phân hóa mức phạt theo quy mô, tính chất rồi hậu quả vi phạm. Thứ hai là bổ sung các biện pháp bổ trợ như là buộc phải xóa dữ liệu khi thu thập trái phép rồi đình chỉ xử lý dữ liệu, công khai vi phạm dữ liệu. Thứ ba là tiến tới cơ chế phạt theo tỉ lệ doanh thu. Và điều này thì nó tiệm cận với lại các hông lệ quốc tế.

Tóm lại mức phạt 40 triệu đồng là một tín hiệu chính sách đúng hướng thể hiện quyết tâm bảo vệ dữ liệu cá nhân. Nhưng về dài hạn thì cần phải nâng cấp và thiết kế linh hoạt để theo kịp với lại tốc độ phát triển của kinh tế số, các nền tảng dữ liệu lớn và phù hợp với lại thông nghệ quốc tế.

PV: Xin cảm ơn ông!

Xử phạt vi phạm dữ liệu sẽ làm lành mạnh hóa môi trường kinh doanh số

Việc quy định rõ mức xử phạt đến 40 triệu đồng với hành vi phạm hành chính trong lĩnh vực dữ liệu, nếu được ban hành sẽ có những tác động xã hội như thế nào?

Đại biểu Nguyễn Thị Việt Nga, Ủy viên Ủy ban Văn hóa- Xã hội của Quốc hội. Ảnh: Tiền phong

Phóng viên VOVGT đã có cuộc trao đổi với đại biểu Nguyễn Thị Việt Nga, Ủy viên Ủy ban Văn hóa- Xã hội của Quốc hội:

PV: Thưa bà, bà đánh giá như thế nào về sự cần thiết ban hành nghị định quy định về xử phạt vi phạm hành chính trong lĩnh vực dữ liệu?

Đại biểu Nguyễn Thị Việt Nga: Việc ban hành nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực dữ liệu là hết sức cần thiết và mang tính cấp bách xét trên cả phương diện hoàn thiện thể chế, lẫn yêu cầu thực tiễn của quá trình chuyển đổi số quốc gia.

Dự thảo nghị định này có ý nghĩa đặc biệt là chúng ta lần đầu tiên xây dựng được một khung xử phạt tương đối toàn diện cho toàn bộ vòng đời dữ liệu. Điều này thể hiện tư duy quản trị hiện đại, coi dữ liệu không chỉ là đối tượng kỹ thuật, mà quan trọng hơn là đối tượng quản lý pháp lý và nghị định này đã tạo ra được một hành lang pháp lý rõ rang, phân định trách nhiệm giữa các chủ thể, từ cơ quan nhà nước, doanh nghiệp hay tổ chức trung gian và cả cá nhân nữa. Khi quyền và nghĩa vụ được xác định rõ thì chế tài sẽ được cụ thể hóa và việc bảo về sự liệu mới đi vào thực chất.

PV: Một trong những điểm đáng chú ý của dự thảo quy định là quy định xử phạt đến 40 triệu đồng đối với hành vi thu thập dữ liệu khi chưa được sự đồng ý của chủ dữ liệu hoặc không có cơ sở pháp lý rõ ràng. Bà có ý kiến như thế nào về mức phạt này?

Đại biểu Nguyễn Thị Việt Nga: Việc quy định mức phạt từ 20 triệu cho đến 40 triệu đồng đối với hành vi thu thập lấy dữ liệu cá nhân mà chưa được sự đồng ý của chủ thể dữ liệu là một bước tiến rất quan trọng trong tư duy bảo vệ quyền riêng tư ở Việt Nam.

Đặc biệt là trong bối cảnh hiện nay, không ít các tổ chức, doanh nghiệp đã thu thập dữ liệu cá nhân theo kiểu là mặc nhiên đồng ý với những điều khoản ẩn hoặc là thu thập vượt quá mục đích mà đã thông báo.

Vì vậy, việc đặt ra mức phạt cụ thể cho hành vi lấy dữ liệu cá nhân trái phép, theo tôi là hoàn toàn phù hợp với tinh thần của Luật Dữ liệu và đồng thời cũng tiệm cận với những chuẩn mực quốc tế về bảo vệ dữ liệu cá nhân. Với mức phạt 40 triệu đồng đối với cá nhân và gấp đôi đối với tổ chức có ý nghĩa cảnh báo rõ ràng đó là dữ liệu cá nhân không phải là tài nguyên miễn phí để khai thác tùy tiện. Tuy nhiên, mức phạt tiền, cần được nhìn nhận trong mối quan hệ với các biện pháp khắc phục hậu quả, chứ chúng ta cũng không chỉ dừng ở mức phạt tiền.

PV: Theo bà, nếu như dự thảo nghị định này được ban hành thì sẽ có tác động xã hội như thế nào?

Đại biểu Nguyễn Thị Việt Nga: Dự thảo nghị định này nếu được ban hành và thực thi hiệu quả thì tác động xã hội của nó sẽ rất rõ nét theo hướng tích cực, thể hiện ít nhất ở trên ba phương diện sau:

Thứ nhất là người dân sẽ được bảo vệ tốt hơn về quyền dữ liệu cá nhân. Khi mà các hành vi thu thập chia sẻ, xử lý dữ liệu trái phép bị kiểm soát chặt chẽ và bị xử phạt nghiêm minh thì người dân sẽ có thêm niềm tin để tham gia các dịch vụ số hay dịch vụ công trực tuyến.

Thứ hai, nghị định sẽ góp phần làm lành mạnh hóa môi trường kinh doanh dữ liệu. Ở tầm vĩ mô, nghị định này sẽ giúp tăng cường năng lực quản lý nhà nước về dữ liệu, bảo đảm an ninh dữ liệu quốc gia trong bối cảnh dữ liệu ngày càng trở thành một mặt trận mới của cạnh tranh và xung đột phi truyền thống.

PV: Xin cảm ơn bà!

Quách Đồng/VOV-Giao thông