Đề xuất mua bán dữ liệu cá nhân bị phạt hành chính lên đến 100 triệu đồng
Bộ Công an đang lấy ý kiến dự thảo Nghị định xử phạt hành chính trong lĩnh vực an ninh mạng (gọi tắc là dự thảo Nghị định), trong đó có nêu ra các quy định xử phạt đối với hành vi mua bán dữ liệu cá nhân như sau:
Cụ thể tại khoản 1, 2, 3 Điều 28 dự thảo Nghị định quy định về mức phạt tiền đối với các hành vi vi phạm trong phòng, chống mua bán dữ liệu cá nhân như sau:
(1) Phạt tiền từ 60.000.000 đồng đến 80.000.000 đồng đối với một trong các hành vi sau:
- Mua bán dữ liệu cá nhân dưới 10.000 chủ thể dữ liệu;
- Chuyển giao dữ liệu cá nhân cho Bên thứ ba không có liên quan tới mục đích xử lý dữ liệu cá nhân đã được chủ thể dữ liệu đồng ý;
- Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân không áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng nhân viên thu thập dữ liệu cá nhân trái phép, phòng chống hoạt động xâm nhập chiếm đoạt dữ liệu cá nhân từ hệ thống của mình;
- Không thiết lập các hệ thống phần mềm, biện pháp kỹ thuật để thu thập dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
(2) Phạt tiền từ 80.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
- Mua bán dữ liệu cá nhân trên 10.000 chủ thể dữ liệu;
- Tái phạm lần 2 các quy định tại (1).
(3) Phạt tiền tới 5% tổng doanh thu tại Việt Nam đối với hành vi vi phạm từ lần 3 trở lên đối với các quy định tại (1).
Như vậy, trường hợp các cá nhân có hành vi mua bán dữ liệu cá nhân trên 10.000 chủ thể dữ liệu thì có thể bị phạt tiền lên đến 100 triệu đồng.
Lưu ý: Đối với tổ chức có cùng hành vi vi phạm, mức phạt tiền gấp 02 (hai) lần mức phạt tiền đối với cá nhân. (Khoản 1 Điều 5 dự thảo Nghị định)
Ngoài bị phạt tiền, cá nhân có hành vi phạm trên còn có thể chịu các biện pháp bổ sung và biện pháp khắc phục hậu quả như sau:
* Biện pháp bổ sung:
- Ngừng cung cấp dịch vụ;
- Buộc thực hiện các biện pháp khắc phục hậu quả về an ninh mạng;
- Tước quyền sử dụng các giấy phép liên quan tới xử lý dữ liệu cá nhân;
- Ngừng hoạt động xử lý dữ liệu cá nhân;
- Áp dụng các biện pháp ngăn để không thực hiện được hoạt động xử lý dữ liệu cá nhân.
* Biện pháp khắc phục hậu quả:
- Công khai xin lỗi trên các phương tiện thông tin đại chúng;
- Bồi thường hậu quả, thiệt hại đối với tổ chức, cá nhân (nếu có).
(Khoản 4, 5 Điều 28 dự thảo Nghị định)
Tại Điều 2 dự thảo Nghị định, các đối tượng bị xử phạt hành chính trong lĩnh vực an ninh mạng là tổ chức, cá nhân Việt Nam và tổ chức, cá nhân nước ngoài có hành vi vi phạm hành chính quy định tại dự thảo Nghị định.
Trong đó, các tổ chức theo quy định trên bao gồm:
- Tổ chức được thành lập theo quy định Luật Doanh nghiệp;
- Tổ chức được thành lập theo quy định Luật Hợp tác xã;
- Tổ chức được thành lập theo quy định Luật Đầu tư;
- Tổ chức chính trị - xã hội, tổ chức xã hội, tổ chức xã hội - nghề nghiệp;
- Doanh nghiệp nước ngoài hoặc chi nhánh, văn phòng đại diện, địa điểm kinh doanh của doanh nghiệp nước ngoài cung cấp dịch vụ viễn thông, Internet, dịch vụ cung cấp nội dung trên không gian mạng, công nghệ thông tin, an ninh mạng, an toàn thông tin mạng;
- Tổ chức, doanh nghiệp cung cấp dịch vụ nội dung thông tin trên không gian mạng;
- Tổ chức, doanh nghiệp đăng ký tên miền;
- Chủ quản hệ thống thông tin;
- Đơn vị vận hành hệ thống thông tin;
- Các đơn vị sự nghiệp và các tổ chức khác theo quy định pháp luật.
Xem thêm nội dung tại dự thảo Nghị định xử phạt hành chính trong lĩnh vực an ninh mạng của Bộ Công an.