Phạt tới 160 triệu đồng với vi phạm về bảo vệ thông tin của người tiêu dùng

Phạt tới 160 triệu đồng với vi phạm về bảo vệ thông tin của người tiêu dùng (Hình từ internet)

Nghị định 24/2025/NĐ-CP sửa đổi Nghị định 98/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng (đã được sửa đổi theo quy định tại Nghị định 17/2022/NĐ-CP sửa đổi các Nghị định quy định về xử phạt vi phạm hành chính trong lĩnh vực hóa chất và vật liệu nổ công nghiệp; điện lực, an toàn đập thủy điện, sử dụng năng lượng tiết kiệm và hiệu quả; hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng, hoạt động dầu khí, kinh doanh xăng dầu và khí).

Hành vi vi phạm về bảo vệ thông tin của người tiêu dùng bị xử lý thế nào?

Cụ thể, tại Điều 46 Nghị định 98/2020/NĐ-CP (được sửa đổi tại khoản 5 Điều 1 Nghị định 24/2025/NĐ-CP) quy định xử phạt  hành vi vi phạm về bảo vệ thông tin của người tiêu dùng như sau:

- Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi vi phạm sau đây:

+ Không lập văn bản để thực hiện ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng theo quy định, trừ trường hợp quy định tại điểm r khoản 1 Điều 53a Nghị định 98/2020/NĐ-CP;

+ Lập văn bản ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng nhưng nội dung văn bản không quy định phạm vi, trách nhiệm của mỗi bên trong việc bảo vệ thông tin của người tiêu dùng theo quy định của Luật Bảo vệ quyền lợi người tiêu dùng và pháp luật có liên quan, trừ trường hợp quy định tại điểm s khoản 1 Điều 53a Nghị định 98/2020/NĐ-CP;

+ Ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng nhưng chưa được sự đồng ý của người tiêu dùng, trừ trường hợp quy định tại điểm t khoản 1 Điều 53a Nghị định 98/2020/NĐ-CP;

+ Không xây dựng hoặc xây dựng quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng không đầy đủ các nội dung theo quy định tại khoản 1 Điều 16 của Luật Bảo vệ quyền lợi người tiêu dùng;

+ Không công khai hoặc công khai quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng không đúng hình thức quy định tại khoản 2 Điều 16 của Luật Bảo vệ quyền lợi người tiêu dùng;

+ Không cho người tiêu dùng tiếp cận quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng trước hoặc tại thời điểm thu thập thông tin theo quy định;

+ Không thông báo hoặc thông báo với người tiêu dùng về mục đích, phạm vi thu thập, sử dụng thông tin, thời hạn lưu trữ thông tin của người tiêu dùng trước khi thực hiện thu thập, sử dụng thông tin của người tiêu dùng không đúng quy định tại Điều 17 Luật Bảo vệ quyền lợi người tiêu dùng;

+ Thực hiện thu thập, sử dụng thông tin của người tiêu dùng khi chưa được người tiêu dùng đồng ý theo quy định, trừ trường hợp quy định tại điểm d khoản 2 Điều 46;

+ Không thiết lập phương thức để người tiêu dùng lựa chọn phạm vi thông tin đồng ý cung cấp và bày tỏ sự đồng ý hoặc không đồng ý theo quy định;

+ Không thông báo lại cho người tiêu dùng trước khi thay đổi mục đích, phạm vi sử dụng thông tin đã thông báo cho người tiêu dùng hoặc thay đổi mục đích, phạm vi sử dụng thông tin đã thông báo cho người tiêu dùng khi chưa được người tiêu dùng đồng ý;

+ Sử dụng thông tin của người tiêu dùng không chính xác, không phù hợp với mục đích, phạm vi đã thông báo;

+ Không cho người tiêu dùng lựa chọn việc cho phép hoặc không cho phép thực hiện một trong các hành vi quy định tại điểm a, điểm b khoản 4 Điều 18 Luật Bảo vệ quyền lợi người tiêu dùng;

+ Không thực hiện yêu cầu của người tiêu dùng về việc kiểm tra, chỉnh sửa, cập nhật, hủy bỏ, chuyển giao hoặc ngừng chuyển giao thông tin của người tiêu dùng hoặc không cung cấp cho người tiêu dùng công cụ, thông tin để tự thực hiện theo quy định của pháp luật;

+ Không hủy bỏ thông tin của người tiêu dùng khi hết thời hạn lưu trữ theo quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng hoặc quy định của pháp luật.

- Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với một trong các hành vi vi phạm sau đây:

+ Không tiếp nhận hoặc không giải quyết phản ánh, yêu cầu, khiếu nại của người tiêu dùng liên quan đến việc thông tin bị thu thập trái phép, sử dụng sai mục đích, phạm vi đã thông báo;

+ Không thông báo cho cơ quan quản lý nhà nước có thẩm quyền trong thời hạn 24 giờ kể từ thời điểm phát hiện hệ thống thông tin bị tấn công làm phát sinh nguy cơ mất an toàn, an ninh thông tin của người tiêu dùng theo quy định;

+ Không có biện pháp bảo đảm an toàn, an ninh thông tin của người tiêu dùng khi thu thập, lưu trữ, sử dụng hoặc không có biện pháp ngăn ngừa các hành vi vi phạm an toàn, an ninh thông tin của người tiêu dùng theo quy định, trừ trường hợp quy định tại điểm a khoản 3 Điều 64 Nghị định 98/2020/NĐ-CP;

+ Chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi chưa có sự đồng ý của người tiêu dùng theo quy định, trừ trường hợp quy định tại điểm b khoản 5 Điều 63 Nghị định 98/2020/NĐ-CP.

- Phạt tiền gấp hai lần mức tiền phạt đối với hành vi vi phạm quy định tại khoản 1, khoản 2 Điều 46 trong trường hợp thông tin có liên quan là dữ liệu cá nhân nhạy cảm của người tiêu dùng, trừ trường hợp quy định tại khoản 4 Điều 46.

- Phạt tiền gấp bốn lần mức tiền phạt đối với hành vi vi phạm quy định tại khoản 1, khoản 2 Điều 46 trong trường hợp hành vi vi phạm do tổ chức thiết lập, vận hành nền tảng số lớn thực hiện.

Như vậy, căn cứ vào các quy định trên, hành vi vi phạm về bảo vệ thông tin người tiêu dùng có thể bị phạt lên tới 160 triệu đồng.

Nguyễn Tùng Lâm