Nhằm góp phần đấu tranh phòng, chống vi phạm hành chính, thực hiện hiệu quả quản lý nhà nước đối với các lĩnh vực có liên quan; bảo đảm tính công bằng giữa tổ chức, cá nhân tham gia hoạt động về an ninh mạng, minh bạch hóa việc thực thi nhiệm vụ của cơ quan nhà nước có thẩm quyền..., hiện Bộ Công an đang tham mưu Chính phủ xây dựng Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng.
Dự thảo Nghị định gồm 04 chương, với 51 điều. Chương II dự thảo Nghị định gồm 05 mục quy định 05 nhóm hành vi vi phạm hành chính, hình thức xử phạt và biện pháp khắc phục hậu quả. Trong đó, Mục 2: Vi phạm quy định về bảo vệ dữ liệu cá nhân, từ Điều 13 đến Điều 27, quy định về vi phạm: nguyên tắc bảo vệ dữ liệu cá nhân; quyền của chủ thể dữ liệu; quy định về sự đồng ý của chủ thể dữ liệu; quy định về rút lại sự đồng ý; quy định về thông báo xử lý dữ liệu cá nhân; quy định về cung cấp dữ liệu cá nhân; quy định về lưu trữ, xóa, hủy dữ liệu cá nhân; quy định về xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng; quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo;...
Bảo vệ dữ liệu cá nhân là lĩnh vực mới, là vấn đề cần thiết thuộc thẩm quyền của Quốc hội, Ủy ban thường vụ Quốc hội nhưng chưa đủ điều kiện xây dựng thành Luật Bảo vệ dữ liệu cá nhân để đáp ứng yêu cầu quản lý nhà nước, quản lý kinh tế, quản lý xã hội. Hiện nay, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân, giao Bộ Công an xây dựng và trình Quốc hội dự thảo Luật Bảo vệ dữ liệu cá nhân. Trong khi đó, nếu xử phạt với mức phạt thấp thì không bảo đảm tính răn đe và chưa phù hợp với loại hình doanh nghiệp có liên quan tới xử lý dữ liệu cá nhân. Chính vì vậy, dự thảo Nghị định quy định mức phạt gấp 02 lần, gấp 05 lần và mức phạt theo phần trăm doanh thu năm tại thị trường Việt Nam đối với một số hành vi liên quan tới bảo vệ dữ liệu cá nhân; cụ thể:
- Về mức phạt gấp 02 lần, gấp 05 lần đối với hành vi vi phạm quy định về đánh giá tác động xử lý dữ liệu cá nhân và vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài: Phạt tiền gấp 02 lần quy định tại khoản 1 Điều này
[1] đối với hành vi để lộ, mất dữ liệu cá nhân của 100.000 công dân Việt Nam tới dưới 1.000.000 công dân Việt Nam (khoản 2 Điều 25); Phạt tiền gấp 05 lần quy định tại khoản 1 Điều này đối với hành vi để lộ, mất dữ liệu cá nhân của 1.000.000 công dân Việt Nam trở lên tới dưới 5.000.000 công dân Việt Nam (khoản 3 Điều 25); Phạt tiền gấp 02 lần quy định tại khoản 1 Điều này
[2] đối với hành vi quy định tại khoản 1 Điều này mà để lộ, mất dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân của 100.000 công dân Việt Nam tới dưới 1.000.000 công dân Việt Nam ra nước ngoài (khoản 2 Điều 26; Phạt tiền gấp 05 lần quy định tại khoản 1 Điều này đối với hành vi quy định tại khoản 1 Điều này mà để lộ, mất dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân của 1.000.000 công dân Việt Nam tới dưới 5.000.000 công dân Việt Nam ra nước ngoài (khoản 3 Điều 26).
Về mức phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam áp dụng đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo từ lần 2 trở lên (khoản 2 Điều 22); Vi phạm quy định về thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân từ lần 2 trở lên (khoản 2 Điều 23);
Về mức phạt tiền bằng 5% tổng doanh thu năm tài chính liền trước tại Việt Nam áp dụng hành vi để lộ, mất dữ liệu cá nhân của 5.000.000 công dân Việt Nam trở lên (khoản 4 Điều 25).
Về mức phạt tiền bằng 3% đến 5% tổng doanh thu năm tài chính liền trước tại Việt Nam áp dụng đối với hành vi để lộ, mất dữ liệu cá nhân hoặc hoặc chuyển dữ liệu cá nhân của trên 5.000.000 công dân Việt Nam ra nước ngoài (khoản 4 Điều 26)./.