DỰ THẢO NGHỊ ĐỊNH QUY ĐỊNH XỬ PHẠT VI PHẠM HÀNH CHÍNH TRONG LĨNH VỰC AN NINH MẠNG (“Dự thảo NĐXP”)

DỰ THẢO NGHỊ ĐỊNH QUY ĐỊNH XỬ PHẠT VI PHẠM HÀNH CHÍNH TRONG LĨNH VỰC AN NINH MẠNG (“Dự thảo NĐXP”)

Sau thời gian dài chờ đợi, Bộ Tư pháp Việt Nam đã công bố Dự thảo mới nhất của Chính Phủ về Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (“Dự thảo NĐXP”). Nghị định này dự kiến ​​có hiệu lực thi hành từ ngày 1 tháng 6 năm 2024.

Các hành vi vi phạm trong Dự thảo NĐXP sẽ chia thành 05 nhóm: (i) bảo đảm an ninh thông tin; (ii) bảo vệ dữ liệu cá nhân; (iii) phòng, chống tấn công mạng; (iv) triển khai hoạt động bảo vệ an ninh mạng; (v) phòng, chống hành vi sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử để vi phạm pháp luật về trật tự, an toàn xã hội. Đối tượng áp dụng của Dự thảo NĐXP bao gồm các tổ chức, cá nhân Việt Nam và doanh nghiệp nước ngoài (bao gồm chi nhánh, văn phòng đại diện, điạ điểm kinh doanh tại Việt Nam) cung cấp dịch vụ viễn thông, Internet, dịch vụ cung cấp nội dung trên không gian mạng, công nghệ thông tin, an ninh mạng, an toàn thông tin mạng.

Liên quan đến các hành vi vi phạm bảo vệ dữ liệu cá nhân, dường như bất kỳ hành vi vi phạm nghĩa vụ nào quy định tại Nghị định số 13/2023/NĐ-CP sẽ bị xử phạt vi phạm hành chính theo Dự thảo NĐXP. Điều này bao gồm việc không được sự đồng ý của chủ thể dữ liệu hoặc không thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân, hoặc xóa, hoặc hủy dữ liệu theo yêu cầu của chủ thể dữ liệu, hoặc xử lý dữ liệu cá nhân cho (các) mục đích mà không có sự đồng ý của chủ thể dữ liệu, v.v. , trừ trường hợp pháp luật có quy định khác.

Trường hợp doanh nghiệp không nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân hoặc Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài sẽ bị áp dụng mức phạt tiền từ 70 triệu đồng (khoảng 2.700 USD) đến 1 tỷ đồng (khoảng 38.460 USD), tùy thuộc vào số lượng dữ liệu cá nhân của công dân Việt Nam bị mất và bị tiết lộ.

Thực hiện việc ban hành các quy định nội bộ về bảo vệ dữ liệu cá nhân không đúng pháp luật có thể bị xử phạt từ 10 triệu đồng (khoảng 385 USD) đến 40 triệu đồng (khoảng 1.540 USD).

Theo đó, để giảm thiểu nguy cơ chịu trách nhiệm pháp l‎ý tiềm ẩn, các doanh nghiệp liên quan cần chủ động lập và nộp các hồ sơ đánh giá tác động cho Bộ Công an.

Ngoài ra, mức phạt tiền đối với một số hành vi vi phạm đặc biệt được xác định căn cứ vào doanh thu năm tài chính liền trước như:

(i)               5% đối với hành vi để lộ, mất dữ liệu cá nhân của 5.000.000 công dân Việt Nam trở lên;

(ii)              3-5% đối với hành vi để lộ, mất dữ liệu cá nhân hoặc hoặc chuyển dữ liệu cá nhân của trên 5.000.000 công dân Việt Nam ra nước ngoài.

(iii)             5% đối với hành vi chuyển giao dữ liệu cá nhân trái phép hoặc mua, bán trái phép dữ liệu cá nhân hoặc thiết lập các hệ thống phần mềm trái phép hoặc sử dụng biện pháp kỹ thuật thu thập, xử lý trái phép dữ liệu cá nhân từ lần 2 trở lên.

(iv)             5% đối với hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo mà vi phạm từ lần 2 trở lên.

Tùy theo tính chất, mức độ vi phạm, cơ quan có thẩm quyền có thể áp dụng một số hình thức xử phạt bổ sung như tước giấy phép, đình chỉ hoạt động kinh doanh, gỡ, xóa bỏ chương trình, phần mềm, tiêu hủy sản phẩm hoặc thiết bị, hoặc công khai xin lỗi, v.v.

Đáng chú ý, việc tước giấy phép liên quan đến các lĩnh vực có thể ảnh hưởng xấu đến an ninh mạng và/hoặc lợi ích quốc gia, công cộng, bao gồm dịch vụ bưu chính, viễn thông, thiết lập mạng viễn thông, trang thông tin điện tử tổng hợp, lắp đặt cáp viễn thông trên biển, sử dụng tần số vô tuyến điện, kinh doanh sản phẩm dịch vụ an ninh mạng, kinh doanh sản phẩm dịch vụ an toàn thông tin mạng, thiết lập mạng xã hội, cung cấp dịch vụ trò chơi điện tử G1, cung cấp dịch vụ chứng thực chữ ký số, chứng chỉ hành nghề, giấy phép hành nghề mà bên liên quan thu thập dữ liệu cá nhân và/hoặc yêu cầu bên liên quan tạm thời đình chỉ việc xử lý dữ liệu cá nhân.

Như vậy, các chủ thể thu thập và xử lý lượng lớn dữ liệu cá nhân như ngân hàng thương mại, công ty bảo hiểm, v.v. có thể không phải đối tượng của biện pháp này.

 

Dự thảo NĐXĐ còn đưa ra các quy định chuyển tiếp đối với hành vi vi phạm hành chính trong lĩnh vực an ninh mạng xảy ra trước thời điểm Nghị định này có hiệu lực mà sau đó mới bị phát hiện hoặc đang xem xét, giải quyết thì áp dụng Nghị định của Chính phủ về xử phạt vi phạm hành chính có hiệu lực tại thời điểm thực hiện hành vi vi phạm để xử lý. Trường hợp Nghị định này không quy định trách nhiệm pháp lý hoặc quy định trách nhiệm pháp lý nhẹ hơn đối với hành vi đã xảy ra trước thời điểm Nghị định này có hiệu lực thì áp dụng các quy định của Nghị định này để xử lý.

Bộ Công an hiện đang trong giai đoạn cuối cùng trong việc soạn thảo Nghị định, Nghị định sẽ có hiệu lực vào tháng tới nếu không phát sinh trở ngại nào đáng kể. Các tổ chức và cá nhân liên quan đến an ninh mạng và bảo vệ dữ liệu nên sẵn sàng tuân thủ các quy định mới này để tránh bị phạt nặng.

Lưu ý: Bản tin này chỉ mang tính chất cập nhật chung và không phải là ý kiến tư vấn của chúng tôi cho một trường hợp cụ thể, tổ chức hoặc bất kỳ cá nhân nào. Nếu quý vị cần thêm thông tin về vấn đề này hoặc sự hỗ trợ chuyên nghiệp từ chúng tôi cho trường hợp cụ thể của mình, vui lòng liên hệ với chúng tôi.

Great! You’ve successfully signed up.

Welcome back! You've successfully signed in.

You've successfully subscribed to Tập San Luật sư Nội bộ.

Success! Check your email for magic link to sign-in.

Success! Your billing info has been updated.

Your billing was not updated.