Phạt tới 100 triệu đồng với vi phạm về đăng ký xử lý dữ liệu cá nhân nhạy cảm

Trường Thanh| 18/02/2021 11:16
Theo dõi ICTVietnam trên

Nghị định quy định về bảo vệ dữ liệu cá nhân (DLCN) được Chính phủ giao Bộ Công an chủ trì, phối hợp với các bộ, cơ quan, địa phương nghiên cứu, xây dựng. Thời gian trình Chính phủ dự thảo Nghị định trong quý I/2021.

Bộ Công an đề xuất xây dựng Nghị định bảo vệ DLCN

Theo Bộ Công an, tình trạng lộ, lọt, hoạt động đánh cắp, mua bán DLCN đang diễn ra phổ biến trên không gian mạng, gây hậu quả nghiêm trọng. Trong khi đó, chế tài hiện hành chưa đủ sức răn đe việc đánh cắp, kinh doanh DLCN trên mạng.

Việc mua bán DLCN được thực hiện theo hai hình thức chính. Thứ nhất, các doanh nghiệp (DN), công ty kinh doanh dịch vụ có thu thập DLCN của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin DLCN nhưng không có yêu cầu, quy định chặt chẽ để đối tác thứ ba chuyển giao, buôn bán. Thứ hai, các DN chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho DLCN, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.

Các gói dữ liệu thô được rao bán liên quan tới nhiều lĩnh vực như: danh sách cán bộ, danh sách nội bộ (bao gồm cả các đơn vị công an, quốc phòng, thuế...); điện lực; thuê bao Internet; ngân hàng (chi tiết tới cả số dư tài khoản); bảo hiểm; hồ sơ đăng ký kinh doanh; giáo dục; bất động sản (kèm theo khả năng tài chính); nhân sự có chọn lọc (mức thu nhập, chức vụ); danh sách khách hàng sử dụng các dịch vụ Internet. Nhiều loại dữ liệu được mua bán trong thời gian dài, có cam kết về độ chính xác, cam kết cập nhật dữ liệu, hỗ trợ xuất dữ liệu theo yêu cầu người mua.

Qua rà soát, Bộ Công an phát hiện hơn 60 tổ chức, cá nhân liên quan hoạt động mua bán, sử dụng trái phép thông tin, DLCN trên không gian mạng, bao gồm: các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện... Nhiều khả năng, nguồn của dữ liệu thô xuất phát từ hệ thống nội bộ của cơ quan, nhà nước hoặc từ hệ thống hành chính điện tử.

Bộ Công an cho biết, do quy định của pháp luật chưa chặt chẽ, chế tài chưa bao trùm được các hành vi vi phạm, chưa đủ sức răn đe nên khâu xử lý chưa đáp ứng yêu cầu. Hai tội danh quy định tại Bộ luật Hình sự 2015 là: Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác (Điều 159); Đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông (Điều 288) chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới DLCN. Trong khi đó các quy định xử phạt hành chính một số hành vi liên quan bảo vệ DLCN chưa bảo đảm đầy đủ, toàn diện. Tại Nghị định 174/2013/NĐ-CP ngày 13/11/2013, mức phạt cao nhất là 70 triệu đồng.

Trước thực trạng này, Bộ Công an đề xuất xây dựng riêng Nghị định bảo vệ DLCN về các nội dung chính: Xây dựng các quy định mới của pháp luật về bảo vệ DLCN; Xây dựng các khái niệm thống nhất công tác bảo vệ DLCN; Xây dựng quy định về cấp phép chuyển giao DLCN của công dân Việt Nam ra nước ngoài; Xây dựng quy định về đăng ký xử lý DLCN nhạy cảm; Sửa đổi, thống nhất một số quy định của pháp luật về bảo vệ DLCN; Xây dựng các quy định mới của pháp luật về quyền hạn, trách nhiệm bảo vệ DLCN của cơ quan, tổ chức, cá nhân. Sửa đổi, thống nhất một số quy định của pháp luật về quyền hạn, trách nhiệm của cơ quan, tổ chức, cá nhân trong bảo vệ DLCN.

Phạt tới 100 triệu đồng với vi phạm về đăng ký xử lý dữ liệu cá nhân nhạy cảm - Ảnh 1.

Ảnh minh họa

Hiện nay, Bộ Công an đã hoàn thành dự thảo Nghị định quy định về bảo vệ DLCN. Dự thảo đang được đăng tải trên Cổng thông tin điện tử Chính phủ và Bộ Công an để lấy ý kiến của các cá nhân, tổ chức, DN trong và ngoài nước.

Gồm 6 chương với tổng số 30 điều, dự thảo quy định về DLCN, xử lý DLCN, biện pháp bảo vệ DLCN, Ủy ban bảo vệ DLCN, xử lý vi phạm về DLCN, trách nhiệm bảo vệ DLCN của cơ quan, tổ chức, cá nhân có liên quan.

Theo dự thảo Nghị định, DLCN là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể.

DLCN được phân thành 2 loại là DLCN cơ bản và DLCN nhạy cảm. Trong đó, DLCN cơ bản bao gồm: họ, chữ đệm và tên khai sinh, bí danh (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; nhóm máu, giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, địa chỉ thư điện tử; trình độ học vấn; dân tộc; quốc tịch; số điện thoại; số chứng minh nhân dân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội...

DLCN nhạy cảm gồm có DLCN về quan điểm chính trị, tôn giáo; về tình trạng sức khỏe; về di truyền; về tình trạng giới tính; về đời sống, xu hướng tình dục; về tài chính; về các mối quan hệ xã hội…

Dự thảo Nghị định nêu rõ, Bảo vệ DLCN là phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi xâm phạm quy định của pháp luật về DLCN.

Việc bảo vệ DLCN, theo đề xuất của Bộ Công an tại dự thảo Nghị định, phải đảm bảo 8 nguyên tắc: hợp pháp, mục đích, tối giản, sử dụng hạn chế, chất lượng dữ liệu, an ninh, cá nhân, bảo mật.

Bên cạnh việc quy định cụ thể về xử lý dữ liệu, Ủy ban bảo vệ dữ liệu, dự thảo Nghị định về bảo vệ DLCN cũng quy định chi tiết về các biện pháp bảo vệ DLCN.

Theo đó, bên xử lý DLCN phải áp dụng các biện pháp quản lý, kỹ thuật, vật lý để bảo vệ DLCN nhằm bảo đảm tính bảo mật, toàn vẹn, khả dụng của DLCN; khử nhận dạng và mã hóa; lưu trữ, sao chép, trích xuất và bảo vệ lịch sử xử lý DLCN của Bên xử lý DLCN.

Đồng thời, khi xử lý DLCN, bên xử lý DLCN phải thực hiện biện pháp: ngăn chặn việc tiếp cận trái phép vào các thiết bị được sử dụng để xử lý DLCN; ngăn chặn việc đọc, sao chép, thay đổi, xóa DLCN trái phép; thống kê về thời gian, chủ thể và DLCN nào được ghi lại, thay đổi hoặc xóa hoặc khi tiếp cận…

Đối với việc xử lý vi phạm quy định bảo vệ DLCN, dự thảo Nghị định quy định, các cơ quan, tổ chức vi phạm quy định bảo vệ DLCN tùy theo mức độ có thể bị xử phạt vi phạm hành chính hoặc xử lý hình sự, áp dụng các hình phạt bổ sung theo quy định của pháp luật.

Đề xuất phạt 100 triệu đồng nếu vi phạm về đăng ký xử lý DLCN nhạy cảm

Việc xử lý vi phạm quy định bảo vệ DLCN được áp dụng với toàn bộ các tổ chức, DN, cá nhân trong và ngoài nước có hoạt động kinh doanh tại Việt Nam. Ngoài mức phạt được quy định, trường hợp bên xử lý DLCN vi phạm nhiều lần, với hậu quả lớn có thể bị phạt tối đa 5% tổng doanh thu của bên xử lý DLCN tại Việt Nam.

Cụ thể, tại Điều 22 của dự thảo, Bộ Công an đề xuất các mức xử phạt vi phạm hành chính với những hành vi vi phạm quy định về xử lý DLCN.

Theo đó, mức phạt tiền từ 50 - 80 triệu đồng được đề xuất áp dụng cho một trong các hành vi: vi phạm quy định về quyền của chủ thể dữ liệu liên quan đến xử lý DLCN; vi phạm quy định về tiết lộ DLCN; vi phạm quy định về hạn chế quyền tiếp cận DLCN; vi phạm quy định về sự đồng ý của chủ thể dữ liệu đối với DLCN; vi phạm quy định về xử lý DLCN trong trường hợp không có sự đồng ý của chủ thể dữ liệu; vi phạm quy định về xử lý DLCN tự động; vi phạm quy định về xử lý DLCN của trẻ em…

Mức phạt tiền từ 80 - 100 triệu đồng được đề xuất áp dụng đối với một trong các hành vi: không áp dụng biện pháp kỹ thuật và xây dựng quy định về bảo vệ DLCN; vi phạm quy định về đăng ký xử lý DLCN nhạy cảm; vi phạm quy định về chuyển DLCN qua biên giới. Bộ Công an cũng đề xuất áp dụng mức phạt này cho các tổ chức, DN, cá nhân có vi phạm lần 2 với những hành vi được quy định tại khoản 1 Điều 22.

Dự thảo Nghị định còn quy định, phạt tiền tối đa 5% tổng doanh thu của bên xử lý vi phạm DLCN tại Việt Nam đối với các hành vi: vi phạm lần 3 đối với những hành vi được quy định tại khoản 1 Điều 22; vi phạm lần 2 đối với những hành vi được quy định tại điểm a, b, c khoản 2 Điều 22.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Phạt tới 100 triệu đồng với vi phạm về đăng ký xử lý dữ liệu cá nhân nhạy cảm
POWERED BY ONECMS - A PRODUCT OF NEKO