Theo dự thảo Nghị định do Bộ Công an xây dựng, nhiều hành vi thu thập, mua bán, sử dụng trái phép dữ liệu cá nhân sẽ bị xử phạt nghiêm khắc. Đặc biệt, trường hợp vi phạm liên quan tới dữ liệu của từ 5 triệu công dân trở lên có thể bị phạt tới 5% tổng doanh thu năm tài chính liền trước.
Vi phạm bảo vệ dữ liệu cá nhân có thể bị phạt tới 5% doanh thu
Bộ Công an đang xây dựng dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân, trong đó đề xuất nhiều mức xử phạt nghiêm khắc đối với hành vi thu thập, mua bán, sử dụng trái phép dữ liệu cá nhân. Đáng chú ý, các tổ chức, cá nhân kinh doanh dịch vụ quảng cáo có thể bị phạt tới 70 triệu đồng nếu không cho phép người dùng từ chối chia sẻ dữ liệu hoặc không thực hiện xóa dữ liệu theo quy định.
Theo dự thảo, Nghị định gồm 4 chương, 76 điều, quy định cụ thể về các hành vi vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân; hình thức xử phạt, biện pháp khắc phục hậu quả; thẩm quyền lập biên bản và xử phạt vi phạm hành chính.

Dự thảo đề xuất xử phạt từ 50 - 70 triệu đồng đối với hành vi thu thập, chuyển giao, mua bán trái phép dữ liệu cá nhân. Các hành vi bị xử phạt bao gồm chuyển giao dữ liệu trái phép, mua bán dữ liệu chưa đến mức truy cứu trách nhiệm hình sự hoặc thiết lập hệ thống kỹ thuật để thu thập dữ liệu trái phép.
Đáng chú ý, Bộ Công an cũng bổ sung quy định xử phạt hành vi sử dụng dữ liệu cá nhân để phát triển, huấn luyện hoặc vận hành hệ thống trí tuệ nhân tạo (AI) trái quy định.
Ngoài ra, hành vi không lập hoặc không lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cũng có thể bị phạt từ 50 - 70 triệu đồng.
Đối với các vụ việc để lộ dữ liệu trên diện rộng, mức phạt được đề xuất tăng mạnh theo số lượng người bị ảnh hưởng. Cụ thể, nếu để lộ dữ liệu của từ 100 nghìn đến dưới 1 triệu người, mức phạt có thể tăng gấp đôi; từ 1 triệu đến dưới 5 triệu người, mức phạt tăng gấp 5 lần.
Đặc biệt, trường hợp vi phạm liên quan tới dữ liệu của từ 5 triệu công dân trở lên, mức phạt có thể lên tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam.
Quảng cáo không có cơ chế từ chối chia sẻ dữ liệu sẽ bị xử phạt
Một trong những nội dung đáng chú ý tại dự thảo là quy định xử phạt đối với hoạt động quảng cáo sử dụng dữ liệu cá nhân.
Theo đó, các tổ chức, cá nhân kinh doanh dịch vụ quảng cáo có thể bị phạt từ 50 - 70 triệu đồng nếu không thiết lập cơ chế để người dùng từ chối chia sẻ dữ liệu cá nhân.
Bên cạnh đó, các hành vi không quy định thời gian lưu trữ dữ liệu hoặc không thực hiện xóa dữ liệu khi không còn cần thiết cũng thuộc diện bị xử phạt.
Dự thảo cũng nêu rõ, nếu tái phạm, mức xử phạt có thể lên tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam. Ngoài hình thức xử phạt bằng tiền, cơ quan soạn thảo còn đề xuất nhiều biện pháp xử phạt bổ sung như tước giấy phép kinh doanh từ 1 - 3 tháng, đình chỉ hoạt động xử lý dữ liệu cá nhân hoặc tịch thu tang vật, phương tiện vi phạm.
Các biện pháp khắc phục hậu quả gồm buộc xóa dữ liệu cá nhân không thể khôi phục, hoàn trả khoản lợi bất hợp pháp có được từ hành vi vi phạm và công khai xin lỗi trong trường hợp gây ảnh hưởng nghiêm trọng.
Hiện dự thảo Nghị định đã được Bộ Công an lấy ý kiến các bộ, ngành, địa phương và người dân. Bộ Công an đang tiếp thu, chỉnh lý, hoàn thiện dự thảo trước khi gửi Bộ Tư pháp thẩm định và trình Chính phủ xem xét ban hành.