Đề xuất xử phạt 80 triệu đồng đối với hành vi tiết lộ dữ liệu cá nhân trái phép

• Bảo vệ dữ liệu cá nhân người dùng trong chuyển đổi số
• Bảo vệ dữ liệu cá nhân trên không gian mạng, tập trung nhóm đối tượng yếu thế
• Giải pháp cấp bách lấp “lỗ hổng” bảo vệ dữ liệu cá nhân

Dữ liệu cá nhân gồm những gì?

Theo dự thảo Nghị định, dữ liệu cá nhân là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể. Dữ liệu cá nhân cơ bản gồm: 

a) Họ, chữ đệm và tên khai sinh, bí danh (nếu có);

b) Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; 

c) Nhóm máu, giới tính; 

d) Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, địa chỉ thư điện tử; 

đ) Trình độ học vấn; 

e) Dân tộc; 

g) Quốc tịch; 

h) Số điện thoại; 

i) Số chứng minh nhân dân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội; 

k) Tình trạng hôn nhân; 

l) Dữ liệu phản ánh hoạt động hoặc lịch sử hoạt động trên không gian mạng.

Bộ Công an đề xuất xử phạt 80 triệu đồng đối với hành vi tiết lộ dữ liệu cá nhân trái phép.

Dữ liệu cá nhân nhạy cảm gồm: 

a) Dữ liệu cá nhân về quan điểm chính trị, tôn giáo; 

b) Dữ liệu cá nhân về tình trạng sức khỏe là thông tin liên quan đến trạng thái sức khỏe thể chất hoặc tinh thần của chủ thể dữ liệu được thu thập, xác định trong quá trình đăng ký hoặc cung cấp dịch vụ y tế; 

c) Dữ liệu cá nhân về di truyền là thông tin liên quan đến các đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân; 

d) Dữ liệu cá nhân về sinh trắc học là thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của mỗi cá nhân; 

đ) Dữ liệu cá nhân về tình trạng giới tính là thông tin về người được xác định có giới tính nam, nữ, người kết hợp giữa nữ và nam, không phải nữ hoàn toàn hoặc nam hoàn toàn, không phải nữ cũng không phải nam hoặc là tình trạng của chủ thể dữ liệu có ý thức về giới tính không phù hợp với giới tính được xác định khi sinh; 

e) Dữ liệu cá nhân về đời sống, xu hướng tình dục; 

g) Dữ liệu cá nhân về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; 

h) Dữ liệu cá nhân về tài chính là thông tin được sử dụng để xác định tài khoản, thẻ, công cụ thanh toán do tổ chức tài chính cung cấp cho chủ thể dữ liệu hoặc thông tin về mối quan hệ giữa tổ chức tài chính, dữ liệu tiền gốc với chủ thể dữ liệu, bao gồm cả hồ sơ, tình trạng tài chính, lịch sử tín dụng, mức thu nhập; 

i) Dữ liệu cá nhân về vị trí là thông tin về vị trí địa lý thực tế của cá nhân ở quá khứ và hiện tại; 

k) Dữ liệu cá nhân về các mối quan hệ xã hội; l) Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

Dự thảo Nghị định quy định, không tiết lộ dữ liệu cá nhân của người khác trong trường hợp dữ liệu được đề cập là dữ liệu cá nhân nhạy cảm, làm tổn hại đến lợi ích hợp pháp của chủ thể dữ liệu. 

Dự thảo cũng nêu ra quy định được xử lý dữ liệu cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu trong các trường hợp: Theo quy định của pháp luật; vì lợi ích, an ninh quốc gia, trật tự an toàn xã hội; được pháp luật quy định là khẩn cấp, nguy cơ đe dọa tới tính mạng hoặc ảnh hưởng nghiêm trọng tới sức khỏe cho chủ thể dữ liệu hoặc sức khỏe cộng đồng; phục vụ điều tra, xử lý hành vi vi phạm pháp luật; thực hiện quy định cụ thể nêu rõ cho phép xử lý dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu tại thỏa thuận quốc tế, điều ước quốc tế mà Việt Nam là thành viên; xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê… 

Được chia sẻ dữ liệu cá nhân hoặc cấp quyền truy cập vào dữ liệu cá nhân cho bên thứ ba mà không có sự đồng ý của chủ thể dữ liệu trong trường hợp: Theo quy định của pháp luật hoặc thỏa thuận quốc tế, điều ước quốc tế mà Việt Nam là thành viên; bảo vệ tính mạng, sức khỏe hoặc tự do của chủ thể dữ liệu; không ảnh hưởng tới quyền và lợi ích của chủ thể dữ liệu và việc có được sự đồng ý của chủ thể dữ liệu là bất khả thi; xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê…

Vi phạm quy định bảo vệ dữ liệu cá nhân bị xử lý như thế nào?

Theo dự thảo Nghị định, cơ quan, tổ chức vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử phạt vi phạm hành chính hoặc xử lý hình sự, áp dụng các hình phạt bổ sung theo quy định của pháp luật. Việc xử lý vi phạm quy định bảo vệ dữ liệu cá nhân được áp dụng đối với toàn bộ các tổ chức, doanh nghiệp, cá nhân trong và ngoài nước có hoạt động kinh doanh tại Việt Nam. Ngoài mức phạt được quy định, trường hợp Bên xử lý dữ liệu cá nhân vi phạm nhiều lần, với hậu quả lớn có thể bị phạt tối đa 5% tổng doanh thu của Bên xử lý dữ liệu cá nhân tại Việt Nam.

Bộ Công an đã đưa ra các hình thức và mức xử phạt vi phạm hành chính đối với những hành vi vi phạm quy định về xử lý dữ liệu cá nhân như sau: 

1. Phạt tiền từ 50 triệu đồng đến 80 triệu đồng đối với một trong các hành vi sau: a)Vi phạm quy định về quyền của chủ thể dữ liệu liên quan đến xử lý dữ liệu cá nhân; b)Vi phạm quy định về tiết lộ dữ liệu cá nhân; c) Vi phạm quy định về hạn chế quyền tiếp cận dữ liệu cá nhân d) Vi phạm quy định về sự đồng ý của chủ thể dữ liệu đối với dữ liệu cá nhân; đ) Vi phạm quy định về xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu chết; e) Vi phạm quy định về xử lý dữ liệu cá nhân trong trường hợp không có sự đồng ý của chủ thể dữ liệu…

2. Phạt tiền từ 80 triệu đồng đến 100 triệu đồng đối với một trong các hành vi sau: a) Không áp dụng biện pháp kỹ thuật và xây dựng quy định về bảo vệ dữ liệu cá nhân; b) Vi phạm quy định về đăng ký xử lý dữ liệu cá nhân nhạy cảm; c) Vi phạm quy định về chuyển dữ liệu cá nhân qua biên giới… Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an có thẩm quyền xử phạt vi phạm hành chính theo quy định.