���㣨Leyu����������

Trong thời gian gần đây, Chính ph�� đã ban hành 2 ngh�� định quan trọng trong lĩnh vực an ninh mạng và bảo v�� d�� liệu cá nhân là (i) Ngh�� định 53/2022/NĐ-CP quy định chi tiết một s�� điều của Luật An ninh mạng (����Đ53��) và (ii) Ngh�� định 13/2023/NĐ-CP v�� bảo v�� d�� liệu cá nhân (����Đ13��).

Đ�� đảm bảo việc thực thi các quy định v�� an ninh mạng và bảo v�� d�� liệu cá nhân nói trên, ngày 31 tháng 5 năm 2023 vừa qua, B�� Công an (��BCA��) đã công b�� bản d�� thảo lần 3 Ngh�� định quy định x�� phạt vi phạm hành chính trong lĩnh vực an ninh mạng (��D�� thảo Ngh�� định XPVPHC��) đ�� lấy ý kiến rộng rãi.  D�� thảo Ngh�� định XPVPHC quy định các hành vi không tuân th�� trong lĩnh vực an ninh mạng và bảo v�� d�� liệu cá nhân, đồng thời thay th�� một s�� quy định hiện hành tại các Ngh�� định 15/2020/NĐ-CP và Ngh�� định 14/2022/NĐ-CP v�� x�� phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần s�� vô tuyến điện, công ngh�� thông tin và giao dịch điện t��.

Dưới đây là một s�� điểm nổi bật quan trọng trong D�� thảo Ngh�� định XPVPHC:

D�� thảo Ngh�� định XPVPHC áp dụng không ch�� đối với các ch�� th�� cung cấp dịch v�� liên quan đến dịch v�� viễn thông, internet và dịch v�� nội dung trên không gian mạng, công ngh�� thông tin, an ninh mạng, an toàn thông tin mạng tại Việt Nam mà còn áp dụng cho tất c�� các cá nhân, t�� chức trong và ngoài nước có liên quan đến việc x�� lý d�� liệu cá nhân tại Việt Nam và/hoặc của công dân Việt Nam. Các đối tượng b�� x�� phạt theo phạm vi quy định tại D�� thảo Ngh�� định XPVPHC cần phải triển khai các hoạt động cần thiết đ�� đảm bảo việc tuân th�� ��Đ53 và ��Đ13 nhằm tránh b�� x�� phạt khi ngh�� định quy định x�� phạt vi phạm hành chính trong lĩnh vực an ninh mạng được chính thức ban hành.

Nhìn chung, D�� thảo Ngh�� định XPVPHC quy định các biện pháp x�� phạt vi phạm hành chính liên quan đến 5 lĩnh vực chính bao gồm: (i) bảo đảm an ninh thông tin; (ii) bảo v�� d�� liệu cá nhân; (iii) phòng, chống tấn công mạng; (iv) triển khai các hoạt động bảo v�� an ninh mạng; và (v) phòng, chống hành vi s�� dụng không gian mạng, công ngh�� thông tin, phương tiện điện t�� vi phạm pháp luật v�� trật t��, an toàn xã hội.

D�� thảo Ngh�� định XPVPHC đưa ra 3 hình thức x�� phạt vi phạm hành chính, trong đó, hình thức x�� phạt chính là phạt tiền. Việc phạt tiền còn có th�� được áp dụng đồng thời với các hình thức x�� phạt b�� sung hoặc các biện pháp khắc phục hậu qu��.

Các hình thức x�� phạt b�� sung s�� được áp dụng tùy theo tính chất, mức đ�� vi phạm và có th�� được thực hiện dưới các hình thức như đình ch�� hoạt động hoặc tước giấy phép kinh doanh, tịch thu tang vật vi phạm và trục xuất khỏi Việt Nam.

Các biện pháp khắc phục hậu qu�� bao gồm xóa b�� hoặc chỉnh sửa các chương trình, phần mềm, sản phẩm hoặc thiết b�� vi phạm hoặc tính năng, thành phần liên quan, xóa b�� hoặc hủy d�� liệu vi phạm, xóa b�� hoặc chỉnh sửa d�� liệu có nội dung sai s�� thật, thu hồi thông tin người dùng đã đăng ký hoặc buộc xin lỗi công khai.

Bất k�� hành vi c�� tình vi phạm, không chấp hành yêu cầu thực hiện các biện pháp khắc phục của cơ quan chức năng hoặc hành vi thiếu hợp tác với cơ quan chức năng đều có th�� là các tình tiết tăng nặng khi x�� phạt vi phạm hành chính.

Đối với các hành vi vi phạm nghiêm trọng hơn như x�� lý d�� liệu cá nhân phục v�� cho các hoạt động tiếp th�� và quảng cáo mà không có s�� đồng ý của ch�� th�� d�� liệu, mua bán d�� liệu cá nhân, không nộp báo cáo đánh giá tác động x�� lý d�� liệu cá nhân với cơ quan chức năng đều có kh�� năng b�� phạt tiền lên đến 5% tổng doanh thu năm tài chính liền k�� tại Việt Nam kèm theo hình thức x�� phạt b�� sung và/hoặc biện pháp khắc phục hậu qu�� khác.

D�� thảo Ngh�� định XPVPHC trao cho các cơ quan chức năng của Việt Nam thẩm quyền áp dụng các biện pháp x�� phạt đối với cá nhân và t�� chức vi phạm quy định liên quan đến một trong hai hoặc c�� hai lĩnh vực v�� an ninh mạng và bảo v�� d�� liệu cá nhân dựa trên việc đánh giá v�� mức đ�� nghiêm trọng của hành vi phạm. Các cơ quan chức năng có thẩm quyền x�� phạt vi phạm hành chính s�� tùy thuộc vào tính chất, mức đ�� vi phạm có th�� bao gồm các chức v�� có thẩm quyền thuộc Công an nhân dân, Ủy ban nhân dân các cấp, Thanh tra các B��, B�� đội Biên phòng, Cảnh sát biển Việt Nam, trong đó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm s�� dụng công ngh�� cao (A05) là cơ quan chức năng có thẩm quyền cao nhất.

Vi phạm nghĩa v�� liên quan đến bảo đảm an ninh thông tin

Đối với hành vi vi phạm quy định v�� bảo đảm an ninh thông tin, hình thức x�� phạt đối với các hành vi vi phạm và giao dịch liên quan đến việc phát tán, tàng tr��, sản xuất nội dung gi�� mạo, gây nhầm lẫn, trái pháp luật hoặc sai s�� thật, theo đánh giá của cơ quan có thẩm quyền, có th�� bao gồm:

(i) Phạt tiền đến 20 triệu đồng (xấp x�� 842 USD) đối với cá nhân và 40 triệu đồng (xấp x�� 1.684 USD) đối với t�� chức phát tán, tàng tr�� thông tin có nội dung chống phá nhà nước Cộng hòa xã hội ch�� nghĩa Việt Nam (��Nhà nước��).

(ii) Phạt tiền đến 40 triệu đồng (xấp x�� 1.684 USD) đối với cá nhân và 80 triệu đồng (xấp x�� 3.367 USD) đối với t�� chức (a) tạo lập, phát tán thông tin có nội dung chống phá Nhà nước; (b) phát tán thông tin có nội dung xúc phạm danh d��, nhân phẩm, ảnh hưởng đến quyền, lợi ích hợp pháp của cá nhân, t�� chức khác, thông tin sai s�� thật trong hoạt động kinh doanh, gây hoang mang dư luận v�� dân tộc, đạo đức xã hội và sức khỏe cộng đồng; (c) không thực hiện các biện pháp quản lý, k�� thuật đ�� phối hợp với cơ quan có thẩm quyền nhằm ngăn chặn và g�� b�� nội dung vi phạm.

(iii) Phạt tiền đến 60 triệu đồng (xấp x�� 2.525 USD) đối với cá nhân và 120 triệu đồng (xấp x�� 5.051 USD) đối với t�� chức (a)  tạo lập, phát tán thông tin xúc phạm danh d��, nhân phẩm ảnh hưởng đến quyền và lợi ích hợp pháp của cá nhân, t�� chức khác, thông tin sai s�� thật trong hoạt động kinh doanh, thông tin sai s�� thật gây hoang mang dư luận v�� dân tộc, đạo đức xã hội và sức khỏe cộng đồng; (b) không tuân th�� yêu cầu của cơ quan có thẩm quyền trong việc b�� trí các giải pháp k�� thuật cần thiết, ngăn chặn, ngừng cung cấp dịch v�� hoặc huy động nguồn lực khi xảy ra vi phạm.

(iv) Phạt tiền đến 80 triệu đồng (xấp x�� 3.367 USD) đối với cá nhân và 160 triệu đồng (xấp x�� 6.734 USD) đối với t�� chức thiết lập trang mạng xã hội, tài khoản, trang, nhóm đ�� tạo, đăng tải thông tin sai s�� thật, xuyên tạc gây ảnh hưởng đến lợi ích hợp pháp, quyền và lợi ích của t�� chức, cá nhân khác.

(v) Đình ch�� hoạt động kinh doanh t�� 1- 3 tháng áp dụng đối với hành vi vi phạm liên quan đến việc thiết lập trang thông tin điện t��, mạng xã hội hoặc tài khoản, nhóm trực tuyến đ�� tạo lập, đăng tải các thông tin vi phạm nêu trên.

Vi phạm nghĩa v�� liên quan đến bảo v�� d�� liệu cá nhân

D�� thảo Ngh�� định XPVPHC quy định các hành vi vi phạm bao gồm vi phạm các nghĩa v�� mà các t�� chức và cá nhân phải tuân th�� theo Ngh�� định 13 khi x�� lý d�� liệu cá nhân tại Việt Nam và/hoặc của công dân Việt Nam,  bao gồm hành vi vi phạm quy định bảo v�� d�� liệu cá nhân, không đảm bảo thực hiện các quyền của ch�� th�� d�� liệu hoặc không thiết lập các biện pháp quản lý bảo v�� d�� liệu phù hợp tại đơn v�� như ch�� định b�� phận, nhân s�� ph�� trách bảo v�� d�� liệu cá nhân khi thực hiện hoạt động x�� lý d�� liệu cá nhân nhạy cảm. Các mức phạt được quy định dựa trên hành vi vi phạm c�� th�� nêu tại D�� thảo Ngh�� định XPVPHC như mức x�� phạt dao động t�� 20 triệu đồng (xấp x�� 842 USD) đến 160 triệu đồng (xấp x�� 6.734 USD) tùy từng hành vi vi phạm. Đối với các hành vi có mức đ�� vi phạm nghiêm trọng hơn, cơ quan có thẩm quyền có quyền áp dụng các hình thức x�� phạt b�� sung và biện pháp khắc phục hậu qu�� như tước giấy phép kinh doanh, đình ch�� x�� lý d�� liệu hoặc hủy phục hồi/xóa b�� d�� liệu cá nhân đối với các hành vi vi phạm, bao gồm nhưng không giới hạn, nguyên tắc bảo v�� d�� liệu cá nhân, quyền của ch�� th�� d�� liệu, s�� đồng ý hoặc lưu tr��/xóa/hủy d�� liệu cá nhân.

Đáng lưu ý, các hành vi vi phạm sau đây có th�� b�� áp dụng mức x�� phạt tiền lên đến 200 triệu đồng (xấp x�� 8.418), có th�� tăng đến gấp 5 lần hoặc lên đến 5% doanh thu kèm theo các hình thức x�� phạt b�� sung và biện pháp khắc phục hậu qu��:

(i) việc s�� dụng d�� liệu cá nhân đ�� tiếp th��, giới thiệu, quảng cáo sản phẩm dịch v��;

(ii) việc thu thập, chuyển giao và mua, bán trái phép d�� liệu cá nhân;

(iii) nghĩa v�� thực hiện đánh giá tác động x�� lý d�� liệu cá nhân;

(iv) nghĩa v�� thực hiện chuyển giao d�� liệu cá nhân ra nước ngoài.

Vi phạm nghĩa v�� liên quan đến phòng, chống tấn công mạng

Nội dung này đưa ra các hình thức x�� phạt áp dụng đối với các vi phạm liên quan đến việc (i) c�� ý phát tán, sản xuất, mua bán các chương trình tin học gây hại trên Internet và mạng viễn thông; (ii) s�� dụng không gian mạng (chia s��, bình luận) nhằm kích động hoạt động khủng b�� hoặc đe dọa khủng b��; hoặc (iii) không phối hợp với các cơ quan có thẩm quyền x�� lý các hành vi vi phạm có liên quan, với mức phạt tiền t�� 40 triệu đồng (xấp x�� 1.683 USD) đến 160 triệu đồng (xấp x�� 6.734 USD) và có th�� b�� tước giấy phép kinh doanh trong 12 - 18 tháng. Ngoài ra, hành vi tài tr�� khủng b�� trực tuyến hoặc gây chậm tr��, cản tr�� các biện pháp của cơ quan có thẩm quyền s�� b�� phạt tiền lên đến 200 triệu đồng (xấp x�� 8.418 USD).

Vi phạm nghĩa v�� liên quan đến hoạt động bảo v�� an ninh mạng

Các hành vi vi phạm v�� hoạt động bảo v�� an ninh mạng ch�� yếu liên quan đến các hành vi c�� ý thực hiện hành vi trái pháp luật hoặc không chấp hành yêu cầu của cơ quan chức năng, bao gồm:

(i) C�� ý/h�� tr�� phát tán, cản tr��, xâm nhập gây ảnh hưởng đến an ninh mạng;

(ii) Không xác thực thông tin khi người dùng đăng ký tài khoản s��;

(iii) Chậm tr��, cản tr��, không thực hiện các biện pháp khi cơ quan có thẩm quyền yêu cầu;

(iv) Không thực hiện, phối hợp thực hiện khi có yêu cầu của lực lượng chuyên trách bảo v�� an ninh mạng.

Đáng lưu ý, các hành vi vi phạm nêu trên s�� là căn c�� mấu chốt đ�� cơ quan chức năng yêu cầu các t�� chức/cá nhân nước ngoài có liên quan áp dụng quy định v�� lưu tr�� d�� liệu bắt buộc tại Việt Nam hoặc buộc đặt chi nhánh, văn phòng đại diện tại Việt Nam theo NĐ 53. Việc vi phạm các nghĩa v�� tuân th�� này có th�� b�� phạt lên đến 200 triệu đồng (xấp x�� 8.418 USD) cùng với việc áp dụng đồng thời các hình thức x�� phạt b�� sung và biện pháp khắc phục hậu qu��.

Vi phạm nghĩa v�� liên quan đến s�� dụng không gian mạng, công ngh�� thông tin, phương tiện điện t��

Các vi phạm khác trong D�� thảo Ngh�� định XPVPHC ch�� yếu liên quan đến hoạt động trên không gian mạng, công ngh�� thông tin, phương tiện điện t�� nhằm xuyên tác, kích động chống phá Nhà nước, vu khống t�� chức, cá nhân khác, xâm phạm quyền riêng tư, trật t�� quản lý kinh t��, trật t�� xã hội. Các hành vi vi phạm liên quan đến xác thực, định danh và bảo v�� tài khoản s�� cũng có th�� b�� áp dụng mức x�� phạt lên đến 120 triệu đồng (xấp x�� 5.051 USD) đối với t�� chức.

Vì các quy định v�� bảo v�� d�� liệu cá nhân tại ��Đ13 đã có hiệu lực t�� ngày 1 tháng 7 năm 2023, chúng tôi cho rằng Ngh�� định quy định x�� phạt vi phạm hành chính trong lĩnh vực an ninh mạng cũng s�� sớm được ban hành trong một vài tháng sắp tới. Điều này đồng nghĩa với việc cơ quan quản lý s�� thắt chặt các biện pháp hành động và thực thi pháp luật, đặc biệt trong lĩnh vực bảo v�� d�� liệu cá nhân. Có th�� thấy rằng hành vi vi phạm của cá nhân, t�� chức có liên quan có th�� b�� phát hiện thông qua các hoạt động như giám sát, kiểm tra được thực hiện bởi các cơ quan có thẩm quyền; hoặc báo cáo vi phạm hoặc mức đ�� không hài lòng bởi khách hàng/khách hàng tiềm năng đến các cơ quan có thẩm quyền; hoặc thông qua việc xem xét h�� sơ đánh giá tác động x�� lý d�� liệu hoặc đánh giá tác động chuyển d�� liệu cá nhân qua biên giới của t�� chức. Do đó, các doanh nghiệp cần nhận thức đầy đ�� các nghĩa v�� luật định của mình đ�� đảm bảo việc đáp ứng tuân th�� và tránh b�� x�� phạt.

Vui lòng liên h�� Bà Amarjit Kaur �� Giám đốc pháp lý, Công ty Luật TNHH ���㣨Leyu���������� tại địa ch�� email: [email protected] hoặc Bà Nguyễn Th�� Hoàng Trang �� Phó Giám đốc, Công ty Luật TNHH ���㣨Leyu���������� tại địa ch�� email [email protected] hoặc nhân s�� ���㣨Leyu���������� ph�� trách thường xuyên của quý khách hàng nếu cần thêm thông tin chi tiết v�� các vấn đ�� trên.