Bản tin cập nhật Pháp luật tháng 7 năm 2023

Ngày 22/06/2023, Ngân hàng Nhà nước Việt Nam (“NHNN”) ban hành Thông tư 05/2023/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư 30/2015/TT-NHNN ngày 25/12/2015 của NHNN quy định việc cấp giấy phép, tổ chức và hoạt động của tổ chức tín dụng phi ngân hàng (“Thông tư 05”). Thông tư 05 sẽ có hiệu lực vào ngày 06/08/2023 với những điểm đáng lưu ý như sau:

• Sửa đổi quy định về trình tự, thủ tục cấp giấy phép tổ chức và hoạt động cho tổ chức tín dụng phi ngân hàng (“Giấy phép”). Theo đó:

i. Hồ sơ đề nghị cấp phép được thực hiện thông qua gửi trực tiếp hoặc qua dịch vụ bưu chính đến Bộ phận Một cửa của NHNN (trụ sở chính);

ii. NHNN có văn bản xác nhận tính đầy đủ của bộ hồ sơ hợp lệ hoặc yêu cầu bổ sung hồ sơ trong thời hạn mười (10) ngày làm việc kể từ ngày nhận đủ hồ sơ hợp lệ, thay vì ba mươi (30) ngày theo quy định tại Thông tư 30/2015/TT-NHNN.

• Sửa đổi và tổng hợp các điều kiện cấp phép đối với chủ sở hữu, thành viên sáng lập là tổ chức tín dụng nước ngoài, trong đó một số điều kiện đáng chú ý như:

i. Kinh doanh có lãi trong ba (3) năm tài chính liền kề trước năm nộp hồ sơ đề nghị cấp Giấy phép và đến thời điểm nộp hồ sơ bổ sung để được xem xét cấp Giấy phép;

ii. Có tổng tài sản trên mười (10) tỷ đô la Mỹ vào cuối năm liền kề trước năm nộp hồ sơ đề nghị cấp Giấy phép;

iii. Không vi phạm nghiêm trọng quy định về hoạt động ngân hàng và quy định pháp luật khác của nước nguyên xứ trong năm (5) năm liền kề trước năm nộp hồ sơ đề nghị cấp Giấy phép và đến thời điểm nộp hồ sơ bổ sung để được xem xét cấp Giấy phép;

iv. Có kinh nghiệm hoạt động quốc tế, được các tổ chức xếp loại tín nhiệm quốc tế xếp hạng từ mức ổn định trở lên;

v. Không phải là cổ đông chiến lược, chủ sở hữu, thành viên sáng lập của tổ chức tín dụng khác được thành lập và hoạt động tại Việt Nam, ...

• Bổ sung quy định về hồ sơ cấp Giấy phép đối với chủ sở hữu là ngân hàng thương mại Việt Nam được chuyển giao bắt buộc, cụ thể:

i. Chủ sở hữu là ngân hàng thương mại Việt Nam được chuyển giao bắt buộc thành lập tổ chức tín dụng phi ngân hàng để thực hiện phương án chuyển giao bắt buộc đã được phê duyệt phải tuân thủ các quy định sau:

a. Không phải là cổ đông chiến lược, cổ đông sáng lập, chủ sở hữu, thành viên sáng lập của tổ chức tín dụng khác được thành lập và hoạt động tại Việt Nam;

b. Không được dùng vốn huy động, vốn vay của tổ chức, cá nhân khác để góp vốn;

c. Thực hiện đầy đủ các nghĩa vụ về thuế và bảo hiểm xã hội theo quy định của pháp luật đến thời điểm nộp hồ sơ đề nghị cấp Giấy phép;

d. Có mức vốn điều lệ tối thiểu bằng tổng mức vốn pháp định đối với ngân hàng thương mại và mức vốn pháp định đối với tổ chức tín dụng phi ngân hàng theo quy định của pháp luật.

ii. Hồ sơ đối với chủ sở hữu là ngân hàng thương mại được chuyển giao bắt buộc trong bộ hồ sơ đề nghị cấp Giấy phép cho tổ chức tín dụng phi ngân hàng trách nhiệm hữu hạn bao gồm:

a. Văn bản ủy quyền người đại diện phần vốn góp của ngân hàng thương mại Việt Nam tại tổ chức tín dụng phi ngân hàng theo quy định của pháp luật;

b. Văn bản của cơ quan thuế, cơ quan bảo hiểm xã hội xác nhận về việc thực hiện đầy đủ các nghĩa vụ thuế, bảo hiểm xã hội của tổ chức;

c. Sơ yếu lý lịch, Phiếu lý lịch tư pháp của người đại diện theo pháp luật, người được cử đại diện phần vốn góp của ngân hàng thương mại Việt Nam tại tổ chức tín dụng phi ngân hàng.

Trong thời gian gần đây, Chính phủ đã ban hành 2 nghị định quan trọng trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân là (i) Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng (“Nghị định 53”) và (ii) Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân ("Nghị định 13”).

Để đảm bảo việc thực thi các quy định về an ninh mạng và bảo vệ dữ liệu cá nhân nói trên, ngày 31/5/2023 vừa qua, Bộ Công an (“Bộ CA”) đã công bố bản dự thảo lần 3 nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (“Dự thảo Nghị định XPVPHC”) để lấy ý kiến công chúng. Dự thảo Nghị định XPVPHC quy định các hành vi không tuân thủ quy định về an ninh mạng và bảo vệ dữ liệu cá nhân, đồng thời thay thế một số quy định được đề cập trong Nghị định 15/2020/NĐ-CP và Nghị định 14/2022/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử.

Một số nội dung đáng lưu ý tại Dự thảo Nghị định XPVPHC như sau:

• Dự thảo Nghị định XPVPHC không chỉ áp dụng đối với các chủ thể cung cấp dịch vụ tại Việt Nam liên quan đến dịch vụ viễn thông, internet, nội dung trên không gian mạng, công nghệ thông tin, an ninh mạng, an toàn thông tin mạng, mà còn áp dụng đối với tất cả các cá nhân, tổ chức trong và ngoài nước có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam và/hoặc của công dân Việt Nam. Các đối tượng bị xử phạt theo phạm vi điều chỉnh tại Dự thảo Nghị định XPVPHC cần phải triển khai các hoạt động cần thiết để đảm bảo việc tuân thủ Nghị định 53 và Nghị định 13 nhằm tránh bị xử phạt khi quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng được chính thức ban hành.
• Thời hiệu xử phạt vi phạm hành chính đối với các vi phạm thông thường là một (1) năm, và đối với các vi phạm hành chính về sản xuất, xuất khẩu, nhập khẩu, kinh doanh sản phẩm, dịch vụ an ninh mạng là hai (2) năm.
• Dự thảo Nghị định XPVPHC điều chỉnh các hành vi vi phạm hành chính liên quan đến năm (5) lĩnh vực chính bao gồm: (i) bảo đảm an ninh thông tin; (ii) bảo vệ dữ liệu cá nhân; (iii) phòng, chống tấn công mạng; (iv) triển khai hoạt động bảo vệ an ninh mạng; (v) phòng, chống hành vi sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử để vi phạm pháp luật về trật tự, an toàn xã hội.
• Về các hình thức xử phạt vi phạm hành chính:

− Dự thảo Nghị định XPVPHC đưa ra ba (3) hình thức xử phạt vi phạm hành chính, trong đó hình thức xử phạt chính là phạt tiền. Việc phạt tiền còn có thể được áp dụng đồng thời với các hình thức xử phạt bổ sung hoặc  các biện pháp khắc phục hậu quả.

− Các hình thức xử phạt bổ sung sẽ được xem xét áp dụng theo tính chất, mức độ vi phạm và có thể dưới các hình thức như đình chỉ hoạt động hoặc tước giấy phép kinh doanh, tịch thu tang vật vi phạm và trục xuất khỏi Việt Nam.

− Các biện pháp khắc phục hậu quả bao gồm xóa bỏ hoặc chỉnh sửa các chương trình, phần mềm, sản phẩm hoặc thiết bị vi phạm hoặc tính năng, thành phần liên quan, xóa bỏ hoặc hủy dữ liệu vi phạm, xóa bỏ hoặc chỉnh sửa dữ liệu có nội dung sai sự thật, thu hồi thông tin người dùng đã đăng ký hoặc buộc xin lỗi công khai.

− Dự thảo Nghị định XPVPHC trao cho các cơ quan nhà nước có thẩm quyền của Việt Nam quyền xử phạt những cá nhân và tổ chức vi phạm một hoặc các quy định về an ninh mạng và bảo vệ dữ liệu trên cơ sở đánh giá mức độ nghiêm trọng của hành vi vi phạm.

− Hành vi cố ý vi phạm, không tuân thủ yêu cầu thực hiện biện pháp khắc phục hoặc thiếu hợp tác với cơ quan nhà nước có thẩm quyền có thể là các tình tiết tăng nặng khi xử phạt vi phạm hành chính.

− Đối với các vi phạm nghiêm trọng hơn như xử lý dữ liệu cá nhân phục vụ cho các hoạt động tiếp thị và quảng cáo mà không có sự đồng ý của chủ thể dữ liệu, mua bán dữ liệu cá nhân, không nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cho các cơ quan chức năng có thể bị phạt tiền lên tới 5%doanh thu của năm tài chính liền trước hoặc lợi nhuận tại thị trường Việt Nam của tổ chức vi phạm, kèm hình thức xử phạt bổ sung và/hoặc biện pháp khắc phục hậu quả khác.

− Các cơ quan chức năng, có thẩm quyền xử phạt vi phạm hành chính sẽ dựa vào tính chất, mức độ vi phạm của hành vi vi phạm, bao gồm các đơn vị chức năng có thẩm quyền của Công an Nhân dân, Ủy ban nhân dân các cấp, Thanh tra các Bộ, Bộ đội Biên phòng, Cảnh sát biển Việt Nam, trong đó Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) có thẩm quyền xử phạt cao nhất.

• Vì các quy định về bảo vệ dữ liệu cá nhân đã có hiệu lực từ ngày 01/07/2023, chúng tôi hy vọng rằng nghị định về xử phạt hành chính trong lĩnh vực an ninh mạng này sẽ được ban hành trong vài tháng tới. Điều này đồng nghĩa với việc các cơ quan quản lý sẽ thắt chặt các biện pháp hành động và thực thi pháp luật, đặc biệt trong lĩnh vực bảo vệ dữ liệu cá nhân. Có thể thấy rằng hành vi vi phạm của cá nhân, tổ chức có liên quan có thể bị phát hiện thông qua các hoạt động như giám sát, kiểm tra được thực hiện bởi các cơ quan có thẩm quyền; hoặc báo cáo vi phạm hoặc mức độ không hài lòng bởi khách hàng/khách hàng tiềm năng đến các cơ quan có thẩm quyền; hoặc thông qua việc xem xét hồ sơ đánh giá tác động xử lý dữ liệu hoặc đánh giá tác động chuyển dữ liệu cá nhân qua biên giới của tổ chức. Do đó, các doanh nghiệp cần nhận thức đầy đủ các nghĩa vụ luật định của mình để đảm bảo việc đáp ứng tuân thủ và tránh bị xử phạt.