Dự thảo lần 3 Nghị định Quy định Xử phạt Vi phạm Hành chính trong lĩnh vực An ninh Mạng

Trong thời gian gần đây, Chính phủ đã ban hành 2 nghị định quan trọng trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân là (i) Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng (“NĐ53”) và (ii) Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“NĐ13”).

Để đảm bảo việc thực thi các quy định về an ninh mạng và bảo vệ dữ liệu cá nhân nói trên, ngày 31 tháng 5 năm 2023 vừa qua, Bộ Công an (“BCA”) đã công bố bản dự thảo lần 3 Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (“Dự thảo Nghị định XPVPHC”) để lấy ý kiến rộng rãi.  Dự thảo Nghị định XPVPHC quy định các hành vi không tuân thủ trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân, đồng thời thay thế một số quy định hiện hành tại các Nghị định 15/2020/NĐ-CP và Nghị định 14/2022/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử.

Dưới đây là một số điểm nổi bật quan trọng trong Dự thảo Nghị định XPVPHC:

Dự thảo Nghị định XPVPHC áp dụng không chỉ đối với các chủ thể cung cấp dịch vụ liên quan đến dịch vụ viễn thông, internet và dịch vụ nội dung trên không gian mạng, công nghệ thông tin, an ninh mạng, an toàn thông tin mạng tại Việt Nam mà còn áp dụng cho tất cả các cá nhân, tổ chức trong và ngoài nước có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam và/hoặc của công dân Việt Nam. Các đối tượng bị xử phạt theo phạm vi quy định tại Dự thảo Nghị định XPVPHC cần phải triển khai các hoạt động cần thiết để đảm bảo việc tuân thủ NĐ53 và NĐ13 nhằm tránh bị xử phạt khi nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng được chính thức ban hành.

Nhìn chung, Dự thảo Nghị định XPVPHC quy định các biện pháp xử phạt vi phạm hành chính liên quan đến 5 lĩnh vực chính bao gồm: (i) bảo đảm an ninh thông tin; (ii) bảo vệ dữ liệu cá nhân; (iii) phòng, chống tấn công mạng; (iv) triển khai các hoạt động bảo vệ an ninh mạng; và (v) phòng, chống hành vi sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử vi phạm pháp luật về trật tự, an toàn xã hội.

Dự thảo Nghị định XPVPHC đưa ra 3 hình thức xử phạt vi phạm hành chính, trong đó, hình thức xử phạt chính là phạt tiền. Việc phạt tiền còn có thể được áp dụng đồng thời với các hình thức xử phạt bổ sung hoặc các biện pháp khắc phục hậu quả.

Các hình thức xử phạt bổ sung sẽ được áp dụng tùy theo tính chất, mức độ vi phạm và có thể được thực hiện dưới các hình thức như đình chỉ hoạt động hoặc tước giấy phép kinh doanh, tịch thu tang vật vi phạm và trục xuất khỏi Việt Nam.

Các biện pháp khắc phục hậu quả bao gồm xóa bỏ hoặc chỉnh sửa các chương trình, phần mềm, sản phẩm hoặc thiết bị vi phạm hoặc tính năng, thành phần liên quan, xóa bỏ hoặc hủy dữ liệu vi phạm, xóa bỏ hoặc chỉnh sửa dữ liệu có nội dung sai sự thật, thu hồi thông tin người dùng đã đăng ký hoặc buộc xin lỗi công khai.

Bất kỳ hành vi cố tình vi phạm, không chấp hành yêu cầu thực hiện các biện pháp khắc phục của cơ quan chức năng hoặc hành vi thiếu hợp tác với cơ quan chức năng đều có thể là các tình tiết tăng nặng khi xử phạt vi phạm hành chính.

Đối với các hành vi vi phạm nghiêm trọng hơn như xử lý dữ liệu cá nhân phục vụ cho các hoạt động tiếp thị và quảng cáo mà không có sự đồng ý của chủ thể dữ liệu, mua bán dữ liệu cá nhân, không nộp báo cáo đánh giá tác động xử lý dữ liệu cá nhân với cơ quan chức năng đều có khả năng bị phạt tiền lên đến 5% tổng doanh thu năm tài chính liền kề tại Việt Nam kèm theo hình thức xử phạt bổ sung và/hoặc biện pháp khắc phục hậu quả khác.

Dự thảo Nghị định XPVPHC trao cho các cơ quan chức năng của Việt Nam thẩm quyền áp dụng các biện pháp xử phạt đối với cá nhân và tổ chức vi phạm quy định liên quan đến một trong hai hoặc cả hai lĩnh vực về an ninh mạng và bảo vệ dữ liệu cá nhân dựa trên việc đánh giá về mức độ nghiêm trọng của hành vi phạm. Các cơ quan chức năng có thẩm quyền xử phạt vi phạm hành chính sẽ tùy thuộc vào tính chất, mức độ vi phạm có thể bao gồm các chức vụ có thẩm quyền thuộc Công an nhân dân, Ủy ban nhân dân các cấp, Thanh tra các Bộ, Bộ đội Biên phòng, Cảnh sát biển Việt Nam, trong đó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) là cơ quan chức năng có thẩm quyền cao nhất.

Vi phạm nghĩa vụ liên quan đến bảo đảm an ninh thông tin

Đối với hành vi vi phạm quy định về bảo đảm an ninh thông tin, hình thức xử phạt đối với các hành vi vi phạm và giao dịch liên quan đến việc phát tán, tàng trữ, sản xuất nội dung giả mạo, gây nhầm lẫn, trái pháp luật hoặc sai sự thật, theo đánh giá của cơ quan có thẩm quyền, có thể bao gồm:

(i) Phạt tiền đến 20 triệu đồng (xấp xỉ 842 USD) đối với cá nhân và 40 triệu đồng (xấp xỉ 1.684 USD) đối với tổ chức phát tán, tàng trữ thông tin có nội dung chống phá nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam (“Nhà nước”).

(ii) Phạt tiền đến 40 triệu đồng (xấp xỉ 1.684 USD) đối với cá nhân và 80 triệu đồng (xấp xỉ 3.367 USD) đối với tổ chức (a) tạo lập, phát tán thông tin có nội dung chống phá Nhà nước; (b) phát tán thông tin có nội dung xúc phạm danh dự, nhân phẩm, ảnh hưởng đến quyền, lợi ích hợp pháp của cá nhân, tổ chức khác, thông tin sai sự thật trong hoạt động kinh doanh, gây hoang mang dư luận về dân tộc, đạo đức xã hội và sức khỏe cộng đồng; (c) không thực hiện các biện pháp quản lý, kỹ thuật để phối hợp với cơ quan có thẩm quyền nhằm ngăn chặn và gỡ bỏ nội dung vi phạm.

(iii) Phạt tiền đến 60 triệu đồng (xấp xỉ 2.525 USD) đối với cá nhân và 120 triệu đồng (xấp xỉ 5.051 USD) đối với tổ chức (a)  tạo lập, phát tán thông tin xúc phạm danh dự, nhân phẩm ảnh hưởng đến quyền và lợi ích hợp pháp của cá nhân, tổ chức khác, thông tin sai sự thật trong hoạt động kinh doanh, thông tin sai sự thật gây hoang mang dư luận về dân tộc, đạo đức xã hội và sức khỏe cộng đồng; (b) không tuân thủ yêu cầu của cơ quan có thẩm quyền trong việc bố trí các giải pháp kỹ thuật cần thiết, ngăn chặn, ngừng cung cấp dịch vụ hoặc huy động nguồn lực khi xảy ra vi phạm.

(iv) Phạt tiền đến 80 triệu đồng (xấp xỉ 3.367 USD) đối với cá nhân và 160 triệu đồng (xấp xỉ 6.734 USD) đối với tổ chức thiết lập trang mạng xã hội, tài khoản, trang, nhóm để tạo, đăng tải thông tin sai sự thật, xuyên tạc gây ảnh hưởng đến lợi ích hợp pháp, quyền và lợi ích của tổ chức, cá nhân khác.

(v) Đình chỉ hoạt động kinh doanh từ 1- 3 tháng áp dụng đối với hành vi vi phạm liên quan đến việc thiết lập trang thông tin điện tử, mạng xã hội hoặc tài khoản, nhóm trực tuyến để tạo lập, đăng tải các thông tin vi phạm nêu trên.

Vi phạm nghĩa vụ liên quan đến bảo vệ dữ liệu cá nhân

Dự thảo Nghị định XPVPHC quy định các hành vi vi phạm bao gồm vi phạm các nghĩa vụ mà các tổ chức và cá nhân phải tuân thủ theo Nghị định 13 khi xử lý dữ liệu cá nhân tại Việt Nam và/hoặc của công dân Việt Nam,  bao gồm hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, không đảm bảo thực hiện các quyền của chủ thể dữ liệu hoặc không thiết lập các biện pháp quản lý bảo vệ dữ liệu phù hợp tại đơn vị như chỉ định bộ phận, nhân sự phụ trách bảo vệ dữ liệu cá nhân khi thực hiện hoạt động xử lý dữ liệu cá nhân nhạy cảm. Các mức phạt được quy định dựa trên hành vi vi phạm cụ thể nêu tại Dự thảo Nghị định XPVPHC như mức xử phạt dao động từ 20 triệu đồng (xấp xỉ 842 USD) đến 160 triệu đồng (xấp xỉ 6.734 USD) tùy từng hành vi vi phạm. Đối với các hành vi có mức độ vi phạm nghiêm trọng hơn, cơ quan có thẩm quyền có quyền áp dụng các hình thức xử phạt bổ sung và biện pháp khắc phục hậu quả như tước giấy phép kinh doanh, đình chỉ xử lý dữ liệu hoặc hủy phục hồi/xóa bỏ dữ liệu cá nhân đối với các hành vi vi phạm, bao gồm nhưng không giới hạn, nguyên tắc bảo vệ dữ liệu cá nhân, quyền của chủ thể dữ liệu, sự đồng ý hoặc lưu trữ/xóa/hủy dữ liệu cá nhân.

Đáng lưu ý, các hành vi vi phạm sau đây có thể bị áp dụng mức xử phạt tiền lên đến 200 triệu đồng (xấp xỉ 8.418), có thể tăng đến gấp 5 lần hoặc lên đến 5% doanh thu kèm theo các hình thức xử phạt bổ sung và biện pháp khắc phục hậu quả:

(i) việc sử dụng dữ liệu cá nhân để tiếp thị, giới thiệu, quảng cáo sản phẩm dịch vụ;

(ii) việc thu thập, chuyển giao và mua, bán trái phép dữ liệu cá nhân;

(iii) nghĩa vụ thực hiện đánh giá tác động xử lý dữ liệu cá nhân;

(iv) nghĩa vụ thực hiện chuyển giao dữ liệu cá nhân ra nước ngoài.

Vi phạm nghĩa vụ liên quan đến phòng, chống tấn công mạng

Nội dung này đưa ra các hình thức xử phạt áp dụng đối với các vi phạm liên quan đến việc (i) cố ý phát tán, sản xuất, mua bán các chương trình tin học gây hại trên Internet và mạng viễn thông; (ii) sử dụng không gian mạng (chia sẻ, bình luận) nhằm kích động hoạt động khủng bố hoặc đe dọa khủng bố; hoặc (iii) không phối hợp với các cơ quan có thẩm quyền xử lý các hành vi vi phạm có liên quan, với mức phạt tiền từ 40 triệu đồng (xấp xỉ 1.683 USD) đến 160 triệu đồng (xấp xỉ 6.734 USD) và có thể bị tước giấy phép kinh doanh trong 12 - 18 tháng. Ngoài ra, hành vi tài trợ khủng bố trực tuyến hoặc gây chậm trễ, cản trở các biện pháp của cơ quan có thẩm quyền sẽ bị phạt tiền lên đến 200 triệu đồng (xấp xỉ 8.418 USD).

Vi phạm nghĩa vụ liên quan đến hoạt động bảo vệ an ninh mạng

Các hành vi vi phạm về hoạt động bảo vệ an ninh mạng chủ yếu liên quan đến các hành vi cố ý thực hiện hành vi trái pháp luật hoặc không chấp hành yêu cầu của cơ quan chức năng, bao gồm:

(i) Cố ý/hỗ trợ phát tán, cản trở, xâm nhập gây ảnh hưởng đến an ninh mạng;

(ii) Không xác thực thông tin khi người dùng đăng ký tài khoản số;

(iii) Chậm trễ, cản trở, không thực hiện các biện pháp khi cơ quan có thẩm quyền yêu cầu;

(iv) Không thực hiện, phối hợp thực hiện khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng.

Đáng lưu ý, các hành vi vi phạm nêu trên sẽ là căn cứ mấu chốt để cơ quan chức năng yêu cầu các tổ chức/cá nhân nước ngoài có liên quan áp dụng quy định về lưu trữ dữ liệu bắt buộc tại Việt Nam hoặc buộc đặt chi nhánh, văn phòng đại diện tại Việt Nam theo NĐ 53. Việc vi phạm các nghĩa vụ tuân thủ này có thể bị phạt lên đến 200 triệu đồng (xấp xỉ 8.418 USD) cùng với việc áp dụng đồng thời các hình thức xử phạt bổ sung và biện pháp khắc phục hậu quả.

Vi phạm nghĩa vụ liên quan đến sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử

Các vi phạm khác trong Dự thảo Nghị định XPVPHC chủ yếu liên quan đến hoạt động trên không gian mạng, công nghệ thông tin, phương tiện điện tử nhằm xuyên tác, kích động chống phá Nhà nước, vu khống tổ chức, cá nhân khác, xâm phạm quyền riêng tư, trật tự quản lý kinh tế, trật tự xã hội. Các hành vi vi phạm liên quan đến xác thực, định danh và bảo vệ tài khoản số cũng có thể bị áp dụng mức xử phạt lên đến 120 triệu đồng (xấp xỉ 5.051 USD) đối với tổ chức.

Vì các quy định về bảo vệ dữ liệu cá nhân tại NĐ13 đã có hiệu lực từ ngày 1 tháng 7 năm 2023, chúng tôi cho rằng Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng cũng sẽ sớm được ban hành trong một vài tháng sắp tới. Điều này đồng nghĩa với việc cơ quan quản lý sẽ thắt chặt các biện pháp hành động và thực thi pháp luật, đặc biệt trong lĩnh vực bảo vệ dữ liệu cá nhân. Có thể thấy rằng hành vi vi phạm của cá nhân, tổ chức có liên quan có thể bị phát hiện thông qua các hoạt động như giám sát, kiểm tra được thực hiện bởi các cơ quan có thẩm quyền; hoặc báo cáo vi phạm hoặc mức độ không hài lòng bởi khách hàng/khách hàng tiềm năng đến các cơ quan có thẩm quyền; hoặc thông qua việc xem xét hồ sơ đánh giá tác động xử lý dữ liệu hoặc đánh giá tác động chuyển dữ liệu cá nhân qua biên giới của tổ chức. Do đó, các doanh nghiệp cần nhận thức đầy đủ các nghĩa vụ luật định của mình để đảm bảo việc đáp ứng tuân thủ và tránh bị xử phạt.

Vui lòng liên hệ Bà Amarjit Kaur – Giám đốc pháp lý, Công ty Luật TNHH KPMG tại địa chỉ email: amarjitsingh@kpmg.com.vn hoặc Bà Nguyễn Thị Hoàng Trang – Phó Giám đốc, Công ty Luật TNHH KPMG tại địa chỉ email tranghnguyen1@kpmg.com.vn hoặc nhân sự KPMG phụ trách thường xuyên của quý khách hàng nếu cần thêm thông tin chi tiết về các vấn đề trên.