Bị phạt đến 10 lần khoản thu với hành vi mua, bán dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân quy định mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.
Sáng 26-6, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân với đa số đại biểu có mặt biểu quyết tán thành.
Luật vừa được thông qua có 5 chương, 39 điều, hiệu lực thi hành từ ngày 1-1-2026.
Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân với 433/435 đại biểu có mặt bỏ phiếu tán thành. Ảnh: N.THẢO
Có thể bị truy cứu trách nhiệm hình sự
Một nội dung đáng chú ý, Luật Bảo vệ dữ liệu cá nhân quy định về xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Cụ thể, tổ chức, cá nhân có hành vi vi phạm quy định có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
Luật quy định mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm. Trong trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa thì áp dụng mức phạt tiền là 3 tỉ đồng.
Tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới thì áp dụng mức phạt tiền tối đa trong xử phạt vi phạm hành chính là 5% doanh thu của năm trước liền kề của tổ chức đó. Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định thì áp dụng mức phạt tiền tối đa là 3 tỉ đồng.
Luật Bảo vệ dữ liệu cá nhân cũng quy định mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỉ đồng.
“Mức phạt tiền tối đa đối với các hành vi nêu trên được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng 1/2 mức phạt tiền đối với tổ chức” – quy định nêu rõ và cho hay Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại lê Tấn Tới. Ảnh: PHẠM THẮNG
Cấm giao dịch liên quan đến dữ liệu cá nhân?
Báo cáo tiếp thu, chỉnh lý, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại lê Tấn Tới, cho biết có ý kiến cho rằng các chế tài xử phạt vi phạm về dữ liệu cá nhân còn thấp so với các chế tài ở các quốc gia khác, chưa tương xứng với mức độ nghiêm trọng của hành vi vi phạm, chưa đảm bảo được tính răn đe.
Ý kiến này đề nghị có chế tài nghiêm khắc hơn, đặc biệt là về hình sự, hành chính, dân sự, quy định rõ ràng hơn về trách nhiệm bồi thường thiệt hại của các tổ chức, cá nhân vi phạm. Qua đó, tạo cơ chế thuận lợi để cá nhân bị xâm phạm dữ liệu cá nhân khởi kiện đòi bồi thường, xây dựng cơ chế giải quyết tranh chấp hiệu quả liên quan đến vi phạm dữ liệu cá nhân; bổ sung chế tài hình sự đối với hành vi mua, bán dữ liệu cá nhân.
Ủy ban Thường vụ Quốc hội thấy rằng do tính chất và hậu quả nghiêm trọng của hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân nên cần quy định mức phạt cao hơn để bảo đảm tính răn đe đối với các doanh nghiệp lớn, đặc biệt là các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng nghìn tỉ đồng. Do vậy, cơ quan này đã chỉ đạo rà soát, chỉnh lý quy định về mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm.
Cạnh đó, cũng có ý kiến đề nghị bổ sung các biện pháp xử lý nghiêm khắc hơn, như cấm giao dịch liên quan đến dữ liệu cá nhân, buộc ngừng xử lý dữ liệu cá nhân và bồi thường thiệt hại, thay vì chỉ dựa trên doanh thu. Đồng thời, bổ sung cơ chế bảo vệ người tố cáo hành vi vi phạm dữ liệu cá nhân.
Tiếp thu ý kiến, Ủy ban Thường vụ đã chỉ đạo rà soát, chỉnh lý bổ sung quy định về quyền, nghĩa vụ của chủ thể dữ liệu cá nhân, theo hướng: “Khi nhận được yêu cầu của chủ thể dữ liệu cá nhân để thực hiện quyền của chủ thể dữ liệu cá nhân theo quy định, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải kịp thời thực hiện trong thời hạn theo quy định của pháp luật”.
Riêng về cơ chế bảo vệ người tố cáo hành vi vi phạm dữ liệu cá nhân, Ủy ban Thường vụ Quốc hội cho biết Luật Tố cáo năm 2018 đã có quy định về bảo vệ người tố cáo, do đó, cơ quan đề nghị không quy định lại nội dung này trong dự thảo Luật Bảo vệ dữ liệu cá nhân.
Các trường hợp chuyển dữ liệu cá nhân xuyên biên giới bao gồm:
- Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước CHXHCN Việt Nam.
- Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức, cá nhân ở nước ngoài.
- Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ nước CHXHCN Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam.
Khoản 1, Điều 20, quy định về chuyển dữ liệu cá nhân xuyên biên giới
