Xây dựng Luật Bảo vệ dữ liệu cá nhân: Chế tài nghiêm khắc, nhưng khả thi
Xử lý nghiêm doanh nghiệp vi phạm với các hình thức, chế tài nghiêm khắc, nhưng đảm bảo tính thực thi là yêu cầu đặt ra đối với Luật Bảo vệ dữ liệu cá nhân.
Hình phạt nghiêm khắc
Mới đây, Liên minh châu Âu (EU) xử phạt TikTok 530 triệu euro với hành vi chuyển dữ liệu sang Trung Quốc, vi phạm các quy tắc bảo mật dữ liệu nghiêm ngặt của EU. Trước đó, năm 2023, EU phạt TikTok 345 triệu euro vì vi phạm luật bảo mật liên quan đến việc xử lý dữ liệu cá nhân của trẻ em tại EU.
Meta, công ty mẹ của Facebook và Instagram, bị Hàn Quốc phạt 21,6 tỷ won vì thu thập dữ liệu nhạy cảm từ 980.000 người dùng và bán cho các nhà quảng cáo. Tháng 5/2023, Meta cũng bị phạt 1,3 tỷ USD vì vi phạm quy định bảo mật dữ liệu của EU.
Google vừa qua cũng phải trả 1,375 tỷ USD liên quan tới cáo buộc vi phạm quyền riêng tư dữ liệu của người dùng tại bang Texax (Mỹ). Trước đó, Google phải trả 391,5 triệu USD trong vụ việc liên quan đến hành vi theo dõi người dùng trái phép…
“Hơn 140 quốc gia trên thế giới đã ban hành các đạo luật chuyên biệt về bảo vệ dữ liệu cá nhân. Các hình phạt cho tổ chức, doanh nghiệp vi phạm quy định về bảo vệ dữ liệu rất nghiêm khắc. Trong khi mỗi năm, châu Âu có thể xử phạt tới hàng tỷ USD đối với các hành vi vi phạm dữ liệu cá nhân, thì Việt Nam cho đến nay vẫn chưa có tiền lệ xử lý tương tự. Cùng với đó, nhận thức về bảo vệ dữ liệu cá nhân của người dùng còn hạn chế, càng khiến tình trạng lộ lọt, mua bán dữ liệu công khai tràn lan, với mức độ ngày càng tinh vi và phức tạp”, ông Đào Đức Triệu, Phó tổng thư ký Hiệp hội An ninh mạng quốc gia nhận xét.
Điều 4, Dự thảo Luật Bảo vệ dữ liệu cá nhân (Dự thảo Luật) quy định: cơ quan, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân, tùy theo mức độ, chịu trách nhiệm dân sự, bị xử lý kỷ luật, xử lý vi phạm hành chính, xử lý hình sự theo quy định của pháp luật. Áp dụng mức xử phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp vi phạm quy định về bảo vệ dữ liệu cá nhân.
So với Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, Dự thảo Luật Bảo vệ dữ liệu cá nhân đã tăng chế tài. Mức phạt hành chính tối đa 1 tỷ đồng quy định tại Nghị định số 13/2023/NĐ-CP được đánh giá là chưa đủ sức răn đe, đặc biệt đối với các doanh nghiệp lớn có doanh thu hàng ngàn tỷ đồng. Vì vậy, cơ quan soạn thảo Luật Bảo vệ dữ liệu cá nhân đề xuất áp dụng mức xử phạt hành chính 1 - 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân.
Ông Vũ Ngọc Sơn, Giám đốc kỹ thuật Công ty Công nghệ an ninh mạng Việt Nam cho biết, tại nhiều nước, mức xử phạt được đánh giá dựa trên quy mô tác động của từng vụ vi phạm. Với những vụ vi phạm có mức độ ảnh hưởng nghiêm trọng đến lượng lớn người dùng, số tiền phạt sẽ rất lớn. Vì vậy, theo ông Sơn, mức đề xuất xử phạt cao nhất đến 5% tổng doanh thu là phù hợp với Việt Nam và mang tính răn đe để các đơn vị có trách nhiệm cao hơn trong việc bảo vệ dữ liệu của khách hàng.
Đảm bảo tính thực thi
Phần lớn các ý kiến góp ý cho Dự thảo Luật Bảo vệ dữ liệu cá nhân đều ủng hộ mức xử phạt nghiêm khắc với doanh nghiệp vi phạm, song cũng nhấn mạnh, cần cân nhắc tính khả thi và tình hình thực tế.
Ông Nguyễn Ngọc Sơn, Ủy viên Ủy ban Khoa học, Công nghệ và Môi trường của Quốc hội đồng tình với mức xử phạt 1 - 5% doanh thu năm liền trước của tổ chức, doanh nghiệp có vi phạm quy định về bảo vệ dữ liệu cá nhân. Tuy nhiên, cần quy định nguyên tắc xác định thế nào là 1 - 5% doanh thu năm liền trước, bởi nếu không xác định rõ nội dung này trong Dự án Luật, thì rất khó để Chính phủ quy định chi tiết.
Liên quan mức phạt, ông Trần Công Quỳnh Lân, Chủ nhiệm Ủy ban Công nghệ (Hiệp hội Ngân hàng) nhấn mạnh, cần làm rõ trường hợp nào áp dụng mức phạt 5% doanh thu. Với một ngân hàng, 5% doanh thu có thể lên đến hàng ngàn tỷ đồng. Vì vậy, cần xác định hành vi vi phạm cụ thể và mức độ thiệt hại gây ra cho khách hàng để áp dụng mức phạt phù hợp, đảm bảo mức phạt công bằng và hiệu quả.
Trên thực tế, quy định hiện hành về xử lý cá nhân vi phạm mua bán dữ liệu bất hợp pháp vẫn còn nhiều lỗ hổng, dựa vào các quy định hình sự, mà chưa có quy định chuyên biệt, khiến việc xử lý gặp khó khăn.
“Từ phía ngân hàng, chúng tôi đã đề xuất với Ngân hàng Nhà nước giải pháp: nếu phát hiện tài khoản nào bị mua bán hoặc sử dụng cho mục đích lừa đảo, tài khoản đó sẽ bị phong tỏa trên toàn hệ thống ngân hàng và đưa vào danh sách đen. Thậm chí, căn cước công dân liên quan cũng có thể bị liệt vào danh sách này. Cách tiếp cận như vậy sẽ giúp hạn chế đáng kể hành vi lừa đảo, vì nó gây ra hậu quả nghiêm trọng cho những người tham gia mua bán tài khoản”, ông Lân đề xuất.
Một số ý kiến từ doanh nghiệp, nhà làm luật cho rằng, cần xác định rõ các trường hợp để bảo đảm thực hiện được việc xử phạt 1 - 5% doanh thu năm liền trước của tổ chức, doanh nghiệp vi phạm quy định về bảo vệ dữ liệu cá nhân. Ví dụ, doanh nghiệp mới thành lập đã vi phạm, chưa có doanh thu của năm trước thì xử phạt như thế nào; hoặc doanh nghiệp đã thành lập nhiều năm, nhưng năm liền kề trước đó không có doanh thu, hoặc có doanh thu, nhưng không có lợi nhuận, thì xử phạt thế nào...
Theo ông Lê Quang Hà, Phó giám đốc Công ty An ninh mạng Viettel, các vụ lộ lọt dữ liệu gần đây cho thấy, cần quy định rõ ngưỡng vi phạm (ví dụ, số lượng bản ghi dữ liệu bị lộ, hoặc mức độ thiệt hại gây ra cho chủ thể dữ liệu…) để truy cứu trách nhiệm hình sự, giúp cơ quan thực thi pháp luật dễ dàng áp dụng.
Bên cạnh những hình phạt tại Dự thảo Luật, các doanh nghiệp, chuyên gia còn đề xuất áp dụng hình phạt khác như: thu hồi giấy phép đối với doanh nghiệp vi phạm nghiêm trọng; đình chỉ hoạt động, công khai thông tin vi phạm trên phương tiện truyền thông; cấm đảm nhiệm chức vụ đối với cá nhân chịu trách nhiệm trong các vụ vi phạm nghiêm trọng, tịch thu công cụ, phương tiện vi phạm (máy chủ, phần mềm)…
Mức phạt đối với vi phạm về bảo vệ dữ liệu tại một số quốc gia, khu vực
- Châu Âu: Phạt 10 triệu euro đến 2% doanh thu toàn cầu hàng năm của doanh nghiệp trong năm tài chính trước đó (bậc 1); 20 triệu euro đến 4% doanh thu toàn cầu hàng năm (bậc 2).
- Anh: Mức phạt cao nhất là 4% doanh thu toàn cầu hàng năm của doanh nghiệp.
- Trung Quốc: Mức phạt cao nhất là 5% doanh thu toàn cầu hàng năm của doanh nghiệp.
- Singapore: Mức phạt cao nhất là 10% doanh thu hàng năm của doanh nghiệp tại Singapore.
