Đề xuất phạt đến 40 triệu hành vi thu thập dữ liệu không được sự đồng ý hoặc không có căn cứ pháp lý rõ ràng (Hình từ Internet)
Bộ Công an đang lấy ý kiến đối với Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực dữ liệu.
Theo đó đề xuất xử phạt vi phạm quy định về thu thập, tạo lập dữ liệu như sau:
1. Phạt tiền từ 20.000.000 đồng đến 40.000.000 đồng đối với một trong những hành vi sau đây:
- Thu thập, tạo lập dữ liệu mà không được sự đồng ý của chủ thể dữ liệu, chủ sở hữu dữ liệu hoặc không có căn cứ pháp lý rõ ràng;
- Thu thập, tạo lập dữ liệu làm sai lệch nguồn gốc, thời gian, nội dung dữ liệu gốc;
- Thu thập, tạo lập dữ liệu giả mạo, không đúng sự thật hoặc không có mục đích rõ ràng, không thông báo, không đăng ký với cơ quan có thẩm quyền theo quy định;
- Sử dụng thủ đoạn gian dối, lừa đảo, che giấu thông tin để thu thập, tạo lập dữ liệu;
- Không tuân thủ quy trình thu thập, tạo lập dữ liệu do cơ quan có thẩm quyền ban hành;
2. Phạt tiền từ 40.000.000 đồng đến 70.000.000 đồng nếu có một trong các tình tiết sau:
- Thu thập, tạo lập dữ liệu vượt quá phạm vi, mục đích đã thông báo hoặc ảnh hưởng đến nhiều cơ quan, tổ chức, cá nhân;
- Dữ liệu thuộc danh mục dữ liệu cốt lõi, dữ liệu quan trọng quốc gia, dữ liệu nhạy cảm;
- Hành vi vi phạm gây ra hậu quả nghiêm trọng như rò rỉ thông tin nhạy cảm, làm ảnh hưởng đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân hoặc an ninh quốc gia.
3. Hình thức xử phạt bổ sung:
- Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định;
- Tước quyền sử dụng giấy chứng nhận, chứng chỉ hành nghề từ 03 tháng đến 06 tháng đối với hành vi thu thập, tạo lập dữ liệu giả mạo, không đúng sự thật hoặc không có mục đích rõ ràng, không thông báo, không đăng ký với cơ quan có thẩm quyền theo quy định; sử dụng thủ đoạn gian dối, lừa đảo, che giấu thông tin để thu thập, tạo lập dữ liệu; không tuân thủ quy trình thu thập, tạo lập dữ liệu do cơ quan có thẩm quyền ban hành;
- Đình chỉ hoạt động từ 06 tháng đến 09 tháng đối với tổ chức thực hiện hành vi Sử dụng thủ đoạn gian dối, lừa đảo, che giấu thông tin để thu thập, tạo lập dữ liệu và hành vi có các tình tiết tại khoản 2.
4. Biện pháp khắc phục hậu quả:
Cá nhân, tổ chức thực hiện hành vi vi phạm quy định có thể bị áp dụng một hoặc nhiều biện pháp khắc phục hậu quả sau:
- Buộc xóa, tiêu hủy toàn bộ dữ liệu đã thu thập, tạo lập trái phép;
- Buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm.
Xem thêm tại Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực dữ liệu
Quy định về sự đồng ý của chủ thể dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 2025
Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực từ 01/01/2026 quy định về sự đồng ý của chủ thể dữ liệu cá nhân như sau (Điều 9):
1. Sự đồng ý của chủ thể dữ liệu cá nhân là việc chủ thể dữ liệu cá nhân cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.
2. Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin sau đây:
- Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân;
- Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân;
- Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân.
3. Sự đồng ý của chủ thể dữ liệu cá nhân được thể hiện bằng phương thức rõ ràng, cụ thể, có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
4. Sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm các nguyên tắc sau đây:
- Thể hiện sự đồng ý đối với từng mục đích;
- Không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận;
- Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật;
- Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.
5. Chính phủ quy định chi tiết khoản 3 Điều này.
Đồng thời Luật quy định đối với việc têu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân như sau (Điều 10):
1. Chủ thể dữ liệu cá nhân có quyền yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, yêu cầu hạn chế xử lý dữ liệu cá nhân của mình khi có nghi ngờ phạm vi, mục đích xử lý dữ liệu cá nhân hoặc tính chính xác của dữ liệu cá nhân, trừ trường hợp quy định tại Điều 19 của Luật này hoặc trường hợp pháp luật có quy định khác.
2. Yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân phải được thể hiện bằng văn bản, bao gồm cả dạng điện tử hoặc định dạng kiểm chứng được và được gửi cho bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân. Yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân được thực hiện theo quy định của pháp luật và theo thỏa thuận giữa các bên.
3. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân tiếp nhận, thực hiện và yêu cầu bên xử lý dữ liệu cá nhân thực hiện yêu cầu rút lại sự đồng ý, hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân trong thời gian theo quy định của pháp luật.
4. Việc thực hiện yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân không áp dụng đối với hoạt động xử lý dữ liệu cá nhân trước thời điểm chủ thể dữ liệu cá nhân yêu cầu rút lại sự đồng ý hoặc yêu cầu hạn chế xử lý dữ liệu cá nhân.
11
(028) 3930 3279
Hỗ trợ trực tuyến
0906 22 99 66
