Đề xuất phạt tới 100 triệu đồng với cá nhân tiếp thị, quảng cáo sản phẩm sử dụng thông tin khách hàng trái phép (Hình từ internet)
Chính phủ dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng.
Theo khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP đã nêu giải thích về dữ liệu cá nhân của một người cơ bản gồm những thông tin sau:
+ Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
+ Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
+ Giới tính;
+ Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
+ Quốc tịch;
+ Hình ảnh của cá nhân;
+ Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
+ Tình trạng hôn nhân;
+ Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
+ Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
+ Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP.
Cụ thể, tại Điều 22 dự thảo Nghị định đề cập quy định xử phạt vi phạm quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo như sau:
- Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
+ Sử dụng dữ liệu cá nhân của khách hàng không được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo;
+ Cung cấp thông tin của khách hàng trái với nguyên tắc xử lý dữ liệu cá nhân;
+ Khách hàng không biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm;
+ Không chứng minh được việc sử dụng dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo đúng với quy định tại khoản 1 và 2 Điều 21 Nghị định 13/2023/NĐ-CP.
- Phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi vi phạm từ lần 2 trở lên đối với các quy định tại khoản 1 Điều 22 dự thảo Nghị định.
Như vậy, theo đề xuất quy định trên thì cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo mà sử dụng thông tin khách hàng trái quy định có thể bị phạt tiền từ 70.000.000 đồng đến 100.000.000.
Ngoài ra, người vi phạm còn bị xử phạt bổ sung và áp dụng biện pháp khắc phục hậu quả như sau:
- Hình thức xử phạt bổ sung:
+ Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều 22 Nghị định 13/2023/NĐ-CP;
+ Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 1 Điều 22 Nghị định 13/2023/NĐ-CP.
+ Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều 22 Nghị định 13/2023/NĐ-CP.
- Biện pháp khắc phục hậu quả:
+ Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều 22 Nghị định 13/2023/NĐ-CP.
+ Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều 22 Nghị định 13/2023/NĐ-CP;
+ Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại khoản 1 Điều 22 Nghị định 13/2023/NĐ-CP;
+ Buộc sửa đổi thông tin đối với sản phẩm, thiết bị, dịch vụ, phần mềm có liên quan tới hành vi vi phạm quy định tại khoản 1 Điều 22 Nghị định 13/2023/NĐ-CP.
Căn cứ theo Điều 3 Nghị định 13/2023/NĐ-CP quy định về nguyên tắc bảo vệ dữ liệu cá nhân như sau:
- Dữ liệu cá nhân được xử lý theo quy định của pháp luật.
- Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân.
- Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
- Dữ liệu cá nhân được cập nhật, bổ sung phù hợp với mục đích xử lý.
- Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.
- Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.
- Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều 3 Nghị định 13/2023/NĐ-CP và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.
Lê Nguyễn Anh Hào