Bộ Công an đang lấy ý kiến góp ý cho dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực dữ liệu, với nhiều nội dung mới đáng chú ý, mở rộng phạm vi xử lý đối với cả tổ chức, cá nhân và cơ quan nhà nước có hành vi vi phạm trong quá trình thu thập, cung cấp, sử dụng dữ liệu số tại Việt Nam.
Theo dự thảo, Nghị định áp dụng đối với các cơ quan, tổ chức, cá nhân Việt Nam và nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động dữ liệu số tại Việt Nam. Đối tượng điều chỉnh bao gồm cả cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức kinh tế được thành lập theo Luật Doanh nghiệp, Luật Các tổ chức tín dụng và các văn bản pháp luật liên quan.
Đáng chú ý, không chỉ các tổ chức, cá nhân cung cấp dữ liệu vi phạm mới bị xử phạt, mà ngay cả cơ quan nhà nước trong quá trình tiếp nhận, quản lý, sử dụng dữ liệu nếu vi phạm quy định cũng có thể bị xử lý.
Không cung cấp dữ liệu theo yêu cầu có thể bị phạt tới 100 triệu đồng
Dự thảo quy định rõ trách nhiệm cung cấp dữ liệu khi cơ quan nhà nước có thẩm quyền yêu cầu. Cụ thể, phạt tiền từ 20–40 triệu đồng đối với hành vi không cung cấp dữ liệu hoặc cung cấp không đúng thời hạn trong các trường hợp bắt buộc theo quy định.
Mức phạt sẽ tăng lên 40–80 triệu đồng nếu cung cấp dữ liệu không đầy đủ, không đúng loại dữ liệu, mức độ chi tiết, khối lượng; cung cấp dữ liệu sai lệch, không chính xác hoặc cố tình trì hoãn, kéo dài thời gian cung cấp.
Đặc biệt, hành vi từ chối cung cấp dữ liệu khi cơ quan có thẩm quyền yêu cầu trong các tình huống pháp luật đã quy định có thể bị phạt từ 80–100 triệu đồng. Mức phạt này cũng áp dụng với trường hợp lợi dụng việc cung cấp hoặc không cung cấp dữ liệu để cản trở hoạt động của cơ quan nhà nước hoặc nhằm trục lợi.
Hiện nay, khoản 2 Điều 18 Luật Dữ liệu 2024 quy định 4 trường hợp tổ chức, cá nhân phải cung cấp dữ liệu cho cơ quan nhà nước khi có yêu cầu mà không cần sự đồng ý của chủ thể dữ liệu, gồm: ứng phó tình trạng khẩn cấp; khi có nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; thảm họa; phòng, chống bạo loạn, khủng bố.
Cơ quan nhà nước sử dụng dữ liệu sai mục đích cũng bị xử phạt
Dự thảo Nghị định đề xuất phạt tiền từ 60–100 triệu đồng đối với hành vi sử dụng dữ liệu không đúng mục đích so với yêu cầu cung cấp; không bảo đảm an ninh, an toàn dữ liệu, để xảy ra lộ lọt, mất mát hoặc truy cập trái phép trong quá trình tiếp nhận, sử dụng dữ liệu.
Ngoài ra, mức phạt 80–100 triệu đồng được áp dụng nếu cơ quan nhà nước yêu cầu cung cấp dữ liệu trái thẩm quyền, không có căn cứ pháp lý; hoặc yêu cầu cung cấp dữ liệu không đúng mục đích, không liên quan đến nhiệm vụ, quyền hạn được giao.
Liên quan đến hoạt động mã hóa, giải mã dữ liệu, dự thảo đề xuất phạt 60–100 triệu đồng đối với hành vi lợi dụng việc mã hóa, giải mã dữ liệu để che giấu vi phạm pháp luật, xóa dấu vết, cản trở hoạt động thanh tra, kiểm tra, điều tra hoặc xử lý vi phạm.
Mức phạt từ 40–60 triệu đồng được áp dụng với hành vi tự ý chia sẻ, cung cấp dữ liệu đã mã hóa hoặc đã giải mã cho bên thứ ba khi chưa được phép; hoặc tự ý sử dụng kỹ thuật, phần mềm, thiết bị để giải mã dữ liệu khi chưa được sự đồng ý của chủ sở hữu hoặc cơ quan có thẩm quyền.
Đối với hành vi cố ý truy cập, truy xuất dữ liệu ngoài phạm vi được giao, sử dụng công cụ dò quét, can thiệp trái phép vào hệ thống để thu thập dữ liệu, mức phạt có thể lên tới 70–120 triệu đồng. Việc lợi dụng công khai dữ liệu để phát tán thông tin sai sự thật, làm sai lệch bản chất dữ liệu, hoặc công khai dữ liệu thuộc danh mục không được công khai, dữ liệu nhạy cảm cũng đối diện mức phạt 80–100 triệu đồng.
Thu thập dữ liệu trái phép có thể bị phạt đến 70 triệu đồng
Dự thảo cũng đề xuất phạt từ 20–40 triệu đồng đối với hành vi thu thập, tạo lập dữ liệu mà không có sự đồng ý của chủ thể dữ liệu, chủ sở hữu dữ liệu hoặc không có căn cứ pháp lý rõ ràng. Các hành vi như làm sai lệch nguồn gốc, thời gian, nội dung dữ liệu gốc; thu thập dữ liệu giả mạo, không đúng sự thật; sử dụng thủ đoạn gian dối, lừa đảo; không tuân thủ quy trình thu thập dữ liệu đều thuộc diện xử phạt.
Mức phạt tăng lên 40–70 triệu đồng nếu hành vi thu thập vượt quá phạm vi, mục đích đã thông báo; liên quan đến dữ liệu cốt lõi, dữ liệu quan trọng quốc gia, dữ liệu nhạy cảm; hoặc gây hậu quả nghiêm trọng như rò rỉ thông tin, ảnh hưởng đến quyền, lợi ích hợp pháp của tổ chức, cá nhân hay an ninh quốc gia.
Ngoài tiền phạt, tổ chức, cá nhân vi phạm còn có thể bị buộc xóa, tiêu hủy toàn bộ dữ liệu thu thập trái phép và nộp lại số lợi bất hợp pháp có được từ hành vi vi phạm.
Theo dự thảo, Chủ tịch UBND cấp xã có thẩm quyền phạt tiền đến 50 triệu đồng đối với cá nhân và 100 triệu đồng đối với tổ chức; Chủ tịch UBND cấp tỉnh có thẩm quyền phạt đến 100 triệu đồng với cá nhân và 200 triệu đồng với tổ chức. Các hành vi vi phạm khác trong lĩnh vực dữ liệu chưa được quy định cụ thể sẽ áp dụng theo các quy định xử phạt hành chính có liên quan.
Thái Hà
