Dự thảo nghị định mới nhất của Việt Nam về xử phạt các hành vi vi phạm an ninh mạng và bảo vệ dữ liệu nêu chi tiết các mức phạt nghiêm khắc và các hình phạt khác, dự kiến thực hiện từ ngày 1 tháng 6 năm 2024. Mặc dù có thể thực hiện các cập nhật và sửa đổi tiếp theo nhưng các doanh nghiệp nên chuẩn bị trước cho các rủi ro có thể gặp phải.
Trong những năm gần đây, Việt Nam đã không ngừng xây dựng khung pháp lý toàn diện để quản lý hiệu quả các hoạt động trên Lĩnh vực mạng, đặc biệt tập trung vào bảo vệ dữ liệu cá nhân. Các cột mốc quan trọng trong nỗ lực này bao gồm Luật An ninh mạng năm 2018, Nghị định số 53/2022/ND-CP và Nghị định số 13/2023/ND-CP gần đây, đánh dấu luật toàn diện đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân. Tuy nhiên, cơ chế thực thi của khuôn khổ vẫn chưa đầy đủ nếu không có quy định xử phạt đối với việc không tuân thủ.
Để giải quyết khoảng trống này, Bộ Tư pháp Việt Nam đã ban hành dự thảo nghị định mới nhất về xử phạt hành chính đối với hành vi vi phạm an ninh mạng (“Dự thảo Nghị định xử phạt”) trên nền tảng Online của mình để lấy ý kiến phản hồi từ cộng đồng và các bên liên quan. Sau khi Bộ Tư pháp xem xét, Bộ Công an (MPS), chịu trách nhiệm soạn thảo nghị định, có thể sửa đổi thêm trước khi trình Chính phủ phê duyệt lần cuối. Nghị định dự kiến có hiệu lực từ ngày 1/6/2024.
Các hình phạt nghiêm khắc đối với các vi phạm liên quan đến dữ liệu cá nhân được giữ lại trong phiên bản này từ bản dự thảo trước đó, phản ánh cam kết của Bộ Công an trong việc thực thi Nghị định bảo vệ dữ liệu cá nhân (PDPD).
Những nội dung chính của dự thảo nghị định
Ngày có hiệu lực dự kiến
MPS đã đề xuất ngày 1 tháng 6 năm 2024 là ngày có hiệu lực và không có thời gian ân hạn. Tuy nhiên, do một số điều khoản nhất định có thể vẫn cần được sàng lọc nên ngày này có thể được dời lại.
Không có nghĩa vụ mới
Dự thảo Nghị định xử phạt không áp đặt nghĩa vụ mới đối với tổ chức, cá nhân nhưng nêu ra các biện pháp xử phạt hành chính có thể được áp dụng đối với người vi phạm bắt đầu từ ngày 1 tháng 6 năm 2024, như nêu tại Điều 49. Điều này cho thấy Bộ Công an sẵn sàng thực thi việc tuân thủ các nghĩa vụ theo quy định năm 2015 Luật An toàn thông tin mạng, Luật An ninh mạng năm 2018 và Nghị định hướng dẫn thi hành (Nghị định 53 – 2022) và PDPD.
Hình phạt và biện pháp trừng phạt nghiêm khắc đối với hành vi vi phạm bảo vệ dữ liệu
Cần lưu ý, nhiều mức phạt liên quan đến vi phạm PDPD đã được giảm so với dự thảo trước đó. Tuy nhiên, mức phạt tiền cố định tối đa vẫn là 1 tỷ đồng (khoảng 39.285 USD) và vi phạm nghiêm trọng có thể bị phạt lên tới 5% doanh thu của doanh nghiệp vi phạm trong năm tài chính trước đó tại Việt Nam.
TÌM HỖ TRỢ KINH DOANH
Các hành vi vi phạm cụ thể bao gồm:
- Vi phạm nhiều lần các quy định bảo vệ dữ liệu cá nhân trong tiếp thị và quảng cáo
- Nhiều lần thu thập, chuyển giao, mua và bán dữ liệu cá nhân bất hợp pháp
- Tiết lộ hoặc thất lạc dữ liệu cá nhân của 5 triệu công dân Việt Nam trở lên
Mức độ nghiêm trọng của tiền phạt tăng dần theo số lượng công dân bị ảnh hưởng:
- Lên tới 5% tổng doanh thu đối với các hành vi vi phạm ảnh hưởng đến hơn 5 triệu công dân.
- Phạt tiền đến 500.000.000 đồng đối với hành vi vi phạm ảnh hưởng đến 1 đến 5 triệu công dân.
- Phạt tiền lên tới 200.000.000 đồng đối với hành vi vi phạm ảnh hưởng đến 100.000 đến một triệu công dân.
Đối với các tổ chức, số tiền phạt này có thể tăng gấp đôi, có thể lên tới 10% tổng doanh thu của họ.
Đối với các hành vi vi phạm xuyên biên giới liên quan đến dữ liệu cá nhân của hơn 5 triệu công dân Việt Nam, mức phạt có thể dao động từ 3% đến 5% doanh thu năm tài chính trước đó của doanh nghiệp tại Việt Nam.
Các hình phạt bổ sung đối với một số vi phạm nhất định có thể bao gồm thu hồi license, tịch thu phương tiện được sử dụng để vi phạm và các biện pháp khắc phục khác nhau, chẳng hạn như đình chỉ xử lý dữ liệu cá nhân, tiêu hủy hoặc xóa dữ liệu cá nhân không thể khôi phục và trả lại lợi nhuận bất hợp pháp.
biện pháp trừng phạt hồi tố
Điều 50.1 của Dự thảo Nghị định xử phạt quy định chi tiết các quy định chuyển tiếp đối với hành vi vi phạm hành chính trong lĩnh vực an ninh mạng. Nó làm rõ rằng nghị định không có hiệu lực hồi tố, nêu rõ các hành vi vi phạm xảy ra trước ngày có hiệu lực nhưng bị phát hiện hoặc xem xét lại sau đó sẽ phải tuân theo các quy định hiện hành tại thời điểm vi phạm. Nếu Dự thảo Nghị định xử phạt áp dụng mức xử phạt nhẹ hơn hoặc không áp dụng mức xử phạt nào đối với các hành vi trong quá khứ thì các quy định đó sẽ được áp dụng.
Phòng phiên dịch
Dù đã ở giai đoạn tiến triển nhưng Dự thảo Nghị định xử phạt vẫn có những quy định mâu thuẫn với pháp luật hiện hành. Ví dụ:
- Yêu cầu chủ đề dữ liệu: Nghị định 13 cho phép 72 giờ để phản hồi yêu cầu của chủ thể dữ liệu, trong khi dự thảo nghị định rút ngắn thời gian này xuống còn 48 giờ, tạo ra sự khác biệt.
- Điều kiện lưu trữ dữ liệu: Nghị định 13 cho phép lưu trữ dữ liệu với sự đồng ý hợp lệ, trong khi dự thảo nghị định áp đặt các yêu cầu bổ sung, chẳng hạn như hợp đồng hoặc tài liệu của cơ quan có thẩm quyền, có khả năng mâu thuẫn với pháp luật hiện hành.
- Những thay đổi so với dự thảo trước: Dự thảo Nghị định xử phạt không còn bao gồm Điều 50.2 của dự thảo trước đó, trong đó bãi bỏ nhiều hình thức xử phạt vi phạm hành chính theo Nghị định số 15/2020/ND-CP được sửa đổi (“Nghị định 15”). Vì vậy, các biện pháp xử phạt theo Nghị định 15 dự kiến vẫn có hiệu lực. Tuy nhiên, theo pháp luật Việt Nam, một công ty không thể bị phạt hai lần vì cùng một hành vi vi phạm, do đó cơ quan có liên quan sẽ cần lựa chọn áp dụng hình thức xử phạt theo Dự thảo Nghị định xử phạt hay Nghị định 15.
Kết Luận
Dự thảo nghị định đánh dấu một bước quan trọng hướng tới một khuôn khổ pháp lý gắn kết về an ninh mạng và bảo vệ dữ liệu cá nhân ở Việt Nam. Tuy nhiên, những mâu thuẫn được xác định cho thấy cần phải xem xét và sàng lọc thêm. Vì việc ban hành chính thức nghị định có thể bị trì hoãn, các doanh nghiệp liên quan đến xử lý dữ liệu cá nhân cần chủ động đảm bảo tuân thủ các quy định hiện hành để tránh các hình phạt có thể xảy ra từ ngày 1 tháng 6 năm 2024.
Để biết thêm thông tin về cách dự thảo nghị định có thể tác động đến hoạt động của bạn và để đảm bảo tuân thủ, vui lòng liên hệ với các cố vấn của chúng tôi tại [email protected].
Về chúng tôi
Tóm tắt Việt Nam được xuất bản bởi Tóm tắt Châu ÁMột công ty con của Dezan Shira & Cộng sự. Chúng tôi sản xuất nguyên liệu cho các nhà đầu tư nước ngoài trên khắp Châu Á, bao gồm ASEAN, Trung QuốcVà Ấn Độ. Đối với các vấn đề biên tập, liên hệ với chúng tôi đây và để đăng ký miễn phí các sản phẩm của chúng tôi, vui lòng nhấp vào đây. Để được hỗ trợ đầu tư vào Việt Nam, vui lòng liên hệ với chúng tôi theo địa chỉ [email protected] hoặc ghé thăm chúng tôi tại www.dezshira.com.
Dezan Shira & Associates hỗ trợ các nhà đầu tư nước ngoài trên khắp châu Á từ các văn phòng trên khắp thế giới, bao gồm cả ở Hà Nội, Thành phố Hồ Chí MinhVà Đà Nẵng. Chúng tôi cũng duy trì văn phòng hoặc có các đối tác liên minh hỗ trợ các nhà đầu tư nước ngoài trong Trung Quốc, Tìm kiếm và cứu hộ Hong Kong, Dubai, UAE), Indonesia, Singapore, Philippin, Malaysia, nước Thái Lan, Bangladesh, Nước Ý, nước Đứccác Hoa KỳVà Châu Úc.
Nguồn : https://www.vietnam-briefing.com/news/vietnams-latest-draft-decree-on-sanctions-for-cybersecurity-violations.html/ .
