Tổ chức tái vi phạm bảo vệ dữ liệu cá nhân, hoặc để xảy ra sự cố lộ lọt dữ liệu cá nhân với quy mô lớn, có thể bị phạt lên tới 5% tổng doanh thu năm tài chính liền trước...

Bộ Công an đang lấy ý kiến dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân. Trong đó đề xuất nhiều mức xử phạt mạnh đối với các hành vi vi phạm, đặc biệt trong hoạt động quảng cáo và xử lý dữ liệu.

Theo dự thảo, các tổ chức, cá nhân kinh doanh dịch vụ quảng cáo có thể bị phạt từ 50–70 triệu đồng nếu sử dụng dữ liệu cá nhân ngoài phạm vi được phép hoặc không thiết lập cơ chế để người dùng từ chối chia sẻ dữ liệu, không quy định thời gian lưu trữ hay xóa dữ liệu khi không còn cần thiết.

Đáng chú ý, nếu tái phạm, mức phạt có thể lên tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam.

Ngoài phạt tiền, cơ quan soạn thảo cũng đề xuất các hình thức xử phạt bổ sung như tước giấy phép kinh doanh từ 1–3 tháng, đình chỉ hoạt động xử lý dữ liệu cá nhân, tịch thu tang vật, phương tiện vi phạm. Các biện pháp khắc phục hậu quả bao gồm buộc xóa dữ liệu không thể khôi phục, hoàn trả lợi nhuận bất hợp pháp và công khai xin lỗi.

Trường hợp để lộ dữ liệu của từ 100.000 đến dưới 1 triệu người, mức phạt có thể tăng gấp đôi; từ 1 triệu đến dưới 5 triệu người, mức phạt tăng gấp 5 lần. Đặc biệt, nếu vi phạm liên quan tới từ 5 triệu công dân trở lên, mức phạt có thể lên tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam.

Đối với hành vi thu thập, chuyển giao, mua bán trái phép dữ liệu cá nhân, mức phạt tương tự cũng được áp dụng, từ 50–70 triệu đồng. Các vi phạm bao gồm chuyển giao dữ liệu trái phép, mua bán dữ liệu chưa đến mức truy cứu hình sự, hoặc thiết lập hệ thống kỹ thuật để thu thập dữ liệu trái phép. Đáng chú ý, dự thảo cũng bổ sung quy định xử phạt hành vi sử dụng dữ liệu để phát triển, huấn luyện hoặc vận hành hệ thống trí tuệ nhân tạo trái quy định.

Dự kiến phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi vi phạm từ lần 2 trở lên.

Các biện pháp khắc phục hậu quả bao gồm buộc xóa dữ liệu không thể khôi phục, hoàn trả lợi nhuận bất hợp pháp và công khai xin lỗi.

Dự thảo cũng đang đề xuất phạt tiền từ 50–70 triệu đồng đối với các hành vi: như không lập hoặc không lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân; Không gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 02a/02b tại Phụ lục của Nghị định 356/2025/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân; Không chấp hành yêu cầu chỉnh sửa, hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bộ Công an 

Trường hợp để lộ dữ liệu của từ 100.000 đến dưới 1 triệu người, mức phạt có thể tăng gấp đôi; từ 1 triệu đến dưới 5 triệu người, mức phạt tăng gấp 5 lần. Đặc biệt, nếu vi phạm liên quan tới từ 5 triệu công dân trở lên, mức phạt có thể lên tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam.

Ngoài phạt tiền, các tổ chức vi phạm còn có thể bị tước giấy phép kinh doanh từ 1–3 tháng, đình chỉ hoạt động xử lý dữ liệu cá nhân hoặc tịch thu tang vật, phương tiện vi phạm. Đồng thời, cơ quan soạn thảo đề xuất các biện pháp khắc phục như buộc xóa dữ liệu không thể khôi phục, hoàn trả lợi nhuận bất hợp pháp và công khai xin lỗi.

Đối với hành vi vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài, dự thảo đề xuất mức phạt từ 70–100 triệu đồng nếu không lập hồ sơ đánh giá tác động, không gửi hồ sơ tới cơ quan chức năng hoặc không thực hiện đầy đủ nghĩa vụ thông báo, kiểm tra theo quy định.

Tương tự, mức xử phạt cũng tăng nặng theo quy mô dữ liệu bị ảnh hưởng. Trường hợp làm lộ, mất hoặc chuyển dữ liệu của từ 100.000 đến dưới 1 triệu người ra nước ngoài, mức phạt tăng gấp đôi; từ 1 triệu đến dưới 5 triệu người tăng gấp 5 lần. Nếu vi phạm liên quan tới trên 5 triệu công dân, mức phạt có thể từ 3–5% tổng doanh thu năm tài chính liền trước tại Việt Nam.

Ngoài ra, các hình thức xử phạt bổ sung cũng được đề xuất, bao gồm tước giấy phép kinh doanh, đình chỉ hoạt động xử lý dữ liệu, tịch thu tang vật, thậm chí trục xuất đối với cá nhân là người nước ngoài vi phạm.

Dự thảo cũng yêu cầu các tổ chức, cá nhân vi phạm phải thực hiện đầy đủ các biện pháp khắc phục hậu quả như lập và lưu giữ hồ sơ, xóa dữ liệu vi phạm, hoàn trả lợi ích bất hợp pháp và công khai xin lỗi theo quy định.

Điều 69 dự thảo đưa ra mức phạt từ 50–70 triệu đồng đối với các hành vi như không triển khai các biện pháp bảo vệ dữ liệu cá nhân theo quy định; không xây dựng, ban hành quy định nội bộ về bảo vệ dữ liệu; không thực hiện kiểm tra an ninh mạng đối với hệ thống, thiết bị trước khi xử lý dữ liệu, hoặc không bảo đảm việc xóa, hủy dữ liệu cá nhân một cách an toàn.

Đối với dữ liệu cá nhân nhạy cảm, dự thảo đề xuất mức phạt cao hơn, từ 70–90 triệu đồng, nếu tổ chức không chỉ định bộ phận chuyên trách, không bố trí nhân sự phụ trách bảo vệ dữ liệu hoặc không thông báo thông tin liên quan tới cơ quan chức năng.

Ngoài phạt tiền, các tổ chức vi phạm còn có thể bị áp dụng hình thức xử phạt bổ sung như tước giấy phép kinh doanh từ 1–3 tháng, đình chỉ hoạt động xử lý dữ liệu cá nhân hoặc tịch thu tang vật, phương tiện vi phạm.

Bên cạnh đó, dự thảo cũng đưa ra các biện pháp khắc phục hậu quả, bao gồm buộc áp dụng đầy đủ biện pháp bảo vệ dữ liệu, buộc xóa dữ liệu không thể khôi phục và công khai xin lỗi trên các phương tiện thông tin đại chúng đối với các hành vi vi phạm.