Bài 2: Không nên cào bằng mức phạt

Nên phạt theo quy mô, hậu quả vi phạm

Điều 22 dự thảo Nghị định bảo vệ dữ liệu cá nhân quy định về các mức xử phạt đối với hành vi vi phạm các quy định về vấn đề này.

Trong đó, phạt tiền từ 50 - 80 triệu đồng nếu tiết lộ dữ liệu cá nhân, hạn chế quyền tiếp cận dữ liệu cá nhân, xử lý dữ liệu cá nhân trong trường hợp không có sự đồng ý của chủ thể dữ liệu, vi phạm về xử lý dữ liệu cá nhân của trẻ em… Mức phạt cao hơn từ 80 - 100 triệu đồng được đề xuất áp dụng với các hành vi vi phạm quy định về đăng ký xử lý dữ liệu cá nhân nhạy cảm, chuyển dữ liệu cá nhân qua biên giới… Thẩm quyền xử phạt hành chính với các hành vi trên là Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an).

Bình luận về quy định này, luật sư Nguyễn Minh Long (Đoàn luật sư TP. Hà Nội) cho rằng, chế tài hiện hành với những hành vi làm lộ lọt, mua bán dữ liệu cá nhân chưa đủ sức răn đe. Do đó, đề xuất như dự thảo Nghị định là cần thiết nhằm tăng hiệu quả xử lý vi phạm và bảo vệ dữ liệu cá nhân tốt hơn.

Tương tự, Giám đốc điều hành Economica Vietnam Lê Duy Bình nhấn mạnh: cần phải xử phạt các hành vi vi phạm quy định về xử lý dữ liệu cá nhân. Tuy nhiên, mức phạt phải được quy định rõ hơn và tùy theo bản chất, quy mô và hậu quả của vi phạm. Phạt 80 - 100 triệu đồng có thể lớn với cá nhân, doanh nghiệp nhỏ nhưng “không là gì” với những trường hợp vi phạm ở quy mô lớn, diện rộng như tiết lộ thông tin hàng trăm nghìn số điện thoại hay thông tin thẻ tín dụng, hoặc hồ sơ cá nhân...

Cùng quan điểm, Luật sư Trương Thanh Đức, Giám đốc Công ty luật ANVI cho rằng mức phạt từ 50 - 80 triệu đồng là khá cao so với mặt bằng chung về xử phạt hành chính ở nước ta nhưng lại thấp với những trường hợp vi phạm nghiêm trọng về dữ liệu cá nhân. Tiết lộ dữ liệu cá nhân của một người khác với tiết lộ của một nghìn người, do vậy không nên phạt “cào bằng”.

Luật sư Trương Thanh Đức đề xuất quy định mức xử phạt theo nguyên tắc từ nhẹ tới nặng. Nhẹ có thể phạt từ 10 - 20 triệu đồng, mức độ nghiêm trọng có thể phạt đến vài tỷ đồng. Thế nào là vi phạm ở mức nhẹ, mức nghiêm trọng cần được quy định rất cụ thể. Ngoài ra, có thể chia theo lĩnh vực. Một số lĩnh vực đặc biệt nhạy cảm có thể phạt mức cao hơn, như tiết lộ hồ sơ sức khỏe trong y tế, tài chính... Đối với thông tin dữ liệu cá nhân như số điện thoại, thường trú, trình độ học vấn… mức phạt có thể nhẹ hơn.

Có thể xử lý hình sự

Vừa qua, nước ta đã khai trương hệ thống cơ sở dữ liệu quốc gia về dân cư. Thời gian tới, sẽ ngày càng nhiều cơ quan, đơn vị ứng dụng công nghệ thông tin nhằm quản lý tốt hơn và tạo thuận lợi cho người dân, doanh nghiệp. Ví dụ, từ ngày 1.7 tới, hồ sơ sức khỏe điện tử đã được triển khai tại hơn 50 tỉnh, thành phố và sẽ được liên thông trong toàn quốc. Hồ sơ này cung cấp đầy đủ các thông tin về bệnh tật, tiền sử bệnh tật, các yếu tố nguy cơ ảnh hưởng đến sức khỏe… Luật sư Đặng Văn Cường (Đoàn luật sư TP. Hà Nội) cho rằng, trong quá trình thu thập dữ liệu nếu cơ quan quản lý dữ liệu, các tổ chức, cá nhân nào làm lộ, lọt, chia sẻ trái phép, thiếu trách nhiệm trong việc quản lý dữ liệu, sử dụng trái phép dữ liệu thì đều phải bị xử phạt.

Trao đổi với báo chí, đại diện cơ quan soạn thảo cho rằng, mức phạt trong dự thảo Nghị định còn nhẹ và đây mới là đề xuất tham khảo. Trên thế giới nhiều nước đã phạt 10% mức doanh thu của doanh nghiệp vi phạm. Sau này, cơ quan chức năng có thể căn cứ vào thực tế để xử lý, trong đó trường hợp mua bán, thu lời từ việc mua bán dữ liệu cá nhân trái phép gây hậu quả nghiêm trọng, với số tiền thu lời bất chính từ 50 triệu đồng trở lên sẽ bị xử lý theo Bộ Luật Hình sự.

Nhiều người trong giới chuyên gia đồng tình với quan điểm của đại diện ban soạn thảo. Bởi nếu chế tài chỉ dừng lại ở xử phạt hành chính là chưa đủ sức răn đe cũng như phòng ngừa chung. Vì vậy trường hợp mua bán dữ liệu cá nhân trái phép thu lợi trên 50 triệu đồng cần phải xử lý theo quy định tại Điều 290, 291 Bộ luật Hình sự năm 2015, sửa đổi bổ sung năm 2017. Hành vi sử dụng internet, mạng viễn thông để xâm nhập máy tính người khác lấy cắp dữ liệu cá nhân đem bán cũng cần phải xử lý hình sự.