Chính phủ đầu tháng này tiết lộ Hồ sơ thẩm định dự thảo Nghị định về các biện pháp trừng phạt hành chính an ninh mạng (”Nghị định CAS”), sẽ áp dụng hình phạt hành chính đối với các vi phạm trong không gian mạng, bao gồm vi phạm dữ liệu cá nhân.

Trừ khi có sự chậm trễ bất ngờ hoặc hành chính, Nghị định CAS sẽ có hiệu lực từ ngày 1 tháng 6 năm 2024.

Cảnh báo pháp lý này cung cấp những điểm nổi bật chính của Nghị định CAS, đặc biệt là về vi phạm dữ liệu cá nhân và cung cấp một số lời khuyên thiết thực cho các tổ chức trước khi nghị định được phát hành.

‍

Trọng tâm

1. Phạt tiền tối đa 5% tổng doanh thu tại Việt Nam. Lấy một trang từ sổ tay xử phạt của Ủy ban châu Âu, Bộ Công an Việt Nam (MPS) đã đưa ra những gì dường như là hình phạt tiền tệ cao nhất đối với các vi phạm bảo vệ dữ liệu cá nhân cụ thể, cụ thể là:

- vi phạm liên quan đến tiếp thị và dịch vụ quảng cáo sản phẩm (Điều 22);

- thu thập, chuyển giao và kinh doanh dữ liệu cá nhân bất hợp pháp (Điều 23);

- đánh giá tác động bảo vệ dữ liệu (DPIA) vi phạm (Điều 25); và

- vi phạm chuyển dữ liệu xuyên biên giới (Điều 26).

2. Vi phạm cụ thể liên quan đến sự đồng ý của chủ thể dữ liệu. Dự thảo Nghị định CAS không chỉ trừng phạt các vi phạm điển hình như xử lý dữ liệu cá nhân không phù hợp với hoặc không có sự đồng ý của chủ thể dữ liệu (Điều 15.1 (a) (b)), nhưng cũng trừng phạt các thực hành đồng ý lừa đảo khai thác lựa chọn của người dùng. Điều này bao gồm việc không có được sự đồng ý rõ ràng và rõ ràng, không thông báo cho người dùng về quyền được đồng ý một phần hoặc có điều kiện của họ và bỏ qua việc tiết lộ khi dữ liệu nhạy cảm đang được xử lý (Điều 15.1 (dd) (e) (g)).

Những vi phạm này đặc biệt đáng chú ý vì chúng nhắm vào các mô hình thiết kế thao túng làm suy yếu sự đồng ý có thông tin. Ví dụ, các hộp đồng ý được đánh dấu trước và chính sách bảo mật “tất cả hoặc không có gì” thường không thông báo cho người dùng về quyền cung cấp sự đồng ý một phần hoặc có điều kiện của họ. Do đó, người dùng có thể bị buộc phải đồng ý xử lý tất cả dữ liệu của họ cho mọi mục đích, mặc dù họ có tùy chọn đồng ý có chọn lọc. Bằng cách trừng phạt những thực tiễn này, dự thảo nghị định tìm cách thúc đẩy tính minh bạch hơn và kiểm soát của người dùng đối với dữ liệu cá nhân.

3. Kiềm chế thông tin sai lệch. Phản ánh mối quan tâm ngày càng cao của Chính phủ đối với sự lây lan của thông tin sai lệch (tức là thông tin sai lệch với mục đích gây hại, gây hiểu lầm), đặc biệt là với sự gia tăng của các công cụ AI tổng hợp, dự thảo Nghị định CAS cũng trừng phạt các vi phạm an ninh thông tin khác nhau. Chúng bao gồm việc tạo ra và phổ biến thông tin nhằm làm suy yếu Nhà nước, phá vỡ trật tự xã hội hoặc vi phạm quyền của người khác, trong đó mức độ nghiêm trọng không cho phép truy tố hình sự (Điều 7-10). Đáng chú ý, việc sử dụng các nền tảng trực tuyến như mạng xã hội để truyền bá thông tin sai lệch được coi là một hành vi phạm tội nghiêm trọng hơn, có mức phạt cao hơn lên tới 100 triệu đồng đối với các pháp nhân.

4. Hình phạt sâu rộng. Ngoài các khoản tiền phạt nặng nề, dự thảo Nghị định CAS cũng đưa ra một loạt các hình phạt bổ sung với hậu quả sâu rộng, đặc biệt là đình chỉ giấy phép cho viễn thông, cổng thông tin hoặc mạng xã hội, hoặc thậm chí đình chỉ hoạt động kinh doanh trong tối đa 24 tháng (Điều 4.2).

‍

Những vấn đề chưa được giải quyết

1. Tính toán tiền phạt không rõ ràng đối với các biện pháp trừng phạt dựa trên doanh thu. Dự thảo Nghị định CAS thiếu rõ ràng về việc tính toán và áp dụng mức phạt tổng doanh thu 5%, đặc biệt trong trường hợp người vi phạm không tạo ra doanh thu tại Việt Nam [1] hoặc hoạt động từ nước ngoài, đặt ra câu hỏi về tính thực tế của việc xác định doanh thu địa phương trong những tình huống như vậy. Điều thú vị là, trong báo cáo gửi Chính phủ về phản hồi dự thảo Nghị định CAS, [2] MPS đã tìm cách làm rõ sự mơ hồ này bằng cách đề cập đến Luật Doanh nghiệp, nhưng luật này không cung cấp hướng dẫn về việc tính tổng doanh thu. Do đó, vẫn chưa rõ liệu MPS sẽ thực thi ngưỡng phạt tối đa này trong thực tế hay không và như thế nào.

2. Không nhất quán với Nghị định bảo vệ dữ liệu cá nhân. Theo dự thảo Nghị định CAS, người kiểm soát dữ liệu, người kiểm soát dữ liệu và người xử lý dữ liệu và các bên thứ ba hiện hành phải đối mặt với hình phạt vì không giải quyết yêu cầu của chủ thể dữ liệu về việc xóa hoặc hạn chế xử lý dữ liệu của họ hoặc cung cấp dữ liệu của họ trong vòng 48 giờ (trừ các ngày lễ) (Điều 14.1 (e) (h) và 14.2). Tuy nhiên, thời hạn phản hồi này lên đến 72 giờ theo Nghị định Bảo vệ Dữ liệu Cá nhân (Nghị định 13/2023/NĐ-CP hoặc PDPD) (Nghệ thuật, 9.6 (b), 9.8 (b) và 14.3). Có thể sự khác biệt này có thể là một lỗi văn thư và dự thảo Nghị định CAS có thể nhằm làm rõ rằng khung thời gian theo PDPD không bao gồm các ngày không làm việc.

3. Trừng phạt chồng chắp. Ngoài ra còn có một số mâu thuẫn trong tiền phạt cho các vi phạm tương tự.

Một số vi phạm nguyên tắc bảo vệ dữ liệu cá nhân, chẳng hạn như xử lý bất hợp pháp dữ liệu cá nhân hoặc làm như vậy mà chủ thể dữ liệu không biết, có thể dẫn đến tiền phạt lên đến 140 triệu đồng đối với pháp nhân (Điều 13.1 (a) (b) (c)). Mặt khác, các vi phạm liên quan đến sự đồng ý của chủ thể dữ liệu, chẳng hạn như xử lý mà không có sự đồng ý hoặc ngoài mục đích đã thỏa thuận, sẽ bị phạt tối đa thấp hơn 40 triệu đồng đối với các tổ chức doanh nghiệp (Điều 15.1 (a) (d)). Sự thiếu rõ ràng này có thể dẫn đến việc thực thi tùy tiện, vì các nhà chức trách có thể có quyền lựa chọn hình phạt với mức phạt cao hơn để áp dụng.

4. Không có vi phạm xác định nào đảm bảo đình chỉ hoạt động trong 24 tháng. Dự thảo Nghị định CAS một lần nữa thể hiện sự thiếu rõ ràng, không nêu rõ vi phạm nào mang đến sự đình chỉ hoạt động tối đa 24 tháng. Điều thú vị là hình phạt bổ sung cao nhất này, chỉ áp dụng cho vi phạm an ninh thông tin, hiện chỉ được giới hạn ở mức 3 tháng. Điều này đặt ra câu hỏi liệu ngưỡng trần sẽ được sửa đổi trong dự thảo cuối cùng hay không, hay giới hạn 24 tháng được dành cho các vi phạm khác, nghiêm trọng hơn sẽ được đưa vào sửa đổi sau này của Nghị định CAS.

‍

GDPR của Việt Nam?

Với những vấn đề chưa được giải quyết ở trên, vẫn còn phải xem liệu dự thảo nghị định sẽ được sửa đổi để giải quyết những vấn đề còn tồn tại này hay liệu việc công bố của nó sẽ bị đẩy lùi hơn nữa hay không.

Một cách riêng biệt, có những dấu hiệu cho thấy một luật bảo mật dữ liệu toàn diện hơn ở Việt Nam đang được thực hiện. Bất chấp việc PDPD công bố gần đây, tình trạng của nó như một công cụ luật phụ có thể hạn chế hiệu quả của nó trong việc điều chỉnh các vấn đề bảo vệ dữ liệu cá nhân và hài hòa với các luật pháp khác. Để giải quyết hạn chế này, MPS vào đầu năm nay đã chuẩn bị hồ sơ ủng hộ luật bảo vệ dữ liệu cá nhân mới, bao gồm đánh giá toàn diện về bối cảnh quyền riêng tư dữ liệu hiện có và đánh giá tác động của luật được đề xuất.

Cùng với Nghị định CAS, động thái này tạo tiền đề cho Luật Bảo vệ Dữ liệu Cá nhân sắp tới, tăng cường hơn nữa khuôn khổ bảo mật dữ liệu của Việt Nam.

‍

Doanh nghiệp nên làm gì

Tuân thủ các quy định về quyền riêng tư dữ liệu không chỉ quan trọng đối với hoạt động kinh doanh liên tục và giảm thiểu rủi ro, mà còn để thể hiện sự tôn trọng quyền riêng tư của người dùng. Để đảm bảo sự sẵn sàng, doanh nghiệp nên xem xét các hành động thiết yếu sau:

· Xem xét các thực tiễn xử lý dữ liệu hiện có

- Vạch ra cách tổ chức của bạn thu thập, xử lý, lưu trữ và chia sẻ dữ liệu cá nhân, cả bên trong và bên ngoài (bản đồ dữ liệu);

- Xác định các lĩnh vực quan tâm và các lỗ hổng tiềm ẩn trong xử lý dữ liệu và không tuân thủ.

· Xây dựng hoặc cập nhật các chính sách và thủ tục

- Tạo hoặc xem xét và cập nhật chính sách bảo mật dữ liệu của tổ chức và thủ tục xử lý dữ liệu cá nhân;

- Thực hiện các thủ tục mạnh mẽ để có được và quản lý sự đồng ý của người dùng, thông báo vi phạm dữ liệu và đáp ứng các yêu cầu của chủ thể dữ liệu;

- Đảm bảo sự liên kết giữa các phòng ban và bộ phận khác nhau trong tổ chức để tuân thủ các chính sách và thủ tục nội bộ cũng như các quy định bảo vệ dữ liệu cá nhân.

· Hồ sơ quy định

Thường xuyên chuẩn bị và nộp báo cáo DPIA cho Sở Cảnh sát An ninh mạng và Phòng chống tội phạm công nghệ cao (A05) theo MPS theo thực tiễn xử lý dữ liệu của một tổ chức.

DPIA không phải là một hoạt động một lần mà là một quá trình liên tục tiếp tục trong suốt quá trình hoạt động của tổ chức. Theo đó, bất kỳ hoạt động xử lý dữ liệu hoặc chuyển giao xuyên biên giới nào bao gồm thay đổi xử lý dữ liệu (ví dụ: xử lý loại dữ liệu mới và/hoặc cho mục đích xử lý mới) sẽ kích hoạt một báo cáo DPIA riêng để nộp cho A05.

‍

[1] Điều này khác với Nghị định 75/2019/NĐ-CP về các biện pháp trừng phạt hành chính chống độc quyền, quy định mức phạt theo tỷ lệ phần trăm và mức phạt định trước từ 100 — 200 triệu đồng trong trường hợp người vi phạm không tạo ra doanh thu thị trường liên quan.

[2] Báo cáo số 764/BC-BCA-A05 của các nghị sĩ ngày 15 tháng 4 năm 2024

‍

Tuyên bố miễn trừ trách nhiệm Bản Cập Nhật Pháp lý này nhằm cung cấp các bản cập nhật về Luật chỉ cho mục đích thông tin và không nên được sử dụng hoặc hiểu như lời khuyên của chúng tôi cho mục đích kinh doanh. LNT & Partners sẽ không chịu trách nhiệm về bất kỳ việc sử dụng hoặc áp dụng thông tin nào cho bất kỳ mục đích kinh doanh nào. Để được làm rõ thêm hoặc tư vấn từ Bản cập nhật pháp lý, vui lòng tham khảo ý kiến luật sư của chúng tôi: Ông Nguyễn Anh Tuấn tại tuan.nguyen@lntpartners.com