Góp ý về Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng
Vào ngày 31 tháng 5 năm 2023, Bộ Công An (BCA) ban hành dự thảo Nghị định xử phạt hành chính về an ninh mạng lần thứ 3 (Dự Thảo Nghị Định Lần 3). Dự Thảo Nghị Định Lần 3 quy định các biện pháp xử phạt vi phạm hành chính đối với các hành vi vi phạm quy định pháp luật về an ninh mạng (như Luật An Ninh Mạng 2018, Nghị Định 53/2022 quy định chi tiết Luật An Ninh Mạng 2018) và các quy định về bảo vệ dữ liệu cá nhân (như Nghị Định 13/2023 về bảo vệ dữ liệu cá nhân). Trong bài viết này, chúng tôi đưa ra những góp ý và kiến nghị tương ứng đối với một số quy định tại Dự Thảo Nghị Định Lần 3. Bài viết này được thực hiện bởi Trịnh Phương Thảo và biên tập bởi Nguyễn Quang Vũ.
STT |
Điều khoản |
Góp ý |
Đề xuất |
Quy
định về đối tượng áp dụng |
|||
1) |
Điều 2.2(a) quy định các
đơn vị phụ thuộc của doanh nghiệp là
đối tượng áp dụng của Dự Thảo
Nghị Định Lần 3 |
Quy định này có thể không phù hợp
với Điều 3.4 Nghị Định 118/2021 của
Chính Phủ ngày 23 tháng 12 năm 2021 quy định chi tiết
Luật xử lý vi phạm hành chính, như được
sửa đổi, bổ sung (Nghị
Định 118/2021). Theo Điều 3.4 của Nghị
Định 118/2021, các đơn vị phụ thuộc của
doanh nghiệp (ví dụ: văn phòng đại diện,
chi nhánh) chỉ bị xử phạt vi phạm
hành chính nếu thực hiện hành vi vi phạm hành chính
vượt quá phạm vi, thời hạn được
pháp nhân ủy quyền hoặc không theo sự chỉ
đạo, điều hành, phân công, chấp thuận của
pháp nhân. |
Đề nghị làm rõ trường
hợp nào đơn vị phụ thuộc sẽ bị
xử phạt hành chính theo Dự Thảo Nghị Định
Lần 3 cho phù hợp với Nghị Định 118/2021 (ví
dụ: Điều 2.2(b) Nghị Định 122 của
Chính Phủ ngày 28/12/2021 quy định về xử phạt
vi phạm hành chính trong lĩnh vực kế hoạch và
đầu tư đã quy định rõ như vậy) |
2) |
Điều 2.2(đ) quy định rằng
doanh nghiệp nước ngoài hoặc chi nhánh, văn phòng
đại diện hoặc địa điểm kinh
doanh của doanh nghiệp nước ngoài cung cấp các dịch
vụ bao gồm, bên cạnh
những dịch vụ khác, dịch vụ cung cấp
nội dung trên không gian mạng là đối tượng
áp dụng của Dự Thảo Nghị Định Lần
3 |
a) Không rõ “dịch vụ cung cấp nội
dung trên không gian mạng” và “các dịch vụ giá trị
gia tăng trên không gian mạng” quy định tại
Điều 26.2 và 26.3 Luật An Ninh Mạng 2018 có phải
là một không hay dịch vụ quy định tại
Điều 2.2(đ) Dự Thảo Nghị Định Lần
3 là một loại hình dịch vụ mới. b) Nếu đây là một loại dịch
vụ mới, thì không rõ dịch vụ này bao gồm những
dịch vụ cụ thể nào vì Dự Thảo Nghị
Định Lần 3, Luật An Ninh Mạng 2018 và Nghị
Định 53 của Chính Phủ ngày 15 tháng 8 năm 2022
quy định chi tiết Luật An Ninh Mạng 2018 (Nghị Định 53/2022)
không quy định định nghĩa về dịch vụ
này |
Đề nghị làm rõ hoặc loại
bỏ loại dịch vụ này cho thống nhất |
3) |
Điều 2.2(e) quy định tổ
chức, doanh nghiệp cung cấp dịch vụ nội
dung thông tin trên không gian mạng là đối tượng
áp dụng của Dự Thảo Nghị Định Lần
3 |
Không rõ dịch vụ này bao gồm những
dịch vụ cụ thể nào vì Dự Thảo Nghị
Định lần 3, Luật An Ninh Mạng 2018 và Nghị
Định 53/2022 không đưa ra định nghĩa về
dịch vụ này |
Đề nghị làm rõ hoặc loại
bỏ loại dịch vụ này cho thống nhất |
Quy
định về mức phạt tiền |
|||
4) |
Điều 5.2 quy định mức
phạt tiền của một hành vi vi phạm hành chính có
thể lên đến 5% doanh thu của năm
tài chính liền trước hoặc số lợi thu
được từ hành vi vi phạm hành chính của tổ
chức, cá nhân vi phạm tại thị trường Việt
Nam |
a) Mức phạt tiền này có thể
vượt quá mức phạt tiền tối đa theo
Điều 24.1(đ) Luật Xử Lý Vi Phạm Hành Chính
2012 (tức là 200 triệu đồng đối với
lĩnh vực an ninh mạng áp dụng đối với
tổ chức) b) Không rõ mức phạt này có thể
được tính trên doanh thu của một nhóm doanh nghiệp
hay không |
Đề nghị làm rõ những vấn
đề này |
Quy
định xử phạt hành chính đối với những
hành vi đồng thời được quy định
trong Bộ luật hình sự |
|||
5) |
Điều 6.2 quy định rằng:
“Đối với vụ việc
do cơ quan tiến hành tố tụng hình sự thụ
lý, giải quyết, nhưng sau đó lại có quyết
định không khởi tố vụ án hình sự thì
[…] trong thời hạn 03 ngày từ ngày
ban hành quyết định, […]” |
Phải là “03 ngày làm việc” và “ngày
quyết định có hiệu lực” để phù hợp
với Điều 63.1 Luật Xử Lý Vi Phạm Hành Chính
2012 |
Đề nghị sửa đổi
quy định này cho phù hợp với Điều 63.1 Luật
Xử Lý Vi Phạm Hành Chính 2012 |
Vi phạm
quyền của chủ thể dữ liệu |
|||
6) |
Điều 15.1(e) quy định hình
thức xử phạt vi phạm hành chính đối với
việc bên kiểm soát dữ liệu cá nhân, bên kiểm
soát và xử lý dữ liệu cá nhân không xóa dữ liệu
cá nhân theo yêu cầu trong 48 giờ sau khi có yêu
cầu của chủ thể dữ liệu |
Quy định này không phù hợp với
Điều 16.5 Nghị định 13 của Chính phủ
ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu
cá nhân (Nghị Định 13/2023)
theo đó nghĩa vụ này phải được thực
hiện trong vòng 72 giờ sau khi chủ thể dữ liệu
yêu cầu |
Đề nghị sửa đổi
quy định này cho phù hợp với Điều 16.5 Nghị
Định 13/2023 |
7) |
Điều 15.1(h) quy định hình
thức xử phạt vi phạm hành chính đối với
việc bên kiểm soát dữ liệu cá nhân, bên kiểm
soát và xử lý dữ liệu cá nhân không cung cấp dữ
liệu cá nhân trong vòng 48 giờ sau khi có yêu cầu
của chủ thể dữ liệu |
Quy định này không phù hợp với
Điều 14.3 của Nghị Định 13/2023 mà theo
đó nghĩa vụ này phải được thực hiện
trong vòng 72 giờ kể từ khi chủ thể dữ liệu
có yêu cầu |
Đề nghị sửa đổi
quy định này cho phù hợp với Điều 14.3 Nghị
Định 13/2023 |
8) |
Điều 15.2 quy định hình thức
xử phạt vi phạm hành chính đối với việc
bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử
lý dữ liệu cá nhân không ngăn chặn hoặc hạn
chế việc tiết lộ dữ liệu cá nhân hoặc
sử dụng dữ liệu cá nhân cho mục đích quảng
cáo hoặc tiếp thị trong vòng 48 giờ sau
khi có yêu cầu của chủ thể dữ liệu |
Quy định này không phù hợp với
Điều 9.8(b) của Nghị Định 13/2023 mà theo
đó nghĩa vụ này phải được thực hiện
trong vòng 72 giờ sau khi chủ thể dữ liệu yêu cầu |
Đề nghị sửa đổi
quy định này cho phù hợp với Điều 9.8(a) và
9.8(b) Nghị Định 13/2023 |
Vi phạm
các quy định về sự đồng ý của chủ
thể dữ liệu |
|||
9) |
Điều 16 |
Thiếu các hình phạt vi phạm hành
chính đối với việc không thể hiện sự
đồng ý ở một định dạng có thể
được in, sao chép bằng văn bản, bao gồm
cả dưới dạng điện tử hoặc
định dạng kiểm chứng được theo
Điều 11.5 của Nghị Định 13/2023 |
Đề nghị bổ sung hình phạt
đối với hành vi vi phạm này |
10) |
Điều 16.1(b) quy định hình
thức xử phạt vi phạm hành chính nếu “sự đồng ý của chủ
thể dữ liệu không được thể hiện
một cách rõ ràng để chủ thể dữ liệu
tự nguyện đồng ý cho xử lý dữ liệu
cá nhân” |
Câu chữ của quy định này gây
khó hiểu và có thể trùng lặp với Điều
16.1(đ) của Dự Thảo Nghị Định Lần
3 |
Để rõ ràng hơn, đề nghị
sửa đổi quy định này như sau: “Ép buộc
chủ thể dữ liệu đồng ý với việc
xử lý dữ liệu hoặc không cho chủ thể dữ
liệu biết rõ các nội dung cần thiết để
đưa ra đồng ý theo quy định” |
11) |
Điều 16.2(c) quy định rằng
bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử
lý dữ liệu cá nhân không chứng minh hoặc từ chối
chứng minh rằng chủ thể dữ liệu đã
đồng ý với việc xử lý dữ liệu cá
nhân |
Quy định này trùng với Điều
16.1(h) của Dự Thảo Nghị Định Lần 3 |
Đề nghị loại bỏ quy
định này |
Vi phạm
quy định về rút lại sự đồng ý |
|||
12) |
Điều 17 |
Thiếu các hình phạt vi phạm hành
chính đối với việc không thể hiện việc
rút lại sự đồng ý ở định dạng
có thể được in, sao chép bằng văn bản,
bao gồm cả dưới dạng điện tử hoặc
định dạng kiểm chứng được, theo
Điều 12.2 của Nghị Định 13/2023 |
Đề nghị bổ sung hình phạt
đối với hành vi vi phạm này |
Vi phạm
quy định về cung cấp dữ liệu cá nhân |
|||
13) |
Điều 19 |
Thiếu hình thức xử phạt vi
phạm hành chính đối với việc bên kiểm soát
dữ liệu, bên kiểm soát và xử lý dữ liệu
không: (i) thông báo và hướng dẫn tổ
chức, cá nhân yêu cầu đến cơ quan có thẩm
quyền; hoặc (ii) thông báo rõ ràng việc không thể
cung cấp dữ liệu cá nhân Nếu dữ liệu cá nhân được
yêu cầu không thuộc thẩm quyền của bên kiểm
soát dữ liệu, bên kiểm soát và xử lý dữ liệu
đó. Đây là nghĩa vụ theo Điều
14.8(b) của Nghị Định 13/2023 |
Đề nghị bổ sung hình phạt
đối với hành vi vi phạm này |
14) |
Điều 19.1(a) quy định hình
thức xử phạt vi phạm hành chính đối với
hành vi “cung cấp dữ liệu
cá nhân cho chủ thể dữ liệu, dữ liệu cá
nhân thuộc sở hữu hoặc dưới sự kiểm
soát của tổ chức khi chủ thể dữ liệu
chưa đồng ý cho phép đại diện” |
Câu
chữ của điều khoản này không rõ ràng |
Để rõ ràng hơn, đề nghị
sửa đổi quy định này như sau: “Cung cấp
dữ liệu cá nhân của chủ thể dữ liệu,
dữ liệu cá nhân thuộc sở hữu hoặc dưới
sự kiểm soát của tổ chức cho tổ chức,
cá nhân khác khi chủ thể dữ liệu chưa đồng
ý cho phép đại diện” |
Vi phạm
các quy định về lưu trữ, xóa và hủy dữ
liệu cá nhân |
|||
15) |
Điều 21.2 quy định hình thức
xử phạt vi phạm hành chính đối với hành vi
“dữ liệu cá nhân phải
xóa theo quy định của pháp luật” |
Câu chữ của điều khoản
này không rõ ràng |
Để rõ ràng
hơn, đề nghị sửa đổi quy định
này như sau: “Tiếp
tục xử lý dữ liệu cá nhân phải xóa theo quy
định của pháp luật” |
Vi phạm
quy định về thông báo trong trường hợp vi
phạm quy định về bảo vệ dữ liệu
cá nhân |
|||
16) |
Điều 25 |
Thiếu hình thức xử phạt vi
phạm hành chính đối với hành vi không lập biên bản
xác nhận về việc xảy ra hành vi vi phạm quy
định về bảo vệ dữ liệu cá nhân theo
quy định tại Điều 23.5 Nghị định
13/2023 |
Đề nghị bổ sung hình phạt
đối với hành vi vi phạm này |
Vi phạm
quy định về chuyển dữ liệu cá nhân ra
nước ngoài |
|||
17) |
Điều 27 |
Thiếu hình thức xử phạt vi
phạm hành chính đối với việc không tạm dừng
chuyển dữ liệu cá nhân ra nước ngoài theo yêu cầu
của BCA như được yêu cầu tại Điều
25.8 của Nghị Định 13/2023 |
Đề nghị bổ sung hình phạt
đối với hành vi vi phạm này |
18) |
Điều 27.1(b), 27.1(c) và 27.1(d)1) |
Các quy định này trùng lặp với
Điều 27.1(a) Dự Thảo Nghị Định Lần
3 |
Đề nghị loại bỏ các
quy định này |
Vi phạm
các quy định về phòng, chống tấn công mạng |
|||
19) |
Điều 29 |
Thiếu hình thức xử phạt vi
phạm hành chính đối với việc chủ quản
hệ thống thông tin không áp dụng các biện pháp kỹ
thuật để ngăn chặn, phòng tránh hành vi quy định
tại các khoản (a), (b), (c), (d) và (e) Điều 19.1 Luật
An Ninh Mạng 2018 đối với hệ thống thông
tin thuộc phạm vi quản lý của mình. |
Đề nghị bổ sung hình phạt
đối với hành vi vi phạm này |
Vi phạm
quy định về phòng ngừa, xử lý tình huống
nguy hiểm về an ninh mạng. |
|||
20) |
Điều 31 |
Thiếu hình thức xử phạt vi
phạm hành chính đối với hành vi không áp dụng
các biện pháp xử lý tình huống nguy hiểm về an
ninh mạng bao gồm: (i) gửi thông báo đến các cơ
quan, tổ chức, cá nhân có liên quan (theo yêu cầu tại Điều 21.3(b) của Luật
An Ninh Mạng 2018); và (ii) phân tích, đánh giá thông tin, dự
báo khả năng, phạm vi ảnh hưởng và mức
độ thiệt hại do tình huống nguy hiểm về
an ninh mạng gây ra (theo yêu cầu
tại Điều 21.3(d) của Luật An Ninh Mạng
2018) |
Đề nghị bổ sung quy định
xử phạt đối với các hành vi vi phạm này |
Vi phạm
quy định về bảo đảm an ninh thông tin mạng |
|||
21) |
Điều 35.1(d) quy định hình
thức xử phạt vi phạm hành chính đối với
việc cung cấp dịch vụ trên mạng viễn
thông, Internet, các dịch vụ gia tăng cho tổ chức,
cá nhân đăng tải trên không gian mạng thông tin có nội
dung quy định tại Điều 16.1 – 16.5 Luật An
Ninh Mạng 2018 |
Quy định này không phù hợp với
Điều 26.2(c) của Luật An Ninh Mạng 2018 vì thiếu
cụm từ “khi có yêu cầu
của lực lượng chuyên trách bảo vệ an ninh
mạng thuộc Bộ Công an hoặc cơ quan có thẩm
quyền của Bộ Thông tin và Truyền thông.” |
Đề nghị bổ sung câu chữ
như vậy cho thống nhất |
22) |
Điều 35.1(đ) quy định
hành vi xử phạt vi phạm hành chính đối với
chủ sở hữu trang thông tin điện tử, mạng
xã hội không có hệ thống máy chủ đặt
tại Việt Nam đáp ứng việc thanh tra, kiểm
tra, lưu trữ, cung cấp thông tin theo yêu cầu của
cơ quan nhà nước có thẩm quyền hoặc giải
quyết khiếu nại của khách hàng đối với
việc cung cấp dịch vụ theo quy định. |
Quy định này không phù hợp với
Luật An Ninh Mạng 2018 và Nghị Định 53/2022 vì
pháp nhân nước ngoài được yêu cầu thành lập
chi nhánh, văn phòng đại diện trong một số
trường hợp nhất định nhưng không phải
là thành lập một hệ thống máy chủ tại
Việt Nam theo Điều 26.3 của Luật An Ninh Mạng
2018 và Điều 26 của Nghị Định 53/2022. Các hình thức xử phạt vi phạm
hành chính đối với hành vi doanh nghiệp nước
ngoài không thành lập chi nhánh, văn phòng đại diện
đã được quy định theo Điều 39 Dự
Thảo Nghị Định Lần 3 |
Đề nghị loại bỏ quy
định này |
Vi phạm
quy định về bảo vệ trẻ em trên không gian
mạng |
|||
23) |
Điều 37.2(b) quy định hình
thức xử phạt vi phạm hành chính đối với
hành vi đăng tải, phát tán, chia sẻ, lưu trữ,
trao đổi, sử dụng thông tin, hình ảnh, âm thanh
có nội dung khiêu dâm, đồi trụy, bạo lực
liên quan đến trẻ em |
Quy định này trùng lặp với
Điều 37.2(a) của Dự Thảo Nghị Định
Lần 3 |
Đề nghị loại bỏ quy
định này |
Vi phạm
quy định về lưu trữ dữ liệu, đặt
chi nhánh hoặc văn phòng đại diện tại Việt
Nam |
|||
24) |
Điều 39 |
Thiếu quy định xử phạt
vi phạm hành chính khi không duy trì chi nhánh, văn phòng đại
diện trong thời hạn quy định |
Đề nghị bổ sung hình phạt
đối với hành vi vi phạm này |
1) Điểm (d)
được lặp lại hai lần.