Góp ý về Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng

Vào ngày 31 tháng 5 năm 2023, Bộ Công An (BCA) ban hành dự thảo Nghị định xử phạt hành chính về an ninh mạng lần thứ 3 (Dự Thảo Nghị Định Lần 3). Dự Thảo Nghị Định Lần 3 quy định các biện pháp xử phạt vi phạm hành chính đối với các hành vi vi phạm quy định pháp luật về an ninh mạng (như Luật An Ninh Mạng 2018, Nghị Định 53/2022 quy định chi tiết Luật An Ninh Mạng 2018) và các quy định về bảo vệ dữ liệu cá nhân (như Nghị Định 13/2023 về bảo vệ dữ liệu cá nhân). Trong bài viết này, chúng tôi đưa ra những góp ý và kiến nghị tương ứng đối với một số quy định tại Dự Thảo Nghị Định Lần 3. Bài viết này được thực hiện bởi Trịnh Phương Thảo và biên tập bởi Nguyễn Quang Vũ.

 

STT

Điều khoản

Góp ý

Đề xuất

Quy định về đối tượng áp dụng

1)

Điều 2.2(a) quy định các đơn vị phụ thuộc của doanh nghiệp là đối tượng áp dụng của Dự Thảo Nghị Định Lần 3

Quy định này có thể không phù hợp với Điều 3.4 Nghị Định 118/2021 của Chính Phủ ngày 23 tháng 12 năm 2021 quy định chi tiết Luật xử lý vi phạm hành chính, như được sửa đổi, bổ sung (Nghị Định 118/2021).

Theo Điều 3.4 của Nghị Định 118/2021, các đơn vị phụ thuộc của doanh nghiệp (ví dụ: văn phòng đại diện, chi nhánh) chỉ bị xử phạt vi phạm hành chính nếu thực hiện hành vi vi phạm hành chính vượt quá phạm vi, thời hạn được pháp nhân ủy quyền hoặc không theo sự chỉ đạo, điều hành, phân công, chấp thuận của pháp nhân.

Đề nghị làm rõ trường hợp nào đơn vị phụ thuộc sẽ bị xử phạt hành chính theo Dự Thảo Nghị Định Lần 3 cho phù hợp với Nghị Định 118/2021 (ví dụ: Điều 2.2(b) Nghị Định 122 của Chính Phủ ngày 28/12/2021 quy định về xử phạt vi phạm hành chính trong lĩnh vực kế hoạch và đầu tư đã quy định rõ như vậy)

2)

Điều 2.2(đ) quy định rằng doanh nghiệp nước ngoài hoặc chi nhánh, văn phòng đại diện hoặc địa điểm kinh doanh của doanh nghiệp nước ngoài cung cấp các dịch vụ bao gồm, bên cạnh những dịch vụ khácdịch vụ cung cấp nội dung trên không gian mạng là đối tượng áp dụng của Dự Thảo Nghị Định Lần 3

a) Không rõ “dịch vụ cung cấp nội dung trên không gian mạng” và “các dịch vụ giá trị gia tăng trên không gian mạng” quy định tại Điều 26.2 và 26.3 Luật An Ninh Mạng 2018 có phải là một không hay dịch vụ quy định tại Điều 2.2(đ) Dự Thảo Nghị Định Lần 3 là một loại hình dịch vụ mới.

b) Nếu đây là một loại dịch vụ mới, thì không rõ dịch vụ này bao gồm những dịch vụ cụ thể nào vì Dự Thảo Nghị Định Lần 3, Luật An Ninh Mạng 2018 và Nghị Định 53 của Chính Phủ ngày 15 tháng 8 năm 2022 quy định chi tiết Luật An Ninh Mạng 2018 (Nghị Định 53/2022) không quy định định nghĩa về dịch vụ này

Đề nghị làm rõ hoặc loại bỏ loại dịch vụ này cho thống nhất

 

3)

Điều 2.2(e) quy định tổ chức, doanh nghiệp cung cấp dịch vụ nội dung thông tin trên không gian mạng là đối tượng áp dụng của Dự Thảo Nghị Định Lần 3

Không rõ dịch vụ này bao gồm những dịch vụ cụ thể nào vì Dự Thảo Nghị Định lần 3, Luật An Ninh Mạng 2018 và Nghị Định 53/2022 không đưa ra định nghĩa về dịch vụ này

Đề nghị làm rõ hoặc loại bỏ loại dịch vụ này cho thống nhất

 

Quy định về mức phạt tiền

4)

Điều 5.2 quy định mức phạt tiền của một hành vi vi phạm hành chính có thể lên đến 5% doanh thu của năm tài chính liền trước hoặc số lợi thu được từ hành vi vi phạm hành chính của tổ chức, cá nhân vi phạm tại thị trường Việt Nam

a) Mức phạt tiền này có thể vượt quá mức phạt tiền tối đa theo Điều 24.1(đ) Luật Xử Lý Vi Phạm Hành Chính 2012 (tức là 200 triệu đồng đối với lĩnh vực an ninh mạng áp dụng đối với tổ chức)

b) Không rõ mức phạt này có thể được tính trên doanh thu của một nhóm doanh nghiệp hay không

Đề nghị làm rõ những vấn đề này

Quy định xử phạt hành chính đối với những hành vi đồng thời được quy định trong Bộ luật hình sự

5)

Điều 6.2 quy định rằng: “Đối với vụ việc do cơ quan tiến hành tố tụng hình sự thụ lý, giải quyết, nhưng sau đó lại có quyết định không khởi tố vụ án hình sự thì […] trong thời hạn 03 ngày từ ngày ban hành quyết định, […]”

Phải là “03 ngày làm việc” và “ngày quyết định có hiệu lực” để phù hợp với Điều 63.1 Luật Xử Lý Vi Phạm Hành Chính 2012

Đề nghị sửa đổi quy định này cho phù hợp với Điều 63.1 Luật Xử Lý Vi Phạm Hành Chính 2012

Vi phạm quyền của chủ thể dữ liệu

6)

Điều 15.1(e) quy định hình thức xử phạt vi phạm hành chính đối với việc bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không xóa dữ liệu cá nhân theo yêu cầu trong 48 giờ sau khi có yêu cầu của chủ thể dữ liệu

Quy định này không phù hợp với Điều 16.5 Nghị định 13 của Chính phủ ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu cá nhân (Nghị Định 13/2023) theo đó nghĩa vụ này phải được thực hiện trong vòng 72 giờ sau khi chủ thể dữ liệu yêu cầu

Đề nghị sửa đổi quy định này cho phù hợp với Điều 16.5 Nghị Định 13/2023

7)

Điều 15.1(h) quy định hình thức xử phạt vi phạm hành chính đối với việc bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân trong vòng 48 giờ sau khi có yêu cầu của chủ thể dữ liệu

Quy định này không phù hợp với Điều 14.3 của Nghị Định 13/2023 mà theo đó nghĩa vụ này phải được thực hiện trong vòng 72 giờ kể từ khi chủ thể dữ liệu có yêu cầu

Đề nghị sửa đổi quy định này cho phù hợp với Điều 14.3 Nghị Định 13/2023

8)

Điều 15.2 quy định hình thức xử phạt vi phạm hành chính đối với việc bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không ngăn chặn hoặc hạn chế việc tiết lộ dữ liệu cá nhân hoặc sử dụng dữ liệu cá nhân cho mục đích quảng cáo hoặc tiếp thị trong vòng 48 giờ sau khi có yêu cầu của chủ thể dữ liệu

Quy định này không phù hợp với Điều 9.8(b) của Nghị Định 13/2023 mà theo đó nghĩa vụ này phải được thực hiện trong vòng 72 giờ sau khi chủ thể dữ liệu yêu cầu

Đề nghị sửa đổi quy định này cho phù hợp với Điều 9.8(a) và 9.8(b) Nghị Định 13/2023

Vi phạm các quy định về sự đồng ý của chủ thể dữ liệu

9)

Điều 16

Thiếu các hình phạt vi phạm hành chính đối với việc không thể hiện sự đồng ý ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được theo Điều 11.5 của Nghị Định 13/2023

Đề nghị bổ sung hình phạt đối với hành vi vi phạm này

10)

Điều 16.1(b) quy định hình thức xử phạt vi phạm hành chính nếu “sự đồng ý của chủ thể dữ liệu không được thể hiện một cách rõ ràng để chủ thể dữ liệu tự nguyện đồng ý cho xử lý dữ liệu cá nhân

Câu chữ của quy định này gây khó hiểu và có thể trùng lặp với Điều 16.1(đ) của Dự Thảo Nghị Định Lần 3

Để rõ ràng hơn, đề nghị sửa đổi quy định này như sau:

Ép buộc chủ thể dữ liệu đồng ý với việc xử lý dữ liệu hoặc không cho chủ thể dữ liệu biết rõ các nội dung cần thiết để đưa ra đồng ý theo quy định

11)

Điều 16.2(c) quy định rằng bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không chứng minh hoặc từ chối chứng minh rằng chủ thể dữ liệu đã đồng ý với việc xử lý dữ liệu cá nhân

Quy định này trùng với Điều 16.1(h) của Dự Thảo Nghị Định Lần 3

Đề nghị loại bỏ quy định này

Vi phạm quy định về rút lại sự đồng ý

12)

Điều 17

Thiếu các hình phạt vi phạm hành chính đối với việc không thể hiện việc rút lại sự đồng ý ở định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được, theo Điều 12.2 của Nghị Định 13/2023

Đề nghị bổ sung hình phạt đối với hành vi vi phạm này

Vi phạm quy định về cung cấp dữ liệu cá nhân

13)

Điều 19

Thiếu hình thức xử phạt vi phạm hành chính đối với việc bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu không:

(i) thông báo và hướng dẫn tổ chức, cá nhân yêu cầu đến cơ quan có thẩm quyền; hoặc

(ii) thông báo rõ ràng việc không thể cung cấp dữ liệu cá nhân

Nếu dữ liệu cá nhân được yêu cầu không thuộc thẩm quyền của bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu đó.

Đây là nghĩa vụ theo Điều 14.8(b) của Nghị Định 13/2023

Đề nghị bổ sung hình phạt đối với hành vi vi phạm này

14)

Điều 19.1(a) quy định hình thức xử phạt vi phạm hành chính đối với hành vi “cung cấp dữ liệu cá nhân cho chủ thể dữ liệu, dữ liệu cá nhân thuộc sở hữu hoặc dưới sự kiểm soát của tổ chức khi chủ thể dữ liệu chưa đồng ý cho phép đại diện

Câu chữ của điều khoản này không rõ ràng

Để rõ ràng hơn, đề nghị sửa đổi quy định này như sau:

Cung cấp dữ liệu cá nhân của chủ thể dữ liệu, dữ liệu cá nhân thuộc sở hữu hoặc dưới sự kiểm soát của tổ chức cho tổ chức, cá nhân khác khi chủ thể dữ liệu chưa đồng ý cho phép đại diện”

Vi phạm các quy định về lưu trữ, xóa và hủy dữ liệu cá nhân

15)

Điều 21.2 quy định hình thức xử phạt vi phạm hành chính đối với hành vi “dữ liệu cá nhân phải xóa theo quy định của pháp luật

Câu chữ của điều khoản này không rõ ràng

Để rõ ràng hơn, đề nghị sửa đổi quy định này như sau:

Tiếp tục xử lý dữ liệu cá nhân phải xóa theo quy định của pháp luật”

Vi phạm quy định về thông báo trong trường hợp vi phạm quy định về bảo vệ dữ liệu cá nhân

16)

Điều 25

Thiếu hình thức xử phạt vi phạm hành chính đối với hành vi không lập biên bản xác nhận về việc xảy ra hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23.5 Nghị định 13/2023

Đề nghị bổ sung hình phạt đối với hành vi vi phạm này

Vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài

17)

Điều 27

Thiếu hình thức xử phạt vi phạm hành chính đối với việc không tạm dừng chuyển dữ liệu cá nhân ra nước ngoài theo yêu cầu của BCA như được yêu cầu tại Điều 25.8 của Nghị Định 13/2023

Đề nghị bổ sung hình phạt đối với hành vi vi phạm này

18)

Điều 27.1(b), 27.1(c) và 27.1(d)1)

Các quy định này trùng lặp với Điều 27.1(a) Dự Thảo Nghị Định Lần 3

Đề nghị loại bỏ các quy định này

 

 

Vi phạm các quy định về phòng, chống tấn công mạng

19)

Điều 29

Thiếu hình thức xử phạt vi phạm hành chính đối với việc chủ quản hệ thống thông tin không áp dụng các biện pháp kỹ thuật để ngăn chặn, phòng tránh hành vi quy định tại các khoản (a), (b), (c), (d) và (e) Điều 19.1 Luật An Ninh Mạng 2018 đối với hệ thống thông tin thuộc phạm vi quản lý của mình.

Đề nghị bổ sung hình phạt đối với hành vi vi phạm này

Vi phạm quy định về phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng.

20)

Điều 31

Thiếu hình thức xử phạt vi phạm hành chính đối với hành vi không áp dụng các biện pháp xử lý tình huống nguy hiểm về an ninh mạng bao gồm:

(i) gửi thông báo đến các cơ quan, tổ chức, cá nhân có liên quan (theo yêu cầu tại Điều 21.3(b) của Luật An Ninh Mạng 2018); và

(ii) phân tích, đánh giá thông tin, dự báo khả năng, phạm vi ảnh hưởng và mức độ thiệt hại do tình huống nguy hiểm về an ninh mạng gây ra (theo yêu cầu tại Điều 21.3(d) của Luật An Ninh Mạng 2018)

Đề nghị bổ sung quy định xử phạt đối với các hành vi vi phạm này

Vi phạm quy định về bảo đảm an ninh thông tin mạng

21)

Điều 35.1(d) quy định hình thức xử phạt vi phạm hành chính đối với việc cung cấp dịch vụ trên mạng viễn thông, Internet, các dịch vụ gia tăng cho tổ chức, cá nhân đăng tải trên không gian mạng thông tin có nội dung quy định tại Điều 16.1 – 16.5 Luật An Ninh Mạng 2018

Quy định này không phù hợp với Điều 26.2(c) của Luật An Ninh Mạng 2018 vì thiếu cụm từ “khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông.”

Đề nghị bổ sung câu chữ như vậy cho thống nhất

22)

Điều 35.1(đ) quy định hành vi xử phạt vi phạm hành chính đối với chủ sở hữu trang thông tin điện tử, mạng xã hội không có hệ thống máy chủ đặt tại Việt Nam đáp ứng việc thanh tra, kiểm tra, lưu trữ, cung cấp thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền hoặc giải quyết khiếu nại của khách hàng đối với việc cung cấp dịch vụ theo quy định.

 

Quy định này không phù hợp với Luật An Ninh Mạng 2018 và Nghị Định 53/2022 vì pháp nhân nước ngoài được yêu cầu thành lập chi nhánh, văn phòng đại diện trong một số trường hợp nhất định nhưng không phải là thành lập một hệ thống máy chủ tại Việt Nam theo Điều 26.3 của Luật An Ninh Mạng 2018 và Điều 26 của Nghị Định 53/2022.

Các hình thức xử phạt vi phạm hành chính đối với hành vi doanh nghiệp nước ngoài không thành lập chi nhánh, văn phòng đại diện đã được quy định theo Điều 39 Dự Thảo Nghị Định Lần 3

Đề nghị loại bỏ quy định này

Vi phạm quy định về bảo vệ trẻ em trên không gian mạng

23)

Điều 37.2(b) quy định hình thức xử phạt vi phạm hành chính đối với hành vi đăng tải, phát tán, chia sẻ, lưu trữ, trao đổi, sử dụng thông tin, hình ảnh, âm thanh có nội dung khiêu dâm, đồi trụy, bạo lực liên quan đến trẻ em

Quy định này trùng lặp với Điều 37.2(a) của Dự Thảo Nghị Định Lần 3

Đề nghị loại bỏ quy định này

Vi phạm quy định về lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam

24)

Điều 39

Thiếu quy định xử phạt vi phạm hành chính khi không duy trì chi nhánh, văn phòng đại diện trong thời hạn quy định

Đề nghị bổ sung hình phạt đối với hành vi vi phạm này

 




1) Điểm (d) được lặp lại hai lần.