Bộ Công an vừa hoàn thành hồ sơ dự thảo nghị định quy định về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (ANM) để lấy ý kiến góp ý của các cơ quan, tổ chức, cá nhân.

Dữ liệu cá nhân bị đánh cắp, rao bán công khai

Trong dự thảo tờ trình gửi Chính phủ, Bộ Công an cho rằng hệ thống pháp luật về ANM bước đầu được xây dựng, triển khai nhưng chưa hoàn thiện, thiếu mảnh ghép quan trọng là văn bản xử phạt vi phạm hành chính trong lĩnh vực ANM nên chưa đáp ứng được yêu cầu bảo vệ ANM trong tình hình hiện nay.

Thực tiễn cho thấy tình hình ANM diễn biến phức tạp, đặt ra yêu cầu chế tài xử phạt hành chính về ANM.

Mua bán dữ liệu cá nhân có thể bị phạt tới 100 triệu - ảnh 1
Hành vi mua bán dữ liệu cá nhân trên 10.000 chủ thể dữ liệu có thể
bị phạt tiền 80-100 triệu đồng. Trong ảnh: Người dùng mạng xã hội
tại Việt Nam. Ảnh: HOÀNG GIANG

Cụ thể, tình trạng lộ thông tin nhạy cảm, thông tin bí mật nhà nước diễn ra thường xuyên, nhiều vụ việc có tính chất nghiêm trọng. Mặc dù năm nào cũng tổ chức kiểm tra, xử lý nhưng do không có chế tài đủ sức răn đe nên hành vi này vẫn tiếp tục diễn ra.

Theo thống kê của Bộ Công an, mạng xã hội là nơi thường xuyên diễn ra tình trạng đăng tải thông tin xấu, độc, sai sự thật. Chỉ tính riêng tình hình dịch COVID-19, cơ quan công an đã xử lý hàng trăm trường hợp tung tin sai sự thật, tin đồn thất thiệt gây hoang mang trong dư luận, có xử phạt vi phạm hành chính nhưng mức độ chưa đủ sức răn đe.

Tội phạm sử dụng không gian mạng lừa đảo chiếm đoạt tài sản diễn ra phức tạp với nhiều thủ đoạn mới, tinh vi, xảy ra ở nhiều địa phương trong cả nước, rất nhiều cá nhân bị lừa đảo với số tiền rất lớn.

Đáng chú ý, an ninh thông tin, an ninh dữ liệu đã được quan tâm nhưng chưa có chế tài xử lý. Dữ liệu thông tin cá nhân bị sử dụng, đánh cắp, công khai, trao đổi, rao bán nhằm trục lợi, chào mời khách hàng sử dụng các loại hình dịch vụ.

Thông tin cá nhân người sử dụng các ứng dụng, dịch vụ trên không gian mạng đang bị thu thập, khai thác, sử dụng công khai bởi các doanh nghiệp cung cấp dịch vụ nội dung số, thương mại điện tử, nhiều ứng dụng lưu trữ dữ liệu tại nước ngoài. Đây là những hành vi cần có mức xử phạt để tăng hiệu lực của pháp luật, tăng sức răn đe, ngăn ngừa tội phạm…

Mua bán dữ liệu cá nhân phạt tới 100 triệu đồng

Dự thảo nghị định có nhiều quy định cụ thể về xử phạt vi phạm trong bảo vệ dữ liệu cá nhân (DLCN).

Trong đó, Bộ Công an đề xuất phạt 60-80 triệu đồng đối với một trong các hành vi: DLCN được xử lý trái quy định của pháp luật, chủ thể dữ liệu không được biết và không được nhận thông báo về hoạt động liên quan tới xử lý DLCN của mình, DLCN không được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý…

Mức phạt trên cũng áp dụng với các hành vi: Xử lý DLCN của trẻ em không được thực hiện theo nguyên tắc bảo vệ các quyền và lợi ích tốt nhất của trẻ em; bên xử lý dữ liệu không xác minh tuổi của trẻ em và không được sự đồng ý của cha mẹ hoặc người giám hộ theo quy định.

Hành vi để lộ, mất DLCN sau khi đã chuyển qua biên giới gây hậu quả tới 10.000 chủ thể dữ liệu là công dân Việt Nam sẽ bị phạt 80-100 triệu đồng.

Mức phạt này sẽ tăng gấp đôi nếu gây hậu quả tới 100.000 chủ thể dữ liệu và gấp ba lần nếu gây hậu quả tới 1 triệu chủ thể dữ liệu. Trường hợp gây hậu quả trên 1 triệu chủ thể dữ liệu là công dân Việt Nam sẽ bị phạt tiền bằng 5% tổng doanh thu tại Việt Nam.

Đối với các hành vi vi phạm quy định về phòng chống mua bán DLCN, Bộ Công an đề xuất phạt tiền 60-80 triệu đồng đối với hành vi mua bán DLCN dưới 10.000 chủ thể dữ liệu. Với hành vi mua bán DLCN trên 10.000 chủ thể dữ liệu, mức phạt là 80-100 triệu đồng.

Mức phạt 60-80 triệu đồng cũng áp dụng với các hành vi chuyển giao DLCN cho bên thứ ba không có liên quan tới mục đích xử lý DLCN đã được chủ thể dữ liệu đồng ý.

Tổ chức, cá nhân có liên quan tới xử lý DLCN không áp dụng các biện pháp bảo vệ DLCN để ngăn chặn tình trạng nhân viên thu thập DLCN trái phép, phòng chống hoạt động xâm nhập chiếm đoạt DLCN từ hệ thống của mình thì bị phạt 60-80 triệu đồng.

Mức phạt tiền quy định tại nghị định này là mức phạt tiền được áp dụng đối với hành vi vi phạm hành chính do cá nhân thực hiện. Đối với tổ chức có cùng hành vi vi phạm, mức phạt tiền sẽ gấp hai lần đối với cá nhân.

Phá ổ nhóm chiếm đoạt hàng tỉ dữ liệu cá nhân

Hồi tháng 5, Văn phòng Cơ quan CSĐT Bộ Công an ra quyết định khởi tố vụ án đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông theo Điều 288 BLHS năm 2015.

Hai bị can bị khởi tố về tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông gồm Dư Anh Quý (31 tuổi) và Lại Thị Phương (29 tuổi, vợ Quý, giám đốc Công ty VNIT TECH). Ngoài ra, nhiều nghi phạm đang tiếp tục bị điều tra.

Theo công an, các đối tượng trong đường dây này đã thu thập, chiếm đoạt, sử dụng trái phép gần 1.300 GB dữ liệu, chứa hàng tỉ thông tin về các cá nhân, tổ chức trên toàn quốc.

Dữ liệu bị chiếm đoạt được rao bán công khai thông qua nhiều trang web, mạng xã hội Facebook, Zalo, Telegram, diễn đàn tin tặc (raidforums.com…)…

Một trong những thủ đoạn mà các nghi phạm sử dụng để chiếm đoạt thông tin cá nhân là lợi dụng quyền quản trị, truy cập hệ thống được cấp để trích xuất dữ liệu trái phép.