Dự kiến phạt 80 triệu đồng đối với việc tiết lộ dữ liệu cá nhân trái phép. (Ảnh minh họa)
Dự thảo Nghị định bảo vệ dữ liệu cá nhân |
Dữ liệu cá nhân được hiểu thế nào?
Theo Điều 2 của Dự thảo, dữ liệu cá nhân là dữ liệu về cá nhân hoặc liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể và được phân thành 2 loại như sau:
(1) Dữ liệu cá nhân cơ bản gồm:
- Họ, chữ đệm và tên khai sinh, bí danh (nếu có);
- Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
- Nhóm máu, giới tính;
- Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, địa chỉ thư điện tử;
- Trình độ học vấn;
- Dân tộc;
- Quốc tịch;
- Số điện thoại;
- Số chứng minh nhân dân, số hộ chiếu, số căn cước công dân, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội;
- Tình trạng hôn nhân;
- Dữ liệu phản ánh hoạt động hoặc lịch sử hoạt động trên không gian mạng.
(2) Dữ liệu cá nhân nhạy cảm gồm:
- Dữ liệu cá nhân về quan điểm chính trị, tôn giáo;
- Dữ liệu cá nhân về tình trạng sức khỏe là thông tin liên quan đến trạng thái sức khỏe thể chất hoặc tinh thần của chủ thể dữ liệu được thu thập, xác định trong quá trình đăng ký hoặc cung cấp dịch vụ y tế;
- Dữ liệu cá nhân về di truyền là thông tin liên quan đến các đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
- Dữ liệu cá nhân về sinh trắc học là thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của mỗi cá nhân;
- Dữ liệu cá nhân về tình trạng giới tính là thông tin về người được xác định có giới tính nam, nữ, người kết hợp giữa nữ và nam, không phải nữ hoàn toàn hoặc nam toàn toàn, không phải nữ cũng không phải nam hoặc là tình trạng của chủ thể dữ liệu có ý thức về giới tính không phù hợp với giới tính được xác định khi sinh;
- Dữ liệu cá nhân về đời sống, xu hướng tình dục;
- Dữ liệu cá nhân về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
- Dữ liệu cá nhân về tài chính là thông tin được sử dụng để xác định tài khoản, thẻ, công cụ thanh toán do tổ chức tài chính cung cấp cho chủ thể dữ liệu hoặc thông tin về mối quan hệ giữa tổ chức tài chính, dữ liệu tiền gốc với chủ thể dữ liệu, bao gồm cả hồ sơ, tình trạng tài chính, lịch sử tín dụng, mức thu nhập;
- Dữ liệu cá nhân về vị trí là thông tin về vị trí địa lý thực tế của cá nhân ở quá khứ và hiện tại;
- Dữ liệu cá nhân về các mối quan hệ xã hội;
- Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
Tiết lộ dữ liệu cá nhân bị phạt đến 80 triệu đồng
Việc tiết lộ dữ liệu cá nhân phải tuân thủ quy định tại Điều 6 của Dự thảo, cụ thể như sau:
“Điều 6. Tiết lộ dữ liệu cá nhân
1. Bên xử lý dữ liệu cá nhân, Bên thứ ba có thể tiết lộ dữ liệu cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu trong các trường hợp:
a) Theo quy định của pháp luật;
b) Công bố thông tin là cần thiết vì lợi ích, an ninh quốc gia, trật tự an toàn xã hội;
c) Trên phương tiện truyền thông vì mục đích quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, đạo đức xã hội, sức khỏe của cộng đồng;
d) Trên phương tiện truyền thông theo quy định của Luật Báo chí, không gây thiệt hại về kinh tế, danh dự, tinh thần, vật chất cho chủ thể dữ liệu;
đ) Trong trường hợp được pháp luật quy định là khẩn cấp, nguy cơ đe dọa tới tính mạng hoặc ảnh hưởng nghiêm trọng tới sức khỏe cho chủ thể dữ liệu hoặc sức khỏe cộng đồng.
2. Bên xử lý dữ liệu cá nhân, Bên thứ ba chấm dứt ngay việc tiết lộ dữ liệu cá nhân khi chủ thể dữ liệu yêu cầu, trừ trường hợp quy định tại khoản 1 Điều này.
3. Không tiết lộ dữ liệu cá nhân của người khác trong trường hợp sau:
a) Dữ liệu được đề cập là dữ liệu cá nhân nhạy cảm;
b) Làm tổn hại đến lợi ích hợp pháp của chủ thể dữ liệu.
4. Việc ghi âm, ghi hình và xử lý dữ liệu thu được qua hoạt động ghi âm, ghi hình ở nơi công cộng của cơ quan nhà nước có thẩm quyền trong trường hợp pháp luật quy định được coi là đã có sự đồng ý của chủ thể dữ liệu.
a) Cơ quan thu thập có nghĩa vụ thông báo cho chủ thể dữ liệu theo cách mà chủ thể dữ liệu hiểu được việc họ đang bị ghi âm, thu hình và xử lý dữ liệu để chủ thể dữ liệu biết cách ngăn chặn nếu họ muốn;
b) Không áp dụng nghĩa vụ thông báo trong trường hợp vì mục đích quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, đạo đức xã hội, sức khỏe của cộng đồng.”
Trường hợp vi phạm quy định về tiết lộ dữ liệu cá nhân sẽ bị phạt tiền từ 50.000.000 đồng đến 80.000.000 đồng theo điểm b Khoản 1 Điều 22 của Dự thảo.
Nếu vi phạm lần 2 thì bị phạt tiền từ 80.000.000 đồng đến 100.000.000 đồng khi vi phạm lần 2 (theo điểm d Khoản 2 Điều 22 Dự thảo).
Nếu tiếp tục vi phạm lần 3 thì bị phạt tiền tối đa 5% tổng doanh thu của Bên xử lý vi phạm dữ liệu cá nhân (theo điểm a Khoản 3 Điều 22 Dự thảo).
Ngoài ra, còn bị đình chỉ xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với hành vi tiết lộ dữ liệu cá nhân lần 2; tước quyền sử dụng văn bản đồng ý xử lý dữ liệu cá nhân nhạy cảm và chuyển dữ liệu cá nhân ra khỏi biên giới lãnh thổ Việt Nam (theo Khoản 4 Điều 22 Dự thảo)
Bên cạnh đó, buộc nộp lại số tiền có được do thực hiện hành vi vi phạm (theo Khoản 5 Điêu 22 Dự thảo).
Trung Tài