Hoàn thiện pháp luật xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân

Chia sẻ: Tưởng Trì Hoài | Ngày: | Loại File: PDF | Số trang:11

Thêm vào BST

Báo xấu

7
lượt xem 2
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài viết "Hoàn thiện pháp luật xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân" tập trung phân tích các hạn chế và bất cập về xử phạt vi phạm hành chính liên quan đến dữ liệu cá nhân và đưa ra một số kiến nghị nhằm hoàn thiện pháp luật hành chính về vấn đề này. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Hoàn thiện pháp luật xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân

HOÀN THIỆN PHÁP LUẬT XỬ PHẠT VI PHẠM HÀNH CHÍNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN NCS. ThS Nguyễn Thị Ngọc Uyển, Khoa Kinh doanh & Luật - Trường Đại học Quốc tế Sài Gòn Email: nguyenthingocuyen@siu.edn.vn ThS. Trần Văn Thượng Khoa Luật Hình sự, Trường Đại học Luật Tp.HCM Email: Tvthuong@hcmulaw.edu.vn Tóm tắt: Ngày 17 tháng 04 năm 2023, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP Nghị định về dữ liệu cá nhân. Đây là Nghị định đầu tiên quy định về khung pháp lý toàn diện cho việc bảo vệ dữ liệu cá nhân. Tuy nhiên, quy định pháp luật về xử phạt vi phạm hành chính đối với dữ liệu cá nhân khá ít, chưa tương xứng với nhu cầu thực tiễn cuộc sống đang đòi hỏi. Vì vậy, trong phạm vi bài viết này, chúng tôi tập trung phân tích các hạn chế và bất cập về xử phạt vi phạm hành chính liên quan đến dữ liệu cá nhân và đưa ra một số kiến nghị nhằm hoàn thiện pháp luật hành chính về vấn đề này. Từ khóa: bảo vệ, dữ liệu cá nhân, xử phạt vi phạm hành chính Abstract: On April 17, 2023, the Government issued Decree No. 13/2023/ND-CP on personal data. This is the first Decree stipulating a comprehensive legal framework for the protection of personal data. However, the existing provisions on administrative sanctions for personal data violations are deemed insufficient and do not align with the demands of practical life. In this article, we aim to analyze the limitations and inadequacies in administrative sanctions related to personal data violations and make recommendations to improve the administrative laws. 311
1. Bất cập pháp luật về xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới. Tính đến tháng 1/2021, số lượng người sử dụng Internet của Việt Nam đã đạt hơn 68,72 triệu người, chiếm hơn 2/3 dân số (70,3%). Dữ liệu cá nhân trở thành đầu vào và giá trị vô tận cho nền kinh tế số, phục vụ phát triển Chính phủ số, xã hội số và phát triển đất nước trong thời đại Cách mạng công nghiệp lần thứ tư. Tuy nhiên, tình trạng lộ, lọt dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Ngày càng nhiều chủ thể bao gồm cả tổ chức và cá nhân thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra tình trạng xâm phạm dữ liệu cá nhân. Ngày 17 tháng 04 năm 2023, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP Nghị định về dữ liệu cá nhân (Nghị định số 13/2023/NĐ-CP). Đây là Nghị định đầu tiên quy định về khung pháp lý toàn diện cho việc bảo vệ dữ liệu cá nhân. Tại Điều 4 Nghị định này quy định “Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định”. Mặc dù hiện nay đã có một số văn bản pháp luật điều chỉnh việc xử phạt vi phạm hành chính về một số hành vi. Tuy nhiên những quy định này còn mỏng và khá lẻ tẻ ở nhiều văn bản. Điều này gây khó khăn cho việc xử phạt vi phạm hành chính về dữ liệu cá nhân. Thứ nhất, khái niệm về “dữ liệu cá nhân” chưa thống nhất ở các Luật, Nghị định. Tại khoản 1 Điều 1 Nghị định số 13/2023/NĐ-CP quy định: “Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm”. Tuy nhiên trước khi Nghị định số 13/2023/NĐ-CP ra đời, có rất nhiều thuật ngữ được sử dụng như “thông tin riêng tư”, “thông tin số”, “thông tin cá nhân trên không gian mạng”, “bí mật cá nhân, bí mật gia đình, cơ sở dữ liệu điện tử”… Mỗi văn bản lại sử dụng một thuật ngữ khác nhau và có cách định nghĩa khác nhau về “dữ liệu cá nhân”. Luật An ninh mạng năm 2018, Nghị định số 53/2022/NĐ-CP hướng dẫn Luật An ninh mạng năm 2018 sử dụng thuật ngữ “Dữ liệu về thông tin cá nhân”. Tại khoản 1 Điều 2 Nghị định số 53/2022/NĐ-CP định nghĩa: “Dữ liệu về thông tin cá nhân là dữ liệu về thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự để xác định danh tính một cá nhân”. 312
Nghị định số 15/2020/NĐ-CP ngày 03 tháng 02 năm 2020 của Chính phủ quy định về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử (Nghị định số 15/2020/NĐ-CP) sử dụng thuật ngữ “Thông tin cá nhân” tuy nhiên không đưa ra định nghĩa về “thông tin cá nhân”. Luật Giao dịch điện tử năm 2023 sử dụng thuật ngữ “dữ liệu” quy định khoản 6 Điều 3: “Dữ liệu là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự khác”. Kèm theo định nghĩa về “chữ ký điện tử”, “chữ ký số” là các dạng của “dữ liệu”. Luật An toàn thông tin mạng năm 2015 (được sửa đổi, bổ sung năm 2018) sử dụng thuật ngữ “thông tin cá nhân” và định nghĩa tại khoản 15 Điều 3: “Thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể”. Luật này cũng giải thích thuật ngữ “chủ thể thông tin cá nhân” (khoản 16 Điều 3) với ý nghĩa đó là “người được xác định từ thông tin cá nhân đó”. Việc tồn tại những định nghĩa khác nhau về “dữ liệu cá nhân” sẽ gây khó khăn cho cá nhân, tổ chức có thẩm quyền xử lý các hành vi xâm phạm đến quyền được bảo vệ của dữ liệu cá nhân, cơ quan, tổ chức trong việc tự bảo vệ quyền dữ liệu cá nhân của mình. Đồng thời chuẩn hóa khái niệm “dữ liệu cá nhân” giúp cho việc áp dụng luật một cách thống nhất. Thứ hai, các hành vi bị xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân còn khá ít. Mặc dù “dữ liệu cá nhân” là đối tượng điều chỉnh của nhiều Nghị định đã được liệt kê ở trên tuy nhiên những hành vi bị xử phạt vi phạm hành chính lại không nhiều, chủ yếu nằm ở Nghị định số 15/2020/NĐ-CP (được sửa đổi, bổ sung bởi Nghị định số 14/2022/NĐ-CP) hay một số Nghị định khác tuy nhiên chủ yếu là bảo vệ dữ liệu cá nhân ở môi trường mạng như: Nghị định số 98/2020/NĐ-CP ngày 26/8/2020 quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng (được sửa đổi, bổ sung bởi Nghị định số 17/2022/NĐ-CP); Nghị định số 119/2020/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực báo chí, xuất bản (được sửa đổi bởi Nghị định số 14/2022/NĐ-CP); Nghị định số 38/2021/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực văn hóa, thể thao, du lịch và quảng cáo; Nghị định số 117/2020/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực y tế; …. Nghị định số 15/2020/NĐ-CP được sửa đổi, bổ sung bằng Nghị định số 14/2022/NĐ-CP mới chỉ quy định về xử phạt vi phạm hành chính về “thông tin cá nhân”: Điều 79: Vi phạm quy định về an toàn, an ninh trong giao dịch điện tử sử dụng chữ ký số, chứng thư số; Điều 80. Vi 313
phạm quy định về cung cấp, sử dụng trái phép thông tin trên mạng; Điều 81. Vi phạm quy định về sử dụng mạng nhằm chiếm đoạt tài sản; Điều 84: Vi phạm quy định về thu thập, sử dụng thông tin cá nhân; Điều 85. Vi phạm quy định về cập nhật, sửa đổi và hủy bỏ thông tin cá nhân; Điều 86. Vi phạm quy định về bảo đảm an toàn thông tin cá nhân trên mạng; Điều 92. Vi phạm quy định về kinh doanh trong lĩnh vực an toàn thông tin mạng; Điều 99. Vi phạm quy định về trang thông tin điện tử; Điều 100. Vi phạm các quy định về trách nhiệm của tổ chức, doanh nghiệp thiết lập mạng xã hội; Điều 100. Vi phạm các quy định về trách nhiệm của tổ chức, doanh nghiệp thiết lập mạng xã hội; Điều 102. Vi phạm quy định về lưu trữ, cho thuê, truyền đưa, cung cấp, truy nhập, thu thập, xử lý, trao đổi và sử dụng thông tin; Điều 110. Vi phạm quy định về sử dụng dịch vụ chứng thực chữ ký số và chứng thư số. Nghị định số 98/2020/NĐ-CP ngày 26 tháng 8 năm 2020 của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng (Nghị định số 98/2020/NĐ-CP): Điều 65. Hành vi vi phạm về bảo vệ thông tin cá nhân trong hoạt động thương mại điện tử. Nghị định số 119/2020/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực báo chí, xuất bản (được sửa đổi bởi Nghị định số 14/2022/NĐ-CP): Điều 8. Vi phạm quy định về đăng, phát nội dung thông tin trên báo chí, bản tin, đặc san; Điều 10. Vi phạm quy định về cải chính trên báo chí. Nghị định số 38/2021/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực văn hóa, thể thao, du lịch và quảng cáo: Điều 26. Vi phạm quy định cấm trong hoạt động thư viện. Nghị định số 117/2020/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực y tế: Điều 38. Vi phạm quy định về hành nghề và sử dụng chứng chỉ hành nghề của người hành nghề khám bệnh, chữa bệnh; Điều 44. Vi phạm quy định về hiến, lấy, ghép mô, bộ phận cơ thể người và hiến, lấy xác; Điều 45. Vi phạm quy định về xác định lại giới tính; Điều 48. Vi phạm quy định về nguyên tắc trong hành nghề khám bệnh, chữa bệnh; Điều 62. Vi phạm quy định về kiểm nghiệm thuốc, thử lâm sàng, thử tương đương sinh học của thuốc; Điều 63. Vi phạm quy định về thực hiện thử thuốc trên lâm sàng… Từ việc khảo sát các vi phạm hành chính về bảo vệ dữ liệu cá nhân tác giả có nhận xét như sau: Một là, vi phạm hành chính bị xử phạt về bảo vệ dữ liệu cá nhân chủ yếu ở môi trường mạng trong khi đó hành vi xâm phạm đến dữ liệu cá nhân có thể xảy ra ở cả trong môi trường truyền thống. Điều này tạo ra sự chia cắt trong điều chỉnh pháp luật giữa không gian thực và không 314
gian ảo, không phù hợp với thực tiễn có sự hòa trộn, kết nối một cách khó phân tách giữa không gian thực (không gian vật lý) và không gian ảo của thời kỳ Cách mạng công nghiệp lần thứ tư. Hai là, vi phạm hành chính bị xử phạt hiện nay ở các Nghị định còn khá ít ỏi. Mặc dù “dữ liệu cá nhân” là đối tượng điều chỉnh của nhiều Nghị định đã được liệt kê ở trên tuy nhiên những hành vi bị xử phạt vi phạm hành chính lại không nhiều, chủ yếu nằm ở Nghị định số 15/2020/NĐ-CP và một số Nghị định khác. Những hành vi mà Nghị định số 15/2020/NĐ-CP chủ yếu điều chỉnh ở các nhóm các hành vi: tiếp cận, khai thác, xâm phạm dữ liệu cá nhân. Tuy nhiên, khi so sánh với các hành vi xâm phạm dữ liệu cá nhân được quy định tại khoản 7 Điều 2 Nghị định số 13/2023/NĐ-CP: “Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan” thì còn khá khiêm tốn. Rõ ràng những hành vi như truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép… dữ liệu cá nhân chưa được luật hóa có thể xâm phạm đến việc bảo vệ dữ liệu cá nhân trên thực tế. Bên cạnh đó, Nghị định số 15/2020/NĐ- CP còn bỏ xót nhiều hành vi chưa được luật hóa như: vi phạm về xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, vi phạm về xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết, vi phạm về xử lý dữ liệu cá nhân của trẻ em, vi phạm về xử lý dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo, vi phạm về xử lý dữ liệu cá nhân nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật… Thứ ba, hình phạt chính và hình phạt bổ sung đối với vi phạm hành chính về bảo vệ dữ liệu cá nhân chưa đủ đáp ứng nhu cầu xử phạt. Một là, hình thức xử phạt bổ sung quy định trong Nghị định số 15/2020/NĐ-CP không phù hợp với Luật Xử lý vi phạm hành chính năm 2012, sửa đổi, bổ sung năm 2020. Cụ thể, “Điều 66. Hành vi vi phạm về hoạt động đánh giá, giám sát và chứng thực trong thương mại điện tử … 6. Hình thức xử phạt bổ sung: 315
a) Tước quyền sử dụng Giấy phép hoạt động đánh giá và chứng nhận chính sách bảo vệ thông tin cá nhân, Giấy phép chứng thực hợp đồng điện tử trong thương mại điện tử từ 06 tháng đến 12 tháng đối với hành vi vi phạm quy định tại điểm b khoản 4 và điểm a khoản 5 Điều này; b) Đình chỉ hoạt động đánh giá tín nhiệm website thương mại điện tử hoặc ứng dụng di động từ 06 tháng đến 12 tháng đối với hành vi vi phạm quy định tại điểm a và b khoản 4 và điểm a khoản 5 Điều này”. Hình thức xử phạt bổ sung “đình chỉ hoạt động đánh giá tín nhiệm website thương mại điện tử hoặc ứng dụng di động từ 06 tháng đến 12 tháng” chưa có trong các hình thức xử phạt bổ sung được quy định tại Điều 21 Luật Xử lý vi phạm hành chính năm 2012 sửa đổi, bổ sung năm 2020. Một trong những nguyên tắc được quy định tại Điều 5 Luật ban hành văn bản quy phạm pháp luật năm 2015 (sửa đổi, bổ sung năm 2020) là “bảo đảm tính hợp hiến, tính hợp pháp và tính thống nhất của văn bản quy phạm pháp luật trong hệ thống pháp luật”. Do đó, văn bản quy phạm pháp luật của cơ quan nhà nước cấp dưới không được mâu thuẫn, chồng chéo với văn bản của cấp trên. Hai là, cùng một hành vi nhưng mức phạt tiền được áp dụng khác nhau. Hành vi không áp dụng biện pháp quản lý hoặc biện pháp kỹ thuật theo quy định để bảo vệ thông tin cá nhân theo quy định tại khoản 3 Điều 85 Nghị định 15/2020/NĐ-CP thì bị phạt tiền từ 30 triệu đồng đến 50 triệu đồng còn theo điểm d Điều 102 trong cùng nghị định thì bị phạt tiền từ 10 triệu đến 20 triệu đồng. Về cùng một hành vi không áp dụng biện pháp quản lý hoặc biện pháp kỹ thuật theo quy định để bảo vệ thông tin cá nhân lại bị áp dụng hai mức xử phạt khác nhau trong cùng một nghị định điều này cũng mâu thuẫn trong xử phạt vi phạm hành chính, cần được sửa đổi để thống nhất. Thứ tư, các biện pháp khắc phục hậu quả còn hạn chế. Một là, các biện pháp khắc phục hậu quả đối với các vi phạm hành chính về bảo vệ dữ liệu cá nhân chưa đủ đáp ứng nhu cầu xử phạt. Khảo sát các Nghị định xử phạt vi phạm hành chính về dữ liệu cá nhân cho thấy các biện pháp khắc phục hậu quả được áp dụng với vi phạm hành chính về dữ liệu cá nhân như sau: Buộc hủy bỏ thông tin cá nhân do thực hiện hành vi vi phạm (khoản 3 Điều 28); Buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại điểm b khoản 4 và điểm a khoản 5 Điều này (khoản 9 Điều 102 vi phạm quy định về lưu trữ, cho thuê, truyền đưa, cung cấp, truy nhập, thu thập, xử lý, trao đổi và sử dụng thông tin). Buộc thu hồi tên miền “.vn” của 316
website thương mại điện tử hoặc buộc gỡ bỏ ứng dụng di động trên các kho ứng dụng hoặc trên các địa chỉ đã cung cấp đối với hành vi vi phạm quy định tại khoản 5 và 6 Điều này (Điều 63 Nghị định số 98/2020/NĐ-CP được sửa đổi, bổ sung bởi Nghị định số 17/2022/NĐ-CP). Mặc dù các biện pháp khắc phục hậu quả được áp dụng với vi phạm hành chính về dữ liệu cá nhân khá phù hợp tuy nhiên còn khá “mỏng” so với thực tiễn. Các chủ thể có thẩm quyền xử phạt có ít sự lựa chọn trong việc tiến hành xử phạt và mục đích “khắc phục hậu quả” của vi phạm hành chính về dữ liệu cá nhân chưa được thực hiện một cách triệt để. Hai là, cùng thực hiện một hành vi nhưng biện pháp khắc phục hậu quả ở hai Nghị định lại quy định khác nhau. Theo quy định tại khoản 5 Điều 65 Nghị định 98/2020/NĐ-CP ngày 26 tháng 8 năm 2020 về xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả hàng cấm và bảo vệ quyền lợi người tiêu dùng (Nghị định 98/2020/NĐ-CP) thì biện pháp khắc phục hậu quả là nộp lại số lợi bất hợp pháp cho có được cho thực hiện hành vi vi phạm khi thực hiện một trong các hành vi: thu thập thông tin cá nhân của người tiêu dùng mà không được sự đồng ý trước của chủ thể thông tin; sử dụng thông tin cá nhân của người tiêu dùng không đúng với mục đích và phạm vi đã thông báo. Nhưng theo quy định tại khoản 3 Điều 84 Nghị định số 15/2020/NĐ-CP thì hành vi thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác thì lại áp dụng biện pháp khắc phục hậu quả là buộc hủy bỏ thông tin cá nhân do thực hiện hành vi vi phạm. Theo chúng tôi, trong trường hợp thu thập, sử dụng trái pháp luật thông tin cá nhân của người khác thì áp dụng đồng thời cần áp dụng cả hai biện pháp khắc phục hậu quả là: hủy bỏ thông tin cá nhân do thực hiện hành vi vi phạm và buộc nộp lại số lợi bất hợp pháp do thực hiện hành vi vi phạm nhằm đảm bảo thông tin đó không còn được sử dụng cho mục đích trái pháp luật hoặc gây hại cho người khác và đền bù cho những tổn thất của người bị vi phạm. Ba là, cùng một biện pháp khắc phục hậu quả là “buộc thu hồi tên miền do thực hiện hành vi vi phạm” nhưng gọi tên khác nhau trong các điều luật khác nhau trong cùng một nghị định. Đó là khoản 8 Điều 63, khoản 8 Điều 64 dùng thuật ngữ “buộc thu hồi tên miền “.vn” của website thương mại điện tử” nhưng khoản 5 Điều 100 Nghị định 98/2020/NĐ-CP sử dụng thuật ngữ “buộc thu hồi tên miền do thực hiện hành vi vi phạm”. Do đó, cần thống nhất về tên gọi để đảm bảo nội dung văn bản thống nhất và dễ triển khai thực hiện cho các chủ thể có liên quan, chúng tôi đề xuất nên sử dụng cụm từ buộc thu hồi tên miền do thực hiện hành vi vi phạm vì nó bao quát cả tên miền ở nước ngoài, xử lý triệt những cá nhân, tổ chức vi phạm. 317
Bốn là, một số biện pháp khắc phục hậu quả trong nghị định xử phạt vi phạm hành chính liên quan đến dữ liệu cá nhân không được tìm thấy trong Luật Xử lý vi phạm hành chính năm 2012, sửa đổi, bổ sung năm 2020, ví dụ biện pháp phục hậu quả là buộc hủy bỏ thông tin cá nhân do thực hiện hành vi vi phạm tại Điều 84 Nghị định số 15/2020/NĐ-CP, buộc gỡ bỏ thông tin sai sự thật hoặc gây nhầm lẫn hoặc thông tin vi phạm pháp luật tại Điều 100 Nghị định số 98/2020/NĐ-CP. Đây là một biện pháp mới xuất hiện trong các nghị định về xử phạt vi phạm hành chính gần đây và mang tính răn đe, cứng rắn hơn so với biện pháp buộc cải chính thông tin sai sự thật hoặc gây nhầm lẫn. Ngoài ra, biện pháp buộc hủy bỏ thông tin cá nhân do thực hiện hành vi vi phạm và buộc gỡ bỏ thông tin sai sự thật hoặc gây nhầm lẫn hoặc thông tin vi phạm pháp luật thực chất là một biện pháp giống nhau nhằm loại bỏ thông tin không đúng ngăn chặn sự lợi dụng thông tin và bảo vệ người sử dụng khỏi sự nhầm lẫn, thông tin vi phạm pháp luật. Vì vậy cần thống nhất dùng thuật ngữ “huỷ bỏ” hay “gỡ bỏ”. Năm là, đối với hành vi Điều 102 Nghị định số 15/2020/NĐ-CP vi phạm quy định về lưu trữ, cho thuê, truyền đưa, cung cấp, truy nhập, thu thập, xử lý, trao đổi và sử dụng thông tin chỉ áp dụng biện pháp khắc phục hậu quả: Buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại điểm b khoản 4 và điểm a khoản 5 Điều này: Điểm b khoản 4: b) Cung cấp, trao đổi, truyền đưa, lưu trữ, sử dụng thông tin, dịch vụ có nội dung đánh bạc hoặc phục vụ đánh bạc; dâm ô, đồi trụy, mê tín dị đoan, trái đạo đức, thuần phong mỹ tục của dân tộc; Điểm a khoản 5: a) Mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông là chưa đủ sức răn đe. Đối với hai hành vi trên cần áp dụng thêm biện pháp khắc phục hậu quả là buộc hủy bỏ thông tin cá nhân do thực hiện hành vi vi phạm. Bởi sau khi chủ thể bị phạt vi phạm hành chính và áp dụng biện pháp buộc nộp lại số lợi bất hợp pháp thì vẫn có thể tiếp tục thực hiện hành vi vi phạm, vì vậy cần áp dụng biện pháp hủy bỏ thông tin cá nhân do thực hiện hành vi vi phạm để ngăn chặn hành vi bị tiếp diễn. 2. Kiến nghị hoàn thiện xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân Trước thực trạng pháp luật xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân còn nhiều bất cập, nhóm tác giả có những kiến nghị sau: Về khái niệm, việc tồn tại nhiều khái niệm khác nhau đều chỉ một đối tượng là “dữ liệu cá nhân” dẫn đến việc quy định ở các nghị định, các luật liên quan chưa đồng bộ, gây khó khăn cho chủ thể có thẩm quyền tiến hành xử phạt và cá nhân, tổ chức có quan tâm. Sau khi Nghị định số 13/2023/NĐ-CP đã chính thức thống nhất những khái niệm “thông tin cá nhân”, “thông tin số”, “dữ liệu”, “dữ liệu số”…Việc tiếp theo cần làm là thống nhất những khái niệm 318
này thành “dữ liệu cá nhân” tại các lĩnh vực có liên quan nhằm hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân trên thực tế. Về các vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân được quy định “tản mát” ở nhiều nghị định khác nhau, một số hành vi mâu thuẫn lẫn nhau. Vì vậy, việc ban hành một Nghị định riêng về xử phạt vi phạm hành chính là cần thiết. Bên cạnh đó, cần rà soát và luật hóa các hành vi có thể xảy ra trên thực tế mà Nghị định số 15/2020/NĐ-CP chưa quy định như: vi phạm về xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, vi phạm về xử lý dữ liệu cá nhân của người bị tuyên bố mất tích, đã chết, vi phạm về xử lý dữ liệu cá nhân của trẻ em, vi phạm về xử lý dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo, vi phạm về xử lý dữ liệu cá nhân nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật… Về hình thức xử phạt chính và hình thức xử phạt bổ sung, cần bổ sung thêm hình thức xử phạt bổ sung “đình chỉ hoạt động đánh giá tín nhiệm website thương mại điện tử hoặc ứng dụng di động có thời hạn” vào khoản 1 Điều 21 Luật Xử lý vi phạm hành chính năm 2012 được sửa đổi, bổ sung năm 2020. Bên cạnh đó, các nhà làm luật cần rà soát kỹ lưỡng các nghị định về xử phạt vi phạm hành chính về dữ liệu cá nhân để đảm bảo tính thống nhất trong cùng một nghị định và giữa các nghị định với nhau để quy định nhất quán, tránh chồng chéo, mâu thuẫn nhau. Trong thời gian sắp tới, Chính phủ cần sớm ban hành nghị định về xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân chung để dễ dàng quản lý và điều chỉnh các quan hệ pháp luật hành chính mới phát sinh về dữ liệu cá nhân. Bên cạnh đó, chỉ có duy nhất hình thức xử phạt chính là phạt tiền đối với vi phạm hành chính về lĩnh vực bảo vệ dữ liệu cá nhân là quá ít lựa chọn cho việc xử phạt vì vậy các nhà làm luật cần nghiên cứu áp dụng đa dạng hơn. Cần kết hợp áp dụng hình thức xử phạt chính và hình thức xử phạt bổ sung để gia tăng hiệu quả xử phạt như “tước quyền sử dụng giấy phép, chứng chỉ hành nghề”, “đình chỉ hoạt động có thời hạn”, tịch thu tang vật, phương tiện vi phạm và trục xuất (hình thức xử phạt bổ sung) là hoàn toàn phù hợp với tính chất và hậu quả của các hành vi thu thập, khai thác, xử lý, kinh doanh trái phép dữ liệu cá nhân trong môi trường số. Về biện pháp khắc phục hậu quả, các biện pháp khắc phục hậu quả đối với các vi phạm hành chính về bảo vệ dữ liệu cá nhân chưa đủ đáp ứng nhu cầu xử phạt (mâu thuẫn, quá ít, không phù hợp). Vì vậy cần rà soát, sửa đổi và bổ sung thêm các biện pháp khắc phục hậu quả nhằm đáp ứng thực tiễn xử phạt. Đối với các hành vi tại Điều 102 Nghị định số 15/2020/NĐ-CP vi phạm quy định về lưu trữ, cho thuê, truyền đưa, cung cấp, truy nhập, thu thập, xử lý, trao đổi 319
và sử dụng thông tin cần bổ sung việc áp dụng biện pháp khắc phục hậu quả: Buộc hủy bỏ thông tin cá nhân do thực hiện hành vi vi phạm. Bên cạnh đó, chúng tôi kiến nghị cần bổ sung biện pháp khắc phục hậu quả “buộc hủy bỏ thông tin cá nhân do thực hiện hành vi vi phạm” hoặc “buộc gỡ bỏ thông tin sai sự thật hoặc gây nhầm lẫn hoặc thông tin vi phạm pháp luật” vào Điều 28 Luật xử lý vi phạm hành chính năm 2012 (sửa đổi, bổ sung năm 2020). Danh mục tài liệu tham khảo Luật An ninh mạng năm 2018; Luật An toàn thông tin mạng năm 2015 (được sửa đổi, bổ sung năm 2018); Luật ban hành văn bản quy phạm pháp luật năm 2015 (sửa đổi, bổ sung năm 2020); Luật Giao dịch điện tử năm 2023; Luật xử lý vi phạm hành chính năm 2012 (sửa đổi, bổ sung năm 2020); Nghị định số 15/2020/NĐ-CP ngày 03/02/2020 quy định về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử; Nghị định số 119/2020/NĐ-CP ngày 07/10/2020 về xử phạt vi phạm hành chính trong lĩnh vực báo chí, xuất bản; Nghị định số 38/2021/NĐ-CP ngày 29/03/2021 quy định xử phạt vi phạm hành chính trong lĩnh vực văn hóa, thể thao, du lịch và quảng cáo; Nghị định số 117/2020/NĐ-CP ngày 28/09/2020 về xử phạt vi phạm hành chính trong lĩnh vực y tế; Nghị định số 98/2020/NĐ-CP ngày 26/8/2020 quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng; Nghị định số 17/2022/NĐ-CP ngày 31/01/2022 sửa đổi, bổ sung một số điều của các nghị định quy định về xử phạt vi phạm hành chính trong lĩnh vực hóa chất và vật liệu nổ công nghiệp; điện lực, an toàn đập thủy điện, sử dụng năng lượng tiết kiệm và hiệu quả; hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng; hoạt động dầu khí, kinh doanh xăng dầu và khí; 320
Nghị định số 53/2022/NĐ-CP ngày 15/08/2022 hướng dẫn Luật An ninh mạng năm 2018; Nghị định 14/2022/NĐ-CP ngày 27/01/2022 sửa đổi Nghị định 15/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử và Nghị định 119/2020/NĐ-CP quy định xử phạt vi phạm hành chính trong hoạt động báo chí, hoạt động xuất bản; Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về dữ liệu cá nhân; Huyền Thanh (2021), Nhức nhối tình trạng mua bán dữ liệu cá nhân, tăng chế tài xử phạt để giảm thiểu vi phạm, https://cand.com.vn/Lan-theo-dau-vet-toi-pham/nhuc-nhoi-tinh-trang- mua-ban-du-lieu-ca-nhan-tang-che-tai-xu-phat-de-giam-thieu-vi-pham-i638639/, truy cập ngày 29/09/2023; Lê Thị Diễm Hằng, Lê Hà Chi, Nguyễn Hà Giang, Trần Mai Huyền, Nhận diện cơ bản về thông tin cá nhân và hành vi xâm phạm về thông tin cá nhân, Tạp chí Tòa án nhân dân điện tử, https://www.tapchitoaan.vn/nhan-dien-co-ban-ve-thong-tin-ca-nhan-va-hanh-vi-xam-pham- thong-tin-ca-nhan5893.html; Nguyễn Văn Cương (2020), Thực trạng pháp luật về bảo vệ thông tin cá nhân ở Việt Nam hiện nay và hướng hoàn thiện, Tạp chí Nghiên cứu Lập pháp số 15 (415), tháng 8/2020, truy cập tại http://www.lapphap.vn/Pages/tintuc/tinchitiet.aspx?tintucid=210631, truy cập ngày 29/09/2023; Trần Thị Thu Hà (2023), Bảo vệ dữ liệu cá nhân trong môi trường số theo pháp luật hành chính; = Protection des données personnelles dans l'environnement numérique, Kỷ yếu hội thảo, Trường Đại học luật Tp. Hồ Chí Minh. 321