Ảnh minh họa: Nguồn internet

Dữ liệu cá nhân (DLCN) là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể[1]. Hiện nay, DLCN không chỉ trở thành một loại hàng hóa, được mua bán bất hợp pháp trên không gian mạng, mà còn được khai thác, xử lý phục vụ mục đích phạm tội và các mục đích không lành mạnh khác. Để phòng tránh, khắc phục những nguy cơ và hệ lụy nói trên, cần phải áp dụng đồng bộ nhiều biện pháp khác nhau, bao gồm các biện pháp kỹ thuật và biện pháp pháp lý, với sự tham gia tích cực và hiệu quả của Nhà nước, các cơ quan, tổ chức, doanh nghiệp và các thành viên trong xã hội. Từ góc độ Luật hành chính, vấn đề bảo vệ DLCN gắn liền với hoạt động quản lý nhà nước, được thực hiện bởi các cơ quan, tổ chức, cá nhân có thẩm quyền, thông qua các biện pháp mang tính hành chính nhằm “phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến DLCN”[2].

1. Các biện pháp hành chính nhằm phòng ngừa vi phạm pháp luật liên quan đến dữ liệu cá nhân

Các biện pháp phòng ngừa hành chính trong lĩnh vực bảo vệ DLCN được quy định rải rác ở nhiều văn bản quy phạm pháp luật khác nhau như: Luật An toàn thông tin mạng năm 2015 (sửa đổi, bổ sung năm 2018), Luật An ninh mạng năm 2018, Nghị định số 53/2022/NĐ-CP của Chính phủ ngày 15/8/2022 quy định chi tiết một số điều của Luật An ninh mạng,Nghị định số 25/2014/NĐ-CP của Chính phủ ngày 07/4/2014 quy định về phòng chống tội phạm và vi phạm pháp luật khác có sử dụng công nghệ cao, Nghị định số 13/2023/NĐ-CP của Chính phủ ngày 17/4/2023 về bảo vệ DLCN… Trong đó, các biện pháp phòng ngừa có tính chất kích thích hành vi hợp pháp của cá nhân, cơ quan, tổ chức[3] khá phổ biến. Điển hình là biện pháp kiểm tra hành chính. Chẳng hạn, theo Điều 25 Nghị định số 13/2023/NĐ-CP, đối với hoạt động chuyển DLCN ra nước ngoài, cơ quan chức năng sẽ tiến hành kiểm tra định kỳ 01 lần/năm và kiểm tra đột xuất trong trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ DLCN hoặc để xảy ra sự cố lộ, mất DLCN của công dân Việt Nam. Ý nghĩa “phòng ngừa” được thể hiện rõ nét ở việc từ kết quả kiểm tra hành chính, lực lượng chuyên trách có thể đưa ra những yêu cầu nhất định hoặc áp dụng các biện pháp cần thiết để xử lý các vấn đề phát sinh. Ví dụ, “trong thời hạn 30 ngày kể từ ngày kết thúc kiểm tra, lực lượng chuyên trách bảo vệ an ninh mạng thông báo kết quả kiểm tra và đưa ra yêu cầu đối với chủ quản hệ thống thông tin trong trường hợp phát hiện điểm yếu, lỗ hổng bảo mật; hướng dẫn hoặc tham gia khắc phục khi có đề nghị của chủ quản hệ thống thông tin” (Điều 24 Luật An ninh mạng năm 2018) hay “Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao đánh giá, yêu cầu Bên chuyển dữ liệu ra nước ngoài hoàn thiện Hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định” (khoản 3, khoản 5 Điều 25 Nghị định số 13/2023/NĐ-CP)… Ngoài ra, còn có những biện pháp mang tính bắt buộc trực tiếp[4] được áp dụng nhằm mục đích phòng ngừa các vi phạm pháp luật liên quan đến DLCN. Cụ thể, đó là biện pháp yêu cầu doanh nghiệp nước ngoài lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam do Bộ trưởng Bộ Công an quyết định, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an thông báo, hướng dẫn, theo dõi, giám sát, đôn đốc doanh nghiệp thực hiện (theo điểm a khoản 6 Điều 26 Nghị định số 53/2022/NĐ-CP).

Tuy nhiên, xét một cách khách quan, những biện pháp hành chính nhằm phòng ngừa vi phạm pháp luật về DLCN ở nước ta hiện nay chưa được quy định đầy đủ và khá đơn giản. Có những biện pháp chỉ được nêu một cách chung chung, thiếu cụ thể, chẳng hạn như biện pháp “cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm DLCN theo quy định của pháp luật” (khoản 1 Điều 29 Nghị định số 13/2023/NĐ-CP). Ngay cả các quy định về biện pháp kiểm tra hành chính – một biện pháp phòng ngừa được sử dụng khá thường xuyên trong quản lý nhà nước nói chung và quản lý nhà nước về bảo vệ DLCN nói riêng cũng chưa thực sự rõ ràng. Thậm chí, theo tổng hợp của chúng tôi từ các văn bản pháp luật có liên quan, biện pháp kiểm tra hành chính chỉ được nhắc đến trong các trường hợp cụ thể sau: kiểm tra chuyển DLCN ra nước ngoài; kiểm tra, đánh giá hồ sơ đánh giá tác động xử lý DLCN; kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý DLCN trước khi xử lý, xóa không thể khôi phục được hoặc hủy các thiết bị chứa DLCN nhằm bảo vệ các DLCN cơ bản (Điều 27 Nghị định số 13/2023/NĐ-CP). Điều đó là chưa hợp lý, chưa bao quát đầy đủ tất cả các trường hợp, chưa tương xứng với mức độ phổ biến của biện pháp kiểm tra hành chính trong quản lý nhà nước về bảo vệ DLCN.

Hiện nay, trong Dự thảo Luật Bảo vệ DLCN (Dự thảo Luật) được Bộ Công an trình Chính phủ, các biện pháp phòng ngừa hành chính đã được đề cập đến nhiều hơn. Dự thảo Luật đã dành một điều riêng để quy định về “kiểm tra công tác bảo vệ DLCN” (Điều 55), trong đó xác định các trường hợp tiến hành kiểm tra, đối tượng bị kiểm tra, nội dung kiểm tra, thẩm quyền ban hành quyết định kiểm tra và trách nhiệm thông báo trước cho đối tượng kiểm tra…, thể hiện tinh thần coi trọng sự phòng ngừa chủ động, “phòng ngừa sớm” các vi phạm. Tuy nhiên, nhìn chung vẫn còn thiếu tính cụ thể. Chẳng hạn, đối với việc bảo vệ DLCN có liên quan tới thông tin sức khoẻ, bảo hiểm, khoản 4 Điều 28 Dự thảo Luật chỉ nêu chung chung “áp dụng các biện pháp quản lý để giảm thiểu thu thập, xử lý lượng DLCN liên quan tới sức khoẻ” nhưng không quy định rõ đó là những biện pháp nào[5].

Vì vậy, cần phải có sự đầu tư hợp lý hơn cho các biện pháp phòng ngừa hành chính nhằm bảo đảm sự an toàn của nguồn DLCN trước sự phát triển bùng nổ của các giao dịch điện tử, trong môi trường số vốn tiềm ẩn nhiều rủi ro, trên tinh thần “phòng ngừa càng sớm càng tốt”. Để cơ quan chức năng có thể “cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm DLCN theo quy định của pháp luật” một cách kịp thời, cần phải nêu rõ các biện pháp cảnh báo cụ thể. Đồng thời, cần bổ sung thêm các trường hợp kiểm tra hành chính và các đối tượng chịu sự kiểm tra, trong đó nên tập trung nhiều hơn đến việc phòng ngừa các vi phạm có thể phát sinh trong quá trình xử lý DLCN của trẻ em, xử lý DLCN nhạy cảm, xử lý DLCN trong trường hợp không cần có sự đồng ý của chủ thể dữ liệu; bảo vệ DLCN trong kinh doanh dịch vụ, tiếp thị, trong kinh doanh dịch vụ quảng cáo, trong giám sát và tuyển dụng lao động, trong hoạt động tài chính, ngân hàng, tín dụng, thông tin tín dụng, bảo vệ DLCN có liên quan tới thông tin sức khoẻ, bảo hiểm, trong trường hợp chuyển DLCN ra nước ngoài…

Theo pháp luật hiện hành, có một số biện pháp hành chính sau đây được sử dụng nhằm phát hiện các vi phạm pháp luật liên quan đến DLCN:

1. Biện pháp thu thập dữ liệu điện tử liên quan đến hoạt động xâm phạm quyền và lợi ích hợp pháp của cá nhân trên không gian mạng (điểm k khoản 1 Điều 5 Luật An ninh mạng năm 2018), do Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an quyết định tiến hành để phục vụ điều tra, xử lý các hành vi vi phạm.

2. Tiếp nhận thông báo vi phạm quy định về bảo vệ DLCN. Trường hợp phát hiện xảy ra vi phạm, Bên kiểm soát DLCN, Bên kiểm soát và xử lý DLCN thông báo cho Bộ Công an (mà cụ thể là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn (Điều 23 Nghị định số 13/2023/NĐ-CP).

Tác giả cho rằng, các biện pháp nhằm phát hiện vi phạm pháp luật liên quan đến DLCN được quy định còn sơ sài, nghiêng về yếu tố chuyên môn, kỹ thuật, sự vụ cụ thể mà chưa tập trung vào những giải pháp hành chính có tác dụng phát hiện sớm các hành vi xâm phạm quyền bảo vệ DLCN. Đồng thời, đầu mối chịu trách nhiệm về việc tiếp nhận thông báo vi phạm được quy về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) như một địa chỉ duy nhất có thể gây quá tải, ảnh hưởng đến tiến độ xử lý các vi phạm.

Bởi vậy, để phát hiện nhanh chóng các vi phạm pháp luật về DLCN trong môi trường số, nhất thiết phải thúc đẩy hoạt động thanh tra, kiểm tra, giải quyết khiếu nại, tố cáo. Thông qua cơ chế hành chính này, cơ quan quản lý nhà nước, các bên kiểm soát dữ liệu, kiểm soát và xử lý dữ liệu cũng như bản thân chủ sở hữu dữ liệu có thể đối diện với các hành vi vi phạm một cách chủ động, loại trừ sớm các nguy cơ và khắc phục kịp thời các hậu quả của hành vi vi phạm. Mặt khác, cần phân cấp rõ hơn các đầu mối tiếp nhận thông báo vi phạm về DLCN bên cạnh Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) để tránh ùn tắc, chồng chéo, bỏ quên, bỏ sót các vi phạm. Hiện nay, Dự thảo Luật Bảo vệ DLCN đã có sự điều chỉnh theo hướng chỉ nêu khái quát địa chỉ tiếp nhận thông báo là “cơ quan chuyên trách bảo vệ DLCN” mà không nêu đích danh “Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao” như Nghị định số 13/2023/NĐ-CP. Điều đó là hợp lý. Vì trên thực tế, lực lượng chuyên trách về an ninh mạng của Công an các tỉnh, thành phố trực thuộc trung ương hoàn toàn có thể đảm nhận công việc này.

Hiện nay, Luật Xử lý vi phạm hành chính (VPHC) năm 2012, sửa đổi, bổ sung năm 2020 (Luật XLVPHC) quy định 09 biện pháp ngăn chặn và bảo đảm xử lý VPHC. Tuy nhiên, các biện pháp này chủ yếu áp dụng đối với các vi phạm pháp luật xảy ra trong môi trường truyền thống mà chưa được tính toán phù hợp với đặc trưng của môi trường số. Vậy nên, khi phát hiện có hành vi vi phạm pháp luật về DLCN trên không gian mạng, việc áp dụng các biện pháp như tạm giữ người theo thủ tục hành chính, khám người, khám phương tiện vận tải, đồ vật, khám nơi cất giấu tang vật, phương tiện… nhằm mục đích ngăn chặn và bảo đảm việc xử lý chúng e rằng khá khiên cưỡng.

Trong khi đó, pháp luật chuyên ngành xác định những biện pháp tương đối cụ thể nhằm mục đích ngăn chặn các vi phạm pháp luật liên quan đến DLCN. Đó là: Ngăn chặn, yêu cầu tạm ngừng, ngừng cung cấp thông tin mạng; yêu cầu xóa bỏ, truy cập xóa bỏ thông tin trái pháp luật hoặc thông tin sai sự thật trên không gian mạng xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; phong tỏa, hạn chế hoạt động của hệ thống thông tin (điểm h, i, l khoản 1 Điều 5 Luật An ninh mạng năm 2018); thu giữ phương tiện lưu trữ, truyền đưa, xử lý dữ liệu điện tử liên quan đến hoạt động xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian mạng được thực hiện theo quy định pháp luật (khoản 5 Điều 20 Nghị định số 53/2022/NĐ-CP); yêu cầu bên chuyển dữ liệu ra nước ngoài ngừng chuyển DLCN ra nước ngoài trong các trường hợp có vi phạm (khoản 8 Điều 25 Nghị định số 13/2023/NĐ-CP); yêu cầu ngừng xử lý DLCN của trẻ em, xóa không thể khôi phục hoặc hủy DLCN của trẻ em trong trường hợp có đủ căn cứ chứng minh việc xử lý DLCN gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em (khoản 3 Điều 20 Nghị định số 13/2023/NĐ-CP)…

Những biện pháp nói trên đều hướng đến việc ngăn chặn các hành vi vi phạm pháp luật liên quan đến DLCN, không để cho chúng tiếp diễn, gây ra những hậu quả đáng tiếc, đồng thời bảo đảm cho việc xử lý chúng diễn ra thuận lợi. Tuy nhiên, khó có thể thừa nhận đó là các biện pháp ngăn chặn và bảo đảm việc xử lý VPHC đúng nghĩa theo quan niệm của khoa học Luật Hành chính. Một mặt, vì chúng không được quy định trong Luật XLVPHC, hầu hết cũng không được quy định trong luật chuyên ngành, mà theo nguyên tắc, các biện pháp cưỡng chế tác động trực tiếp đến quyền và nghĩa vụ của các chủ thể phải được quy định bởi luật. Mặt khác, khá nhiều biện pháp trong đó có nội dung chồng lấn với hình thức xử phạt bổ sung hoặc biện pháp khắc phục hậu quả, song thời điểm áp dụng, trình tự, thủ tục, thẩm quyền áp dụng lại không được hướng dẫn rành mạch.

Chẳng hạn, biện pháp “thu giữ phương tiện lưu trữ, truyền đưa, xử lý dữ liệu điện tử liên quan đến hoạt động xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian mạng” quy định tại khoản 5 Điều 20 Nghị định số 53/2022/NĐ-CP là một ví dụ. Nó có thể được thừa nhận là biện pháp ngăn chặn và bảo đảm việc xử lý VPHC khi “thu giữ” đồng nghĩa với “tạm giữ” (khoản 3 Điều 119 Luật XLVPHC). Ngược lại, nó cũng có thể là hình thức xử phạt bổ sung nếu “thu giữ” đồng nghĩa với “tịch thu” (điểm d khoản 1 Điều 21 Luật XLVPHC).

Tương tự, biện pháp “đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin” (Điều 5 Luật An ninh mạng năm 2018) cũng gây băn khoăn đáng kể giữa việc nhận diện nó là một hình thức xử phạt, bao gồm cả hình thức xử phạt chính và hình thức xử phạt bổ sung theo điểm c khoản 1 Điều 21 Luật XLVPHC hay xem nó như một bước bắt buộc trong trình tự, thủ tục xử phạt VPHC (Bước “buộc chấm dứt hành vi vi phạm” - Điều 55 Luật XLVPHC). Điều này chẳng những không được khắc phục mà còn tiếp tục tái diễn trong Dự thảo Luật Bảo vệ DLCN, khi biện pháp “đình chỉ hoặc chấm dứt hoạt động” được dự kiến áp dụng đối với “tổ chức bảo vệ DLCN” nếu tổ chức này ở một trong các trường hợp: 1. Không bảo đảm các điều kiện kinh doanh dịch vụ tổ chức bảo vệ DLCN; 2. Chủ động đề nghị xin đình chỉ hoặc chấm dứt hoạt động; 3. Trong 24 tháng không thực hiện hoạt động kinh doanh dịch vụ Tổ chức bảo vệ DLCN; 4. Quá trình hoạt động, phát hiện hành vi sai phạm và không bảo đảm năng lực của Tổ chức bảo vệ DLCN[6]. Ở đây, hoàn toàn không có sự phân biệt rõ ràng giữa việc xem “đình chỉ hoặc chấm dứt hoạt động” của Tổ chức bảo vệ DLCN là một chế tài hành chính hay chỉ là một biện pháp quản lý thông thường.

Từ thực trạng nói trên, tác giả đề xuất một số kiến nghị sau:

Một, Luật XLVPHC cần quy định thêm các biện pháp ngăn chặn và bảo đảm xử lý VPHC, hoặc cần có quy định mở để tạo điều kiện cho luật chuyên ngành bổ sung một số biện pháp ngăn chặn và bảo đảm xử lý vi phạm pháp luật mới phù hợp với điều kiện đặc thù của môi trường số, trên cơ sở đó các chủ thể có thẩm quyền có thể phản ứng kịp thời và mạnh mẽ hơn trước yêu cầu cấp bách về bảo vệ DLCN.

Hai, Dự thảo Luật Bảo vệ DLCN cần quy định rõ nội dung, trình tự, thủ tục, thẩm quyền áp dụng các biện pháp ngăn chặn và bảo đảm việc xử lý VPHC liên quan đến DLCN. Đặc biệt, để tránh nhầm lẫn, nên điều chỉnh tên của biện pháp “thu giữ phương tiện lưu trữ, truyền đưa, xử lý dữ liệu điện tử liên quan đến hoạt động xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian mạng” (khoản 5 Điều 20 Nghị định số 53/2022/NĐ-CP) thành “tạm giữ phương tiện…” cho phù hợp với tính chất và mục đích của một biện pháp ngăn chặn (vốn đã được nêu tại khoản 3 Điều 119 Luật XLVPHC). Hoặc với biện pháp “đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin” (Điều 5 Luật An ninh mạng năm 2018) hay “đình chỉ hoặc chấm dứt hoạt động của Tổ chức bảo vệ DLCN” (khoản 5 Điều 37 Dự thảo Luật) nên quy định rõ trong trường hợp nào được áp dụng với tư cách một biện pháp ngăn chặn và bảo đảm xử lý VPHC, trường hợp nào áp dụng như một thủ tục bắt buộc đầu tiên trong trình tự, thủ tục xử phạt VPHC nói chung và VPHC về bảo vệ DLCN nói riêng.

Các VPHC trực tiếp xâm hại đến quyền bảo vệ DLCN được pháp luật hiện hành liệt kê trong nhóm các hành vi vi phạm an toàn thông tin mạng[7], bao gồm: 1. Các hành vi vi phạm quy định về thu thập, sử dụng thông tin cá nhân; 2. Các hành vi vi phạm quy định về cập nhật, sửa đổi và huỷ bỏ thông tin cá nhân; 3. Các hành vi vi phạm quy định về bảo vệ an toàn thông tin cá nhân trên mạng. Ngoài ra, một số hành vi tuy được liệt kê trong nhóm các VPHC về thương mại điện tử nhưng có liên quan đến vấn đề bảo vệ DLCN trong môi trường số. Ví dụ: hành vi không bảo đảm bí mật, an toàn trong việc lưu trữ thông tin liên quan đến nhân thân của tổ chức, cá nhân xin cấp chứng thư số (điểm b khoản 1 Điều 79 Nghị định số 15/2020/NĐ-CP); không lưu trữ bí mật những thông tin về nhân thân và khóa bí mật của thuê bao trong suốt thời gian tạm dừng chứng thư số (điểm d khoản 2 Điều 79 Nghị định số 15/2020/NĐ-CP); trộm cắp hoặc sử dụng trái phép thông tin về tài khoản, thẻ ngân hàng của tổ chức, cá nhân để chiếm đoạt, gây thiệt hại tài sản hoặc để thanh toán hàng hóa, dịch vụ có trị giá dưới 2.000.000 đồng (điểm c khoản 2 Điều 81 Nghị định số 15/2020/NĐ-CP); đánh cắp, tiết lộ, chuyển nhượng, bán các thông tin liên quan đến bí mật kinh doanh của thương nhân, tổ chức khác hoặc thông tin cá nhân của người tiêu dùng trong thương mại điện tử khi chưa được sự đồng ý của các bên liên quan[8]…

Có thể thấy, các VPHC về bảo vệ DLCN đã được xác định tương đối cụ thể. Tuy nhiên, chúng vẫn còn nằm tản mát trong một số văn bản quy phạm pháp luật khác nhau mà chưa được điều chỉnh thống nhất bởi một nghị định của Chính phủ. Đáng nói hơn, các hành vi vi phạm quy định về bảo vệ DLCN chưa được dự liệu và mô tả đầy đủ. Pháp luật mới chỉ xác định các VPHC thuộc 3 nhóm chủ yếu, tương ứng với ba loại hoạt động: thu thập, sử dụng thông tin cá nhân; cập nhật, sửa đổi và huỷ bỏ thông tin cá nhân; bảo vệ an toàn thông tin cá nhân trên mạng. Trong khi đó, các hành vi xâm hại quyền được bảo vệ DLCN trong môi trường số phong phú hơn nhiều, cần phải được gọi tên cụ thể, chính xác và toàn diện hơn. Chẳng hạn, Nghị định số 15/2020/NĐ-CP còn bỏ sót các hành vi vi phạm quy định về hạn chế quyền tiếp cận dữ liệu của các cá nhân, vi phạm quy định về xử lý DLCN sau khi chủ thể dữ liệu chết, về xử lý DLCN của trẻ em, về xử lý DLCN tự động, vi phạm quy định về xử lý DLCN phục vụ công tác nghiên cứu khoa học hoặc thống kê, vi phạm quy định về xử lý DLCN trong trường hợp không có sự đồng ý của chủ thể dữ liệu…

 Hiện nay, hình thức xử phạt chính duy nhất được áp dụng đối với các VPHC về bảo vệ DLCN là phạt tiền. Có nhiều khung tiền phạt khác nhau được phân hóa theo từng nhóm hành vi nhất định. Cụ thể: Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng(đối với các hành vi như:thu thập thông tin cá nhân khi chưa có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó; cung cấp thông tin cá nhân cho bên thứ ba khi chủ thể thông tin cá nhân đã yêu cầu ngừng cung cấp…); phạt tiền từ 20.000.000 đến 30.000.000 đồng(đối với các hành vi như:Không hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ; không cập nhật, sửa đổi, hủy bỏ thông tin cá nhân đã lưu trữ theo yêu cầu của chủ thể thông tin cá nhân hoặc không cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận để tự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của họ…); phạt tiền từ 30.000.000 đến 40.000.000 đồng(đối với hành viđánh cắp, tiết lộ, chuyển nhượng, bán các thông tin liên quan đến bí mật kinh doanh của thương nhân, tổ chức khác hoặc thông tin cá nhân của người tiêu dùng trong thương mại điện tử khi chưa được sự đồng ý của các bên liên quan); phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng(đối với các hành vi như:không áp dụng biện pháp quản lý hoặc biện pháp kỹ thuật theo quy định để bảo vệ thông tin cá nhân; không áp dụng ngay biện pháp khắc phục, ngăn chặn khi có nguy cơ xảy ra sự cố an toàn thông tin mạng…); phạt tiền từ 40.000.000 đồng đến 60.000.000 đồng(đối với các hành vi:Sử dụng không đúng mục đích thông tin cá nhân đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể thông tin cá nhân; cung cấp hoặc chia sẻ hoặc phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi chưa có sự đồng ý của chủ thông tin cá nhân; thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác…); phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng (đối với hành vi không áp dụng ngay biện pháp khắc phục, ngăn chặn trong khi xảy ra sự cố an toàn thông tin mạng); phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng(đối với hành vi trộm cắp hoặc sử dụng trái phép thông tin về tài khoản, thẻ ngân hàng của tổ chức, cá nhân để chiếm đoạt, gây thiệt hại tài sản hoặc để thanh toán hàng hóa, dịch vụ có trị giá dưới 2.000.000 đồng).

Từ các quy định nói trên có thể rút ra những nhận xét sau đây:

Một là, áp dụng hình thức phạt tiền đối với các VPHC liên quan đến DLCN là phù hợp, đặc biệt trong bối cảnh các DLCN được thu thập, khai thác, xử lý, mua bán như một loại hàng hóa trên không gian mạng. Tuy nhiên, sự đơn điệu về hình thức xử phạt chính sẽ không cho phép các chủ thể có thẩm quyền có cơ hội lựa chọn những hình thức xử phạt khác mà trong những tình huống nhất định hiệu quả áp dụng có thể sẽ cao hơn.

Hai là, so với mặt bằng chung ở Việt Nam, mức tiền phạt dành cho các hành vi VPHC liên quan đến DLCN không quá thấp, với mức tối thiểu là 10.000.000 đồng và mức tối đa 100.000.000 đồng. Tuy nhiên, nếu so với tính chất, mức độ nguy hiểm cho xã hội của hành vi, mức xử phạt nói trên còn khá nhẹ, chưa bảo đảm tính răn đe[9]. Chẳng hạn, theo điểm a khoản 1 Điều 84 Nghị định số 15/2020/NĐ-CP của Chính phủ, hành vi “cung cấp thông tin cho bên thứ ba khi chủ thể thông tin cá nhân đã yêu cầu ngừng cung cấp” chỉ bị phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với tổ chức, nghĩa là chỉ từ 5.000.000 đồng đến 10 triệu đồng đối với cá nhân. Hay, mặc dù đã được điều chỉnh theo hướng tăng gấp đôi khung tiền phạt “từ 20.000.000 đồng đến 30.000.000 đồng” lên “từ 40.000.000 đồng đến 60.000.000 đồng” đối với hành vi “thu thập, sử dụng, phát tán kinh doanh trái pháp luật thông tin cá nhân của người khác” (điểm c khoản 2 Điều 84 Nghị định số 15/2020/NĐ-CP) nhưng đây vẫn là mức xử phạt khiêm tốn. Trong khi đó, theo Quy định chung về bảo vệ DLCN của Liên minh châu Âu, mức tiền phạt đối với các hành vi vi phạm được xác định theo hai cách: (1) có thể lên đến 20 triệu Euro; (2) tương đương 4% doanh thu toàn cầu (tuỳ theo mức nào cao hơn)[10]. Như vậy, xét một cách tổng thể, tính răn đe của hình thức phạt tiền trong việc phòng, chống các vi phạm pháp luật liên quan đến DLCN ở Việt Nam hiện nay là chưa đủ mạnh mẽ.

Ba là, trong tình trạng chung của các quy định về hình thức phạt tiền ở Việt Nam[11], việc xác định mức tối thiểu, mức tối đa của khung tiền phạt đối với các hành vi VPHC liên quan đến DLCN còn khá cảm tính, dễ bị lạc hậu so với sự vận động của đời sống. Chẳng hạn, có những hành vi vi phạm khá giống nhau nhưng khung tiền phạt khác nhau. Cụ thể, theo khoản 2 Điều 84 Nghị định số 15/2020/NĐ-CP, hành vi “kinh doanh trái pháp luật thông tin cá nhân của người khác” bị phạt tiền từ 40.000.000 đồng đến 60.000.000 đồng. Trong khi đó, hành vi “chuyển nhượng, bán các thông tin liên quan đến thông tin cá nhân của người tiêu dùng trong thương mại điện tử khi chưa được sự đồng ý của các bên liên quan” chỉ bị phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng (theo điểm b khoản 5 Điều 63 Nghị định 98/2020/NĐ-CP của Chính phủ ngày 26/8/2020 quy định xử phạt VPHC trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng). Quả thực, rất khó để giải thích vì sao có sự chênh lệch đó. Hơn nữa, phương thức xác định tiền phạt thông qua việc xây dựng khung tiền phạt với những mức tối thiểu, tối đa cụ thể thường khiến cho khoản tiền phạt nhanh chóng trở nên lỗi thời trước sự biến động của giá cả và tình hình kinh tế - xã hội.

Hiện nay, có ba hình thức xử phạt bổ sung được áp dụng đối với một số hành vi VPHC liên quan đến DLCN. Đó là: trục xuất[12]; tịch thu tang vật, phương tiện VPHC[13] và đình chỉ hoạt động thương mại điện tử từ 06 tháng đến 12 tháng[14]. Rõ ràng, việc áp dụng các hình thức xử phạt bổ sung trên lĩnh vực bảo vệ DLCN chưa thực sự được chú trọng, số lượng các biện pháp được sử dụng khá ít và các trường hợp áp dụng cũng hạn chế. Điều này là khá đáng tiếc, trong điều kiện hình thức xử phạt chính chỉ là phạt tiền, mức phạt tiền chưa đủ nghiêm khắc mà các hình thức xử phạt bổ sung lại không có cơ hội được phát huy nhằm tăng cường thêm sức mạnh và tính răn đe cho hình thức xử phạt chính. Đây cũng là lời giải thích trước câu hỏi vì sao các vi phạm liên quan đến DLCN trong môi trường số vẫn khó được kiểm soát một cách hiệu quả ở nước ta suốt thời gian qua.

Hiện nay, bên cạnh các hình thức xử phạt, có 03 biện pháp khắc phục hậu quả được áp dụng đối với các hành vi vi phạm về bảo vệ DLCN. Đó là: 1. Buộc nộp lại số lợi bất hợp pháp có được[15]; 2.Buộc hủy bỏ thông tin cá nhân[16]; 3. Buộc thu hồi tên miền “.vn” của website thương mại điện tử hoặc buộc gỡ bỏ ứng dụng di động trên các kho ứng dụng hoặc trên các địa chỉ đã cung cấp[17]. Nhìn chung, các biện pháp nói trên được xác định tương thích với tính chất của các hành vi vi phạm và mức độ thiệt hại do hành vi đó gây ra. Song theo tác giả, trong khi các hành vi xâm hại đến quyền bảo vệ DLCN khá phong phú, đa dạng, kéo theo những hệ luỵ không dễ khắc phục trên nhiều phương diện, ảnh hưởng tiêu cực đến quyền riêng tư, quyền được bảo vệ bí mật đời tư, quyền được lãng quên và những quyền, lợi ích hợp pháp khác của cá nhân, chỉ 3 biện pháp khắc phục hậu quả được quy định và áp dụng là khá ít ỏi.

Từ thực trạng pháp luật về các biện pháp trách nhiệm hành chính áp dụng đối với các hành vi vi phạm liên quan đến DLCN, tác giả đề xuất một số kiến nghị sau:

Một, cần quy định đầy đủ, mô tả chính xác các hành vi VPHC trong lĩnh vực bảo vệ DLCN. Nên phân loại các hành vi vi phạm quy định về xử lý DLCN theo tính chất và nội dung của khách thể (ví dụ: vi phạm về quyền của chủ thể dữ liệu liên quan đến xử lý DLCN, vi phạm quy định về tiết lộ DLCN, vi phạm quy định về hạn chế quyền tiếp cận DLCN, vi phạm về xử lý DLCN của trẻ em, về xử lý DLCN tự động, vi phạm quy định về xử lý DLCN phục vụ công tác nghiên cứu khoa học hoặc thống kê, vi phạm quy định về xử lý DLCN trong trường hợp không có sự đồng ý của chủ thể dữ liệu…). Đồng thời, cần phải có sự mô tả cụ thể hơn đối với từng hành vi để làm cơ sở cho việc xử phạt được khách quan và chính xác.

Hai, cần quy định đa dạng hơn các hình thức xử phạt chính đối với các VPHC về xử lý DLCN. Trong đó, trên cơ sở Điều 21 Luật XLVPHC, nên bổ sung thêm các trường hợp áp dụng hình thức xử phạt chính là “tước quyền sử dụng giấy phép, chứng chỉ hành nghề có thời hạn”, “đình chỉ hoạt động có thời hạn”, “tịch thu tang vật, phương tiện VPHC” và “trục xuất”, thay vì chỉ có duy nhất phạt tiền là hình thức xử phạt chính như hiện nay. Đương nhiên, cần phải có những quy định cụ thể phù hợp với lĩnh vực đặc thù này. Chẳng hạn, Dự thảo Luật bảo vệ DLCN nên quy định hình thức xử phạt bổ sung: “đình chỉ xử lý DLCN” thay vì chỉ nêu “đình chỉ hoạt động” chung chung hoặc “tước quyền sử dụng văn bản đồng ý xử lý DLCN nhạy cảm và chuyển DLCN ra khỏi biên giới Việt Nam” thay vì chỉ là “tước quyền sử dụng giấy phép, chứng chỉ hành nghề” nói chung…

Ba, cần gia tăng mức tiền phạt đối với các hành vi VPHC liên quan đến DLCN. Trong thời gian tới, Chính phủ cần khẩn trương ban hành Nghị định riêng quy định về xử phạt VPHC trong lĩnh vực bảo vệ DLCN, trong đó trước mắt nên có sự điều chỉnh khung tiền phạt cho các nhóm hành vi nhất định theo hướng cao hơn. Nên quy định việc áp dụng mức tiền phạt tối đa của lĩnh vực cho một số hành vi xâm phạm quyền bảo vệ DLCN cần phải xử lý nghiêm. Chẳng hạn, hành vi không áp dụng biện pháp kỹ thuật và xây dựng quy định về bảo vệ DLCN; vi phạm quy định về đăng ký xử lý DLCN nhạy cảm, vi phạm quy định về xử lý DLCN của trẻ em; vi phạm quy định về chuyển DLCN qua biên giới… Tuy nhiên, về lâu dài, khi Luật XLVPHC được tiếp tục sửa đổi, Quốc hội cần có sự điều chỉnh mức phạt tiền tối đa của lĩnh vực để Chính phủ có thể xác định khung tiền phạt cho từng hành vi vi phạm quy định về xử lý DLCN cao hơn nữa. Đặc biệt, từ kinh nghiệm của Liên minh châu Âu, chúng ta nên đa dạng hóa phương thức xác định tiền phạt, không chỉ ấn định mức tiền phạt tối thiểu, tối đa trong một khung tiền phạt cụ thể mà có thể quy ước mức phạt tối đa đến bao nhiêu tháng lương tối thiểu (để tránh bị lạc hậu so với đời sống) và mức phạt tối đa đến bao nhiêu phần trăm của tổng doanh thu (chẳng hạn, “phạt tiền tối đa 5% tổng doanh thu của bên xử lý vi phạm DLCN tại Việt Nam”) đối với một số hành vi được xác định là vi phạm nhiều lần, tái phạm.

Bốn, cần tăng cường các trường hợp được áp dụng hình thức xử phạt bổ sung nhằm phát huy hiệu lực, sức mạnh, tính răn đe của chế tài hành chính trong việc xử lý các vi phạm pháp luật liên quan đến DLCN. Việc áp dụng kết hợp hình thức phạt tiền (hình thức xử phạt chính) với các hình thức “tước quyền sử dụng giấy phép, chứng chỉ hành nghề”, “đình chỉ hoạt động có thời hạn”, “tịch thu tang vật, phương tiện vi phạm” và “trục xuất” (hình thức xử phạt bổ sung) là hoàn toàn phù hợp với tính chất và hậu quả của các hành vi thu thập, khai thác, xử lý, kinh doanh trái phép DLCN trong môi trường số.

Năm, cần có sự nghiên cứu thấu đáo nhằm đa dạng hóa các biện pháp khắc phục hậu quả áp dụng đối với các hành vi vi phạm quy định về xử lý DLCN. Ngoài các biện pháp khắc phục hậu quả quy định tại Điều 28 Luật XLVPHC, Chính phủ có thể cân nhắc quy định thêm các biện pháp khắc phục hậu quả phù hợp với tính chất hành vi vi phạm quy định về bảo vệ DLCN và mức độ thiệt hại mà các chủ thể phải gánh chịu từ việc DLCN bị khai thác, thu thập, sử dụng trái pháp luật. Ví dụ, nên thừa nhận biện pháp “yêu cầu ngừng xử lý DLCN của trẻ em, xóa không thể khôi phục hoặc hủy DLCN của trẻ em trong trường hợp có đủ căn cứ chứng minh việc xử lý DLCN gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em, trừ trường hợp pháp luật có quy định khác” được nêu tại khoản 3 Điều 20 Nghị định số 13/2023/NĐ-CP là một biện pháp khắc phục hậu quả. Đồng thời, nên gia tăng các trường hợp áp dụng biện pháp khắc phục hậu quả, đặc biệt là các biện pháp khắc phục hậu quả mang tính kinh tế như “buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi VPHC”[18] để xử lý triệt để hơn tình trạng DLCN bị mua bán, chuyển nhượng trái pháp luật trong không gian mạng./.

 

---