Đề xuất cân nhắc mức phạt 1-5% doanh thu vi phạm dữ liệu cá nhân

Dự thảo Luật Bảo vệ dữ liệu cá nhân được trình Quốc hội ngày 5/5/2025, với mức phạt hành chính 1-5% doanh thu gây tranh luận về tính khả thi.

• Bộ Công an đề xuất phạt tới 5% doanh thu nếu vi phạm quy định về bảo vệ dữ liệu cá nhân
• Đường dây mua bán gần 56 triệu dữ liệu cá nhân

Chiều ngày 5/5, Phó Thủ tướng Lê Thành Long trình bày tờ trình dự thảo Luật Bảo vệ dữ liệu cá nhân. Dự thảo do Bộ Công an soạn thảo, gồm 7 chương, 68 điều, quy định về bảo vệ dữ liệu cá nhân và trách nhiệm của các cơ quan, tổ chức, cá nhân liên quan.

Dự thảo luật nhằm hoàn thiện khung pháp lý, bảo đảm quyền công dân liên quan đến dữ liệu cá nhân, đồng thời thúc đẩy sử dụng dữ liệu đúng pháp luật để phát triển kinh tế – xã hội, chuyển đổi số và kinh tế số.

Theo Phó Thủ tướng, hiện có 69 văn bản quy phạm pháp luật liên quan đến bảo vệ dữ liệu cá nhân, nhưng chưa thống nhất về khái niệm và nội hàm. Nghị định số 13/2023/NĐ-CP là văn bản đầu tiên định nghĩa rõ các khái niệm này.

Thực tế cho thấy nhiều tổ chức, doanh nghiệp thu thập dữ liệu cá nhân vượt quá nhu cầu kinh doanh, thiếu cơ sở pháp lý, hoặc không có sự đồng ý của chủ thể dữ liệu. Hoạt động mua bán dữ liệu cá nhân diễn ra phức tạp, với các hình thức như rao bán dữ liệu số lượng lớn, có tổ chức, hoặc tấn công hệ thống để chiếm đoạt dữ liệu. Bộ Công an đã phát hiện và xử lý một số đường dây mua bán dữ liệu quy mô lớn, với hàng nghìn GB dữ liệu, bao gồm cả dữ liệu nhạy cảm.

Dự thảo luật đưa ra 7 nguyên tắc bảo vệ dữ liệu cá nhân, gồm hợp pháp, minh bạch, đúng mục đích, hạn chế, chính xác, an ninh và giới hạn thời gian lưu trữ. Các quy định cũng bao gồm điều kiện bảo vệ dữ liệu cho tổ chức kinh doanh dịch vụ xử lý dữ liệu, yêu cầu đánh giá tác động và chuyển dữ liệu ra nước ngoài.

Trình bày báo cáo thẩm tra, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới đồng ý với sự cần thiết ban hành luật để bảo vệ quyền dữ liệu cá nhân, ngăn ngừa xâm phạm và nâng cao trách nhiệm của các bên liên quan. Tuy nhiên, ủy ban đề nghị giới hạn phạm vi điều chỉnh để tránh trùng lặp với Luật Dữ liệu và các luật chuyên ngành khác.

Về xử lý vi phạm, dự thảo quy định mức phạt hành chính từ 1% đến 5% doanh thu năm liền trước của tổ chức, doanh nghiệp vi phạm bảo vệ dữ liệu cá nhân. Ủy ban cho rằng mức phạt này quá nặng và không khả thi, đặc biệt với doanh nghiệp mới thành lập hoặc không có lợi nhuận. Một số ý kiến đề xuất phân loại hành vi vi phạm để có mức phạt phù hợp, thay vì dựa trên doanh thu.

Về hành vi nghiêm cấm, dự thảo cấm “mua, bán dữ liệu cá nhân”, nhưng một số ý kiến đề nghị làm rõ khái niệm này hoặc sửa thành “mua, bán dữ liệu cá nhân trái pháp luật” để tránh ảnh hưởng đến hoạt động kinh doanh hợp pháp. Ủy ban cũng đề nghị bổ sung các hành vi cấm theo từng nhóm hoạt động và chủ thể.

Liên quan đến quyền của chủ thể dữ liệu, một số quy định được cho là tuyệt đối hóa quyền, có thể gây khó khăn cho tổ chức xử lý dữ liệu. Quy định yêu cầu xử lý, chỉnh sửa hoặc xóa dữ liệu trong 72 giờ sau yêu cầu của chủ thể cũng bị đánh giá là không phù hợp với thông lệ quốc tế và thiếu tính khả thi.

Ủy ban đề nghị rà soát các quy định về chuyên gia bảo vệ dữ liệu cá nhân, tổ chức bảo vệ dữ liệu, và xếp hạng tín nhiệm để đơn giản hóa thủ tục hành chính và điều kiện kinh doanh. Dự thảo luật được Chính phủ đề xuất xem xét và thông qua tại kỳ họp này.