Tại phiên họp Ủy ban Thường vụ Quốc hội cho ý kiến luật Bảo vệ dữ liệu cá nhân sáng 5/6, Thứ trưởng Công an Lê Quốc Hùng nhấn mạnh nhiều hành vi vi phạm trong lĩnh vực dữ liệu cá nhân gây hậu quả nghiêm trọng, đặc biệt khi xảy ra ở các doanh nghiệp công nghệ, tập đoàn đa quốc gia. "Nếu mức phạt quá nhẹ, họ sẵn sàng nộp phạt để đổi lấy lợi nhuận hàng nghìn tỷ đồng", ông nói.
Dẫn kinh nghiệm quốc tế, ông Hùng cho biết nhiều nước như Mỹ, EU, Singapore áp dụng mức phạt theo phần trăm doanh thu, có thể lên tới 600 tỷ đồng (quy đổi). Dự thảo luật đề xuất mức phạt hành chính tối đa là 3 tỷ đồng, có thể tăng đến 10 lần khoản thu bất hợp pháp. Với hành vi chuyển dữ liệu cá nhân ra nước ngoài, mức phạt có thể lên đến 5% doanh thu năm trước đó. Cá nhân vi phạm có thể bị phạt tối đa bằng một nửa mức của tổ chức.
Ngoài phạt tiền, Thứ trưởng Hùng cho biết dự luật giao Chính phủ quy định chi tiết các hình thức xử phạt không bằng tiền, cũng như phương pháp tính khoản thu trái pháp luật.
"Dữ liệu cá nhân gắn với quyền con người, quyền riêng tư nên không thể coi là hàng hóa thông thường. Việc khai thác phải đi đôi với bảo vệ ở mức cao nhất", ông nói, đồng thời khẳng định Chính phủ đề nghị giữ quy định cấm mua bán dữ liệu cá nhân để phù hợp thông lệ quốc tế.
Thứ trưởng Công an Lê Quốc Hùng. Ảnh: Phạm Thắng
Đại diện cơ quan thẩm tra, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới cho biết tùy theo tính chất, mức độ, hậu quả, dự luật quy định người vi phạm bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường.
Do tính chất và hậu quả nghiêm trọng của hành vi, ông Tới đồng tình cần quy định mức phạt cao hơn để bảo đảm tính răn đe đối với doanh nghiệp lớn, đặc biệt là các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng nghìn tỷ đồng.
Tuy nhiên, Phó chủ nhiệm Ủy ban Pháp luật và Tư pháp Nguyễn Trường Giang cho rằng cần cân nhắc mức phạt 5% doanh thu của doanh nghiệp năm liền trước. Ông dẫn ví dụ: Viettel đạt gần 190.000 tỷ đồng doanh thu, VNPT hơn 58.000 tỷ và MobiFone khoảng 23.500 tỷ. "Phạt 5% là con số rất lớn", ông nhận xét.
Hiện nay, Nghị định 13/2023 quy định mức phạt 50-70 triệu đồng cho nhiều hành vi vi phạm liên quan đến dữ liệu cá nhân. Các hành vi này bao gồm việc xử lý dữ liệu trái pháp luật; khi chủ thể dữ liệu không được thông báo hoặc không được biết về hoạt động xử lý dữ liệu của mình; thu thập dữ liệu không phù hợp, vượt quá giới hạn, hoặc cập nhật, bổ sung trái mục đích. Ngoài ra, mức phạt này cũng áp dụng nếu Bên Kiểm soát và xử lý dữ liệu cá nhân không ngăn chặn, hạn chế tiết lộ thông tin hoặc tiếp tục sử dụng dữ liệu cho mục đích quảng cáo, tiếp thị dù đã bị chủ thể dữ liệu phản đối.
Bên cạnh phạt tiền, Nghị định còn áp dụng các hình phạt bổ sung như tước quyền sử dụng giấy phép kinh doanh đối với ngành nghề yêu cầu thu thập dữ liệu cá nhân, tịch thu tang vật, phương tiện vi phạm, hoặc tạm đình chỉ/đình chỉ hoạt động 1-3 tháng.
Dự thảo Luật Bảo vệ dữ liệu cá nhân quy định điều kiện bảo vệ dữ liệu đối với các tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân; nghiêm cấm mua bán dữ liệu cá nhân dưới mọi hình thức. Dự luật siết chặt hoạt động thu thập, sử dụng, chuyển giao dữ liệu cá nhân; đồng thời bổ sung nhiều chế tài xử phạt nghiêm khắc với hành vi vi phạm. Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân, giao Bộ Công an là cơ quan đầu mối, chịu trách nhiệm chính trong lĩnh vực này.
Dự kiến, Quốc hội thông qua dự án Luật Bảo vệ dữ liệu cá nhân vào ngày 23/6.
Sơn Hà