Dữ liệu cá nhân đang trở thành một trong những tài sản có giá trị lớn nhất trong nền kinh tế số. Từ số điện thoại, email, thông tin định danh, lịch sử giao dịch đến hành vi tiêu dùng, gần như mọi hoạt động trên môi trường số đều để lại dấu vết dữ liệu. Vì vậy, việc siết chế tài với các hành vi thu thập, xử lý, mua bán và làm lộ dữ liệu cá nhân không còn là câu chuyện mang tính kỹ thuật đơn thuần, mà đã trở thành yêu cầu quản trị bắt buộc đối với tổ chức, doanh nghiệp và cá nhân tham gia môi trường số.

Ảnh minh họa.

Theo dự thảo, các tổ chức, cá nhân kinh doanh dịch vụ quảng cáo có thể bị phạt từ 50 đến 70 triệu đồng nếu sử dụng dữ liệu cá nhân ngoài phạm vi được phép; không thiết lập cơ chế để người dùng từ chối chia sẻ dữ liệu; không quy định thời gian lưu trữ hoặc không xóa dữ liệu khi không còn cần thiết. Đây là nhóm hành vi khá phổ biến hiện nay, khi nhiều nền tảng số, ứng dụng và hệ thống quảng cáo vẫn khai thác dữ liệu người dùng theo hướng càng thu thập được nhiều càng tốt, trong khi người dùng không thực sự biết dữ liệu của mình được sử dụng tới đâu và vào mục đích gì.

Điểm đáng chú ý là cơ quan soạn thảo không chỉ đề xuất xử phạt theo từng hành vi vi phạm, mà còn gắn mức phạt với yếu tố tái phạm và quy mô dữ liệu bị ảnh hưởng. Nếu để lộ dữ liệu cá nhân của từ 100.000 đến dưới 1 triệu người, mức phạt có thể tăng gấp đôi. Nếu số lượng bị ảnh hưởng từ 1 triệu đến dưới 5 triệu người, mức phạt tăng gấp 5 lần. Đặc biệt, nếu vi phạm liên quan tới từ 5 triệu công dân trở lên, mức phạt có thể lên tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam. Cách tiếp cận này cho thấy dữ liệu cá nhân đang được nhìn nhận như một loại tài sản cần bảo vệ nghiêm ngặt, và trách nhiệm của tổ chức xử lý dữ liệu phải tương xứng với mức độ ảnh hưởng mà vi phạm gây ra.

Siết mạnh hành vi mua bán, chuyển giao, khai thác dữ liệu trái phép

Không chỉ riêng lĩnh vực quảng cáo, dự thảo còn đề xuất mức phạt tương tự, từ 50 đến 70 triệu đồng, với hành vi thu thập, chuyển giao, mua bán trái phép dữ liệu cá nhân. Các vi phạm được nêu gồm chuyển giao dữ liệu trái phép, mua bán dữ liệu chưa đến mức truy cứu trách nhiệm hình sự, hoặc thiết lập hệ thống kỹ thuật để thu thập dữ liệu trái phép. Đây là vấn đề đang gây bức xúc lớn, bởi tình trạng dữ liệu cá nhân bị rao bán, trao đổi hoặc sử dụng trái phép để phục vụ quảng cáo, tiếp thị, mạo danh và lừa đảo trên không gian mạng vẫn diễn ra khá phổ biến.

Một điểm mới đáng chú ý là dự thảo cũng bổ sung nội dung xử phạt đối với hành vi sử dụng dữ liệu cá nhân để phát triển, huấn luyện hoặc vận hành hệ thống trí tuệ nhân tạo trái quy định. Quy định này phản ánh thực tế AI đang mở rộng rất nhanh trong nhiều lĩnh vực, kéo theo nhu cầu khai thác dữ liệu ở quy mô lớn. Nếu không có ranh giới pháp lý rõ ràng, dữ liệu cá nhân có thể bị sử dụng vượt quá phạm vi đồng ý của người dùng hoặc bị khai thác theo cách mà chính chủ thể dữ liệu không hề hay biết.

Bên cạnh đó, dự thảo cũng đề xuất phạt từ 50 đến 70 triệu đồng đối với hành vi không lập hoặc không lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân; không gửi Bộ Công an một bản chính theo mẫu quy định trong thời hạn 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân; hoặc không chấp hành yêu cầu chỉnh sửa, hoàn thiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Đây là nhóm nghĩa vụ thường bị nhiều đơn vị xem là thủ tục hành chính, nhưng thực tế lại là căn cứ quan trọng để chứng minh tổ chức đã đánh giá rủi ro và có biện pháp kiểm soát trước khi xử lý dữ liệu.

Với hành vi vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài, dự thảo đề xuất mức phạt từ 70 đến 100 triệu đồng nếu không lập hồ sơ đánh giá tác động, không gửi hồ sơ tới cơ quan chức năng hoặc không thực hiện đầy đủ nghĩa vụ thông báo, kiểm tra theo quy định. Nếu làm lộ, mất hoặc chuyển dữ liệu của từ 100.000 đến dưới 1 triệu người ra nước ngoài, mức phạt tăng gấp đôi; từ 1 triệu đến dưới 5 triệu người tăng gấp 5 lần; còn nếu liên quan tới trên 5 triệu công dân, mức phạt có thể từ 3 đến 5% tổng doanh thu năm tài chính liền trước tại Việt Nam. Đây là quy định có tác động lớn tới các doanh nghiệp công nghệ, nền tảng số và các đơn vị sử dụng hạ tầng xuyên biên giới để xử lý dữ liệu.

Không chỉ phạt tiền, tổ chức vi phạm còn có thể bị đình chỉ, tước giấy phép

Ngoài phạt tiền, dự thảo còn đề xuất nhiều hình thức xử phạt bổ sung như tước giấy phép kinh doanh từ 1 đến 3 tháng, đình chỉ hoạt động xử lý dữ liệu cá nhân, tịch thu tang vật, phương tiện vi phạm. Với cá nhân là người nước ngoài vi phạm, còn có thể bị áp dụng biện pháp trục xuất. Đồng thời, các biện pháp khắc phục hậu quả cũng được đặt ra như buộc xóa dữ liệu không thể khôi phục, hoàn trả lợi nhuận bất hợp pháp và công khai xin lỗi. Điều này cho thấy cơ quan soạn thảo không chỉ muốn xử phạt hành vi đã xảy ra, mà còn muốn chặn khả năng tiếp tục vi phạm và buộc chủ thể vi phạm phải chịu trách nhiệm thực chất.

Tại Điều 69 dự thảo, các hành vi như không triển khai biện pháp bảo vệ dữ liệu cá nhân theo quy định; không xây dựng, ban hành quy định nội bộ về bảo vệ dữ liệu; không thực hiện kiểm tra an ninh mạng đối với hệ thống, thiết bị trước khi xử lý dữ liệu; hoặc không bảo đảm việc xóa, hủy dữ liệu một cách an toàn cũng bị đề xuất phạt từ 50 đến 70 triệu đồng. Riêng với dữ liệu cá nhân nhạy cảm, mức phạt cao hơn, từ 70 đến 90 triệu đồng, nếu tổ chức không chỉ định bộ phận chuyên trách, không bố trí nhân sự phụ trách bảo vệ dữ liệu hoặc không thông báo thông tin liên quan tới cơ quan chức năng.

Từ góc độ quản lý, điểm đáng chú ý nhất của dự thảo là chuyển mạnh từ tư duy nhắc nhở, xử phạt tượng trưng sang tư duy buộc tổ chức phải coi bảo vệ dữ liệu là nghĩa vụ cốt lõi trong quản trị. Với doanh nghiệp, dữ liệu cá nhân không thể tiếp tục bị xem là “tài nguyên miễn phí” để khai thác vô điều kiện. Khi mức phạt gắn với doanh thu và quy mô vi phạm, rủi ro pháp lý sẽ trở thành áp lực thực sự đối với cả bộ máy quản trị, chứ không chỉ dừng ở bộ phận kỹ thuật hay pháp chế.

Với người dân, dự thảo cũng gửi đi thông điệp rõ ràng rằng dữ liệu cá nhân cần được nhìn nhận như tài sản phải được bảo vệ. Trong bối cảnh dữ liệu bị khai thác ngày càng sâu cho quảng cáo, tiếp thị, phân tích hành vi, trí tuệ nhân tạo và nhiều mô hình kinh doanh số khác, việc hoàn thiện hành lang pháp lý và nâng mức chế tài là bước đi cần thiết để tăng sức răn đe, buộc các chủ thể tham gia môi trường số phải minh bạch và có trách nhiệm hơn.

Thu Uyên