1. Dữ liệu cá nhân là gì và tại sao cần bảo vệ dữ liệu cá nhân?
Theo khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP thì dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Việc xử lý dữ liệu cá nhân cần phù hợp với quy định pháp luật và bảo vệ dữ liệu cá nhân là cần thiết bởi vì nếu dữ liệu bị đánh cắp có thể gây ra những tổn thất tài chính nghiêm trọng, nguy cơ bị tống tiền, lừa đảo, chiếm đoạt tài sản, bôi nhọ, xâm phạm danh dự, nhân phẩm, xâm hại tình dục…, gây hậu quả cả về vật chất lẫn tinh thần, ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của chủ dữ liệu đó.
Ngoài ra, nhiều trường hợp tiêu cực liên quan đến dữ liệu cá nhân như:
– Lợi dụng sự chủ quan, lơ là và đánh vào tâm lý “hám lợi” của người dân, đề nghị cung cấp thông tin và sau đó chiếm đoạt dưới hình thức các chương trình khuyến mãi, bốc thăm trúng thưởng, mua hàng online, mini game có thưởng…
– Các cá nhân, doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán…Thậm chí để bán cho đối thủ của họ, ăn cắp mật khẩu của các tài khoản nhằm mục đích biển thủ tiền…
– Thời đại công nghệ, các ứng dụng ngày càng nhiều trên điện thoại yêu cầu người dùng phải đồng ý cấp một số quyền như: giám sát camera, danh bạ, quyền truy cập bộ nhớ,… thì mới có thể sử dụng nhằm mục đích thu thập thông tin cá nhân của người dùng, từ đó lợi dụng thông tin có được để thực hiện các hành vi phạm tội như lừa đảo chiếm đoạt tài sản…
Ngày nay công nghệ số phát triển mà dữ liệu cá nhân càng dễ dàng bị đánh cấp. Ở một số nước tiên tiến, dữ liệu cá nhân được xem như một loại tài sản. Ở Việt Nam cũng dần dần có những biện pháp, quy định chặt chẽ trong việc bảo vệ dữ liệu cá nhân, nâng cao tầm quan trọng của việc bảo vệ dữ liệu cá nhân.
2. Các biện pháp bảo vệ dữ liệu cá nhân
Biện pháp bảo vệ dữ liệu cá nhân được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.
Theo Điều 26 Nghị định 13/2023/NĐ-CP thì các biện pháp bảo vệ dữ liệu cá nhân, bao gồm:
- Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
- Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
- Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;
- Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;
- Các biện pháp khác theo quy định của pháp luật.
Như vậy, chủ dữ liệu cá nhân có thể áp dụng các biện pháp nêu trên để bảo vệ dữ liệu cá nhân của mình.
3. Bảo vệ dữ liệu cá nhân cơ bản
Việc bảo vệ dữ liệu cá nhân cơ bản được quy định tại Điều 27 Nghị định 13/2023/NĐ-CP. Theo đó, việc bảo vệ dữ liệu cá nhân cơ bản có thể áp dụng các biện pháp được quy định tại khoản 2 Điều 26 Nghị định 13/2023/NĐ-CP như:
- Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
- Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện;
- Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện theo quy định của Nghị định này và pháp luật có liên quan;
- Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;
- Các biện pháp khác theo quy định của pháp luật.
Ngoài các biện pháp nêu trên thì chủ dữ liệu cá nhân cơ bản cần:
- Xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định của Nghị định 13/2023/NĐ-CP.
- Khuyến khích áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân phù hợp với lĩnh vực, ngành nghề, hoạt động có liên quan tới xử lý dữ liệu cá nhân.
- Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.
4. Bảo vệ dữ liệu cá nhân nhạy cảm
Bảo vệ dữ liệu cá nhân nhạy cảm được quy định tại Điều 28 Nghị định 13/2023/NĐ-CP. Theo đó, việc bảo vệ dữ liệu cá nhân nhạy cảm có thể áp dụng các biện pháp được quy định tại khoản 2 Điều 26 và Điều 27 Nghị định 13/2023/NĐ-CP. Quý độc giả có thể tham khảo mục 2 và mục 3 bài viết này.
Ngoài ra, chủ dữ liệu cá nhân nhạy cảm có thể:
- Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.
- Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 và Điều 18 Nghị định 13/2023/NĐ-CP.
5. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân
Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân được quy định tại Điều 29 Nghị định 13/2023/NĐ-CP, cụ thể;
- Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an, có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân quy định như sau:
- Cung cấp thông tin về chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân;
- Tuyên truyền, phổ biến chính sách, pháp luật về bảo vệ dữ liệu cá nhân;
- Cập nhật thông tin, tình hình bảo vệ dữ liệu cá nhân;
- Tiếp nhận thông tin, hồ sơ, dữ liệu về hoạt động bảo vệ dữ liệu cá nhân qua không gian mạng;
- Cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan;
- Tiếp nhận thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân;
- Cảnh báo, phối hợp cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu cá nhân theo quy định của pháp luật;
- Xử lý vi phạm về bảo vệ dữ liệu cá nhân theo quy định của pháp luật;
- Thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.
6. Chế tài khi xử lý dữ liệu cá nhân không đúng pháp luật
Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.
Đối với hành vi vi phạm quy định về lưu trữ, cho thuê, truyền đưa, cung cấp, truy nhập, thu thập, xử lý, trao đổi và sử dụng thông tin bị xử phạt theo Điều 102 Nghị định 15/2020/NĐ-CP, cụ thể:
“1. Phạt tiền từ 2.000.000 đồng đến 5.000.000 đồng đối với hành vi lưu trữ thông tin cá nhân của người khác thu thập được trên môi trường mạng vượt quá thời gian quy định của pháp luật hoặc theo thỏa thuận giữa hai bên.
2. Phạt tiền từ 5.000.000 đồng đến 10.000.000 đồng đối với một trong các hành vi sau:
a) Không chấm dứt việc cho thuê chỗ lưu trữ thông tin số trong trường hợp tự mình phát hiện hoặc được cơ quan nhà nước có thẩm quyền thông báo cho biết thông tin đang được lưu trữ là trái pháp luật;
b) Không chấm dứt việc cung cấp cho tổ chức, cá nhân khác công cụ tìm kiếm đến các nguồn thông tin số trong trường hợp tự mình phát hiện hoặc được cơ quan nhà nước có thẩm quyền thông báo cho biết nguồn thông tin số đó là trái pháp luật;
c) Không kiểm tra lại, đính chính hoặc hủy bỏ thông tin cá nhân của người khác lưu trữ trên môi trường mạng trong quá trình thu thập, xử lý, sử dụng thông tin khi có yêu cầu của chủ sở hữu thông tin đó;
d) Cung cấp hoặc sử dụng thông tin cá nhân chưa được đính chính khi có yêu cầu đính chính của chủ sở hữu thông tin đó;
đ) Cung cấp hoặc sử dụng thông tin cá nhân khi đã có yêu cầu hủy bỏ của chủ sở hữu thông tin đó.
3. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:
a) Truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép thông tin, hệ thống thông tin;
b) Không thực hiện các biện pháp cần thiết để ngăn chặn việc truy nhập thông tin hoặc loại bỏ thông tin trái pháp luật theo yêu cầu của cơ quan nhà nước có thẩm quyền khi truyền đưa hoặc cho thuê chỗ lưu trữ thông tin số;
c) Không thực hiện yêu cầu của cơ quan nhà nước có thẩm quyền về việc xác định danh sách chủ sở hữu thuê chỗ lưu trữ thông tin số;
d) Không bảo đảm bí mật thông tin của tổ chức, cá nhân thuê chỗ lưu trữ thông tin số trừ các trường hợp cung cấp theo yêu cầu của cơ quan nhà nước có thẩm quyền;
đ) Không thực hiện các biện pháp quản lý, kỹ thuật cần thiết để bảo đảm thông tin cá nhân không bị mất, đánh cắp, tiết lộ, thay đổi hoặc phá hủy khi thu thập, xử lý và sử dụng thông tin cá nhân của người khác trên môi trường mạng;
e) Thu thập, xử lý và sử dụng thông tin của tổ chức, cá nhân khác mà không được sự đồng ý hoặc sai mục đích theo quy định của pháp luật;
g) Cung cấp, trao đổi, truyền đưa hoặc lưu trữ, sử dụng thông tin số nhằm đe dọa, quấy rối, xuyên tạc, vu khống, xúc phạm uy tín của tổ chức, danh dự, nhân phẩm, uy tín của người khác;
h) Cung cấp, trao đổi, truyền đưa hoặc lưu trữ, sử dụng thông tin số nhằm quảng cáo, tuyên truyền hàng hóa, dịch vụ thuộc danh mục bị cấm;
i) Ngăn chặn trái pháp luật việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng;
k) Không tiến hành theo dõi, giám sát thông tin số của tổ chức, cá nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền;
l) Không hợp tác, phối hợp điều tra các hành vi vi phạm pháp luật xảy ra trong quá trình truyền đưa hoặc lưu trữ thông tin số của tổ chức, cá nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền;
m) Tiết lộ thông tin thuộc danh mục bí mật nhà nước, đời sống riêng tư, bí mật cá nhân, bí mật gia đình mà chưa đến mức truy cứu trách nhiệm hình sự;
n) Giả mạo tổ chức, cá nhân và phát tán thông tin giả mạo, thông tin sai sự thật xâm hại đến quyền và lợi ích hợp pháp của tổ chức, cá nhân;
o) Chiếm đoạt thư, điện báo, telex, fax hoặc văn bản khác của người khác được truyền đưa trên mạng dưới bất kỳ hình thức nào;
p) Cố ý lấy các thông tin, nội dung của thư, điện báo, telex, fax hoặc văn bản khác của người khác được truyền đưa trên mạng;
q) Nghe, ghi âm cuộc đàm thoại trái pháp luật;
r) Thu giữ thư, điện báo, điện tín trái pháp luật.
4. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không đảm bảo bí mật thông tin riêng chuyển qua mạng viễn thông công cộng hoặc tiết lộ thông tin riêng liên quan đến người sử dụng dịch vụ viễn thông;
b) Cung cấp, trao đổi, truyền đưa, lưu trữ, sử dụng thông tin, dịch vụ có nội dung đánh bạc hoặc phục vụ đánh bạc; dâm ô, đồi trụy, mê tín dị đoan, trái đạo đức, thuần phong mỹ tục của dân tộc.
5. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông;
b) Che giấu tên, địa chỉ điện tử của mình hoặc giả mạo tên, địa chỉ điện tử của tổ chức, cá nhân khác khi gửi thư điện tử, tin nhắn.
6. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với hành vi cung cấp, trao đổi, truyền đưa hoặc lưu trữ, sử dụng thông tin số để tuyên truyền sai trái, không đúng sự thật về chủ quyền lãnh thổ quốc gia Việt Nam.
7. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Tuyên truyền, kích động bạo lực; truyền bá tư tưởng phản động mà chưa đến mức truy cứu trách nhiệm hình sự;
b) Cung cấp thông tin, hình ảnh vi phạm chủ quyền quốc gia; xuyên tạc sự thật lịch sử, phủ nhận thành tựu cách mạng; xúc phạm dân tộc, danh nhân, anh hùng dân tộc mà chưa đến mức truy cứu trách nhiệm hình sự.
8. Hình thức xử phạt bổ sung:
a) Tước quyền sử dụng Giấy phép thiết lập mạng xã hội từ 22 tháng đến 24 tháng đối với hành vi vi phạm quy định tại các khoản 5, 6 và 7 Điều này;
b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại các điểm b, g, h và q khoản 3, điểm a khoản 4 và khoản 7 Điều này.
9. Biện pháp khắc phục hậu quả:
a) Buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại điểm b khoản 4 và điểm a khoản 5 Điều này;
b) Buộc thu hồi đầu số, kho số viễn thông do thực hiện hành vi vi phạm quy định tại điểm b khoản 4 Điều này;
c) Buộc thu hồi tên miền do thực hiện hành vi vi phạm quy định tại điểm b khoản 3 Điều này;”
Ngoài mức phạt hành chính nêu trên, việc xử lý dữ liệu cá nhân không đúng pháp luật còn có thể bị truy cứu trách nhiệm hình sự về tội phạm trong lĩnh vực công nghệ thông tin, mạng viễn thông được quy định tại Mục 2 Chương XXI Bộ luật Hình sự 2015 sửa đổi bổ sung 2017.
Trên đây là bài viết về các biện pháp bảo vệ dữ liệu cá nhân. Hy vọng sẽ giúp bạn có những kiến thức pháp lý hữu ích. Bạn còn vướng mắc, cần được giải đáp, đặc biệt các vấn đề về dữ liệu cá nhân, đừng ngần ngại liên hệ ngay Apolat Legal để được tư vấn và hỗ trợ tốt nhất.
Khuyến cáo:
Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.
Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.
Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Sở hữu trí tuệ. Vui lòng tham khảo về dịch vụ của chúng tôi Sở hữu trí tuệ và liên hệ với đội ngũ luật sư tại Viêt Nam của chúng tôi thông qua email info@apolatlegal.com.