Đề xuất quy định xử phạt vi phạm hành chính trong lĩnh vực dữ liệu

Dự thảo Nghị định này quy định về hành vi vi phạm hành chính, hình thức xử phạt, mức xử phạt, biện pháp khắc phục hậu quả đối với từng hành vi vi phạm hành chính, đối tượng bị xử phạt, thẩm quyền lập biên bản và thẩm quyền xử phạt, mức phạt tiền cụ thể theo từng chức danh đối với hành vi vi phạm hành chính trong lĩnh vực dữ liệu. 

Các hành vi vi phạm hành chính khác liên quan đến lĩnh vực dữ liệu không được quy định tại Nghị định này thì áp dụng theo quy định về xử phạt vi phạm hành chính trong lĩnh vực quản lý nhà nước có liên quan để xử phạt.

Thời hiệu xử phạt vi phạm hành chính 

Dự thảo Nghị định này quy định thời hiệu xử phạt vi phạm hành chính trong lĩnh vực dữ liệu là 01 năm. Thời điểm để tính thời hiệu phạt vi phạm hành chính được quy định như sau:

- Đối với hành vi vi phạm hành chính đã kết thúc thì thời hiệu được tính từ thời điểm chấm dứt hành vi vi phạm;

- Đối với hành vi vi phạm hành chính đang thực hiện thì thời hiệu được tính từ thời điểm người có thẩm quyền thi hành công vụ phát hiện hành vi vi phạm;

- Trường hợp xử phạt vi phạm hành chính đối với cơ quan, tổ chức, cá nhân do người có thẩm quyền lập biên bản vi phạm hành chính chuyển đến thì thời hiệu xử phạt được áp dụng theo quy định tại khoản 1 Điều này và các điểm a và b khoản này tính đến thời điểm ra quyết định xử phạt vi phạm hành chính.

Hình thức xử phạt, biện pháp khắc phục hậu quả 

Tại Điều 4, hình thức xử phạt hành chính trong lĩnh vực dữ liệu bao gồm: Cảnh cáo; Phạt tiền. Căn cứ vào tính chất, mức độ vi phạm, cá nhân, tổ chức vi phạm hành chính trong lĩnh vực dữ liệu còn có thể bị áp dụng một hoặc nhiều hình thức xử phạt bổ sung như: Tước quyền sử dụng giấy chứng nhận, chứng chỉ hành nghề có thời hạn; Đình chỉ hoạt động có thời hạn; Tịch thu tang vật vi phạm hành chính, phương tiện được sử dụng để vi phạm hành chính (sau đây gọi chung là tang vật, phương tiện vi phạm hành chính); Trục xuất.

Đồng thời quy định hàng loạt biện pháp khắc phục hậu quả như: Buộc xóa, tiêu hủy toàn bộ dữ liệu đã thu thập, xử lý, khai thác, chia sẻ, sử dụng; mua bán, giao dịch trái phép; Buộc khôi phục lại trạng thái ban đầu của cơ sở dữ liệu, hệ thống thông tin phục vụ quản lý, xử lý, quản trị, bảo vệ dữ liệu; Buộc thực hiện khắc phục, gia cố, nâng cấp hệ thống bảo mật, an toàn thông tin dữ liệu; Buộc khôi phục dữ liệu bị mất, khôi phục tính toàn vẹn và khả năng hoạt động của cơ sở dữ liệu, hệ thống thông tin phục vụ quản lý, xử lý, quản trị, bảo vệ dữ liệu...

Vi phạm quy định về các hành vi bị nghiêm cấm trong lĩnh vực dữ liệu

Điều 8 dự thảo Nghị định quy định phạt tiền từ 20.000.000 đồng đến 40.000.000 đồng đối với một trong các hành vi:

- Cản trở hoặc ngăn chặn trái pháp luật quá trình xử lý dữ liệu, quản trị dữ liệu;

- Tấn công, chiếm đoạt, phá hoại cơ sở dữ liệu, hệ thống thông tin phục vụ quản lý, xử lý, quản trị, bảo vệ dữ liệu;

- Giả mạo, cố ý làm sai lệch, làm mất, làm hư hỏng dữ liệu trong cơ sở dữ liệu của cơ quan Đảng, Nhà nước, Ủy ban Mặt trận Tổ quốc Việt Nam và các tổ chức chính trị - xã hội.

- Cố ý cung cấp dữ liệu sai lệch hoặc không cung cấp dữ liệu theo quy định của pháp luật.

Vi phạm quy định về thu thập, tạo lập dữ liệu

Phạt tiền từ 20.000.000 đồng đến 40.000.000 đồng đối với một trong những hành vi: Thu thập, tạo lập dữ liệu mà không được sự đồng ý của chủ thể dữ liệu, chủ sở hữu dữ liệu hoặc không có căn cứ pháp lý rõ ràng; Thu thập, tạo lập dữ liệu làm sai lệch nguồn gốc, thời gian, nội dung dữ liệu gốc; Thu thập, tạo lập dữ liệu giả mạo, không đúng sự thật hoặc không có mục đích rõ ràng, không thông báo, không đăng ký với cơ quan có thẩm quyền theo quy định; Sử dụng thủ đoạn gian dối, lừa đảo, che giấu thông tin để thu thập, tạo lập dữ liệu; Không tuân thủ quy trình thu thập, tạo lập dữ liệu do cơ quan có thẩm quyền ban hành.

Phạt tiền từ 40.000.000 đồng đến 70.000.000 đồng nếu có một trong các tình tiết: Thu thập, tạo lập dữ liệu vượt quá phạm vi, mục đích đã thông báo hoặc ảnh hưởng đến nhiều cơ quan, tổ chức, cá nhân; Dữ liệu thuộc danh mục dữ liệu cốt lõi, dữ liệu quan trọng quốc gia, dữ liệu nhạy cảm; Hành vi vi phạm gây ra hậu quả nghiêm trọng như rò rỉ thông tin nhạy cảm, làm ảnh hưởng đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân hoặc an ninh quốc gia.

Vi phạm quy định về lưu trữ dữ liệu

Điều 11 dự thảo Nghị định quy định rõ phạt tiền từ 10.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi không quy định thời hạn lưu trữ dữ liệu theo yêu cầu pháp luật và theo tính chất của dữ liệu thu thập, tạo lập; không ban hành quy trình kỹ thuật, quy trình nội bộ về lưu trữ dữ liệu thuộc phạm vi quản lý; lưu trữ dữ liệu không bảo đảm an toàn, không tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật hoặc không phù hợp với yêu cầu bảo vệ dữ liệu của cơ quan có thẩm quyền; không thực hiện cập nhật, duy trì, kiểm tra định kỳ dữ liệu đang lưu trữ theo yêu cầu quản trị dữ liệu của cơ quan nhà nước.

Phạt tiền từ 30.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi: lưu trữ dữ liệu cốt lõi hoặc dữ liệu quan trọng trên hạ tầng không đáp ứng tiêu chuẩn kỹ thuật hoặc không được cơ quan có thẩm quyền chấp thuận theo quy định; không phối hợp với Trung tâm dữ liệu quốc gia trong việc xây dựng kế hoạch, lộ trình hoặc phương án lưu trữ dữ liệu theo yêu cầu của dịch vụ lưu trữ dữ liệu; không lưu trữ dữ liệu quốc gia, dữ liệu chuyên ngành hoặc dữ liệu quan trọng tại hạ tầng bắt buộc theo quy định của pháp luật; lưu trữ dữ liệu ở vị trí không an toàn, không được phép hoặc làm gia tăng nguy cơ gây mất an toàn thông tin, rò rỉ, thất thoát dữ liệu.

Phạt tiền từ 70.000.000 đồng đến 120.000.000 đồng đối với một trong các hành vi: cố ý lưu trữ dữ liệu cốt lõi hoặc dữ liệu quan trọng ở nơi trái phép, không bảo đảm an toàn, làm phát sinh nguy cơ gây mất an ninh dữ liệu; tự ý di chuyển, sao chép, chuyển giao hoặc lưu trữ dữ liệu cốt lõi, dữ liệu quan trọng sang hệ thống khác mà không được sự đồng ý của chủ sở hữu dữ liệu hoặc cơ quan có thẩm quyền; không thực hiện biện pháp bảo vệ, mã hóa, dự phòng hoặc phân vùng an ninh theo yêu cầu dẫn đến làm mất, hư hại, thay đổi hoặc lộ lọt dữ liệu trong quá trình lưu trữ; hành vi lưu trữ dữ liệu sai quy định gây hậu quả ảnh hưởng đến hoạt động quản lý nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc gây gián đoạn cung cấp dịch vụ công.

Toàn văn dự thảo Nghị định được đăng trên Cổng Thông tin điện tử Bộ Công an để lấy ý kiến của các cơ quan, tổ chức, cá nhân trong thời gian 10 ngày. Các cơ quan, tổ chức, cá nhân có thể xem toàn văn dự thảo và tham gia đóng góp ý kiến chi tiết tại đây.