Đề xuất phạt đến 120 triệu nếu tự ý sao chép hoặc lưu trữ dữ liệu quan trọng sang hệ thống khác

Bộ Công an đang chủ trì xây dựng dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực dữ liệu.

Dự thảo Nghị định quy định hành vi vi phạm hành chính, hình thức xử phạt, mức xử phạt, biện pháp khắc phục hậu quả đối với từng hành vi vi phạm hành chính, đối tượng bị xử phạt, thẩm quyền lập biên bản và thẩm quyền xử phạt, mức phạt tiền cụ thể theo từng chức danh đối với hành vi vi phạm hành chính trong lĩnh vực dữ liệu. 

Các hành vi vi phạm hành chính khác liên quan đến lĩnh vực dữ liệu không được quy định tại Nghị định này thì áp dụng theo quy định về xử phạt vi phạm hành chính trong lĩnh vực quản lý nhà nước có liên quan để xử phạt.

HÌNH THỨC XỬ PHẠT: CẢNH CÁO, PHẠT TIỀN VÀ KHẮC PHỤC HẬU QUẢ 

Các hình thức xử phạt hành chính trong lĩnh vực dữ liệu gồm cảnh cáo và phạt tiền. Tùy tính chất, mức độ vi phạm, cá nhân, tổ chức còn có thể bị áp dụng xử phạt bổ sung như:tước quyền sử dụng giấy phép, chứng chỉ hành nghề có thời hạn; đình chỉ hoạt động có thời hạn; tịch thu tang vật, phương tiện vi phạm; trục xuất...

Đồng thời quy định các biện pháp khắc phục hậu quả như:buộc xóa, tiêu hủy dữ liệu thu thập, sử dụng, mua bán trái phép; khôi phục trạng thái ban đầu của cơ sở dữ liệu, hệ thống thông tin; gia cố, nâng cấp hệ thống bảo mật; khôi phục dữ liệu bị mất, bảo đảm tính toàn vẹn và khả năng vận hành của hệ thống.

Nghị định quy định phạt tiền từ 20.000.000 đồng đến 40.000.000 đồng đối với một trong các hành vi. 

Một là cản trở hoặc ngăn chặn trái pháp luật quá trình xử lý dữ liệu, quản trị dữ liệu. 

Hai là tấn công, chiếm đoạt, phá hoại cơ sở dữ liệu, hệ thống thông tin phục vụ quản lý, xử lý, quản trị, bảo vệ dữ liệu.

Ba là giả mạo, cố ý làm sai lệch, làm mất, làm hư hỏng dữ liệu trong cơ sở dữ liệu của cơ quan Đảng, Nhà nước, Ủy ban Mặt trận Tổ quốc Việt Nam và các tổ chức chính trị - xã hội.

Bốn là cố ý cung cấp dữ liệu sai lệch hoặc không cung cấp dữ liệu theo quy định của pháp luật.

VI PHẠM QUY ĐỊNH THU THẬP, TẠO LẬP DỮ LIỆU 

Phạt tiền từ 20.000.000 đồng đến 40.000.000 đồng đối với một trong những hành vi: Thu thập, tạo lập dữ liệu mà không được sự đồng ý của chủ thể dữ liệu, chủ sở hữu dữ liệu hoặc không có căn cứ pháp lý rõ ràng; Thu thập, tạo lập dữ liệu làm sai lệch nguồn gốc, thời gian, nội dung dữ liệu gốc; Thu thập, tạo lập dữ liệu giả mạo, không đúng sự thật hoặc không có mục đích rõ ràng, không thông báo, không đăng ký với cơ quan có thẩm quyền theo quy định; Sử dụng thủ đoạn gian dối, lừa đảo, che giấu thông tin để thu thập, tạo lập dữ liệu; Không tuân thủ quy trình thu thập, tạo lập dữ liệu do cơ quan có thẩm quyền ban hành.

Phạt tiền từ 40.000.000 đồng đến 70.000.000 đồng nếu có một trong các tình tiết: Thu thập, tạo lập dữ liệu vượt quá phạm vi, mục đích đã thông báo hoặc ảnh hưởng đến nhiều cơ quan, tổ chức, cá nhân; Dữ liệu thuộc danh mục dữ liệu cốt lõi, dữ liệu quan trọng quốc gia, dữ liệu nhạy cảm; Hành vi vi phạm gây ra hậu quả nghiêm trọng như rò rỉ thông tin nhạy cảm, làm ảnh hưởng đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân hoặc an ninh quốc gia.

VI PHẠM QUY ĐỊNH VỀ LƯU TRỮ DỮ LIỆU 

Theo dự thảo Nghị định, phạt tiền từ 10.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi không quy định thời hạn lưu trữ dữ liệu theo yêu cầu pháp luật và theo tính chất của dữ liệu thu thập, tạo lập; không ban hành quy trình kỹ thuật, quy trình nội bộ về lưu trữ dữ liệu thuộc phạm vi quản lý; lưu trữ dữ liệu không bảo đảm an toàn, không tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật hoặc không phù hợp với yêu cầu bảo vệ dữ liệu của cơ quan có thẩm quyền; không thực hiện cập nhật, duy trì, kiểm tra định kỳ dữ liệu đang lưu trữ theo yêu cầu quản trị dữ liệu của cơ quan nhà nước.

Phạt tiền từ 30.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi: lưu trữ dữ liệu cốt lõi hoặc dữ liệu quan trọng trên hạ tầng không đáp ứng tiêu chuẩn kỹ thuật hoặc không được cơ quan có thẩm quyền chấp thuận theo quy định; không phối hợp với Trung tâm dữ liệu quốc gia trong việc xây dựng kế hoạch, lộ trình hoặc phương án lưu trữ dữ liệu theo yêu cầu của dịch vụ lưu trữ dữ liệu; không lưu trữ dữ liệu quốc gia, dữ liệu chuyên ngành hoặc dữ liệu quan trọng tại hạ tầng bắt buộc theo quy định của pháp luật; lưu trữ dữ liệu ở vị trí không an toàn, không được phép hoặc làm gia tăng nguy cơ gây mất an toàn thông tin, rò rỉ, thất thoát dữ liệu.

Phạt tiền từ 70.000.000 đồng đến 120.000.000 đồng đối với một trong các hành vi: cố ý lưu trữ dữ liệu cốt lõi hoặc dữ liệu quan trọng ở nơi trái phép, không bảo đảm an toàn, làm phát sinh nguy cơ gây mất an ninh dữ liệu; tự ý di chuyển, sao chép, chuyển giao hoặc lưu trữ dữ liệu cốt lõi, dữ liệu quan trọng sang hệ thống khác mà không được sự đồng ý của chủ sở hữu dữ liệu hoặc cơ quan có thẩm quyền; không thực hiện biện pháp bảo vệ, mã hóa, dự phòng hoặc phân vùng an ninh theo yêu cầu dẫn đến làm mất, hư hại, thay đổi hoặc lộ lọt dữ liệu trong quá trình lưu trữ; hành vi lưu trữ dữ liệu sai quy định gây hậu quả ảnh hưởng đến hoạt động quản lý nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc gây gián đoạn cung cấp dịch vụ công.