Bàn về đề xuất phạt đến 70 triệu khi ‘không tự bảo vệ dữ liệu cá nhân’

Bộ Công an đang xây dựng Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân.

Trong số những điểm mới có đề xuất tại Điều 58 dự thảo về việc xử phạt từ 50-70 triệu đồng đối với “chủ thể dữ liệu không tự bảo vệ dữ liệu cá nhân”. Đề xuất này nhận được nhiều ý kiến góp ý của bạn đọc…

Nhiều bạn đọc cho rằng quy định này cần được làm rõ hơn về hành vi vi phạm cụ thể, bởi trong thực tế, người dùng thường ở thế bị động, khó kiểm soát toàn bộ quá trình thu thập, lưu trữ và sử dụng dữ liệu của mình. Nếu thiếu tiêu chí rõ ràng, việc xử phạt có thể dẫn đến cách hiểu khác nhau và gây lo ngại về tính công bằng.

Pháp Luật TP.HCM ghi nhận ý kiến của một số chuyên gia về đề xuất này của dự thảo:

TS NGUYỄN VĂN DŨNG, Trưởng khoa Kỹ thuật – Công nghệ, Trường ĐH Hùng Vương TP.HCM

Cần chuẩn hóa tiêu chí xử phạt

Trước hết, cần làm rõ khái niệm “tự bảo vệ dữ liệu cá nhân”. Theo đó, đây là khả năng của cá nhân trong việc chủ động kiểm soát, giám sát và can thiệp vào quá trình xử lý dữ liệu của mình – từ truy cập, chỉnh sửa, xóa dữ liệu đến quản lý mật khẩu, thiết lập cấu hình riêng tư.

Dù là khái niệm trừu tượng, mức độ “tự bảo vệ” vẫn có thể lượng hóa thông qua các biến đại diện như nhận thức, kiểm soát hành vi, hành động bảo vệ và việc thực thi quyền, thậm chí có thể phân loại theo mức độ bằng các mô hình kỹ thuật như học máy.

Bên cạnh đó, cần tách bạch trách nhiệm thuộc về hệ thống (tổ chức thu thập, xử lý dữ liệu) và hành vi của người dùng. Theo Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu, bên kiểm soát dữ liệu là chủ thể chịu trách nhiệm chính trong việc bảo đảm xử lý dữ liệu an toàn, hợp pháp và minh bạch thông qua thiết kế hệ thống; còn người dùng chỉ giữ vai trò thứ yếu, không phải chủ thể gánh nghĩa vụ pháp lý chính.

Do đó, nếu đặt ra chế tài đối với cá nhân “không tự bảo vệ dữ liệu” có thể dẫn đến nguy cơ dịch chuyển trách nhiệm từ tổ chức sang người dùng. Trong khi đó, theo cách tiếp cận của GDPR, hành vi vi phạm dữ liệu là các hành vi thu thập, xử lý, lưu trữ hoặc chia sẻ dữ liệu trái quy định và đối tượng bị xử phạt là tổ chức, với mức phạt rất cao (có thể lên tới 20 triệu euro hoặc 4% tổng doanh thu toàn cầu của doanh nghiệp của năm trước đó).

Như vậy, nếu vẫn đặt vấn đề xử phạt cá nhân, cơ quan quản lý cần có căn cứ kỹ thuật rõ ràng: phải định nghĩa và chuẩn hóa các biến đo lường như nhận thức, hành vi, mức độ tổn thất thành các chỉ số cụ thể; đồng thời quy định minh bạch các tiêu chí này trên hệ thống để tránh tùy tiện trong áp dụng. Quan trọng hơn, phải phân định rạch ròi đâu là lỗi hệ thống, đâu là lỗi người dùng.

Cuối cùng, điều kiện không thể thiếu là việc phổ biến, đào tạo và đào tạo lại kỹ năng số cho người dân trên diện rộng; đặc biệt là khu vực vùng sâu, vùng xa. Không thể xử phạt nếu người dân chưa được trang bị đầy đủ năng lực tự bảo vệ.

ThS MAI HOÀNG PHƯỚC, giảng viên Khoa Luật, Trường ĐH Kinh tế – Luật, ĐHQG TP.HCM

Cần rạch ròi lỗi người dùng và lỗi hệ thống

Để quy định xử phạt hành vi “không tự bảo vệ dữ liệu cá nhân” bảo đảm tính khả thi, trước hết cần định nghĩa rõ “tự bảo vệ” theo đúng tinh thần dự thảo và luật liên quan, theo hướng đây không phải là yêu cầu kỹ thuật phức tạp mà là nghĩa vụ tuân thủ các quy tắc an toàn cơ bản. Cụ thể, cá nhân cần chủ động quản lý quyền đồng ý cho phép xử lý dữ liệu, tự kiểm tra và yêu cầu chỉnh sửa dữ liệu sai lệch, đồng thời sử dụng các biện pháp bảo mật sẵn có như mật khẩu, xác thực hai lớp.

Ngoài ra, cần phân định rõ hành vi vi phạm và các trường hợp miễn trừ. Việc xử phạt nên tập trung vào các hành vi có lỗi cố ý hoặc có thể gây hệ lụy xã hội như cung cấp dữ liệu sai lệch khi thực hiện thủ tục bắt buộc, không thông báo kịp thời cho cơ quan chức năng khi phát hiện vi phạm dữ liệu quy mô lớn, hoặc không tôn trọng dữ liệu cá nhân của người khác (ví dụ tự ý phát tán thông tin riêng tư).

Ngược lại, không nên quy trách nhiệm đối với cá nhân trong các trường hợp sự cố rò rỉ xuất phát từ lỗ hổng quản trị của tổ chức lưu trữ hoặc các cuộc tấn công mạng mà người dùng không thể can thiệp.

Về tiêu chí xác định lỗi, cần dựa trên “nỗ lực hợp lý” của cá nhân trong việc thực hiện các hướng dẫn bảo mật mà nền tảng đã cung cấp, đồng thời tính đến yếu tố nhận thức, độ tuổi và mức độ tiếp cận công nghệ. Đối với mức phạt 50-70 triệu đồng, tôi cho rằng dù thể hiện tính răn đe, nhưng cần đi kèm quy trình thực thi minh bạch, có thể ưu tiên nhắc nhở, giáo dục kỹ năng số đối với vi phạm lần đầu để tránh tạo gánh nặng tài chính cho người dân.

Về dài hạn, cần tăng trách nhiệm của các tổ chức thu thập dữ liệu, bảo đảm hạ tầng kỹ thuật tương xứng với quy mô dữ liệu nắm giữ. Bên cạnh đó, Nhà nước cần phát triển các công cụ, nền tảng hỗ trợ người dân tự kiểm soát dữ liệu cá nhân, qua đó biến việc “tự bảo vệ” từ nghĩa vụ thành một quyền lợi thực chất của công dân số.

Nguy cơ chồng chéo khi áp dụng chế tài

Đề xuất xử phạt đối với “chủ thể dữ liệu không tự bảo vệ dữ liệu cá nhân” cần được cân nhắc thận trọng trên nền tảng các nguyên tắc pháp luật hiện hành.

Trước hết, theo Luật Xử lý vi phạm hành chính 2012 (sửa đổi, bổ sung năm 2020, 2025), nguyên tắc cốt lõi để xử phạt là hành vi vi phạm phải có lỗi của chủ thể thực hiện. Khoản 1 Điều 2 xác định vi phạm hành chính là hành vi “có lỗi” do cá nhân, tổ chức thực hiện. Đồng thời, khoản 1 Điều 3 quy định việc xử phạt phải bảo đảm công bằng, đúng tính chất, mức độ vi phạm.

Như vậy, cá nhân chỉ bị xử phạt khi có khả năng nhận thức và thực hiện nghĩa vụ pháp lý nhưng vẫn không thực hiện. Trong khi ở môi trường số hiện nay, phần lớn người dùng không có đủ điều kiện kỹ thuật, kiến thức chuyên môn hoặc công cụ để tự bảo vệ dữ liệu một cách toàn diện. Vì vậy, nếu áp dụng chế tài nặng trong trường hợp này sẽ rất khó chứng minh yếu tố lỗi theo đúng tinh thần của luật.

Thứ hai, về khung pháp lý chuyên ngành, Nghị định 356/2025 đã quy định tương đối chặt chẽ nghĩa vụ của các chủ thể kiểm soát và xử lý dữ liệu cá nhân. Cụ thể, Điều 19 yêu cầu lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu, bao gồm các biện pháp bảo vệ dữ liệu; Điều 17 quy định việc đánh giá tác động khi chuyển dữ liệu ra nước ngoài, kèm theo biện pháp quản lý rủi ro; đồng thời, các quy định về bảo mật đặt ra nghĩa vụ triển khai biện pháp kỹ thuật, kiểm soát truy cập và phòng ngừa lộ, lọt dữ liệu đối với tổ chức, doanh nghiệp.

Qua đó, trách nhiệm bảo đảm an toàn dữ liệu hiện chủ yếu thuộc về các cơ quan, tổ chức, doanh nghiệp – những chủ thể có điều kiện về công nghệ, nhân sự và hệ thống.

Ngược lại, đối với cá nhân là chủ thể dữ liệu, pháp luật mới dừng lại ở việc quy định một số nghĩa vụ mang tính nguyên tắc, chưa có quy định cụ thể, chi tiết về cách thức thực hiện, cũng như chưa có tiêu chí định lượng rõ ràng về mức độ “tự bảo vệ dữ liệu cá nhân” để làm căn cứ trực tiếp cho việc xử phạt hành chính.

Do vậy, để bảo đảm tính khả thi và thống nhất khi áp dụng, dự thảo cần làm rõ thế nào là hành vi “không tự bảo vệ dữ liệu cá nhân”, đồng thời bổ sung tiêu chí cụ thể để xác định mức độ vi phạm. Bởi theo nguyên tắc của pháp luật xử phạt vi phạm hành chính, hành vi vi phạm phải được quy định rõ ràng, có thể đo lường; nếu không, sẽ tiềm ẩn nguy cơ áp dụng thiếu thống nhất trong thực tiễn.

ThS ĐẶNG TRẦN KHA, giảng viên Khoa Luật, Trường ĐH Hùng Vương TP.HCM