Các nền tảng số lớn không 'bảo mật' thông tin người tiêu dùng sẽ xử phạt nặng

Mới đây, Bộ Công an cho biết tình trạng lộ lọt, mua bán dữ liệu cá nhân diễn ra phổ biến, công khai và ngày càng phức tạp. Những thông tin nhạy cảm bị đem ra trao đổi, buôn bán qua tay có thể gây nhiều hệ lụy tới người dùng.

Dựa vào các thông tin này, kẻ xấu có thể xây dựng các kịch bản lừa đảo hay tấn công dành riêng cho từng người. Các kịch bản lừa đảo phổ biến hiện nay như chương trình trúng thưởng, việc nhẹ lương cao, đóng giả người thân gặp tai nạn hay đe dọa vi phạm pháp luật... Đây đều là những chiêu lừa đảo được cơ quan chức năng cảnh báo nhiều, nhưng vẫn có người dính bẫy vì các thông tin do kẻ gian đưa ra quá chính xác và trùng khớp.

Khi có được thông tin nạn nhân, kẻ gian có thể xây dựng kịch bản phù hợp nhằm thao túng tâm lý, dẫn dắt "con mồi" theo những bước đã chuẩn bị sẵn để chiếm đoạt thông tin tài khoản ngân hàng, tiền...

Hiện nay, Nghị định 13/2023/NĐ-CP là quy định pháp luật mới nhất về bảo vệ dữ liệu cá nhân của người dùng tại Việt Nam. Nhưng thực tế hệ thống cơ sở dữ liệu của cơ quan nhà nước và khối doanh nghiệp vẫn còn điểm yếu, lỗ hổng bảo mật để tin tặc lợi dụng xâm nhập, đánh cắp dữ liệu, Bộ Công an nhận định việc xây dựng luật Bảo vệ dữ liệu cá nhân là cần thiết, sẽ giúp đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân, ngăn chặn các hành vi xâm phạm dữ liệu cá nhân và nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân.

Liên quan tới tình trạng này, mới đây Bộ Công Thương đã gửi hồ sơ đến Bộ Tư pháp đề nghị thẩm định dự thảo Nghị định sửa đổi, bổ sung một số điều của Nghị định 98/2020/NĐ-CP ngầy 26/8/2020 của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng. Trong đó, Bộ Công Thương đề xuất tăng mức xử phạt hành chính đối với hành vi vi phạm về bảo vệ thông tin của người tiêu dùng.

Cụ thể, mức phạt vi phạm về bảo vệ thông tin của người tiêu dùng tại Điều 46 Nghị định 98/2020/NĐ-CP sẽ được Dự thảo Nghị định này sửa đổi như sau: 

Phạt tiền từ 20 triệu đồng đến 30 triệu đồng đối với một trong các hành vi vi phạm: Không lập văn bản để thực hiện ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng theo quy định.

Lập văn bản ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng nhưng nội dung văn bản không quy định hoặc quy định không rõ phạm vi, trách nhiệm của mỗi bên trong việc bảo vệ thông tin của người tiêu dùng theo quy định của Luật Bảo vệ quyền lợi người tiêu dùng 2023 và pháp luật có liên quan.

Ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng nhưng chưa được sự đồng ý của người tiêu dùng.

Tổ chức thiết lập, vận hành nền tảng số lớn có thể bị phạt đến 200 triệu đồng nếu có hành vi vi phạm về bảo vệ thông tin của người tiêu dùng.

Không xây dựng hoặc xây dựng quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng không đầy đủ các nội dung theo quy định tại khoản 1 Điều 16 Luật Bảo vệ quyền lợi người tiêu dùng 2023.

Không công khai hoặc công khai quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng không đúng hình thức quy định tại khoản 2 Điều 16 Luật Bảo vệ quyền lợi người tiêu dùng 2023. Không tạo điều kiện để người tiêu dùng tiếp cận quy tắc bảo vệ thông tin của người tiêu dùng trước hoặc tại thời điểm thu thập thông tin.

Không thông báo hoặc thông báo không rõ ràng, không công khai hoặc hình thức thông báo không phù hợp với người tiêu dùng về mục đích, phạm vi thu thập, sử dụng thông tin, thời hạn lưu trữ thông tin của người tiêu dùng trước khi thực hiện thu thập, sử dụng thông tin của người tiêu dùng.

Thực hiện thu thập, sử dụng thông tin của người tiêu dùng khi chưa được người tiêu dùng đồng ý theo quy định, trừ trường hợp quy định tại điểm d khoản 2 Điều 45 Nghị định 98/2020/NĐ-CP.

Không thiết lập hoặc thiết lập phương thức không rõ ràng để người tiêu dùng lựa chọn phạm vi thông tin đồng ý cung cấp và bày tỏ sự đồng ý hoặc không đồng ý theo quy định.

Không thông báo lại cho người tiêu dùng trước khi thay đổi mục đích, phạm vi sử dụng thông tin đã thông báo cho người tiêu dùng hoặc thay đổi mục đích, phạm vi sử dụng thông tin đã thông báo cho người tiêu dùng khi chưa được người tiêu dùng đồng ý.

Sử dụng thông tin của người tiêu dùng không chính xác, không phù hợp với mục đích, phạm vi đã thông báo. Không có cơ chế để người tiêu dùng lựa chọn việc cho phép hoặc không cho phép thực hiện một trong các hành vi quy định tại điểm a, điểm b khoản 4 Điều 18 Luật Bảo vệ quyền lợi người tiêu dùng 2023.

Không thực hiện yêu cầu của người tiêu dùng về việc kiểm tra, chỉnh sửa, cập nhật, hủy bỏ, chuyển giao, ngừng chuyển giao thông tin của người tiêu dùng hoặc không cung cấp cho người tiêu dùng công cụ, thông tin để tự thực hiện theo quy định của pháp luật.

Không hủy bỏ thông tin của người tiêu dùng khi hết thời hạn lưu trữ theo quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng hoặc quy định của pháp luật.

Thứ hai, phạt tiền từ 30 triệu đồng đến 50 triệu đồng đối với một trong các hành vi vi phạm: Không có biện pháp bảo đảm an toàn, an ninh thông tin của người tiêu dùng khi thu thập, lưu trữ, sử dụng hoặc không có biện pháp ngăn ngừa các hành vi vi phạm an toàn, an ninh thông tin của người tiêu dùng theo quy định.

Không tiếp nhận hoặc không giải quyết phản ánh, yêu cầu, khiếu nại của người tiêu dùng liên quan đến việc thông tin bị thu thập trái phép, sử dụng sai mục đích, phạm vi đã thông báo.

Không thông báo cho cơ quan quản lý nhà nước có thẩm quyền trong thời hạn 24 giờ kể từ thời điểm phát hiện hệ thống thông tin bị tấn công hoặc không thực hiện các biện pháp cần thiết để bảo đảm an toàn, an ninh thông tin của người tiêu dùng theo quy định trong trường hợp hệ thống thông tin bị tấn công làm phát sinh nguy cơ mất an toàn, an ninh thông tin của người tiêu dùng.

Chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi chưa có sự đồng ý của người tiêu dùng theo quy định, trừ trường hợp pháp luật có quy định khác.

Thứ ba, phạt tiền gấp hai lần mức tiền phạt đối với hành vi vi phạm quy định tại trường hợp 1, 2 trong trường hợp thông tin có liên quan là dữ liệu cá nhân nhạy cảm của người tiêu dùng, trừ trường hợp quy định tại trường hợp 4.

Thứ tư, phạt tiền gấp bốn lần mức tiền phạt đối với hành vi vi phạm quy định tại trường hợp 1, 2 trong trường hợp hành vi vi phạm do tổ chức thiết lập, vận hành nền tảng số lớn thực hiện.

Về phía người dùng cũng cần nâng cao ý thức bảo vệ dữ liệu cá nhân của mình, không cung cấp thông tin cho các cơ sở dịch vụ không tin tưởng, không gửi ảnh chụp CCCD/CMT của mình cho người khác. Người dùng nên giảm thiểu tối đa lượng dữ liệu cá nhân cung cấp ra bên ngoài theo yêu cầu khi tham gia dịch vụ, nếu có thể hãy thu hồi thông tin sau khi hoàn tất giao dịch với dịch vụ làm 1 lần.

An Dương (T/h)