| TT | Điều khoản | Bình luận | Kiến nghị |
| Quy định về đối tượng áp dụng |
| 1) | Điều 2.2(a) quy định các đơn vị phụ thuộc của doanh nghiệp là đối tượng áp dụng của Dự thảo lần 3 Nghị định | Quy định này có thể không phù hợp với Điều 3.4 Nghị định 118/2021 của Chính phủ ngày 23 tháng 12 năm 2021 quy định chi tiết Luật xử lý vi phạm hành chính sửa đổi (Nghị định 118/2021).
Theo Điều 3.4 Nghị định 118/2021, các đơn vị trực thuộc của doanh nghiệp (ví dụ: văn phòng đại diện, chi nhánh) chỉ bị xử phạt hành chính nếu thực hiện hành vi vi phạm hành chính vượt quá phạm vi, thời hạn được pháp nhân ủy quyền hoặc không theo sự chỉ đạo của pháp nhân, kiểm soát, phân công và phê duyệt. | Làm rõ trường hợp nào đơn vị trực thuộc sẽ bị xử phạt hành chính theo Dự thảo lần 3 Nghị định để thống nhất với Nghị định 118/2021 (ví dụ: Điều 2.2(b) Nghị định 122 của Chính phủ ngày 28 tháng 12 năm 2021 về xử phạt hành chính về quy hoạch và lĩnh vực đầu tư cung cấp rõ ràng như vậy) |
| 2) | Điều 2.2(đ) quy định rằng doanh nghiệp nước ngoài hoặc chi nhánh, văn phòng đại diện hoặc địa điểm kinh doanh của doanh nghiệp nước ngoài cung cấp dịch vụ, trong đó có dịch vụ cung cấp nội dung trên không gian mạng (dịch vụ cung cấp nội dung trên không gian mạng) là đối tượng áp dụng của Dự thảo lần 3 | a) Không rõ “dịch vụ cung cấp nội dung trên không gian mạng” và “dịch vụ giá trị gia tăng trên không gian mạng” quy định tại Điều 26.2 và 26.3 Luật An ninh mạng 2018 có giống nhau hay dịch vụ quy định tại Điều 2.2(đ) của Điều Dự thảo Nghị định lần 3 là loại hình dịch vụ mới.
b) Nếu đây là loại hình dịch vụ mới thì chưa rõ những dịch vụ cụ thể nào thuộc loại hình này do Dự thảo lần 3 Nghị định, Luật An ninh mạng 2018 và Nghị định 53 của Chính phủ ngày 15 tháng 8 năm 2022 quy định chi tiết Luật An ninh mạng 2018 (Nghị định 53/2022) không đưa ra định nghĩa về dịch vụ này
| Nên làm rõ hoặc loại bỏ loại dịch vụ này cho thống nhất |
| 3) | Điều 2.2(e) quy định tổ chức, doanh nghiệp cung cấp nội dung thông tin trong dịch vụ không gian mạng (dịch vụ nội dung thông tin trên không gian mạng) là đối tượng áp dụng của Dự thảo lần thứ 3 Nghị định | Không rõ những dịch vụ cụ thể nào được bao gồm trong loại hình này vì Dự thảo Nghị định lần thứ 3, Luật An ninh mạng 2018 và Nghị định 53/2022 không đưa ra định nghĩa về dịch vụ này | Nên làm rõ hoặc loại bỏ loại dịch vụ này cho thống nhất |
| Quy định về mức phạt tiền |
| 4) | Điều 5.2 quy định mức phạt tiền của một hành vi vi phạm hành chính có thể lên tới 5% doanh thu của năm tài chính trước liền kề hoặc lợi nhuận thu được do hành vi vi phạm hành chính của tổ chức, cá nhân vi phạm trên thị trường Việt Nam | a) Mức phạt tiền này có thể vượt quá mức phạt tiền tối đa theo Điều 24.1(đ) Luật Xử lý vi phạm hành chính 2012 (tức là 200 triệu đồng đối với lĩnh vực an ninh mạng áp dụng đối với tổ chức)
b) Chưa rõ mức phạt này có nên tính trên doanh thu của một nhóm doanh nghiệp hay không | Nên làm rõ vấn đề này |
| Quy định xử phạt hành chính đối với hành vi còn được quy định trong Bộ luật hình sự |
| 5) | Điều 6.2 quy định: “Đối với vụ án đã được cơ quan tiến hành tố tụng hình sự thụ lý, giải quyết nhưng sau đó có quyết định không khởi tố vụ án hình sự thì […] trong thời hạn 03 ngày, kể từ ngày ra quyết định, […]” | Nên là “03 ngày làm việc” và “ngày quyết định có hiệu lực” để phù hợp với Điều 63.1 Luật Xử lý vi phạm hành chính 2012 | Sửa đổi quy định này cho phù hợp với Điều 63.1 Luật Xử lý vi phạm hành chính 2012 |
| Vi phạm quyền của chủ thể dữ liệu |
| 6) | Điều 15.1(e) áp dụng hình phạt hành chính đối với việc bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không xóa dữ liệu cá nhân theo yêu cầu trong vòng 48 giờ sau khi chủ thể dữ liệu yêu cầu | Không phù hợp với Điều 16.5 Nghị định 13 của Chính phủ ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu cá nhân (Nghị định 13/2023) quy định nghĩa vụ này phải được thực hiện trong vòng 72 giờ kể từ khi chủ thể dữ liệu có yêu cầu | Sửa đổi quy định này cho phù hợp với Điều 16.5 Nghị định 13/2023 |
| 7) | Điều 15.1(h) áp dụng hình phạt hành chính đối với việc bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân trong vòng 48 giờ sau khi chủ thể dữ liệu yêu cầu | Không phù hợp với Điều 14.3 của Nghị định 13/2023 quy định nghĩa vụ này phải được thực hiện trong vòng 72 giờ kể từ khi chủ thể dữ liệu có yêu cầu | Sửa đổi quy định này cho phù hợp với Điều 14.3 Nghị định 13/2023 |
| 8) | Điều 15.2 áp dụng hình phạt hành chính đối với việc bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không ngăn chặn hoặc hạn chế việc tiết lộ dữ liệu cá nhân hoặc sử dụng dữ liệu cá nhân cho mục đích quảng cáo hoặc tiếp thị trong vòng 48 giờ sau khi có yêu cầu của đối tượng dữ liệu | Không phù hợp với Điều 9.8(b) của Nghị định 13/2023 yêu cầu nghĩa vụ này phải được thực hiện trong vòng 72 giờ sau khi chủ thể dữ liệu yêu cầu | Sửa đổi quy định này cho phù hợp với Điều 9.8(a) và 9.8(b) Nghị định 13/2023 |
| Vi phạm quy định về sự đồng ý của chủ thể dữ liệu |
| 9) | Điều 16 | Thiếu các hình phạt hành chính đối với việc không thể hiện sự đồng ý ở định dạng có thể được in và/hoặc sao chép bằng văn bản, kể cả ở định dạng điện tử hoặc có thể kiểm chứng, được yêu cầu theo Điều 11.5 của Nghị định 13/2023 | Bổ sung hình phạt đối với hành vi vi phạm này |
| 10) | Điều 16.1(b) áp dụng hình phạt hành chính nếu “sự đồng ý của chủ thể dữ liệu không được thể hiện rõ ràng để chủ thể dữ liệu tự do đồng ý với việc xử lý dữ liệu cá nhân” | Cách diễn đạt của quy định này khó hiểu và có thể trùng lặp với Điều 16.1(đ) của Dự thảo Nghị định lần 3 | Để rõ ràng hơn, đề nghị sửa đổi quy định này như sau:
“Buộc chủ thể dữ liệu đồng ý xử lý dữ liệu hoặc ngăn không cho chủ thể dữ liệu được thông báo đầy đủ các nội dung cần thiết để đồng ý theo quy định” |
| 11) | Điều 16.2(c) quy định rằng bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không chứng minh hoặc từ chối chứng minh rằng chủ thể dữ liệu đã đồng ý với việc xử lý dữ liệu cá nhân | Quy định này trùng với Điều 16.1(h) của Dự thảo Nghị định lần 3 | Nên loại bỏ quy định này |
| Vi phạm quy định về rút lại sự đồng ý |
| 12) | Điều 17 | Thiếu các hình phạt hành chính đối với việc không thể hiện việc rút lại sự đồng ý ở định dạng có thể được in và/hoặc sao chép bằng văn bản, kể cả ở định dạng điện tử hoặc có thể kiểm chứng, theo Điều 12.2 của Nghị định 13/2023 | Bổ sung hình phạt đối với hành vi vi phạm này |
| Vi phạm quy định về cung cấp dữ liệu cá nhân |
| 13) | Điều 19 | Bổ sung hình phạt đối với hành vi vi phạm này | |
| 14) | Điều 19.1(a) quy định xử phạt hành chính đối với hành vi “cung cấp dữ liệu cá nhân cho chủ thể dữ liệu, dữ liệu cá nhân do tổ chức sở hữu hoặc kiểm soát khi chủ thể dữ liệu không đồng ý hành động thay mặt mình” | Từ ngữ của điều khoản này là khá khó hiểu | Để rõ ràng hơn, đề nghị sửa đổi quy định này như sau:
“cung cấp dữ liệu cá nhân của chủ thể dữ liệu, dữ liệu cá nhân thuộc quyền sở hữu hoặc kiểm soát của tổ chức cho tổ chức, cá nhân khác khi chủ thể dữ liệu không đồng ý hành động thay mình” |
| Vi phạm các quy định về lưu trữ, xóa và hủy dữ liệu cá nhân |
| 15) | Điều 21.2 quy định xử phạt hành chính đối với hành vi “dữ liệu cá nhân phải được xóa theo quy định của pháp luật” | Từ ngữ của điều khoản này là khá khó hiểu | Để rõ ràng hơn, đề nghị sửa đổi quy định này như sau:
“Tiếp tục xử lý dữ liệu cá nhân phải xóa theo quy định của pháp luật” |
| Vi phạm quy định về thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân |
| 16) | Điều 25 | Thiếu xử phạt hành chính đối với hành vi không lập biên bản xác nhận việc xảy ra hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy định tại Điều 23.5 Nghị định 13/2023 | Bổ sung hình phạt đối với hành vi vi phạm này |
| Vi phạm quy định về truyền dữ liệu cá nhân xuyên biên giới |
| 17) | Điều 27 | Thiếu xử phạt hành chính đối với việc không tạm dừng chuyển dữ liệu cá nhân ra nước ngoài theo yêu cầu của Bộ Công an, được yêu cầu theo Điều 25.8 của Nghị định 13/2023 | Bổ sung hình phạt đối với hành vi vi phạm này |
| 18) | Điều 27.1(b), 27.1(c) và 27.1(d)[1] | Quy định này trùng lặp với Điều 27.1(a) của Dự thảo Nghị định lần 3 | Nên loại bỏ các quy định này |
| Vi phạm quy định về phòng, chống tấn công mạng |
| 19) | Điều 29 | Thiếu xử phạt hành chính đối với việc chủ quản hệ thống thông tin không áp dụng biện pháp kỹ thuật để ngăn chặn, phòng tránh hành vi quy định tại các khoản (a), (b), (c), (d) và (e) Điều 18.1 của Luật Luật An ninh mạng 2018 đối với hệ thống thông tin thuộc phạm vi quản lý của mình. | Bổ sung hình phạt đối với hành vi vi phạm này |
| Vi phạm quy định về phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng. |
| 20) | Điều 31 | Thiếu chế tài xử phạt vi phạm hành chính đối với hành vi không áp dụng các biện pháp xử lý tình huống nguy hiểm về an ninh mạng bao gồm:
(i) gửi thông báo cho cơ quan, tổ chức, cá nhân có liên quan (theo quy định tại Điều 21.3(b) Luật An ninh mạng 2018); Và
(ii) phân tích, đánh giá thông tin về và dự báo khả năng, phạm vi ảnh hưởng, mức độ thiệt hại của các tình huống nguy hiểm đó (theo yêu cầu tại Điều 21.3(d) Luật An ninh mạng 2018) | Bổ sung quy định xử phạt đối với các hành vi vi phạm |
| Vi phạm quy định về bảo đảm liên quan đến an toàn thông tin mạng |
| 21) | Điều 35.1(d) quy định xử phạt vi phạm hành chính trong hành vi cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ giá trị gia tăng khác đối với tổ chức, cá nhân đưa lên không gian mạng thông tin có nội dung quy định tại Điều 16.1 – 16.5 Luật An ninh mạng 2018 | Quy định này không phù hợp với Điều 26.2(c) của Luật An ninh mạng 2018 vì thiếu câu “khi có yêu cầu không cung cấp của Lực lượng chuyên trách An ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền thuộc Bộ Thông tin và Truyền thông”. | Để bổ sung từ ngữ như vậy cho thống nhất |
| 22) | Điều 35.1(đ) quy định xử phạt hành chính đối với chủ sở hữu trang thông tin điện tử, mạng xã hội không có hệ thống máy chủ đặt tại Việt Nam để đáp ứng việc thanh tra, kiểm tra, lưu trữ, cung cấp thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền hoặc để giải quyết khiếu nại. khiếu nại của khách hàng đối với việc cung cấp dịch vụ được chỉ định. | Quy định này không phù hợp với Luật An ninh mạng 2018 và Nghị định 53/2022 vì pháp nhân nước ngoài phải thành lập chi nhánh, văn phòng đại diện trong một số trường hợp hạn chế nhưng không đặt hệ thống máy chủ tại Việt Nam theo Điều 26.3 của Luật An ninh mạng 2018 và Điều 26 Nghị định 53/2022.
Quy định xử phạt hành chính đối với doanh nghiệp nước ngoài không thành lập chi nhánh, văn phòng đại diện đã được quy định tại Điều 39 của Dự thảo Nghị định lần thứ 3 | Để loại bỏ quy định này |
| Vi phạm quy định về bảo vệ trẻ em trên không gian mạng |
| 23) | Điều 37.2(b) quy định xử phạt hành chính đối với hành vi đăng, phát, chia sẻ, lưu trữ, trao đổi, sử dụng thông tin, hình ảnh, âm thanh có nội dung khiêu dâm, đồi trụy, bạo lực liên quan đến trẻ em | Quy định này trùng với Điều 37.2(a) của Dự thảo Nghị định lần 3 | Nên loại bỏ quy định này |
| Vi phạm quy định về lưu trữ dữ liệu, thành lập chi nhánh, văn phòng đại diện tại Việt Nam |
| 24) | Điều 39 | Thiếu xử phạt hành chính khi không duy trì chi nhánh, văn phòng đại diện trong thời hạn quy định | Bổ sung hình phạt đối với hành vi vi phạm này |