5 hành vi bị nghiêm cấm về xử lý dữ liệu cá nhân

Hành vi bị nghiêm cấm về xử lý dữ liệu cá nhân được quy định rõ trong Nghị định 13/2023/NĐ-CP, nhằm bảo vệ quyền riêng tư và thông tin cá nhân của mỗi người. Trong thời đại số hóa, việc xâm phạm dữ liệu cá nhân ngày càng gia tăng với mức độ tinh vi, gây ra nhiều thiệt hại nghiêm trọng. Bài viết này sẽ phân tích 5 hành vi bị nghiêm cấm liên quan đến xử lý dữ liệu cá nhân theo Điều 8 của Nghị định, giúp bạn hiểu rõ và tránh các hành vi vi phạm.

Theo Khoản 7 Điều 2 của Nghị định 13/2023/NĐ-CP, “xử lý dữ liệu cá nhân” được định nghĩa như sau:

“Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chiasẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.”

Điều này có nghĩa là, xử lý dữ liệu cá nhân bao gồm bất kỳ hoạt động nào liên quan đến dữ liệu cá nhân, từ việc thu thập, lưu trữ, sử dụng, cho đến việc chia sẻ, chuyển giao, xóa hoặc hủy dữ liệu. Các hoạt động này có thể được thực hiện thủ công hoặc tự động, bằng các phương tiện điện tử hoặc không điện tử.

Ví dụ về các trường hợp xử lý dữ liệu cá nhân:

• Thu thập: Khi bạn điền thông tin vào một mẫu đơn đăng ký, bạn đang cung cấp dữ liệu cá nhân cho tổ chức hoặc cá nhân thu thập mẫu đơn đó.
• Lưu trữ: Khi một công ty lưu trữ thông tin khách hàng trong cơ sở dữ liệu của mình, họ đang lưu trữ dữ liệu cá nhân.
• Sử dụng: Khi một trang web sử dụng thông tin của bạn để hiển thị quảng cáo phù hợp với sở thích của bạn, họ đang sử dụng dữ liệu cá nhân của bạn.
• Chia sẻ: Khi một ngân hàng chia sẻ thông tin khách hàng với một công ty bảo hiểm để cung cấp các sản phẩm bảo hiểm liên kết, họ đang chia sẻ dữ liệu cá nhân.
• Xóa: Khi bạn yêu cầu một công ty xóa thông tin cá nhân của bạn khỏi cơ sở dữ liệu của họ, họ đang xóa dữ liệu cá nhân của bạn.

Nghị định 13/2023/NĐ-CP quy định các nguyên tắc và quy định cụ thể về xử lý dữ liệu cá nhân nhằm bảo vệ quyền lợi của chủ thể dữ liệu và đảm bảo việc xử lý dữ liệu cá nhân được thực hiện một cách hợp pháp, minh bạch và có trách nhiệm.

Thực trạng hoạt động xử lý dữ liệu cá nhân tại Việt Nam hiện nay đang có những chuyển biến tích cực, tuy nhiên vẫn còn tồn tại nhiều thách thức cần được giải quyết.

Những chuyển biến tích cực:

• Khung pháp lý dần được hoàn thiện: Với việc ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, Việt Nam đã có một khung pháp lý tương đối đầy đủ và chặt chẽ để quản lý hoạt động xử lý dữ liệu cá nhân. Điều này tạo ra cơ sở pháp lý vững chắc để bảo vệ quyền lợi của chủ thể dữ liệu và thúc đẩy các doanh nghiệp nâng cao nhận thức và trách nhiệm trong việc bảo vệ dữ liệu cá nhân.
• Nhận thức của người dân và doanh nghiệp được nâng cao: Ngày càng nhiều người dân và doanh nghiệp quan tâm đến vấn đề bảo vệ dữ liệu cá nhân. Các chiến dịch truyền thông, đào tạo về bảo vệ dữ liệu cá nhân đã được triển khai rộng rãi, góp phần nâng cao nhận thức và thay đổi hành vi của các bên liên quan.
• Công nghệ bảo mật được ứng dụng rộng rãi: Các doanh nghiệp đang dần đầu tư vào công nghệ bảo mật để bảo vệ dữ liệu cá nhân của khách hàng và đối tác. Các giải pháp bảo mật như mã hóa, tường lửa, hệ thống phát hiện xâm nhập… đang được ứng dụng rộng rãi.

Những thách thức còn tồn tại hiện nay:

• Vi phạm dữ liệu cá nhân vẫn diễn ra phổ biến, mặc dù đã có những chuyển biến tích cực, tình trạng vi phạm dữ liệu cá nhân vẫn diễn ra phổ biến, đặc biệt là các vụ việc liên quan đến lừa đảo trực tuyến, spam, rao bán dữ liệu cá nhân trái phép…
• Nhận thức về bảo vệ dữ liệu cá nhân của một bộ phận người dân và doanh nghiệp còn hạn chế. Vẫn còn nhiều người dân thiếu kiến thức và kỹ năng bảo vệ thông tin cá nhân của mình, dễ dàng trở thành nạn nhân của các vụ lừa đảo. Một số doanh nghiệp, đặc biệt là các doanh nghiệp nhỏ và vừa, chưa nhận thức đầy đủ về tầm quan trọng của việc bảo vệ dữ liệu cá nhân, dẫn đến việc không đầu tư vào hệ thống bảo mật hoặc không tuân thủ các quy định của pháp luật.
• Hệ thống pháp luật còn một số điểm chưa hoàn thiện. Nghị định 13/2023/NĐ-CP mới chỉ là bước đầu trong việc xây dựng khung pháp lý về bảo vệ dữ liệu cá nhân. Vẫn còn nhiều vấn đề cần được làm rõ và bổ sung trong các văn bản hướng dẫn thi hành.
  Cơ chế thực thi pháp luật còn yếu. Việc xử lý các vi phạm về bảo vệ dữ liệu cá nhân còn gặp nhiều khó khăn do thiếu nguồn lực, thiếu bằng chứng và chế tài xử phạt chưa đủ mạnh.

Thực trạng hoạt động xử lý dữ liệu cá nhân tại Việt Nam đang có những chuyển biến tích cực, tuy nhiên vẫn còn nhiều thách thức cần được giải quyết. Để đảm bảo an toàn thông tin cho người dân và doanh nghiệp, cần có sự chung tay của cả xã hội, từ việc nâng cao nhận thức, hoàn thiện pháp luật đến việc tăng cường công tác kiểm tra, giám sát và xử lý vi phạm.

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã chính thức có hiệu lực từ ngày 1/7/2023, đánh dấu một bước tiến quan trọng trong việc bảo vệ quyền riêng tư của người dân trên không gian mạng. Tuy nhiên, không phải ai cũng hiểu rõ những hành vi nào bị nghiêm cấm liên quan đến xử lý dữ liệu cá nhân.

Điều 8 của Nghị định 13 đã quy định chi tiết 5 hành vi bị nghiêm cấm về xử lý dữ liệu cá nhân bao gồm:

• Xử lý dữ liệu cá nhân trái với quy định của pháp luật;
• Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;
• Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác;
• Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền;
• Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.

5 hành vi bị nghiêm cấm về xử lý dữ liệu cá nhân trong Điều 8 của Nghị định 13/2023/NĐ-CP có mối liên hệ chặt chẽ với nhiều quy định khác trong cùng Nghị định, tạo nên một hệ thống pháp lý đồng bộ và chặt chẽ để bảo vệ dữ liệu cá nhân, có thể thấy như:

Hãy cùng DPVN đi sâu vào phân tích từng hành vi bị nghiêm cấm, đồng thời chỉ ra các biện pháp phòng ngừa để tránh vi phạm pháp luật.

Hành vi “Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân” được hiểu là bất kỳ hoạt động nào liên quan đến dữ liệu cá nhân mà vi phạm các quy định của Nghị định 13/2023/NĐ-CP và các văn bản pháp luật có liên quan khác. Cụ thể, hành vi này bao gồm các trường hợp sau:

• Thu thập dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu: Điều này vi phạm quyền đồng ý của chủ thể dữ liệu, trừ các trường hợp ngoại lệ được quy định tại Điều 17 của Nghị định 13.

Ví dụ: Một công ty thu thập thông tin cá nhân của khách hàng từ các nguồn công khai trên mạng mà không thông báo và xin phép khách hàng.

• Xử lý dữ liệu cá nhân không đúng mục đích đã được thông báo: Bên kiểm soát/xử lý dữ liệu chỉ được phép sử dụng dữ liệu cá nhân cho mục đích đã được thông báo rõ ràng cho chủ thể dữ liệu và được họ đồng ý.

Ví dụ: Một ứng dụng di động thu thập thông tin vị trí của người dùng với mục đích cung cấp các dịch vụ dựa trên vị trí, nhưng lại sử dụng thông tin này để gửi quảng cáo không liên quan.

• Xử lý dữ liệu cá nhân vượt quá phạm vi cần thiết: Bên kiểm soát/xử lý dữ liệu chỉ được phép thu thập và xử lý những dữ liệu cá nhân cần thiết để thực hiện mục đích đã được thông báo.

Ví dụ: Một nhà tuyển dụng yêu cầu ứng viên cung cấp thông tin về tình trạng hôn nhân, tôn giáo, mặc dù những thông tin này không liên quan đến công việc.

• Không áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo quy định: Bên kiểm soát/xử lý dữ liệu phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân cả về mặt kỹ thuật (mã hóa, tường lửa…) và tổ chức (chính sách bảo mật, đào tạo nhân viên…).

Ví dụ: Một công ty để lộ thông tin khách hàng do không có hệ thống bảo mật đầy đủ, hoặc không đào tạo nhân viên về cách bảo vệ dữ liệu cá nhân.

• Chia sẻ, chuyển giao, mua bán dữ liệu cá nhân trái phép: Bên kiểm soát/xử lý dữ liệu không được phép chia sẻ, chuyển giao, mua bán dữ liệu cá nhân cho bên thứ ba mà không có sự đồng ý của chủ thể dữ liệu, trừ các trường hợp được pháp luật cho phép.

Ví dụ: Một công ty bán danh sách email của khách hàng cho một công ty quảng cáo khác mà không được sự đồng ý của khách hàng.

Ngoài ra, các hành vi khác như không thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân nhạy cảm, không thực hiện quyền của chủ thể dữ liệu (quyền được biết, quyền truy cập, quyền xóa…), cũng được coi là xử lý dữ liệu cá nhân trái với quy định của pháp luật.

Hành vi “Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam” được quy định tại Điều 8, khoản 2 của Nghị định 13/2023/NĐ-CP. Đây là một hành vi bị nghiêm cấm và được xem là rất nghiêm trọng, có thể bị xử lý hình sự theo Điều 4 của Nghị định.

Cụ thể, hành vi này bao gồm các hoạt động thu thập, sử dụng, phân tích, tổng hợp, chia sẻ hoặc công bố dữ liệu cá nhân của các cá nhân, tổ chức khác với mục đích:

• Tuyên truyền chống phá Nhà nước: Ví dụ: sử dụng thông tin cá nhân của cán bộ, công chức để bôi nhọ, vu khống, hạ thấp uy tín của họ, hoặc sử dụng thông tin của người dân để kích động biểu tình, gây rối loạn xã hội.
• Phá hoại khối đại đoàn kết toàn dân tộc: Ví dụ: sử dụng thông tin cá nhân để chia rẽ các dân tộc, tôn giáo, gây mâu thuẫn, xung đột trong xã hội.
• Gây phương hại đến an ninh quốc gia: Ví dụ: thu thập thông tin cá nhân của các nhân viên quân đội, công an để tiết lộ cho các thế lực thù địch.

Hành vi này không chỉ vi phạm nghiêm trọng quyền riêng tư của cá nhân mà còn đe dọa đến an ninh quốc gia, trật tự an toàn xã hội. Do đó, hành vi này bị nghiêm cấm và sẽ bị xử lý nghiêm minh theo quy định của pháp luật.

Khoản 3 Điều 8 của Nghị định 13/2023/NĐ-CP quy định về hành vi bị nghiêm cấm: “Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác”.

Đây là một hành vi vi phạm pháp luật nghiêm trọng, bao gồm các hoạt động thu thập, sử dụng, phân tích, tổng hợp, chia sẻ hoặc công bố dữ liệu cá nhân của các cá nhân, tổ chức khác với mục đích gây hại cho an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của họ.

Cụ thể, hành vi này có thể bao gồm:

• Sử dụng dữ liệu cá nhân để lừa đảo, chiếm đoạt tài sản: Ví dụ, sử dụng thông tin cá nhân của người khác để đăng ký các dịch vụ trực tuyến, sau đó sử dụng các dịch vụ này để thực hiện hành vi lừa đảo, chiếm đoạt tài sản.
• Tạo dựng thông tin giả mạo để bôi nhọ, hạ thấp uy tín của người khác: Ví dụ, sử dụng thông tin cá nhân để tạo ra các video, hình ảnh giả mạo, tung tin đồn thất thiệt nhằm làm tổn hại đến danh dự, uy tín của cá nhân, tổ chức khác.
• Gây rối trật tự công cộng: Ví dụ, sử dụng thông tin cá nhân để kích động bạo lực, gây rối trật tự công cộng, đe dọa an ninh xã hội.
• Phát tán thông tin sai lệch, gây hoang mang dư luận: Ví dụ, sử dụng dữ liệu cá nhân để tạo ra và lan truyền tin giả, thông tin sai lệch về dịch bệnh, thiên tai, khủng bố…
• Xâm phạm quyền riêng tư: Ví dụ, tiết lộ thông tin cá nhân nhạy cảm của người khác (như thông tin về sức khỏe, đời sống tình dục…) mà không được sự đồng ý của họ.
• Gây thiệt hại về kinh tế: Ví dụ, sử dụng dữ liệu cá nhân để thực hiện các hành vi cạnh tranh không lành mạnh, gây thiệt hại cho hoạt động kinh doanh của các tổ chức, cá nhân khác.

Hành vi này không chỉ vi phạm nghiêm trọng quyền riêng tư của cá nhân mà còn có thể gây ra những hậu quả nghiêm trọng cho xã hội. Do đó, hành vi này bị nghiêm cấm và sẽ bị xử lý nghiêm minh theo quy định của pháp luật, bao gồm cả xử phạt vi phạm hành chính và truy cứu trách nhiệm hình sự nếu đủ yếu tố cấu thành tội phạm.

Hành vi “Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền” được quy định tại Khoản 4 Điều 8 của Nghị định 13/2023/NĐ-CP.

Hành vi này bao gồm các hoạt động cố ý gây cản trở, làm khó khăn hoặc trì hoãn hoạt động của các cơ quan nhà nước có thẩm quyền trong việc thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân. Cụ thể, hành vi này có thể bao gồm:

• Từ chối cung cấp thông tin, tài liệu: Khi được cơ quan nhà nước có thẩm quyền yêu cầu cung cấp thông tin, tài liệu liên quan đến hoạt động xử lý dữ liệu cá nhân, tổ chức, cá nhân cố tình không cung cấp hoặc cung cấp không đầy đủ, không chính xác.
• Không hợp tác trong quá trình thanh tra, kiểm tra: Khi cơ quan nhà nước có thẩm quyền tiến hành thanh tra, kiểm tra việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân, tổ chức, cá nhân không hợp tác, không tạo điều kiện thuận lợi hoặc cố tình che giấu thông tin.
• Che giấu, tiêu hủy chứng cứ: Khi biết hoặc nghi ngờ có hành vi vi phạm dữ liệu cá nhân, tổ chức, cá nhân cố tình che giấu, tiêu hủy hoặc làm sai lệch các chứng cứ liên quan để tránh bị phát hiện và xử lý.
• Đe dọa, tấn công nhân viên thực thi công vụ: Sử dụng vũ lực, đe dọa hoặc các biện pháp khác để ngăn cản, cản trở nhân viên của cơ quan nhà nước có thẩm quyền thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân.

Ví dụ:

Một công ty bị cơ quan chức năng yêu cầu cung cấp thông tin về việc xử lý dữ liệu cá nhân của khách hàng nhưng lại từ chối hoặc cung cấp thông tin không đầy đủ, không chính xác.

Một cá nhân bị cơ quan chức năng yêu cầu hợp tác trong việc điều tra một vụ vi phạm dữ liệu cá nhân nhưng lại không đến làm việc hoặc không cung cấp thông tin theo yêu cầu.

Một tổ chức cố tình xóa các nhật ký hệ thống ghi lại hoạt động xử lý dữ liệu cá nhân để tránh bị phát hiện vi phạm.

Hành vi cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền là một hành vi vi phạm pháp luật và có thể bị xử phạt vi phạm hành chính theo quy định tại Nghị định 13/2023/NĐ-CP và các văn bản pháp luật liên quan khác.

Khoản 5 Điều 8 của Nghị định 13/2023/NĐ-CP quy định về hành vi bị nghiêm cấm: “Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật”.

Hành vi này được hiểu là việc các cá nhân, tổ chức sử dụng các biện pháp, công cụ, hoặc quy định về bảo vệ dữ liệu cá nhân để che giấu, tạo điều kiện hoặc thực hiện các hành vi vi phạm pháp luật khác. Cụ thể, hành vi này có thể bao gồm:

• Sử dụng công nghệ mã hóa để che giấu thông tin giao dịch bất hợp pháp: Ví dụ, một tổ chức tội phạm sử dụng các phần mềm mã hóa để che giấu thông tin về các giao dịch mua bán ma túy, vũ khí, hoặc các hoạt động rửa tiền.
• Lập các trang web giả mạo để thu thập dữ liệu cá nhân: Ví dụ, một nhóm lừa đảo tạo ra một trang web giả mạo của một ngân hàng để lừa người dùng cung cấp thông tin đăng nhập tài khoản ngân hàng của họ.
• Sử dụng thông tin cá nhân thu thập được cho mục đích bất hợp pháp: Ví dụ, một công ty thu thập thông tin cá nhân của khách hàng với lý do cung cấp dịch vụ chăm sóc khách hàng, nhưng sau đó lại sử dụng thông tin này để gửi thư rác hoặc bán cho bên thứ ba.
• Lợi dụng các lỗ hổng bảo mật: Ví dụ, một hacker lợi dụng lỗ hổng trong hệ thống bảo mật của một công ty để đánh cắp dữ liệu cá nhân của khách hàng và sử dụng cho mục đích tống tiền.
• Tạo ra các chính sách bảo mật giả mạo: Ví dụ, một công ty đưa ra một chính sách bảo mật rất chặt chẽ để tạo lòng tin cho khách hàng, nhưng thực tế lại không thực hiện các biện pháp bảo mật đó.

Hành vi lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật là một hành vi nguy hiểm, gây ảnh hưởng nghiêm trọng đến quyền lợi của các cá nhân và tổ chức. Hành vi này có thể bị xử lý theo quy định của pháp luật, tùy theo tính chất và mức độ vi phạm, có thể bị xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự.

Nghị định 13/2023/NĐ-CP chỉ liệt kê các hành vi bị nghiêm cấm về xử lý dữ liệu cá nhân, nhưng chưa quy định cụ thể về mức xử phạt hành chính tương ứng. Tuy nhiên, Điều 4 của Nghị định 13 có đề cập đến việc xử lý vi phạm quy định về bảo vệ dữ liệu cá nhân:

Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.

Điều này cho thấy, tùy theo tính chất và mức độ nghiêm trọng của hành vi vi phạm, các đối tượng vi phạm có thể bị xử lý theo các hình thức khác nhau, từ xử lý kỷ luật (đối với cán bộ, công chức, viên chức), xử phạt vi phạm hành chính đến xử lý hình sự. Cụ thể:

• Xử phạt vi phạm hành chính: Mức phạt tiền và các hình thức xử phạt bổ sung sẽ được quy định chi tiết trong một nghị định riêng về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân. Nghị định này hiện đang được xây dựng và dự kiến sẽ sớm được ban hành.
• Xử lý hình sự: Đối với các hành vi vi phạm nghiêm trọng, đủ yếu tố cấu thành tội phạm, sẽ bị truy cứu trách nhiệm hình sự theo Bộ luật Hình sự.

Do đó, để biết chính xác mức xử phạt đối với từng hành vi bị nghiêm cấm về xử lý dữ liệu cá nhân, chúng ta cần chờ đợi Nghị định về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân được ban hành.

Nghị định 13/2023/NĐ-CP không chỉ đặt ra các quy định chặt chẽ về việc xử lý dữ liệu cá nhân mà còn cho phép một số trường hợp ngoại lệ để đảm bảo sự cân bằng giữa quyền riêng tư và các lợi ích khác của xã hội. Việc hiểu rõ các trường hợp ngoại lệ này là rất quan trọng để đảm bảo việc xử lý dữ liệu cá nhân được thực hiện một cách hợp pháp và hiệu quả.

DPVN mong rằng bài viết này đã cung cấp cái nhìn tổng quan về 5 hành vi bị nghiêm cấm liên quan đến xử lý dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP. Hãy luôn thận trọng và tôn trọng quyền riêng tư của người khác trong quá trình xử lý thông tin cá nhân. Nếu bạn cần hỗ trợ tư vấn thêm về vấn đề này, hãy liên hệ với chúng tôi để được tư vấn chuyên sâu.