Có được phép mua, bán và chia sẻ thông tin dữ liệu cá nhân không?

Hiện tượng mua bán và chia sẻ thông tin dữ liệu cá nhân đang xuất hiện và diễn ra ngày càng phức tạp. Trong thời đại số, dữ liệu cá nhân trở thành một loại “tài sản” vô cùng quý giá, được các doanh nghiệp, tổ chức săn đón để phục vụ cho các hoạt động kinh doanh, nghiên cứu, tiếp thị,… Vậy có được phép mua bán và chia sẻ thông tin dữ liệu cá nhân không? Bài viết sau đây của DPVN sẽ giúp quý đọc giả trả lời câu hỏi này.

– Bộ Luật Hình sự 2015;

– Luật An ninh mạng 2018;

– Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân;

– Nghị định 15/2020/NĐ-CP quy định về vi phạm quy định về lưu trữ, cho thuê, truyền đưa, cung cấp, truy nhập, thu thập, xử lý, trao đổi và sử dụng thông tin.

Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân được ban hành đã đánh dấu một bước phát triển mới trong công cuộc bảo vệ dữ liệu cá nhân. Căn cứ quy định tại khoản 1 Điều 2 của Nghị định 13/2023/NĐ-CP, Dữ liệu cá nhân được định nghĩa như sau:

Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Có thể hiểu, Dữ liệu cá nhân là bất kỳ thông tin nào có thể liên kết trực tiếp hoặc gián tiếp đến một cá nhân cụ thể. Đó có thể là thông tin định danh như họ tên, ngày sinh, số điện thoại, địa chỉ,… hoặc thông tin nhạy cảm hơn như tình trạng sức khỏe, quan điểm chính trị, tôn giáo,…

Tìm hiểu thêm về các loại dữ liệu cá nhân được quy định theo Nghị định 13

Dữ liệu cá nhân được ví như “dầu mỏ” trong bối cảnh internet kết nối toàn cầu như hiện nay. Theo Thượng tá Nguyễn Đình Đỗ Thi:

“Dữ liệu cá nhân đơn lẻ không phải vấn đề nhưng nếu là tập hợp của cộng đồng, của quốc gia thì là tài sản rất quý. Đây là nguồn dữ liệu số vô cùng quan trọng trong kỷ nguyên thông tin, đặc biệt là chuyển đổi số”.

Do đó, Bảo vệ dữ liệu cá nhân không chỉ là một yêu cầu pháp lý mà còn là một yếu tố thiết yếu trong việc đảm bảo quyền con người và sự phát triển bền vững của xã hội.

Dữ liệu cá nhân là tài sản vô hình, chứa đựng những thông tin nhạy cảm và riêng tư của mỗi cá nhân. Việc bảo vệ dữ liệu cá nhân giúp ngăn chặn các nguy cơ như xâm phạm quyền riêng tư, lừa đảo, trộm cắp danh tính, phân biệt đối xử và nhiều hệ lụy tiêu cực khác. Hơn nữa, bảo vệ dữ liệu cá nhân còn góp phần xây dựng lòng tin giữa các bên trong xã hội, tạo ra một môi trường an toàn và lành mạnh cho các hoạt động kinh tế, xã hội và công nghệ. Trong bối cảnh chuyển đổi số mạnh mẽ, việc bảo vệ dữ liệu cá nhân càng trở nên cấp thiết để đảm bảo sự phát triển bền vững và công bằng cho tất cả mọi người.

Nghị định số 13/2023/NĐ-CP đã quy định chặt chẽ về bảo vệ dữ liệu và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Theo đó, các bên tham gia hoạt động xử lý dữ liệu cá nhân phải nghiêm túc tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân theo quy định.

Trên cơ sở bảo vệ quyền lợi của chủ thể dữ liệu cá nhân, Khoản 4, Điều 3, Nghị định 13/2023/NĐ-CP quy định:

“Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.”

Như vậy, theo quy định về nguyên tắc bảo vệ dữ liệu cá nhân nêu trên, dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.

Ngoài ra, Điều 22 Nghị định 13/2023/NĐ-CP có quy định:

Điều 22. Thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân

1. Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình.

2. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.

Theo đó, Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân có trách nhiệm phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình. Tất cả các hành vi nhằm mục đích thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu đều là hành vi vi phạm pháp luật.

Hành vi mua bán trái phép dữ liệu cá nhân có thể bị xử phạt vi phạm hành chính từ 50.000.000 đồng đến 70.000.000 đồng theo quy định tại Điều 102 Nghị định 15/2020/NĐ-CP quy định về vi phạm quy định lưu trữ, cho thuê, truyền đưa, cung cấp, truy nhập, thu thập, xử lý, trao đổi và sử dụng thông tin, cụ thể:

“5. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:

a) Mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông;

b) Che giấu tên, địa chỉ điện tử của mình hoặc giả mạo tên, địa chỉ điện tử của tổ chức, cá nhân khác khi gửi thư điện tử, tin nhắn.

8. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng Giấy phép thiết lập mạng xã hội từ 22 tháng đến 24 tháng đối với hành vi vi phạm quy định tại các khoản 5, 6 và 7 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại các điểm b, g, h và q khoản 3, điểm a khoản 4 và khoản 7 Điều này.

9. Biện pháp khắc phục hậu quả:

a) Buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại điểm b khoản 4 và điểm a khoản 5 Điều này;

b) Buộc thu hồi đầu số, kho số viễn thông do thực hiện hành vi vi phạm quy định tại điểm b khoản 4 Điều này;

c) Buộc thu hồi tên miền do thực hiện hành vi vi phạm quy định tại điểm b khoản 3 Điều này;”

Theo quy định tại Điều 288 Bộ luật hình sự năm 2015 về hành vi đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông. Cụ thể:

“Điều 288. Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông

1. Người nào thực hiện một trong các hành vi sau đây, thu lợi bất chính từ 50.000.000 đồng đến dưới 200.000.000 đồng hoặc gây thiệt hại từ 100.000.000 đồng đến dưới 500.000.000 đồng hoặc gây dư luận xấu làm giảm uy tín của cơ quan, tổ chức, cá nhân, thì bị phạt tiền từ 30.000.000 đồng đến 200.000.000 đồng, phạt cải tạo không giam giữ đến 03 năm hoặc bị phạt tù từ 06 tháng đến 03 năm:

a) Đưa lên mạng máy tính, mạng viễn thông những thông tin trái với quy định của pháp luật, nếu không thuộc một trong các trường hợp quy định tại các Điều 117, 155, 156 và 326 của Bộ luật này;

b) Mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin riêng hợp pháp của cơ quan, tổ chức, cá nhân trên mạng máy tính, mạng viễn thông mà không được phép của chủ sở hữu thông tin đó;

c) Hành vi khác sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông.

2. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tiền từ 200.000.000 đồng đến 1.000.000.000 đồng hoặc phạt tù từ 02 năm đến 07 năm:

a) Có tổ chức;

b) Lợi dụng quyền quản trị mạng máy tính, mạng viễn thông;

c) Thu lợi bất chính 200.000.000 đồng trở lên;

d) Gây thiệt hại 500.000.000 đồng trở lên;

đ) Xâm phạm bí mật cá nhân dẫn đến người bị xâm phạm tự sát;

e) Gây ảnh hưởng xấu đến an ninh, trật tự, an toàn xã hội hoặc quan hệ đối ngoại của Việt Nam;

g) Dẫn đến biểu tình.

3. Người phạm tội còn có thể bị phạt tiền từ 20.000.000 đồng đến 200.000.000 đồng, cấm đảm nhiệm chức vụ, cấm hành nghề hoặc làm công việc nhất định từ 01 năm đến 05 năm.”

Như vậy, hành vi mua bán dữ liệu cá nhân có thể bị xử phạt:

• Phạt tiền: Từ 30.000.000 đồng đến 200.000.000 đồng.
• Phạt cải tạo không giam giữ: Đến 03 năm.
• Phạt tù: Từ 06 tháng đến 07 năm.

Việc chia sẻ dữ liệu cá nhân được phép trong các trường hợp sau:

Khi có sự đồng ý của chủ thể dữ liệu:

Đây là nguyên tắc cơ bản nhất. Chủ thể dữ liệu phải được thông báo rõ ràng về việc chia sẻ dữ liệu của mình và đồng ý với việc đó. Căn cứ quy định tại Khoản 2, Điều 14 Nghị định 13/2023/NĐ-CP, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân có quyền:

• Được cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức, cá nhân khác khi có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;
• Thay mặt chủ thể dữ liệu cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho tổ chức hoặc cá nhân khác khi chủ thể dữ liệu đồng ý cho phép đại diện và ủy quyền, trừ trường hợp pháp luật có quy định khác.

Tìm hiểu thêm về nội dung Sự đồng ý của chủ thể dữ liệu theo Nghị định 13

Trong trường hợp không cần sự đồng ý của chủ thể dữ liệu theo quy định của pháp luật.

Theo quy định Điều 17 Nghị định 13/2023/NĐ-CP, trong một số trường hợp, Các bên trong hoạt động xử lý dữ liệu cá nhân có thể chia sẻ, cung cấp dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu. Bao gồm:

• Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác.
• Việc công khai dữ liệu cá nhân theo quy định của luật.
• Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
• Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan.
• Phục vụ hoạt động của cơ quan nhà nước.

Xem thêm các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu

Trên cơ sở những lập luận mà DPVN đưa ra, pháp luật nghiêm cấm hành vi mua, bán và chia sẻ thông tin dữ liệu cá nhân. Việc mua bán, chia sẻ dữ liệu cá nhân trái phép có thể gây ra những hậu quả nghiêm trọng, tổ chức có hành vi mua bán, chia sẻ trái phép dữ liệu cá nhân sẽ phải chịu những chế tài xử phạt theo quy định pháp luật.

Bảo vệ dữ liệu cá nhân là trách nhiệm của mỗi cá nhân, tổ chức và toàn xã hội. Chúng ta cần nâng cao ý thức về tầm quan trọng của việc bảo vệ dữ liệu cá nhân, đồng thời tuân thủ nghiêm túc các quy định của pháp luật để ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, góp phần xây dựng một môi trường số an toàn và lành mạnh.