Lưu trữ trái phép thông tin của khách hàng có thể bị phạt đến 100 triệu đồng
Bộ Công thương đề xuất mức phạt 100 triệu đồng đối với hành vi lưu trái phép thông tin nhạy cảm của người dùng hoặc trường hợp hành vi vi phạm do tổ chức thiết lập, vận hành nền tảng số lớn thực hiện.
Lộ lọt thông tin người dùng như: họ tên, số căn cước công dân, số điện thoại, email, nơi ở… đang là vấn đề nhức nhối hiện nay. Đây là một trong những nguyên nhân khiến cuộc gọi, tin nhắn rác, email lừa đảo bùng phát. Việc thu thập thông tin người dùng hiện nay được thực hiện khá phổ biến, từ ngân hàng, cửa hàng, trung tâm thương mại… Những đơn vị này thu thập thông tin khách hàng nhằm thực hiện chính sách chăm sóc khách hàng. Tuy nhiên, do việc bảo vệ dữ liệu khách hàng không tốt nên thông tin bị rò rỉ.
Để ngăn chặn tình trạng này, Bộ Công Thương đang dự thảo Nghị định sửa đổi, bổ sung một số điều của Nghị định số 98/2020/NĐ-CP ngày 26 tháng 8 năm 2020 của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng đã được sửa đổi, bổ sung một số điều theo quy định tại Nghị định số 17/2022/NĐ-CP ngày 31 tháng 01 năm 2022 của Chính phủ.
Tại dự thảo này, cơ quan soạn thảo đề xuất phạt tiền từ 20 triệu đồng đến 40 triệu đồng đối với một trong các hành vi vi phạm sau đây:
- Không lập văn bản để thực hiện ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng theo quy định;
- Ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng nhưng chưa được sự đồng ý của người tiêu dùng;
- Chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi chưa có sự đồng ý của người tiêu dùng theo quy định, trừ trường hợp pháp luật có quy định khác.
- Không xây dựng quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng với các nội dung theo quy định;
- Không công khai quy tắc bảo vệ thông tin của người tiêu dùng theo hình thức niêm yết ở vị trí dễ nhìn thấy tại trụ sở, địa điểm kinh doanh và đăng tải trên trang thông tin điện tử, phần mềm ứng dụng (nếu có), tạo điều kiện để người tiêu dùng tiếp cận trước hoặc tại thời điểm thu thập thông tin;
- Không thông báo rõ ràng, công khai, bằng hình thức phù hợp với người tiêu dùng về mục đích, phạm vi thu thập, sử dụng thông tin, thời hạn lưu trữ thông tin của người tiêu dùng trước khi thực hiện và phải được người tiêu dùng đồng ý theo quy định;
- Không thiết lập phương thức rõ ràng để người tiêu dùng lựa chọn phạm vi thông tin đồng ý cung cấp và bày tỏ sự đồng ý hoặc không đồng ý theo quy định;
- Không thông báo lại và được người tiêu dùng đồng ý về việc thay đổi trước khi thay đổi mục đích, phạm vi sử dụng thông tin đã thông báo cho người tiêu dùng;
- Không sử dụng thông tin của người tiêu dùng chính xác, phù hợp với mục đích, phạm vi đã thông báo và phải được người tiêu dùng đồng ý theo quy định;
- Không có cơ chế để người tiêu dùng lựa chọn việc cho phép hoặc không cho phép thực hiện một trong các hành vi quy định tại điểm a, điểm b khoản 4 Điều 18 Luật Bảo vệ quyền lợi người tiêu dùng;
- Không thực hiện yêu cầu của người tiêu dùng về việc kiểm tra, chỉnh sửa, cập nhật, hủy bỏ, chuyển giao, ngừng chuyển giao thông tin của người tiêu dùng hoặc không cung cấp cho người tiêu dùng công cụ, thông tin để tự thực hiện theo quy định của pháp luật;
- Không hủy bỏ thông tin của người tiêu dùng khi hết thời hạn lưu trữ theo quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng hoặc quy định của pháp luật.
Bên cạnh đó, phạt tiền từ 30 triệu đồng đến 50 triệu đồng đối với một trong các hành vi vi phạm sau đây:
- Không có biện pháp bảo đảm an toàn, an ninh thông tin của người tiêu dùng mà thương nhân thu thập, lưu trữ, sử dụng và có biện pháp ngăn ngừa các hành vi vi phạm an toàn, an ninh thông tin của người tiêu dùng theo quy định;
- Không tiếp nhận và giải quyết phản ánh, yêu cầu, khiếu nại của người tiêu dùng liên quan đến việc thông tin bị thu thập trái phép, sử dụng sai mục đích, phạm vi đã thông báo;
- Không thông báo cho cơ quan quản lý nhà nước có thẩm quyền trong thời hạn 24 giờ kể từ thời điểm phát hiện hệ thống thông tin bị tấn công và thực hiện các biện pháp cần thiết để bảo đảm an toàn, an ninh thông tin của người tiêu dùng theo quy định trong trường hợp hệ thống thông tin bị tấn công làm phát sinh nguy cơ mất an toàn, an ninh thông tin của người tiêu dùng.
Ngoài ra, dự thảo đề xuất mức tiền phạt gấp 2 lần mức tiền phạt đối với hành vi vi phạm quy định trên đối với trường hợp thông tin có liên quan là dữ liệu cá nhân nhạy cảm của người tiêu dùng hoặc trường hợp hành vi vi phạm do tổ chức thiết lập, vận hành nền tảng số lớn thực hiện.