Dự thảo được xây dựng trong bối cảnh các hành vi lừa đảo công nghệ cao, mua bán dữ liệu cá nhân, phát tán tin giả và giả mạo bằng trí tuệ nhân tạo (AI) diễn biến ngày càng phức tạp trên không gian mạng.

TĂNG CHẾ TÀI HÀNH VI MUA BÁN DỮ LIỆU CÁ NHÂN

Theo Điều 1 của dự thảo, Nghị định quy định về hành vi vi phạm hành chính; hình thức xử phạt; mức xử phạt; biện pháp khắc phục hậu quả; thẩm quyền xử phạt và việc thi hành các hình thức xử phạt trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân.

Không chỉ bổ sung các mức phạt mới, dự thảo còn được xây dựng trong bối cảnh cơ quan chức năng đánh giá tình trạng vi phạm trên không gian mạng đang diễn biến nghiêm trọng, đặc biệt là các hành vi mua bán dữ liệu cá nhân và lợi dụng công nghệ AI để lừa đảo, giả mạo.

Theo tờ trình của cơ quan soạn thảo, thời gian qua Bộ Công an đã trực tiếp phát hiện, điều tra, xử lý hàng chục vụ chiếm đoạt, mua bán tài sản cá nhân, với số lượng hàng chục triệu dữ liệu. Điển hình như vụ mua bán 2,2 triệu dữ liệu cá nhân vào tháng 11/2022; vụ thu thập, mua bán trái phép thông tin của hơn 1 triệu người vào tháng 3/2023; đặc biệt là vụ mua bán gần 56 triệu dữ liệu cá nhân bị triệt phá vào tháng 2/2025.

Cơ quan soạn thảo đánh giá quá trình chuyển đổi số mạnh mẽ hiện nay đang kéo theo những thách thức mới về an ninh mạng và bảo vệ dữ liệu cá nhân, đồng thời đặt ra yêu cầu cấp thiết phải hoàn thiện cơ chế xử phạt để bảo vệ quyền riêng tư, quyền và lợi ích hợp pháp của người dân.

Đáng chú ý, tờ trình cũng chỉ ra các quy định xử phạt hiện hành còn phân tán ở nhiều văn bản, chưa được tích hợp thành một khuôn khổ pháp lý thống nhất, gây khó khăn cho cơ quan thực thi và làm tăng chi phí tuân thủ đối với tổ chức, cá nhân.

Một trong những nội dung đáng chú ý nhất của dự thảo là việc bổ sung chế tài rất mạnh với hành vi mua bán dữ liệu cá nhân và chuyển dữ liệu cá nhân xuyên biên giới.

Cụ thể, khoản 4 Điều 6 dự thảo quy định mức phạt tiền tối đa đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm. Trường hợp không xác định được khoản thu hoặc mức phạt tính theo khoản thu thấp hơn thì mức phạt tối đa lên tới 3 tỉ đồng.

Trong khi đó, khoản 5 Điều 6 quy định tổ chức có hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới có thể bị phạt tới 5% doanh thu của năm trước liền kề. Nếu không có doanh thu hoặc mức phạt tính theo doanh thu thấp hơn thì áp dụng mức tối đa 3 tỉ đồng.

Ngoài phạt tiền, Điều 4 của dự thảo còn quy định nhiều hình thức xử phạt bổ sung như đình chỉ hoạt động có thời hạn; tước quyền sử dụng giấy phép kinh doanh, chứng chỉ hành nghề; tịch thu tang vật, phương tiện, tài khoản số vi phạm; thậm chí trục xuất đối với người nước ngoài có hành vi vi phạm hành chính.

Đặc biệt, Điều 5 quy định rất chi tiết các biện pháp khắc phục hậu quả. Trong đó, cơ quan chức năng có thể buộc cá nhân, tổ chức vi phạm gỡ bỏ, xóa hoặc tiêu hủy thông tin, dữ liệu, chương trình, phần mềm, mã độc, tài khoản số, chứng thư số, sản phẩm, thiết bị, dịch vụ, tài nguyên Internet, tên miền, địa chỉ IP... vi phạm pháp luật về an ninh mạng và bảo vệ dữ liệu cá nhân.

Dự thảo cũng yêu cầu buộc thực hiện đầy đủ quyền của chủ thể dữ liệu cá nhân; chỉnh sửa, cập nhật hoặc xóa dữ liệu cá nhân không chính xác, được thu thập hoặc chuyển giao trái pháp luật (khoản 8 Điều 5).

Theo cơ quan soạn thảo, trong môi trường số, nếu chỉ xử phạt tiền mà không áp dụng các biện pháp kỹ thuật thì hậu quả vi phạm vẫn có thể tiếp tục lan rộng trên không gian mạng.

SỬ DỤNG AI ĐỂ LỪA ĐẢO

Một nội dung khác đang nhận được nhiều sự quan tâm là việc dự thảo bổ sung chế tài đối với hành vi sử dụng AI hoặc công nghệ mới để giả mạo thông tin.

Cụ thể, tại Điều 8, dự thảo quy định phạt tiền từ 10 triệu đến 20 triệu đồng đối với hành vi sử dụng trí tuệ nhân tạo hoặc công nghệ mới để giả mạo video, hình ảnh, giọng nói của người khác trái quy định của pháp luật; tạo lập, đăng tải, phát tán thông tin có nội dung sai sự thật, ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân.

Đây được xem là điểm mới đáng chú ý trong bối cảnh công nghệ deepfake và AI tạo sinh đang bị lợi dụng để lừa đảo, bôi nhọ danh dự hoặc phát tán thông tin giả.

Ngoài hành vi sử dụng AI giả mạo, Điều 8 còn quy định phạt từ 5 triệu đến 10 triệu đồng đối với hành vi phát tán thông tin bịa đặt, sai sự thật, xúc phạm danh dự, uy tín, nhân phẩm của người khác; mạo danh cá nhân, tổ chức gây ảnh hưởng đến danh dự, nhân phẩm hoặc uy tín.

Đối với các nền tảng, mạng xã hội hoặc trang cộng đồng không kiểm duyệt, ngăn chặn, loại bỏ nội dung sai sự thật, mức phạt được đề xuất từ 20 triệu đến 30 triệu đồng. Doanh nghiệp vi phạm còn có thể bị đình chỉ hoạt động từ 1 đến 3 tháng (khoản 4 Điều 8).

Trong khi đó, Điều 7 của dự thảo cũng siết mạnh các hành vi cung cấp, chia sẻ thông tin gây ảnh hưởng đến an ninh, trật tự như kích động tụ tập đông người, xuyên tạc, gây ảnh hưởng đến uy tín của cơ quan, tổ chức, chính quyền nhân dân hoặc đăng tải thông tin sai sự thật về chủ quyền quốc gia, an ninh, quốc phòng.

Không chỉ dừng ở xử phạt tiền, dự thảo còn quy định biện pháp buộc gỡ, xóa thông tin vi phạm; buộc cải chính thông tin sai sự thật; xóa hội, nhóm trên không gian mạng thực hiện hành vi phát tán nội dung vi phạm pháp luật.

Theo cơ quan soạn thảo, việc xây dựng Nghị định nhằm hoàn thiện cơ sở pháp lý để xử lý hiệu quả các hành vi vi phạm trên không gian mạng, đặc biệt trong bối cảnh dữ liệu cá nhân đang trở thành tài sản có giá trị lớn và các hành vi lợi dụng công nghệ số để vi phạm pháp luật ngày càng tinh vi.