Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân
| Số hiệu | Khongso |
| Ngày ban hành | 20/05/2026 |
| Ngày có hiệu lực | |
| Loại văn bản | Nghị định |
| Cơ quan ban hành | Chính phủ |
| Người ký | Lê Minh Hưng |
| Lĩnh vực | Công nghệ thông tin,Vi phạm hành chính,Quyền dân sự |
|
CHÍNH PHỦ |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: /2026/NĐ-CP |
Hà Nội, ngày tháng năm 2026 |
|
DỰ THẢO |
|
QUY ĐỊNH XỬ PHẠT VI PHẠM HÀNH CHÍNH TRONG LĨNH VỰC AN NINH MẠNG VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN
Căn cứ Luật Tổ chức Chính phủ số 63/2025/QH15;
Căn cứ Luật Tổ chức chính quyền địa phương số 72/2025/QH15;
Căn cứ Luật Ban hành văn bản quy phạm pháp luật số 64/2025/QH15 được sửa đổi, bổ sung bởi Luật số 87/2025/QH15;
Căn cứ Luật An ninh mạng số 116/2025/QH15;
Căn cứ Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15;
Căn cứ Luật Xử lý vi phạm hành chính số 15/2012/QH13 được sửa đổi, bổ sung bởi Luật số 67/2020/QH14 và Luật số 88/2025/QH15;
Căn cứ Luật Chuyển đổi số số 148/2025/QH15;
Căn cứ Luật Giao dịch điện tử năm 2023 số 20/2023/QH15;
Theo đề nghị của Bộ trưởng Bộ Công an;
Chính phủ ban hành Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân.
1. Nghị định này quy định về hành vi vi phạm hành chính; hành vi vi phạm hành chính đã kết thúc và hành vi vi phạm hành chính đang thực hiện; hình thức xử phạt, mức xử phạt, biện pháp khắc phục hậu quả đối với từng hành vi vi phạm hành chính; đối tượng bị xử phạt; thẩm quyền xử phạt, mức phạt tiền cụ thể theo từng chức danh và thẩm quyền lập biên bản đối với vi phạm hành chính; việc thi hành các hình thức xử phạt vi phạm hành chính, các biện pháp khắc phục hâu quả trong từng lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân cụ thể bao gồm:
a) Bảo vệ thông tin và nội dung thông tin trên không gian mạng;
b) Quản lý sản phẩm và dịch vụ công nghệ số;
c) Bảo đảm an ninh mạng;
d) Bảo vệ dữ liệu cá nhân.
2. Các hành vi vi phạm hành chính khác có liên quan đến lĩnh vực an ninh mạng và lĩnh vực bảo vệ dữ liệu cá nhân nhưng không được quy định tại Nghị định này thì áp dụng theo quy định tại các Nghị định đó của Chính phủ về xử phạt vi phạm hành chính trong lĩnh vực quản lý nhà nước có liên quan để xử phạt. Các hành vi vi phạm hành chính được quy định ở Nghị định này thì được bãi bỏ ở Nghị định khác.
1. Cá nhân, tổ chức Việt Nam; cá nhân, tổ chức nước ngoài có hành vi vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân trong phạm vi lãnh thổ, vùng nội thủy, lãnh hải, vũng tiếp giáp lãnh hải, vùng đặc quyền kinh tế và thềm lục địa của Nước Cộng hòa xã hội chủ nghĩa Việt Nam; trên tàu bay mang quốc tịch Việt Nam, tàu biển mang cờ quốc tịch Việt Nam (sau đây gọi là cá nhân, tổ chức).
2. Tổ chức quy định tại khoản 1 Điều này bao gồm:
a) Doanh nghiệp tư nhân, Công ty cổ phần, Công ty trách nhiệm hữu hạn, Công ty hợp danh, các đơn vị phụ thuộc doanh nghiệp;
b) Tổ chức được thành lập theo quy định của Luật Hợp tác xã;
c) Tổ chức được thành lập theo quy định của Luật Đầu tư;
d) Tổ chức chính trị - xã hội, tổ chức xã hội - nghề nghiệp, các tổ chức xã hội khác;
|
CHÍNH PHỦ |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: /2026/NĐ-CP |
Hà Nội, ngày tháng năm 2026 |
|
DỰ THẢO |
|
QUY ĐỊNH XỬ PHẠT VI PHẠM HÀNH CHÍNH TRONG LĨNH VỰC AN NINH MẠNG VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN
Căn cứ Luật Tổ chức Chính phủ số 63/2025/QH15;
Căn cứ Luật Tổ chức chính quyền địa phương số 72/2025/QH15;
Căn cứ Luật Ban hành văn bản quy phạm pháp luật số 64/2025/QH15 được sửa đổi, bổ sung bởi Luật số 87/2025/QH15;
Căn cứ Luật An ninh mạng số 116/2025/QH15;
Căn cứ Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15;
Căn cứ Luật Xử lý vi phạm hành chính số 15/2012/QH13 được sửa đổi, bổ sung bởi Luật số 67/2020/QH14 và Luật số 88/2025/QH15;
Căn cứ Luật Chuyển đổi số số 148/2025/QH15;
Căn cứ Luật Giao dịch điện tử năm 2023 số 20/2023/QH15;
Theo đề nghị của Bộ trưởng Bộ Công an;
Chính phủ ban hành Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân.
1. Nghị định này quy định về hành vi vi phạm hành chính; hành vi vi phạm hành chính đã kết thúc và hành vi vi phạm hành chính đang thực hiện; hình thức xử phạt, mức xử phạt, biện pháp khắc phục hậu quả đối với từng hành vi vi phạm hành chính; đối tượng bị xử phạt; thẩm quyền xử phạt, mức phạt tiền cụ thể theo từng chức danh và thẩm quyền lập biên bản đối với vi phạm hành chính; việc thi hành các hình thức xử phạt vi phạm hành chính, các biện pháp khắc phục hâu quả trong từng lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân cụ thể bao gồm:
a) Bảo vệ thông tin và nội dung thông tin trên không gian mạng;
b) Quản lý sản phẩm và dịch vụ công nghệ số;
c) Bảo đảm an ninh mạng;
d) Bảo vệ dữ liệu cá nhân.
2. Các hành vi vi phạm hành chính khác có liên quan đến lĩnh vực an ninh mạng và lĩnh vực bảo vệ dữ liệu cá nhân nhưng không được quy định tại Nghị định này thì áp dụng theo quy định tại các Nghị định đó của Chính phủ về xử phạt vi phạm hành chính trong lĩnh vực quản lý nhà nước có liên quan để xử phạt. Các hành vi vi phạm hành chính được quy định ở Nghị định này thì được bãi bỏ ở Nghị định khác.
1. Cá nhân, tổ chức Việt Nam; cá nhân, tổ chức nước ngoài có hành vi vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân trong phạm vi lãnh thổ, vùng nội thủy, lãnh hải, vũng tiếp giáp lãnh hải, vùng đặc quyền kinh tế và thềm lục địa của Nước Cộng hòa xã hội chủ nghĩa Việt Nam; trên tàu bay mang quốc tịch Việt Nam, tàu biển mang cờ quốc tịch Việt Nam (sau đây gọi là cá nhân, tổ chức).
2. Tổ chức quy định tại khoản 1 Điều này bao gồm:
a) Doanh nghiệp tư nhân, Công ty cổ phần, Công ty trách nhiệm hữu hạn, Công ty hợp danh, các đơn vị phụ thuộc doanh nghiệp;
b) Tổ chức được thành lập theo quy định của Luật Hợp tác xã;
c) Tổ chức được thành lập theo quy định của Luật Đầu tư;
d) Tổ chức chính trị - xã hội, tổ chức xã hội - nghề nghiệp, các tổ chức xã hội khác;
đ) Doanh nghiệp nước ngoài hoặc chi nhánh, văn phòng đại diện, địa điểm kinh doanh của doanh nghiệp nước ngoài cung cấp dịch vụ viễn thông, Internet, dịch vụ cung cấp nội dung trên không gian mạng, công nghệ thông tin, an ninh mạng, cung cấp dịch vụ xuyên biên giới; cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.
e) Điểm cung cấp dịch vụ viễn thông, trò chơi điện tử công cộng, truy nhập Internet công cộng;
g) Doanh nghiệp cung cấp dịch vụ nội dung thông tin trên mạng viễn thông di động và không gian mạng;
h) Đơn vị sự nghiệp, tổ chức xã hội, tổ chức xã hội nghề nghiệp, tổ chức phi chính phủ nước ngoài sử dụng tần số vô tuyến điện;
i) Nhà đăng ký tên miền; tổ chức, doanh nghiệp đăng ký tên miền;
k) Chủ quản hệ thống thông tin và đơn vị vận hành hệ thống thông tin;
l) Cơ quan nhà nước thực hiện hành vi vi phạm hành chính mà hành vi đó không thuộc nhiệm vụ quản lý Nhà nước được giao;
m) Tổ chức khác theo quy định của pháp luật.
3. Hộ kinh doanh, hộ gia đình, cộng đồng dân cư thực hiện hành vi vi phạm hành chính quy định tại Nghị định này bị áp dụng mức phạt tiền như đối với cá nhân vi phạm hành chính.
Điều 3. Thời hiệu xử phạt vi phạm hành chính
1. Thời hiệu xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân là 01 (một) năm.
2. Thời hiệu xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân là 02 (hai) năm đối với các trường hợp dữ liệu cá nhân nhạy cảm, dữ liệu quan trọng liên quan đến an ninh quốc gia, trật tự, an toàn xã hội.
3. Thời điểm để tính thời hiệu xử phạt vi phạm hành chính:
a) Đối với vi phạm hành chính đã kết thúc thì thời hiệu được tính từ thời điểm chấm dứt hành vi vi phạm.
b) Đối với vi phạm hành chính đang được thực hiện thì thời hiệu được tính từ thời điểm phát hiện hành vi vi phạm;
c) Đối với cá nhân, căn cứ vào thời điểm chấm dứt hành vi vi phạm để xác định thời hiệu xử phạt là ngày các bên hoàn thành nghĩa vụ;
d) Đối với tổ chức, thời điểm chấm dứt hành vi vi phạm để tính thời hiệu xử phạt là ngày tố chức thực hiện xong nghĩa vụ theo quy định hoặc ngày hành vi vi phạm đó thực tế kết thúc trên không gian mạng được cơ quan có thẩm quyền xác nhận.
4. Ngoài quy định tại khoản 2 Điều này, cơ quan, người có thẩm quyền xử phạt vi phạm hành chính căn cứ vào các văn bản quy phạm pháp luật có liên quan, hồ sơ, tài liệu và tình tiết của từng vụ việc cụ thể để xác định hành vi vi phạm đã kết thúc hay hành vi vi phạm đang thực hiện theo quy định tại Nghị định của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Xử lý vi phạm hành chính hiện hành.
1. Đối với mỗi hành vi vi phạm hành chính trong lĩnh vực an ninh mạng và lĩnh vực bảo vệ dữ liệu cá nhân, tổ chức, cá nhân phải chịu hình thức xử phạt chính phạt cảnh cáo hoặc phạt tiền.
2. Tùy theo tính chất, mức độ vi phạm, tổ chức, cá nhân có hành vi vi phạm hành chính còn bị áp dụng một hoặc nhiều hình thức xử phạt bổ sung sau đây:
a) Đình chỉ hoạt động có thời hạn, tước quyền sử dụng giấy phép kinh doanh, chứng chỉ hành nghề, kinh doanh sản phẩm, dịch vụ khi có đủ các căn cứ sau đây: Trực tiếp vi phạm các hoạt động được ghi trong giấy phép; vi phạm có tính chất, mức độ nghiêm trọng xâm hại trật tự quản lý hành chính nhà nước; gây hậu quả nghiêm trọng hoặc có khả năng thực tế gây hậu quả nghiêm trọng đối với tính mạng, sức khỏe con người, môi trường và trật tự, an toàn xã hội;
b) Tịch thu tang vật vi phạm hành chính, phương tiện, tài khoản số được sử dụng để vi phạm hành chính (sau đây gọi chung là tang vật, phương tiện vi phạm hành chính) khi có đủ các căn cứ sau: Vi phạm được thực hiện do lỗi cố ý hoặc vi phạm có tính chất nghiêm trọng và là tang vật trực tiếp của vi phạm hành chính hoặc được trực tiếp sử dụng để thực hiện hành vi vi phạm hành chính.
c) Trục xuất đối với người nước ngoài có hành vi vi phạm hành chính.
3. Đối hành vi vi phạm hành chính trong lĩnh vực an ninh mạng và lĩnh vực bảo vệ dữ liệu cá nhân của người chưa thành niên thì áp dụng theo điều quy định tại các Điều 134, 135, 136, 137, 138, 139 Luật Xử lý vi phạm hành chính năm 2012 (sửa đổi năm 2020 và 2025).
Điều 5. Biện pháp khắc phục hậu quả
Cá nhân, tổ chức có hành vi vi phạm hành chính quy định tại Nghị định này có thể bị áp dụng một hoặc nhiều biện pháp khắc phục hậu quả sau đây:
1. Buộc khôi phục lại tình trạng ban đầu của hệ thống thông tin, dữ liệu, tài khoản số, hoạt động cung cấp dịch vụ, hoạt động xử lý dữ liệu cá nhân và quyền, lợi ích hợp pháp của tổ chức, cá nhân bị ảnh hưởng bởi hành vi vi phạm;
2. Buộc chấm dứt hành vi vi phạm; đình chỉ, ngừng cung cấp, thu hồi, hoàn trả, gỡ bỏ, xóa hoặc tiêu hủy thông tin, dữ liệu, chương trình, phần mềm, mã độc, tài khoản số, chứng thư số, sản phẩm, thiết bị, dịch vụ, tài nguyên Internet, tên miền, địa chỉ IP, ASN, số thuê bao, kho số viễn thông, công cụ, phương tiện hoặc yếu tố vi phạm pháp luật về an ninh mạng và bảo vệ dữ liệu cá nhân;
3. Buộc thực hiện các biện pháp khắc phục tình trạng mất an ninh mạng, mất an toàn thông tin, lộ lọt dữ liệu, xung đột thông tin trên mạng hoặc nguy cơ gây thiệt hại cho cơ quan, tổ chức, cá nhân;
4. Buộc loại bỏ các yếu tố vi phạm trong hoạt động thiết kế, xây dựng, quản lý, vận hành hệ thống thông tin; hoạt động xử lý dữ liệu cá nhân; quy trình kỹ thuật; cơ chế quản lý; hợp đồng cung cấp dịch vụ; hoạt động kết nối, lưu trữ, truyền đưa và chia sẻ dữ liệu;
5. Buộc cải chính thông tin sai sự thật hoặc gây nhầm lẫn; cải chính kết quả thẩm định, đánh giá, kiểm tra, chứng nhận; thông báo, xin lỗi công khai hoặc cung cấp thông tin đầy đủ, minh bạch cho tổ chức, cá nhân bị ảnh hưởng bởi hành vi vi phạm;
7. Buộc áp dụng đầy đủ các biện pháp kỹ thuật, quản lý, bảo mật, giám sát, kiểm tra, kiểm soát truy cập, lưu trữ nhật ký hệ thống, bảo vệ dữ liệu cá nhân và bảo đảm an ninh mạng theo quy định pháp luật;
8. Buộc thực hiện đầy đủ quyền của chủ thể dữ liệu cá nhân; chỉnh sửa, cập nhật, bổ sung hoặc xóa dữ liệu cá nhân không chính xác, được thu thập, xử lý, sử dụng, công khai hoặc chuyển giao trái pháp luật;
9. Buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm hành chính về lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân.
Điều 6. Quy định về mức phạt tiền, thẩm quyền xử phạt
1. Từ Mục 1, Mục 2 và Điều 18 Nghị định này quy định về mức phạt tiền được áp dụng đối với hành vi vi phạm hành chính trong lĩnh vực an ninh mạng, bảo vệ dữ liệu cá nhân do cá nhân thực hiện. Trường hợp tổ chức có cùng hành vi vi phạm, mức phạt tiền được áp dụng với tổ chức bằng hai lần mức phạt tiền áp dụng đối với cá nhân.
Từ Mục 3 đến Mục 7 Chương II (trừ Điều 18) Nghị định này quy định về mức phạt tiền được áp dụng đối với hành vi vi phạm hành chính hành vi vi phạm hành chính trong lĩnh vực an ninh mạng, bảo vệ dữ liệu cá nhân do tổ chức thực hiện. Trường hợp cá nhân có cùng hành vi vi phạm, mức phạt tiền được áp dụng với tổ chức bằng một phần hai lần mức phạt tiền áp dụng đối với tổ chức.
2. Thẩm quyền xử phạt của các chức danh quy định tại Chương III Nghị định này là thẩm quyền áp dụng đối với một hành vi vi phạm hành chính của cá nhân. Trong trường hợp phạt tiền, thẩm quyền xử phạt đối với tổ chức gấp 02 lần thẩm quyền xử phạt đối với cá nhân.
3. Mức phạt tiền tối đa trong lĩnh vực an ninh mạng đối với cá nhân là 100.000.000 đồng, đối với tổ chức là 200.000.000 đồng.
4. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn thì mức phạt tiền tối đa là 03 tỷ đồng.
5. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 4 Điều này thì áp dụng mức phạt tiền tối đa 03 tỷ đồng.
6. Mức tiền phạt cụ thể đối với một hành vi vi phạm hành chính là mức trung bình của khung tiền phạt được quy định đối với hành vi đó; nếu có tình tiết giảm nhẹ thì mức tiền phạt có thể giảm xuống nhưng không được thấp hơn mức tối thiểu của khung tiền phạt; nếu có tình tiết tăng nặng thì mức tiền phạt có thể tăng lên nhưng không được vượt quá mức tối đa của khung tiền phạt. Những tình tiết tăng nặng, giảm nhẹ căn cứ quy định tại Điều 9, 10 của Luật Xử lý vi phạm hành chính 2025.
HÀNH VI VI PHẠM HÀNH CHÍNH, HÌNH THỨC XỬ PHẠT VÀ BIỆN PHÁP KHẮC PHỤC HẬU QUẢ
1. Phạt tiền từ 5.000.000 đồng đến 10.000.000 đồng đối với các hành vi sau đây:
a) Cung cấp, chia sẻ thông tin nhằm cổ súy, vận động hoặc dụ dỗ người khác thực hiện hành vi xâm hại an ninh, trật tự xã hội;
b) Cung cấp, chia sẻ thông tin mang tính đe dọa, kích động mâu thuẫn, chia rẽ hoặc gây tác động tiêu cực đến tình hình an ninh, trật tự;
c) Cung cấp, chia sẻ thông tin có nội dung kích động, lôi kéo tụ tập đông người, gây ảnh hưởng đến trật tự, an toàn xã hội và hoạt động của cơ quan, tổ chức;
d) Cung cấp, chia sẻ thông tin có nội dung sai sự thật, xuyên tạc, gây ảnh hưởng đến hoạt động bình thường hoặc uy tín của cơ quan, tổ chức, chính quyền Nhân dân.
2. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với các hành vi sau đây:
a) Cung cấp, chia sẻ thông tin có nội dung sai sự thật về chủ quyền quốc gia, an ninh, quốc phòng, gây ảnh hưởng đến an ninh, trật tự;
b) Cung cấp, chia sẻ thông tin có nội dung không phù hợp, gây ảnh hưởng đến sự tôn nghiêm của dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc;
c) Cung cấp, chia sẻ thông tin có nội dung sai lệch về lịch sử, gây ảnh hưởng đến nhận thức đúng đắn về lịch sử và truyền thống cách mạng;
d) Cung cấp, chia sẻ thông tin có nội dung không phù hợp, gây ảnh hưởng tiêu cực đến quan hệ dân tộc, tôn giáo và khối đại đoàn kết toàn dân tộc; có nội dung kỳ thị, phân biệt đối xử về giới, chủng tộc, tín ngưỡng, tôn giáo;
e) Tạo ra, đăng tải, chia sẻ thông tin giả mạo trên không gian mạng, gây ảnh hưởng hoặc có khả năng gây ảnh hưởng đến an ninh, trật tự;
3. Hình thức xử phạt bổ sung: Tịch thu tang vật, phương tiện, tài khoản số đối với hành vi vi phạm quy định tại khoản 1, 2 Điều này;
4. Biện pháp khắc phục hậu quả:
a) Buộc gỡ, xóa thông tin vi phạm, xóa hội, nhóm trên không gian mạng thực hiện hành vi chia sẻ, bình luận, phát tán, làm ra, tàng trữ, soạn thảo, đăng tải thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng đối với hành vi quy định tại khoản 1, 2 Điều này;
b) Buộc cải chính thông tin sai sự thật hoặc gây nhầm lẫn chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng đối với hành vi quy định tại khoản 1, 2 Điều này.
1. Phạt tiền từ 5.000.000 đồng đến 10.000.000 đồng đối với một trong các hành vi sau đây:
a) Phát tán thông tin có nội dung thông tin bịa đặt, sai sự thật, xúc phạm danh dự, uy tín, nhân phẩm của người khác;
b) Phát tán thông tin ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân.
c) Mạo danh cá nhân, tổ chức gây ảnh hưởng đến uy tín của tổ chức, danh dự, nhân phẩm của cá nhân.
2. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau đây:
a) Làm ra, phát tán thông tin có nội dung thông tin bịa đặt, sai sự thật, xúc phạm danh dự, uy tín, nhân phẩm của người khác;
b) Làm ra, phát tán thông tin giả, sai sự thật ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân.
c) Giả mạo trang thông tin điện tử của tổ chức, cá nhân khác;
d) Sử dụng trí tuệ nhân tạo hoặc công nghệ mới để giả mạo video, hình ảnh, giọng nói của người khác trái quy định của pháp luật; tạo lập, đăng tải, phát tán thông tin có nội dung sai sự thật, ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân.
3. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với hành vi không kiểm duyệt, ngăn chặn, loại bỏ các nội dung sai sự thật, ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân trên các trang thông tin điện tử, mạng xã hội hoặc trang, nhóm cộng đồng.
4. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện, tài khoản số đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;
b) Đình chỉ hoạt động từ 01 tháng đến 03 tháng đối với doanh nghiệp thực hiện hành vi vi phạm quy định tại khoản 3 Điều này.
5. Biện pháp khắc phục hậu quả:
a) Buộc gỡ, xóa thông tin trên không gian mạng có nội dung sai sự thật, xuyên tạc nhằm xúc phạm, làm nhục, vu khống, ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân đối với hành vi vi phạm quy định tại điểm a, b Khoản 1, điểm a, b, d Khoản 2, Khoản 3 Điều này;
b) Buộc thu hồi hoặc buộc hoàn trả tên miền do thực hiện hành vi vi phạm quy định tại điểm d khoản 1, khoản 3 Điều này;
c) Buộc cải chính thông tin trên không gian mạng có nội dung sai sự thật, xuyên tạc nhằm xúc phạm, làm nhục, vu khống, ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân đối với hành vi quy định tại điểm c Khoản 1, Khoản 2, 3 Điều này.
1. Phạt tiền từ 5.000.000 đồng đến 10.000.000 đồng đối với một trong các hành vi sau đây:
a) Đăng tải, phát tán thông tin bịa đặt, sai sự thật về sản phẩm, hàng hóa, tiền, trái phiếu, tín phiếu, công trái, séc và các loại giấy tờ có giá khác;
b) Đăng tải, phát tán thông tin bịa đặt, sai sự thật trong các lĩnh vực tài chính, ngân hàng, thương mại, đầu tư, giao thông, xây dựng, khoa học công nghệ, nông, lâm, ngư nghiệp;
c) Đăng tải, tán phát thông tin, nội dung tư vấn, giới thiệu sản phẩm, dịch vụ, thiết bị, hàng hóa dưới danh nghĩa có tác dụng khám bệnh, chữa bệnh, thay thế thuốc chữa bệnh hoặc phác đồ điều trị trái với quy định của pháp luật.
2. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau đây:
a) Đăng tải, phát tán thông tin mua, bán, trao đổi, cho tặng, thu thập, cho thuê, cho mượn, sử dụng trái pháp luật tài khoản số, gồm: tài khoản thanh toán, thẻ ngân hàng, ví điện tử, tài khoản tiền di động, tài khoản giao dịch tài sản số và các loại tài khoản số có chức năng giao dịch tài chính, tài sản tương tự.
b) Đăng tải, phát tán thông tin mua, bán hàng hóa, dịch vụ bị cấm theo quy định pháp luật;
c) Đăng tải, phát tán thông tin quảng cáo, mua, bán, trao đổi, cho tặng tiền giả, giấy tờ có giá giả, phương tiện thanh toán giả.
3. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với hành vi thiết lập các trang thông tin điện tử, mạng xã hội hoặc tài khoản, chuyên trang, hội, nhóm trên mạng xã hội, diễn đàn điện tử để đăng tải, phát tán, hướng dẫn thực hiện các hành vi quy định tại khoản 1, 2 Điều này.
4. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện, tài khoản số đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;
b) Đình chỉ hoạt động từ 01 tháng đến 03 tháng đối với doanh nghiệp thực hiện hành vi vi phạm quy định tại khoản 3 Điều này.
5. Biện pháp khắc phục hậu quả:
a) Buộc gỡ, xóa thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý kinh tế đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;
b) Buộc thu hồi hoặc buộc hoàn trả tên miền do thực hiện hành vi vi phạm quy định tại khoản 3 Điều này;
c) Buộc cải chính thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý kinh tế đối với hành vi quy định tại khoản 1, 2, 3 Điều này.
1. Phạt tiền từ 5.000.000 đồng đến 10.000.000 đồng đối với một trong các hành vi sau đây:
a) Phát tán thông tin giả, tin sai sự thật để lừa dối, thay đổi nhận thức nhằm gây thiệt hại đến quyền, lợi ích hợp pháp của cá nhân, tổ chức và trật tự xã hội;
b) Phát tán thông tin có nội dung phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe của cộng đồng;
c) Phát tán thông tin có nội dung xúi giục, lôi kéo, kích động người khác vi phạm pháp luật.
d) Phát tán thông tin về phương pháp, liệu pháp, bài thuốc, kỹ thuật khám bệnh, chữa bệnh chưa được kiểm chứng khoa học hoặc chưa được cơ quan có thẩm quyền cho phép áp dụng tại Việt Nam;
đ) Phát tán thông tin có nội dung xúi giục, lôi kéo, hướng dẫn người bệnh từ bỏ, trì hoãn hoặc thay thế các phương pháp, phác đồ khám bệnh, chữa bệnh đã được cơ quan có thẩm quyền công nhận, gây nguy hiểm đến sức khỏe, tính mạng của người bệnh.
2. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với các hành vi sau đây:
a) Làm ra, phát tán thông tin giả, tin sai sự thật để lừa dối, thay đổi nhận thức nhằm gây thiệt hại đến quyền, lợi ích hợp pháp của cá nhân, tổ chức và trật tự xã hội;
b) Làm ra, phát tán thông tin có nội dung phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe của cộng đồng;
c) Làm ra, phát tán thông tin có nội dung xúi giục, lôi kéo, kích động người khác vi phạm pháp luật.
d) Làm ra thông tin về phương pháp, liệu pháp, bài thuốc, kỹ thuật khám bệnh, chữa bệnh chưa được kiểm chứng khoa học hoặc chưa được cơ quan có thẩm quyền cho phép áp dụng tại Việt Nam;
đ) Làm ra thông tin có nội dung xúi giục, lôi kéo, hướng dẫn người bệnh từ bỏ, trì hoãn hoặc thay thế các phương pháp, phác đồ khám bệnh, chữa bệnh đã được cơ quan có thẩm quyền công nhận, gây nguy hiểm đến sức khỏe, tính mạng của người bệnh.
3. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với hành vi thiết lập, quản trị các trang thông tin điện tử, mạng xã hội hoặc tài khoản, hội, nhóm, chuyên trang trên mạng xã hội, diễn đàn điện tử để đăng tải, hướng dẫn thực hiện các hành vi tại khoản 1, 2 Điều này.
4. Các nội dung xử phạt quy định tại điểm d, đ khoản 1 và khoản 2 Điều này không áp dụng đối với trường hợp cá nhân chia sẻ kinh nghiệm, trải nghiệm cá nhân về quá trính khám bệnh, chữa bệnh không vì mục đích quảng cáo, tư vấn chuyên môn, hướng dẫn thay thế điều trị hoặc thu lợi từ việc cung cấp sản phẩm, dịch vụ, phương pháp khám bệnh, chữa bệnh.
5. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện, tài khoản số đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;
b) Đình chỉ hoạt động từ 01 tháng đến 03 tháng đối với doanh nghiệp thực hiện hành vi vi phạm quy định tại khoản 3 Điều này.
6. Biện pháp khắc phục hậu quả:
a) Buộc gỡ, xóa thông tin trên không gian mạng có nội dung bịa đặt, sai sự thật, gây hoang mang trong Nhân dân, ảnh hưởng tới trật tự xã hội đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;
b) Buộc thu hồi hoặc buộc hoàn trả tên miền do thực hiện hành vi vi phạm quy định tại khoản 3 Điều này;
c) Buộc cải chính thông tin trên không gian mạng có nội dung bịa đặt, sai sự thật nhằm gây hoang mang trong Nhân dân, ảnh hưởng tới trật tự xã hội đối với hành vi quy định tại khoản 1, 2, 3 Điều này;
d) Buộc hoàn trả hoặc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1, 2 và 3 Điều này.
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi:
a) Quản lý, điều hành hoặc có khả năng chi phối các trang thông tin điện tử, mạng xã hội hoặc tài khoản, hội, nhóm, chuyên trang trên mạng xã hội nhưng không triển khai biện pháp nhằm phòng ngừa, phát hiện, ngăn chặn, gỡ, xóa bỏ các thông tin có nội dung vi phạm pháp luật;
b) Không triển khai biện pháp quản lý, kỹ thuật nhằm phòng ngừa, phát hiện, ngăn chặn, gỡ, xóa bỏ các thông tin có nội dung vi phạm pháp luật;
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi:
a) Quản lý, điều hành hoặc có khả năng chi phối các trang thông tin điện tử, mạng xã hội hoặc tài khoản, hội, nhóm, chuyên trang trên mạng xã hội nhưng không triển khai biện pháp nhằm phòng ngừa, phát hiện, ngăn chặn, gỡ, xóa bỏ các thông tin có nội dung vi phạm pháp luật khi được yêu cầu của cơ quan chức năng có thẩm quyền.
d) Không cung cấp thông tin, tài liệu về hành vi vi phạm pháp luật được đăng tải, chia sẻ trên hệ thống thông tin, sản phẩm, dịch vụ do tổ chức, cá nhân theo yêu cầu của cơ quan chức năng có thẩm quyền.
3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau đây:
a) Không bố trí cổng kết nối hoặc các điều kiện kỹ thuật cần thiết cho nhiệm vụ bảo đảm an ninh thông tin, an ninh mạng theo yêu cầu của Bộ Công an;
b) Không thực hiện ngăn chặn, ngừng cung cấp dịch vụ viễn thông, Internet đối với trường hợp bạo động, bạo loạn, sử dụng dịch vụ viễn thông xâm phạm an ninh quốc gia, chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;
c) Không chấp hành quyết định huy động một phần hoặc toàn bộ cơ sở hạ tầng viễn thông, Internet trong trường hợp xử lý tình huống nguy hiểm về an ninh mạng;
d) Không cung cấp thông tin phục vụ bảo vệ an ninh quốc gia theo yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.
4. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện đối với hành vi vi phạm quy định tại khoản 1, 2 Điều này;
b) Đình chỉ hoạt động từ 01 tháng đến 03 tháng đối với doanh nghiệp thực hiện hành vi vi phạm quy định tại khoản 2, 3 Điều này.
5. Biện pháp khắc phục hậu quả:
a) Buộc gỡ, xóa thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý kinh tế đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;
b) Buộc thu hồi hoặc buộc hoàn trả tên miền do thực hiện hành vi vi phạm quy định tại điểm c khoản 2 Điều này;
c) Kiến nghị cơ quan có thẩm quyền thu hồi giấy phép, chứng chỉ, chứng nhận do vi phạm quy định của pháp luật đối với hành vi vi phạm quy định tại khoản 2, 3 Điều này.
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau đây:
a) Đưa lên không gian mạng thông tin thuộc bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư gây ảnh hưởng đến danh dự, uy tín, nhân phẩm, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân;
b) Không thực hiện yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng về phòng, chống gián điệp mạng, bảo vệ thông tin thuộc bí mật nhà nước theo quy định của pháp luật;
c) Thay đổi, hủy bỏ hoặc vô hiệu hóa trái phép các biện pháp kỹ thuật được xây dựng, sử dụng để bảo vệ thông tin thuộc bí mật nhà nước.
d) Cố ý nghe lén, ghi âm, ghi hình trái phép các cuộc đàm thoại trên không gian mạng; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.
2. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại điểm a, d khoản 1 Điều này;
b) Đình chỉ hoạt động có thời hạn từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại điểm b, c khoản 1 Điều này.
3. Biện pháp khắc phục hậu quả:
a) Buộc xây dựng, áp dụng biện pháp bảo vệ bí mật nhà nước phòng, chống lộ, mất bí mật nhà nước qua các kênh kỹ thuật đối với các hành vi vi phạm quy định tại khoản 1 Điều này;
b) Buộc tiêu hủy sản phẩm, thiết bị, dịch vụ, phần mềm gây lộ, mất bí mật nhà nước, không bảo đảm an ninh mạng đối với các hành vi vi phạm quy định tại điểm a, d khoản 1 Điều này, trường hợp có liên quan tới tài liệu, vật chứa bí mật nhà nước thì áp dụng theo quy định của Luật Bảo vệ bí mật nhà nước;
c) Buộc kiểm tra an ninh mạng lại đối với các sản phẩm, thiết bị, dịch vụ, phần mềm phục vụ bảo vệ bí mật nhà nước đối với các hành vi vi phạm quy định tại điểm a khoản 1 Điều này;
d) Buộc xóa, hủy đến mức không thể khôi phục dữ liệu về thông tin thuộc bí mật nhà nước, bí mật kinh doanh, bí mật cá nhân, bí mật công tác, bí mật gia đình và đời sống riêng tư trên không gian mạng vi phạm quy định tại điểm a, d khoản 1 Điều này, trường hợp có liên quan tới tài liệu, vật chứa bí mật nhà nước thì áp dụng theo quy định của Luật Bảo vệ bí mật nhà nước.
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi vi phạm sau đây:
a) Bán, cho tặng, cho thuê, cho mượn, giao cho người khác sử dụng trái pháp luật tài khoản số của mình hoặc tài khoản số được tạo lập, đăng ký bằng thông tin pháp nhân do mình là người đại diện pháp luật, gồm: tài khoản định danh điện tử, tài khoản ngân hàng, thẻ ngân hàng, tài khoản ví điện tử, tài khoản tiền di động, tài khoản chứng khoán, tài khoản giao dịch tài sản số và các loại tài khoản số khác có chức năng giao dịch tài chính.
b) Sử dụng danh tính giả, giấy tờ, hồ sơ giả hoặc sử dụng trái phép thông tin của người khác để thành lập doanh nghiệp, thiết lập, đăng ký tài khoản ngân hàng, thẻ ngân hàng, tài khoản ví điện tử, tài khoản tiền di động, tài khoản chứng khoán, tài khoản giao dịch tài sản số, tài khoản bảo hiểm, tài khoản thuế và tài khoản số khác có chức năng giao dịch tài chính.
c) Sử dụng tài khoản số có chức năng giao dịch tài chính làm công cụ trung gian để giao dịch, nhận, chuyển tiền, tài sản số và thanh toán cho người thụ hưởng khác, trừ trường hợp được cơ quan có thấm quyền cấp phép.
d) Thuê, cho thuê, cung cấp, sử dụng dịch vụ nhận tin nhắn, cuộc gọi hoặc hình thức khác để xác thực thông tin, định danh tài khoản số có chức năng giao dịch tài chính, trừ trường hợp được cơ quan có thẩm quyền cấp phép;
e) Sử dụng tài khoản số để mua bán, giao dịch, quy đổi trái phép ngoại tệ, tài sản số.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi vi phạm sau đây:
a) Thu thập, tàng trữ, trao đổi, mua bán, tặng cho, công khai trái phép dữ liệu, thông tin tài khoản số của người khác, gồm: tài khoản ngân hàng, thẻ ngân hàng, tài khoản ví điện tử, tài khoản tiền di động, tài khoản chứng khoán, tài khoản giao dịch tài sản số, tài khoản bảo hiểm, tài khoản thuế và tài khoản số khác có chức năng giao dịch tài chính.
b) Giả mạo trang thông tin điện tử của cơ quan, tổ chức, cá nhân; làm giả, lưu hành, trộm cắp, mua bán, thu thập, trao đối trái phép, tài sản mã hóa, tài sản sô của người khác; phát hành, cung cấp, sử dụng trái phép các phương tiện thanh toán; giả mạo giấy tờ của cơ quan, tổ chức;
c) Mạo danh, giả mạo thông tin, hình ảnh, làm nhái sản phẩm, nhãn hiệu hàng hóa, thương hiệu của tổ chức, doanh nghiệp bằng cách sử dụng các tiện ích công nghệ, gây ảnh hưởng đến uy tín của tổ chức, doanh nghiệp;
d) Trộm cắp cước viễn thông quốc tế trên nền Internet; vi phạm bản quyền và sở hữu trí tuệ trên không gian mạng;
đ) Truy cập bất hợp pháp vào tài khoản số của cơ quan, tổ chức, cá nhân;
e) Thiết lập, cung cấp dịch vụ hoặc hỗ trợ vận hành, kinh doanh, giao dịch, mua bán, tiếp thị trực tuyến cho sàn giao dịch, trang thông tin điện tử, ứng dụng trải phép trên không gian mạng, bao gồm: sàn thương mại điện tử, trang thông tin điện tử, ứng dụng bán hàng, cung cấp dịch vụ thương mại điện tử, sàn giao dịch dựa trên chỉ số các loại hàng hóa; sàn giao dịch tài sản số, kinh doanh theo phương thức đa cấp;
g) Quảng cáo, buôn bán hàng giả, hàng hóa nhập lậu, không rõ nguồn gốc, xuất xứ; hàng hóa lưu thông trong nước bị áp dụng biện pháp khẩn cấp; hàng hóa quá hạn sử dụng;
3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi vi phạm sau đây:
a) Cung cấp, thiết lập, vận hành hệ thống thông tin, trang thông tin điện tử, ứng dụng, sàn giao dịch cho vay ngang hàng, tiền ảo, tài sản ảo và các dạng tương tự khi chưa được cấp phép, chấp thuận của cơ quan có thẩm quyền;
b) Cung cấp, thiết lập, vận hành hệ thống thông tin, trang thông tin điện tử, ứng dụng, sàn giao dịch ngoại tệ, kim loại, dầu, đá quý và các dạng tương tự khi chưa được cơ quan có thẩm quyền cấp phép, chấp thuận.
c) Cung cấp, thiết lập, vận hành trang thông tin điện tử, phần mềm, ứng dụng mạo danh hoặc dễ gây nhầm lẫn thuộc cơ quan nhà nước, tổ chức;
d) Mua bán, tàng trữ, vận chuyến, cung cấp, thiết lập, sử dụng, lưu hành trái phép phương tiện, thiết bị có chức năng phát tán tin nhắn, cuộc gọi;
đ) Phát tán tin nhắn, cuộc gọi, thư điện tử mạo danh cơ quan nhà nước, tổ chức;
e) Mua bán, trao đổi, cho tặng, cho thuê, cho mượn các thiết bị, phần cứng, phần mềm có chứa thông tin, dữ liệu cá nhân của người khác, trừ trường hợp pháp luật có quy định khác;
4. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các các hành vi sau dây:
a) Sử dụng không gian mạng can thiệp vào hoạt động giao dịch, thay đổi tài khoản nhận tiền để lừa đảo, chiếm đoạt tài sản;
b) Sử dụng không gian mạng huy động vốn theo phương thức lấy tiền của người sau, trả lãi cho người trước để lừa đảo, chiếm đoạt tài sản;
c) Kinh doanh theo phương thức đa cấp trên không gian mạng để lừa đảo chiếm đoạt tài sản;
d) Sử dụng không gian mạng lừa đảo trong giao dịch chứng khoán để chiếm đoạt tài sản;
đ) Sử dụng không gian mạng kêu gọi từ thiện để lừa đảo, chiếm đoạt tài sản;
e) Sử dụng trái phép thông tin về tài khoản số, tài khoản mạng xã hội, tài khoản điện tử của cơ quan, tổ chức, cá nhân;
g) Thiết lập, cung cấp trái phép dịch vụ viễn thông, Internet nhằm chiếm đoạt tài sản; trộm cắp cước viễn thông quốc tế trên nền Internet;
h) Làm, tàng trữ, mua bán, sử dụng, lưu hành thẻ ngân hàng giả nhằm chiếm đoạt tài sản của chủ tài khoản, chủ thẻ hoặc thanh toán hàng hóa, dịch vụ;
i) Mạo danh các cơ quan thực thi pháp luật, yêu cầu cung cấp thông tin, chiếm đoạt tài sản;
k) Xâm nhập, tấn công hệ thống thông tin phục vụ các hoạt động giao dịch tiền tệ, tài chính, chứng khoán hoặc tài sản số
5. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi vi phạm sau đây:
a) Mở tài khoản số không đúng trình tự, thủ tục theo quy định pháp luật hoặc duy trì tài khoản số có chức năng giao dịch tài chính bằng thông tin định danh giả mạo, không có thông tin trong cơ sở dữ liệu quốc gia về dân cư, cơ sở dữ liệu về tổ chức, doanh nghiệp, gồm: tài khoản ngân hàng, thẻ ngân hàng, tài khoản ví điện tử, tài khoản tiền di động, tài khoản chứng khoán, tài khoản giao dịch tài sản số và các loại tài khoản số khác có chức năng giao dịch tài chính.
b) Mở tài khoản số cho người trong danh sách bị cấm mở và sử dụng tài khoản số.
6. Hình thức xử phạt bổ sung:
a) Cấm mở tài khoản số cho khách hàng mới từ 01 tháng đến 03 tháng đối với tổ chức vi phạm quy định tại điểm a, b khoản 4 Điều này;
b) Tịch thu tang vật, phương tiện, tiền, tài sản số trong tài khoản số đối với một trong các hành vi vi phạm quy định tại khoản 1 Điều này. Trường hợp tiền, tài sản số bị chiếm đoạt của người khác thì cơ quan có thẩm quyền hoàn trả cho chủ sở hữu hợp pháp. Người nhận tài sản có nghĩa vụ chứng minh nguồn gốc và quyền sở hữu hợp pháp tài sản. Trong thời gian 01 năm kể từ ngày cơ quan có thẩm quyền ra quyết định tịch thu, nếu không xác định được chủ sở hữu hợp pháp thì sung công quỹ nhà nước.
c) Cấm mở và sử dụng tài khoản số có chức năng giao dịch tài chính cùng loại với hành vi vi phạm quy định tại khoản 1 Điều này từ 01 đến 05 năm.
d) Cấm thành lập doanh nghiệp đối với hành vi vi phạm quy định tại điểm b khoản 1 Điều này từ 01 đến 05 năm.
7. Biện pháp khắc phục hậu quả:
a) Buộc gỡ, xóa thông tin đối với các hành vi vi phạm quy định tại khoản 1 Điều này;
b) Buộc hoàn trả hoặc nộp lại số lợi bất chính do thực hiện hành vi vi phạm quy định tại khoản 1, 2, 3, 4,5 Điều này;
c) Buộc đóng tài khoản số, hủy giấy đăng ký kinh doanh với hành vi vi phạm tại điểm a, b khoản 1 và điểm a, b khoản 5 Điều này.
d) Buộc bồi thường 100% số tiền thiệt hại gây ra cho người khác đối với hành vi vi phạm quy định tại khoản 5 Điều này.
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau đây:
a) Đăng tải thông tin quảng cáo trò chơi đổi thưởng trái phép trên không gian mạng;
b) Mạo danh các cơ quan thực thi pháp luật yêu cầu nạn nhân cung cấp thông tin hỗ trợ điều tra nhằm đánh cắp thông tin tài khoản và chiếm đoạt tài sản;
c) Đăng tải thông tin có nội dung cổ vũ, tuyên truyền trái phép mê tín, dị đoan trên nền tảng mạng xã hội, ứng dụng nhắn tin;
d) Đăng tải thông tin có nội dung cổ vũ, kích động, dụ dỗ, lôi kéo đua xe trái phép trên không gian mạng;
đ) Đăng tải thông tin cổ vũ săn bắt động vật hoang dã, quảng cáo bán động vật hoang dã bị cấm theo quy định của pháp luật trên không gian mạng;
e) Đăng tải, chia sẻ hình ảnh, video, âm thanh hoặc bài viết có nội dung khiêu dâm, đồi trụy lên các nền tảng mạng xã hội, ứng dụng nhắn tin, trang thông tin điện tử;
g) Thiết lập, quản trị các hội, nhóm, kênh trên mạng xã hội chuyên để chia sẻ dữ liệu đồi trụy;
h) Cung cấp đường dẫn trực tiếp đến các trang mạng, ứng dụng có nội dung khiêu dâm, đồi trụy hoặc dịch vụ mại dâm;
i) Phát trực tiếp (Livestream) các hành vi hở hang, kích dục hoặc thực hiện các hành động dâm ô trên không gian mạng;
k) Lập các trang mạng chuyên biệt để niêm yết danh sách, hình ảnh và giá cả của người bán dâm;
l) Đăng tải, chia sẻ các tác phẩm điện ảnh, chương trình truyền hình, video ca nhạc lên mạng xã hội hoặc trang web khi chưa được sự đồng ý của chủ sở hữu;
m) Livestream trực tiếp các trận thi đấu thể thao, buổi biểu diễn nghệ thuật hoặc phim đang chiếu rạp từ các nguồn không chính thống;
n) Sao chép, phân phối mã nguồn của các phần mềm máy tính, ứng dụng di động có bản quyền mà không có giấy phép sử dụng;
o) Sử dụng trí tuệ nhân tạo (AI) để sao chép phong cách, nội dung tác phẩm gốc nhằm tạo ra sản phẩm phái sinh mà không có sự thỏa thuận với tác giả gốc;
p) Sản xuất, phân phối các phần mềm "Crack", mã kích hoạt (Keygen) để bẻ khóa bản quyền phần mềm, hệ điều hành;
q) Cung cấp thiết bị, phần mềm hỗ trợ thu giải mã tín hiệu truyền hình vệ tinh, truyền hình cáp trái phép;
r) Hướng dẫn, phổ biến cách thức vượt tường lửa (VPN), proxy để truy cập trái phép vào các trang mạng, mạng xã hội, ứng dụng OTT đăng tải nội dung vi phạm pháp luật đã được giới hạn phạm vi địa lý.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau đây:
a) Thiết lập các trang thông tin điện tử, mạng xã hội, chuyên trang trên mạng xã hội, hệ thống thông tin, ứng dụng để tổ chức đánh bạc trái phép trên không gian mạng;
b) Cung cấp dịch vụ công nghệ thông tin, phần cứng, phần mềm; thiết lập trang/cổng thông tin điện tử, ứng dụng có nội dung xâm phạm quyền tác giả, quyền liên quan tới sở hữu công nghiệp;
c) Thiết lập các trang thông tin điện tử, mạng xã hội, chuyên trang trên mạng xã hội, hệ thống thông tin, ứng dụng có nội dung quảng cáo mại dâm, khiêu dâm, đồi trụy;
d) Tổ chức quay phim, phát hình ảnh trực tuyến có nội dung khiêu dâm, đồi trụy trên hệ thống thông tin, trang thông tin điện tử, mạng xã hội;
đ) Cung cấp dịch vụ công nghệ thông tin, phần cứng, phần mềm, dịch vụ khác hỗ trợ, phục vụ hoạt động quay phim, phát hình ảnh trực tuyến nội dung khiêu dâm, đồi trụy;
e) Không kiểm duyệt, ngăn chặn, loại bỏ nội dung khiêu dâm, đồi trụy, tệ nạn xã hội và các hành vi vi phạm pháp luật khác trên hệ thống thông tin, trang thông tin điện tử, mạng xã hội;
g) Đăng tải thông tin mua, bán trái phép chất ma túy, chất cấm trên không gian mạng;
h) Đăng tải thông tin mua bán công thức, phương pháp điều chế, tiền chất, phương tiện, dụng cụ dùng vào việc sản xuất hoặc sử dụng trái phép chất ma túy, chất cấm trên không gian mạng;
i) Đăng tải thông tin mua, bán mô, bộ phận cơ thể người trên không gian mạng;
k) Đăng tải thông tin hướng dẫn, dụ dỗ, lôi kéo, cưỡng ép người khác thực hiện hành vi vi phạm pháp luật trên không gian mạng;
l) Đăng tải thông tin quảng cáo dịch vụ cho vay lãi vượt quá lãi suất tối đa quy định trong Bộ luật dân sự trên không gian mạng;
m) Đăng tải thông tin mua, bán vũ khí, vật liệu nổ, công cụ hỗ trợ, trang phục, cấp hiệu, phù hiệu, số hiệu Công an Nhân dân, Quân đội Nhân dân Việt Nam trên không gian mạng.
n) Cung cấp dịch vụ thanh toán trực tuyến cho các ứng dụng, trang web có hoạt động nội dung khiêu dâm, đồi truy hoặc mại dâm.
o) Cung cấp dịch vụ máy chủ (Hosting), tên miền cho các trang web có nội dung khiêu dâm, đồi truỵ, mại dâm mà không thực hiện kiểm tra nội dung định kỳ
p) Tổ chức các cuộc thi trực tuyến có nội dung kích dục hoặc khuyến khích người tham gia gửi ảnh khỏa thân.
q) Thiết lập và vận hành các trang mạng xâm phạm quyền tác giả, quyền liên quan thu lợi nhuận từ việc hiển thị quảng cáo.
3. Hình thức xử phạt bổ sung: Tịch thu tang vật, phương tiện đối với hành vi vi phạm quy định tại khoản 1, 2 Điều này.
4. Biện pháp khắc phục hậu quả:
a) Buộc gỡ, xóa thông tin đối với các hành vi vi phạm quy định tại khoản 1 Điều này;
b) Buộc thu hồi hoặc tiêu hủy sản phẩm, thiết bị, ngừng cung cấp dịch vụ gây hại về an ninh mạng hoặc không đáp ứng điều kiện, tiêu chuẩn, quy chuẩn kỹ thuật theo quy định của pháp luật hoặc không có giấy phép hoặc thực hiện không đúng với giấy phép đối với hành vi vi phạm quy định tại khoản 2 Điều này;
c) Buộc loại bỏ tính năng, thành phần gây hại về an ninh chương trình, sản phẩm, thiết bị, dịch vụ, phần mềm đối với hành vi vi phạm quy định tại khoản 2 Điều này;
d) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1, 2 Điều này.
Mục 2. VI PHẠM QUY ĐỊNH VỀ PHÒNG, CHỐNG TẤN CÔNG MẠNG
Điều 15. Vi phạm quy định về phòng, chống tấn công mạng
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau đây:
a) Cố ý phát tán hoặc làm lây nhiễm các chương trình tin học gây hại cho mạng viễn thông, Internet, mạng máy tính, phương tiện điện tử;
b) Cố ý phát tán chương trình tin học nhằm mục đích chỉnh sửa, thay đổi, xóa trái phép hoặc mã hóa dữ liệu, cơ sở dữ liệu thông tin của người khác;
c) Cản trở, làm rối loạn, tê liệt, gián đoạn, ngưng trệ hoạt động, ngăn chặn trái phép việc truyền tải dữ liệu của mạng viễn thông, Internet, mạng máy tính, phương tiện điện tử;
d) Xâm nhập, làm tổn hại, chiếm đoạt dữ liệu được lưu trữ, truyền đưa qua mạng viễn thông, Internet, mạng máy tính, phương tiện điện tử;
đ) Xâm nhập, cung cấp, tiết lộ thông tin, dữ liệu; tạo ra hoặc khai thác các lỗ hổng bảo mật và dịch vụ hệ thống để chiếm đoạt thông tin, thu lợi bất chính, phá hoại;
e) Thực hiện hành vi gây ảnh hưởng đến hoạt động bình thường của mạng viễn thông, Internet, mạng máy tính, phương tiện điện tử;
g) Không cung cấp đầy đủ, kịp thời thông tin, tài liệu liên quan đến tấn công mạng theo yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với các hành vi sau đây:
a) Sản xuất, mua bán, trao đổi, tặng cho chương trình tin học, phần mềm công nghệ thông tin gây hại cho mạng máy tính, mạng viễn thông, phương tiện điện tử;
b) Không phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng áp dụng các biện pháp để ngăn chặn, loại trừ hành vi tấn công mạng;
c) Cung cấp dịch vụ tấn công mạng trái pháp luật.
3. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1, khoản 2 Điều này;
b) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm tại khoản 1, khoản 2 Điều này.
4. Biện pháp khắc phục hậu quả:
a) Buộc gỡ, xóa bỏ chương trình, phần mềm, thu hồi hoặc tiêu hủy sản phẩm, thiết bị, ngừng cung cấp dịch vụ gây hại về an ninh mạng đối với hành vi vi phạm quy định tại khoản 1, khoản 2 Điều này;
b) Buộc đưa ra khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc tái xuất hàng hoá, vật phẩm, phương tiện đối với hành vi vi phạm quy định tại khoản 1, khoản 2 Điều này;
c) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu bị chiếm đoạt, mua bán, trao đổi trái phép đối với hành vi vi phạm quy định tại điểm a, b khoản 1, điểm a khoản 2 Điều này;
d) Buộc hoàn trả địa chỉ IP, ASN, tên miền, các tài khoản số đối với hành vi vi phạm quy định tại điểm a, b, c, d, đ e, khoản 1, điểm a, c khoản 2 Điều này;
đ) Buộc thu hồi số lợi bất hợp pháp có được đối với hành vi vi phạm quy định tại điểm đ khoản 1, điểm a khoản 2 Điều này.
Điều 16. Vi phạm quy định về phòng, chống khủng bố mạng
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau đây:
a) Chia sẻ, bình luận cổ súy cho các thông tin tuyên truyền của các tổ chức, cá nhân khủng bố trên không gian mạng;
b) Phát tán thông tin có nội dung kêu gọi, vận động, xúi giục, lôi kéo người khác tiến hành hoạt động khủng bố mạng;
c) Kích động, cổ súy tư tưởng cực đoan, bạo lực.
2. Phạt tiền từ 20.000.000 đồng đến 50.000.000 đồng đối với các hành vi sau đây:
a) Hỗ trợ việc sử dụng không gian mạng để thực hiện mục đích ủng hộ, tài trợ hoặc vận động người khác ủng hộ, tài trợ cho tổ chức, cá nhân khủng bố;
b) Chậm trễ, cản trở, không thực hiện các biện pháp theo yêu cầu của lực lượng chức năng trong phòng, chống khủng bố mạng;
c) Hỗ trợ các tổ chức, cá nhân khủng bố sử dụng không gian mạng đối phó với các biện pháp phòng, chống khủng bố mạng của cơ quan chức năng nhưng chưa đến mức xử lý hình sự.
d) Kêu gọi huy động nguồn tài chính tài trợ cho khủng bố.
e) Cố ý lan truyền thông tin giả liên quan đến hoạt động khủng bố, tài trợ khủng bố; cản trở, gây khó khăn cho hoạt động phòng, chống khủng bố.
3. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;
b) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm tại khoản 1, 2 Điều này.
4. Biện pháp khắc phục hậu quả:
a) Buộc gỡ, xóa bỏ chương trình, phần mềm, thu hồi hoặc tiêu hủy sản phẩm, thiết bị, ngừng cung cấp dịch vụ gây hại về an ninh mạng đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;
b) Buộc đưa ra khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc tái xuất hàng hoá, vật phẩm, phương tiện đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;
c) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu bị chiếm đoạt, mua bán, trao đổi trái phép đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;
d) Buộc xóa bỏ và cải chính thông tin sai sự thật hoặc gây nhầm lẫn đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;
e) Buộc thu hồi sản phẩm, thiết bị, dịch vụ, phần mềm không bảo đảm chất lượng đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;
g) Buộc thu hồi số thuê bao, đầu số, kho số viễn thông; tài nguyên Internet, tên miền, địa chỉ Internet (IP), số hiệu mạng (ASN); mã số quản lý, số cung cấp dịch vụ đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;
h) Buộc hoàn trả địa chỉ IP, ASN, tên miền, các tài khoản số đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;
g) Buộc thu hồi số lợi bất hợp pháp có được đối với hành vi vi phạm quy định tại khoản 1 Điều này đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này.
Điều 17. Vi phạm quy định về phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng
1. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau đây:
a) Không phối hợp ngăn chặn, gỡ, xóa bỏ thông tin có nội dung kích động trên không gian mạng có nguy cơ xảy ra bạo loạn, phá rối an ninh, khủng bố, chậm nhất là 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an;
b) Không thực hiện hoặc chậm trễ quá phối hợp 24 giờ khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an trong phối hợp triển khai các giải pháp kỹ thuật, nghiệp vụ để phòng ngừa, phát hiện, xử lý tình huống nguy hiểm về an ninh mạng;
c) Không thực hiện hoặc chậm trễ phối hợp quá 24 giờ khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an trong phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng trong phòng ngừa, phát hiện, xử lý tình huống nguy hiểm về an ninh mạng;
d) Không thực hiện hoặc chậm trễ phối hợp quá 24 giờ khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an trong triển khai ngay phương án phòng ngừa, ứng phó khẩn cấp về an ninh mạng, ngăn chặn, loại trừ hoặc giảm nhẹ thiệt hại do tình huống nguy hiểm về an ninh mạng gây ra;
đ) Không thực hiện hoặc chậm trễ phối hợp quá 24 giờ khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an trong phối hợp thu thập thông tin liên quan; theo dõi, giám sát liên tục đối với tình huống nguy hiểm về an ninh mạng;
e) Không thực hiện hoặc chậm trễ phối hợp quá 24 giờ khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an trong trong thực hiện ngừng cung cấp thông tin mạng tại khu vực cụ thể hoặc ngắt cổng kết nối mạng quốc tế đối với tình huống nguy hiểm về an ninh mạng;
g) Không bố trí lực lượng, phương tiện ngăn chặn, loại bỏ tình huống nguy hiểm về an ninh mạng.
2. Biện pháp khắc phục hậu quả: Buộc thực hiện các biện pháp phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.
Mục 3. VI PHẠM QUY ĐỊNH VỀ TRIỂN KHAI HOẠT ĐỘNG BẢO VỆ AN NINH MẠNG
Điều 18. Vi phạm quy định về cung cấp, sử dụng trái phép thông tin trên mạng
1. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với hành vi bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của tổ chức, cá nhân khác trên môi trường mạng.
2. Phạt tiền từ 50.000.000 đồng đến 75.000.000 đồng đối với một trong các hành vi sau:
a) Truy cập trái phép vào mạng hoặc thiết bị số của người khác để chiếm quyền điều khiển thiết bị số hoặc thay đổi, xóa bỏ thông tin lưu trữ trên thiết bị số hoặc thay đổi tham số cài đặt thiết bị số hoặc thu thập thông tin của người khác;
b) Xâm nhập, sửa đổi, xóa bỏ nội dung thông tin của tổ chức, cá nhân khác trên môi trường mạng;
c) Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin;
d) Ngăn chặn việc truy nhập đến thông tin của tổ chức, cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép;
đ) Làm mất an toàn, bí mật thông tin của tổ chức, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng.
3. Hình thức xử phạt bổ sung:
Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm quy định tại các khoản 1 và 2 Điều này.
Điều 19. Vi phạm quy định về quản lý gửi thông tin trên mạng
1. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Gửi thông tin mang tính thương mại vào địa chỉ điện tử của người tiếp nhận khi chưa được người tiếp nhận đồng ý hoặc khi người tiếp nhận đã từ chối;
b) Không có phương thức để người tiếp nhận thông tin từ chối việc tiếp nhận thông tin.
2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Giả mạo nguồn gốc gửi thông tin trên mạng;
b) Không cung cấp điều kiện kỹ thuật và nghiệp vụ cần thiết khi có yêu cầu của cơ quan nhà nước có thẩm quyền.
3. Phạt tiền từ 50.000.000 đồng đến 75.000.000 đồng đối với hành vi không áp dụng biện pháp ngăn chặn hoặc không xử lý khi nhận được thông báo của tổ chức, cá nhân về việc gửi thông tin vi phạm quy định của pháp luật.
4. Biện pháp khắc phục hậu quả:
a) Buộc cải chính thông tin sai sự thật hoặc gây nhầm lẫn đối với hành vi vi phạm quy định tại điểm a khoản 2 Điều này;
b) Buộc loại bỏ thông tin vi phạm pháp luật được gửi, phát tán trên mạng đối với hành vi vi phạm quy định tại Điều này;
c) Buộc thu hồi hoặc chấm dứt việc phát tán thông tin mang tính thương mại được gửi trái quy định của pháp luật đối với hành vi vi phạm quy định tại khoản 1 Điều này;
d) Buộc khôi phục lại tình trạng ban đầu đối với hành vi vi phạm làm ảnh hưởng đến quyền lựa chọn tiếp nhận thông tin của người sử dụng.
Điều 20. Vi phạm các quy định về đảm bảo an toàn cơ sở hạ tầng viễn thông
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:
a) Không triển khai các hệ thống kỹ thuật, nghiệp vụ bảo đảm an toàn, an ninh thông tin theo quy định;
b) Không hướng dẫn các đại lý Internet, điểm truy nhập Internet công cộng, điểm cung cấp dịch vụ trò chơi điện tử công cộng thực hiện các biện pháp bảo đảm an toàn thông tin và an ninh thông tin;
c) Không xây dựng, ban hành và thực hiện quy chế hoạt động nội bộ; quy trình vận hành, khai thác, cung cấp và sử dụng dịch vụ và quy chế phối hợp với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong việc đảm bảo an toàn thông tin và an ninh thông tin.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
a) Thực hiện không đúng quy định về bảo đảm an toàn cơ sở hạ tầng viễn thông và an ninh thông tin;
b) Không có biện pháp bảo đảm an toàn cơ sở hạ tầng viễn thông và an ninh thông tin;
c) Không xây dựng hoặc không thực hiện phương án, kế hoạch bảo vệ, phòng, chống các hành vi xâm hại đến sự an toàn của công trình viễn thông quan trọng liên quan đến an ninh quốc gia theo quy định.
3. Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với một trong các hành vi sau:
a) Làm hư hỏng đường dây cáp quang, ăng-ten hoặc trang thiết bị của hệ thống truyền dẫn, chuyển mạch và các thiết bị viễn thông khác thuộc mạng viễn thông cố định mặt đất, mạng viễn thông di động mặt đất, mạng viễn thông cố định vệ tinh và di động vệ tinh, mạng thông tin vô tuyến điện hàng hải công cộng, hệ thống máy chủ tên miền quốc gia;
b) Xâm nhập trái phép vào mạng máy tính, mạng viễn thông cố định mặt đất, mạng viễn thông di động mặt đất, mạng viễn thông cố định vệ tinh và di động vệ tinh, mạng viễn thông dùng riêng, mạng viễn thông chuyên dùng hoặc đường thuê bao viễn thông khác mà chưa đến mức truy cứu trách nhiệm hình sự;
c) Cản trở trái pháp luật hoạt động của hệ thống Trạm trung chuyển Internet quốc gia (viết tắt là VNIX);
d) Cản trở trái pháp luật các thành viên kết nối VNIX, khách hàng của các thành viên kết nối VNIX trao đổi lưu lượng Internet qua VNIX;
đ) Không phối hợp, kết nối, định tuyến để bảo đảm hệ thống máy chủ tên miền quốc gia Việt Nam “.vn” hoạt động an toàn, ổn định.
4. Phạt tiền từ 40.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Phá hoại cơ sở hạ tầng kỹ thuật vô tuyến điện hoặc cản trở trái pháp luật việc xây dựng cơ sở hạ tầng kỹ thuật vô tuyến điện hợp pháp;
b) Phá hủy, làm hư hỏng hoặc hủy hoại các công trình kiểm soát tần số vô tuyến điện; ăng-ten, trang thiết bị của công trình kiểm soát tần số vô tuyến điện;
c) Cản trở trái pháp luật hoạt động của Hệ thống máy chủ tên miền (DNS) quốc gia Việt Nam “.vn.”.
5. Phạt tiền từ 50.000.000 đồng đến 75.000.000 đồng đối với một trong các hành vi sau:
a) Phá hủy, làm hư hỏng hoặc hủy hoại công trình viễn thông hoặc sử dụng, lợi dụng mạng lưới, thiết bị, các công cụ phần cứng, phần mềm để cản trở, gây nhiễu, gây rối loạn hoạt động mạng máy tính, viễn thông, thiết bị số;
b) Không bố trí cổng kết nối hoặc các điều kiện kỹ thuật cần thiết cho nhiệm vụ bảo đảm an toàn, an ninh thông tin theo yêu cầu của Bộ Công an;
c) Không thực hiện ngăn chặn, ngừng cung cấp dịch vụ viễn thông đối với trường hợp bạo động, bạo loạn, sử dụng dịch vụ viễn thông xâm phạm an ninh quốc gia, chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
6. Phạt tiền từ 75.000.000 đồng đến 100.000.000 đồng đối với hành vi không chấp hành quyết định huy động một phần hoặc toàn bộ cơ sở hạ tầng viễn thông trong trường hợp khẩn cấp theo quy định của pháp luật về quốc phòng, an ninh quốc gia và tình trạng khẩn cấp.
7. Biện pháp khắc phục hậu quả:
Buộc khôi phục lại tình trạng ban đầu đã bị thay đổi do thực hiện hành vi vi phạm quy định tại các điểm a và b khoản 3, các điểm a và b khoản 4 và điểm a khoản 5 Điều này.
Điều 21. Vi phạm các quy định về ứng cứu sự cố an ninh mạng
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:
a) Không công bố thông tin về địa chỉ tiếp nhận sự cố trên Trang thông tin điện tử hoặc Cổng thông tin điện tử;
b) Không khai báo hồ sơ, cung cấp, cập nhật thông tin về đầu mối ứng cứu sự cố, nhân lực kỹ thuật an toàn thông tin, ứng cứu sự cố thuộc phạm vi quản lý tới lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an;
c) Cập nhật thông tin về đầu mối ứng cứu sự cố không đúng thời gian quy định khi có thay đổi;
d) Vi phạm quy chế hoạt động của mạng lưới ứng cứu sự cố an ninh mạng quốc gia hoặc không tuân thủ các yêu cầu điều phối của cơ quan điều phối;
đ) Không báo cáo sự cố an ninh mạng tới chủ quản hệ thống thông tin, đơn vị chuyên trách ứng cứu sự cố cùng cấp, lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an đúng thời gian quy định kể từ khi phát hiện sự cố.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
a) Không báo cáo với lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi tiếp nhận thông tin, phát hiện sự cố đối với hệ thống thông tin trong phạm vi quản lý;
b) Không phản hồi cho tổ chức, cá nhân đã gửi thông báo hoặc báo cáo ban đầu về sự cố;
c) Không triển khai ngay các hoạt động ứng cứu sự cố và báo cáo theo quy định sau khi phát hiện sự cố hoặc nhận được yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng;
d) Không báo cáo về sự cố, diễn biến tình hình ứng cứu sự cố, đề xuất hỗ trợ ứng cứu sự cố hoặc nâng cấp nghiêm trọng của sự cố cho chủ quản hệ thống thông tin, lực lượng chuyên trách bảo vệ an ninh mạng ứng cứu sự cố cùng cấp.
3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không tổng hợp, báo cáo lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an về diễn biến sự cố khi được yêu cầu;
b) Không thành lập hoặc không chỉ định đơn vị chuyên trách ứng cứu sự cố an ninh mạng hoặc không thành lập Đội ứng cứu sự cố;
c) Không ghi nhận hoặc không tiếp nhận thông báo hoặc không báo cáo sự cố an ninh mạng theo đúng quy trình;
d) Không xây dựng Kế hoạch ứng phó sự cố bảo đảm an ninh mạng;
đ) Thực hiện không đầy đủ các yêu cầu điều phối ứng cứu sự cố của Bộ Công an.
4. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Không cử đầu mối thực hiện các hoạt động phối hợp ứng cứu sự cố hoặc không tham gia mạng lưới ứng cứu sự cố an ninh mạng quốc gia;
b) Không thực hiện các yêu cầu điều phối ứng cứu sự cố của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an;
c) Không bố trí mặt bằng, cổng kết nối và các điều kiện kỹ thuật cần thiết theo yêu cầu của Bộ Công an;
d) Không tổ chức hoạt động ứng cứu sự cố trong lĩnh vực, địa bàn, phạm vi mình quản lý;
đ) Không phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an, các nhà cung cấp dịch vụ và các cơ quan chức năng khôi phục một số hoạt động, dữ liệu hoặc kết nối cần thiết nhất để giảm thiểu thiệt hại đối với hệ thống thông tin hoặc gây ảnh hưởng xấu tới xã hội;
e) Không phối hợp trong thời gian chưa khắc phục triệt để sự cố;
g) Không xử lý các hậu quả do sự cố hệ thống thông tin của mình gây ra ảnh hưởng đến người dân, cơ quan, tổ chức khác;
h) Không lưu trữ hoặc không cung cấp thông tin liên quan đến các địa chỉ IP thuê bao, máy chủ, thiết bị IOT, các log file, nhật ký dịch vụ phân giải tên miền DNS trong phạm vi quản lý;
i) Không thiết lập môi trường để lắp đặt thiết bị quan trắc, lấy mẫu và cung cấp luồng dữ liệu mạng;
k) Không thiết lập đầu mối thường trực 24/7 hoặc không bố trí nhân lực, vật lực sẵn sàng phối hợp, triển khai các giải pháp nhằm ứng cứu, khắc phục hậu quả sự cố trong trường hợp nguồn tấn công được xác định xuất phát từ thuê bao thuộc doanh nghiệp mình hoặc khi được yêu cầu của Bộ Công an.
5. Biện pháp khắc phục hậu quả:
a) Buộc khôi phục lại tình trạng an toàn của hệ thống thông tin đối với hành vi vi phạm quy định tại Điều này;
b) Buộc thực hiện biện pháp khắc phục sự cố an ninh mạng, ngăn chặn nguy cơ gây mất an ninh mạng, giảm thiểu thiệt hại đối với hệ thống thông tin và dữ liệu bị ảnh hưởng;
c) Buộc cải chính thông tin sai sự thật hoặc gây nhầm lẫn liên quan đến tình trạng, diễn biến hoặc hậu quả của sự cố an ninh mạng;
d) Buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm hành chính quy định tại Điều này;
đ) Buộc thu hồi, loại bỏ dữ liệu, thông tin hoặc kết nối mạng gây mất an ninh mạng trong trường hợp hành vi vi phạm dẫn đến phát tán, duy trì hoặc mở rộng nguy cơ gây sự cố an ninh mạng.
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
a) Sử dụng thông tin giả mạo, thông tin của tổ chức, cá nhân khác đăng ký chữ ký số, chứng thư số
b) Cản trở trái pháp luật hoạt động cung cấp và sử dụng dịch vụ chứng thực chữ ký số;
c) Không bảo đảm bí mật, an toàn trong việc lưu trữ thông tin liên quan đến nhân thân của tổ chức, cá nhân xin cấp chứng thư số.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Trộm cắp, gian lận, mạo nhận, chiếm đoạt hoặc sử dụng trái phép khóa bí mật của người khác;
b) Không bảo đảm an toàn trong quá trình tạo và chuyển giao chứng thư số cho thuê bao hoặc không bảo đảm bí mật toàn bộ quá trình tạo cặp khóa cho tổ chức, cá nhân xin cấp chứng thư số;
c) Sử dụng thiết bị không đúng quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng để tự tạo cặp khóa;
d) Không lưu trữ bí mật những thông tin về nhân thân và khóa bí mật của thuê bao trong thời gian tạm dừng chứng thư số;
đ) Không bảo đảm giữ bí mật khóa bí mật của thuê bao trong trường hợp thuê bao ủy quyền.
3. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Làm giả hoặc hướng dẫn người khác làm giả chứng thư số;
b) Không đáp ứng các điều kiện đảm bảo an toàn cho chữ ký số theo quy định;
c) Sử dụng hệ thống thiết bị kỹ thuật không có khả năng phát hiện, cảnh báo những truy nhập bất hợp pháp và những hình thức tấn công trên môi trường mạng:
d) Sử dụng hệ thống phân phối khóa cho thuê bao không bảo đảm sự toàn vẹn và bảo mật của cặp khóa;
đ) Không triển khai phương án kiểm soát sự ra vào trụ sở hoặc nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ ký số;
e) Không triển khai phương án kiểm soát quyền truy nhập hệ thống cung cấp dịch vụ chứng thực chữ ký số.
4. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Không có phương án dự phòng đảm bảo duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra;
b) Trộm cắp khóa bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia;
c) Tiết lộ hoặc cung cấp khóa bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia trái pháp luật;
d) Sử dụng trái phép khóa bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia.
4. Biện pháp khắc phục hậu quả:
a) Buộc thu hồi, hủy bỏ chứng thư số được cấp trên cơ sở thông tin giả mạo hoặc do thực hiện hành vi vi phạm quy định tại điểm a khoản 1 và điểm a khoản 3 Điều này;
b) Buộc thay đổi, thu hồi hoặc hủy khóa bí mật, cặp khóa, chứng thư số bị lộ, bị chiếm đoạt hoặc bị sử dụng trái phép đối với các hành vi vi phạm quy định tại khoản 2 và khoản 4 Điều này.
Điều 23. Vi phạm quy định về phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại
1. Phạt tiền từ 15.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
a) Không có biện pháp quản lý hoặc phòng ngừa hoặc phát hiện hoặc ngăn chặn phát tán phần mềm độc hại;
b) Không báo cáo cơ quan nhà nước có thẩm quyền về hệ thống lọc phần mềm độc hại trong quá trình gửi, nhận, lưu trữ thông tin trên hệ thống của mình theo quy định của pháp luật.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không có hệ thống lọc phần mềm độc hại trong quá trình gửi hoặc nhận hoặc lưu trữ thông tin trên hệ thống của doanh nghiệp cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin;
b) Không thực hiện phòng ngừa hoặc không ngăn chặn hoặc không xử lý việc phát tán phần mềm độc hại theo hướng dẫn, yêu cầu của cơ quan nhà nước có thẩm quyền;
c) Không triển khai hệ thống kỹ thuật nghiệp vụ nhằm phòng ngừa, phát hiện, ngăn chặn và xử lý kịp thời phần mềm độc hại.
3. Biện pháp khắc phục hậu quả:
a) Buộc khôi phục lại tình trạng an toàn của hệ thống thông tin bị ảnh hưởng bởi phần mềm độc hại đối với hành vi vi phạm quy định tại Điều này;
b) Buộc thực hiện biện pháp khắc phục tình trạng mất an ninh mạng do việc phát tán phần mềm độc hại gây ra;
c) Buộc loại bỏ, tiêu hủy phần mềm độc hại, mã độc hoặc dữ liệu độc hại được phát tán trái pháp luật đối với hành vi vi phạm quy định tại Điều này.
Điều 24. Vi phạm quy định về biện pháp giám sát an toàn, bảo vệ hệ thống thông tin
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với hành vi sau:
a) Không ban hành quy định về bảo đảm an ninh mạng trong thiết kế, xây dựng, quản lý, vận hành, sử dụng, nâng cấp, hủy bỏ hệ thống thông tin.
b) Không xây dựng hồ sơ đề xuất cấp độ hệ thống thông tin;
c) Đưa hệ thống thông tin vào vận hành khi chưa được phê duyệt cấp độ an toàn thông tin;
d) Không triển khai đầy đủ các biện pháp bảo đảm an toàn thông tin như hồ sơ an toàn thông tin đã được phê duyệt cấp độ.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không kiểm tra, giám sát việc tuân thủ quy định về bảo đảm an ninh mạng, lưu trữ nhật ký hệ thống theo quy định hoặc không đánh giá hiệu quả của các biện pháp quản lý và kỹ thuật được áp dụng;
b) Không phối hợp với chủ quản hệ thống thông tin trong việc giám sát an toàn hệ thống thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền;
c) Không tổ chức thực thi, đôn đốc, kiểm tra, giám sát công tác bảo đảm an toàn thông tin;
d) Cản trở hoặc không thực hiện việc trao đổi thông tin, dữ liệu giám sát của hệ thống giữa đơn vị được chủ quản hệ thống thông tin thuê với lực lượng chuyên trách bảo đảm an ninh mạng.
3. Phạt tiền từ 50.000.000 đồng đến 75.000.000 đồng đối với hành vi không áp dụng biện pháp quản lý hoặc biện pháp kỹ thuật theo tiêu chuẩn hoặc quy chuẩn kỹ thuật an ninh mạng để phòng, chống nguy cơ, khắc phục sự cố an ninh mạng.
4. Biện pháp khắc phục hậu quả:
a) Buộc khôi phục lại tình trạng an toàn của hệ thống thông tin đối với hành vi vi phạm quy định tại Điều này;
b) Buộc thực hiện biện pháp khắc phục tình trạng mất an ninh mạng, nguy cơ mất an toàn thông tin do hành vi vi phạm gây ra;
c) Buộc loại bỏ các yếu tố vi phạm về an ninh mạng, an toàn thông tin trong quá trình thiết kế, xây dựng, quản lý, vận hành, sử dụng, nâng cấp hoặc hủy bỏ hệ thống thông tin;
d) Buộc cải chính thông tin sai sự thật hoặc gây nhầm lẫn liên quan đến tình trạng an toàn, an ninh của hệ thống thông tin trong trường hợp có hành vi cung cấp, báo cáo thông tin không đúng.
Điều 25. Vi phạm quy định về bảo đảm an ninh hệ thống thông tin theo cấp độ
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với hành vi không lập hồ sơ đề xuất cấp độ hoặc không tổ chức thẩm định, phê duyệt hồ sơ đề xuất cấp độ theo quy định.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi không có phương án bảo đảm an ninh mạng khi thiết lập, mở rộng hoặc nâng cấp hệ thống thông tin được cơ quan nhà nước có thẩm quyền thẩm định.
3. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với hành vi không thực hiện mở rộng hoặc nâng cấp hệ thống thông tin quan trọng quốc gia trước khi đưa vào vận hành, khai thác.
4. Biện pháp khắc phục hậu quả:
a) Buộc khôi phục lại tình trạng bảo đảm an ninh mạng của hệ thống thông tin đối với hành vi vi phạm quy định tại Điều này;
b) Buộc thực hiện biện pháp khắc phục nguy cơ gây mất an ninh mạng, mất an toàn thông tin đối với hệ thống thông tin thuộc phạm vi quản lý;
c) Buộc loại bỏ các yếu tố vi phạm về an ninh mạng trong quá trình thiết lập, mở rộng, nâng cấp và vận hành hệ thống thông tin.
Điều 26. Vi phạm quy định về ngăn chặn xung đột thông tin trên mạng
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:
a) Không thông báo và cung cấp không đầy đủ thông tin khi phát hiện có dấu hiệu, hành vi gây xung đột thông tin trên mạng hoặc khi phát hiện thấy thông tin, hệ thống thông tin bị tổn hại;
b) Không tiếp nhận hoặc không xử lý thông tin về xung đột thông tin trên mạng để ứng cứu sự cố và ngăn chặn xung đột thông tin trên mạng;
c) Không phối hợp với các cơ quan nghiệp vụ trong việc xác định chính xác nguồn gốc gây xung đột thông tin trên mạng;
d) Không phối hợp với các cơ quan nghiệp vụ để loại trừ xung đột thông tin trên mạng.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
a) Không thực hiện chặn lọc thông tin theo yêu cầu của các cơ quan nghiệp vụ hoặc yêu cầu hợp lý của bên bị xung đột thông tin trên mạng;
b) Không ngăn chặn thông tin phá hoại xuất phát từ hệ thống thông tin của mình hoặc không hợp tác xác định nguồn, đẩy lùi, khắc phục hậu quả tấn công mạng từ hệ thống thông tin của tổ chức, cá nhân trong nước và nước ngoài;
c) Không xây dựng phương án khắc phục xung đột thông tin trên mạng thuộc phạm vi quản lý;
d) Không tổng hợp, báo cáo kết quả khắc phục xung đột thông tin trên mạng cho cơ quan nghiệp vụ;
đ) Không phối hợp khắc phục xung đột thông tin trên mạng.
3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi không khắc phục xung đột thông tin trên mạng thuộc phạm vi quản lý.
4. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với hành vi cung cấp không kịp thời hoặc không đầy đủ thông tin, bằng chứng, chứng cứ để xác định nguồn gốc gây xung đột thông tin trên mạng.
5. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Không hợp tác xác định nguồn gốc hoặc không khắc phục hậu quả xung đột thông tin trên mạng;
b) Không cung cấp thông tin, bằng chứng, chứng cứ để xác định nguồn gốc gây xung đột thông tin trên mạng.
6. Biện pháp khắc phục hậu quả:
a) Buộc thực hiện các biện pháp ngăn chặn, chặn lọc, loại trừ và khắc phục xung đột thông tin trên mạng đối với hành vi vi phạm quy định tại khoản 2, khoản 3 và khoản 5 Điều này;
b) Buộc khôi phục hoạt động bình thường của hệ thống thông tin bị ảnh hưởng bởi xung đột thông tin trên mạng.
Điều 27. Vi phạm quy định về bảo đảm an toàn tài nguyên viễn thông Internet
1. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Áp dụng không đúng hoặc không đầy đủ biện pháp quản lý và kỹ thuật để ngăn chặn mất an ninh mạng xuất phát từ tần số, kho số, tên miền và địa chỉ Internet của mình;
b) Không cung cấp thông tin liên quan đến an toàn tài nguyên viễn thông theo yêu cầu của cơ quan nhà nước có thẩm quyền;
c) Cung cấp không đầy đủ thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền hoặc không phối hợp kết nối, định tuyến để bảo đảm hệ thống máy chủ tên miền quốc gia Việt Nam hoạt động an toàn, ổn định.
2. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Không áp dụng biện pháp quản lý và kỹ thuật để ngăn chặn mất an ninh mạng xuất phát từ tần số, kho số, tên miền và địa chỉ Internet của mình;
b) Không phối hợp trong việc ngăn chặn mất an ninh mạng xuất phát từ tài nguyên Internet, từ khách hàng của mình hoặc không cung cấp thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền hoặc không phối hợp kết nối, định tuyến để bảo đảm hệ thống máy chủ tên miền quốc gia Việt Nam hoạt động an toàn, ổn định.
3. Biện pháp khắc phục hậu quả:
a) Buộc áp dụng đầy đủ các biện pháp quản lý, kỹ thuật nhằm ngăn chặn, khắc phục tình trạng mất an ninh mạng đối với hành vi vi phạm quy định tại khoản 1 và khoản 2 Điều này;
b) Buộc cung cấp đầy đủ thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền đối với hành vi vi phạm quy định tại điểm b, điểm c khoản 1 và điểm b khoản 2 Điều này;
c) Buộc thực hiện việc phối hợp kết nối, định tuyến để bảo đảm hệ thống máy chủ tên miền quốc gia Việt Nam hoạt động an toàn, ổn định đối với hành vi vi phạm quy định tại điểm c khoản 1 và điểm b khoản 2 Điều này.
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi vi phạm quy định về xác lập hệ thống thông tin quan trọng về an ninh quốc gia sau:
a) Không thực hiện hoặc thực hiện không đầy đủ theo quy định việc rà soát xác lập hệ thống thông tin quan trọng về an ninh quốc gia đối với hệ thống thông tin thuộc phạm vi quản lý;
b) Không rà soát xác lập hệ thống thông tin quan trọng về an ninh quốc gia đối với hệ thống thông tin thuộc phạm vi quản lý sau khi đã có thông báo của lực lượng chuyên trách bảo vệ an ninh mạng;
c) Không gửi Bộ Công an, Bộ Quốc phòng, Ban Cơ yếu Chính phủ theo phân cấp quản lý hồ sơ hệ thống thông tin quan trọng quốc gia đã được Thủ tướng Chính phủ phê duyệt để xác lập Danh mục hệ thống thông tin quan trọng về an ninh quốc gia;
d) Không chuyển cho Bộ Công an, Bộ Quốc phòng, Ban Cơ yếu Chính phủ theo phân cấp quản lý hồ sơ thẩm định về cấp độ an toàn thông tin mà xét thấy có đủ căn cứ để đưa vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia để thẩm định hồ sơ đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
2. Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với một trong các hành vi vi phạm quy định về thẩm định an ninh mạng sau:
a) Không tiến hành thẩm định an ninh mạng làm cơ sở cho việc quyết định xây dựng hệ thống thông tin có đủ tiêu chí là hệ thống thông tin quan trọng về an ninh quốc gia;
b) Không tiến hành thẩm định an ninh mạng làm cơ sở cho việc nâng cấp hệ thống thông tin có đủ tiêu chí là hệ thống thông tin quan trọng về an ninh quốc gia.
3. Phạt tiền từ 40.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi vi phạm về kiểm tra an ninh mạng, giám sát an ninh mạng sau:
a) Không tiến hành đánh giá điều kiện an ninh mạng đối với hệ thống thông tin trước khi đưa vào vận hành, sử dụng;
b) Không xây dựng quy định, quy trình và phương án bảo đảm an ninh mạng; không bố trí nhân sự vận hành, quản trị hệ thống;
d) Không xây dựng phương án ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin theo quy định pháp luật;
đ) Không xây dựng biện pháp kỹ thuật để giám sát, bảo vệ an ninh mạng, biện pháp bảo vệ hệ thống;
e) Không xây dựng các biện pháp bảo vệ bí mật nhà nước, phòng, chống lộ, mất bí mật nhà nước qua các kênh kỹ thuật;
g) Không có biện pháp bảo đảm an ninh vật lý theo quy định pháp luật;
i) Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia không tiến hành kiểm tra an ninh mạng, giám sát an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý theo quy định pháp luật;
k) Không phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng khi tiến hành kiểm tra an ninh mạng, giám sát an ninh mạng theo quy định pháp luật;
l) Không triển khai, không tham gia hoạt động ứng phó, khắc phục sự cố khi sự cố an ninh mạng xảy ra hoặc khi có yêu cầu của lực lượng chủ trì điều phối;
m) Không báo cáo kịp thời cho lực lượng chuyên trách bảo vệ an ninh mạng về sự cố an ninh mạng nghiêm trọng đối với hệ thống thông tin thuộc phạm vi quản lý.
n) Không thực hiện các biện pháp theo hướng dẫn của lực lượng chuyên trách bảo vệ an ninh mạng và các biện pháp phù hợp khác để ngăn chặn, xử lý, khắc phục hậu quả ngay sau khi nhận được thông báo.
4. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Không tiến hành kiểm tra an ninh mạng định kỳ hằng năm;
b) Không tiến hành kiểm tra an ninh mạng, giám sát an ninh mạng khi có yêu cầu quản lý nhà nước về an ninh mạng;
c) Không thông báo kết quả kiểm tra an ninh mạng bằng văn bản cho lực lượng chuyên trách bảo vệ an ninh mạng theo quy định;
d) Quá thời hạn mà không khắc phục điểm yếu, lỗ hổng bảo mật theo khuyến cáo của lực lượng chuyên trách bảo vệ an ninh mạng theo quy định.
đ) Vi phạm quy định về điều kiện về quy định, quy trình, phương án bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia;
e) Vi phạm quy định về điều kiện về nhân sự vận hành, quản trị hệ thống, bảo vệ an ninh mạng;
h) Vi phạm quy định về điều kiện bảo đảm an ninh mạng đối với thiết bị, phần cứng, phần mềm là thành phần hệ thống;
i) Vi phạm quy định về điều kiện về biện pháp kỹ thuật, an ninh vật lý để giám sát, bảo vệ an ninh mạng.
5. Biện pháp khắc phục hậu quả:
a) Buộc thực hiện các biện pháp bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia đối với các hành vi vi phạm tại khoản 1, 2, 3, 4 Điều này;
b) Buộc cải chính kết quả thẩm định, đánh giá, kiểm tra, chứng nhận về an ninh mạng đối với các hành vi quy định tại khoản 2, 3, 4 Điều này;
c) Buộc công bố lại thông tin thẩm định, đánh giá, kiểm tra, chứng nhận, thông tin về sản phẩm, thiết bị, dịch vụ, phần mềm đối với các hành vi quy định tại khoản 2, 3, 4 Điều này.
1. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng thực hiện biện pháp bảo vệ an ninh mạng khi phát hiện hệ thống thông tin thuộc phạm vi quản lý có liên quan tới hành vi vi phạm quy định của pháp luật về an ninh mạng;
b) Không thông báo cho lực lượng chuyên trách bảo vệ an ninh mạng khi phát hiện hành vi vi phạm pháp luật về an ninh mạng đối với hệ thống thông tin của cơ quan nhà nước, tổ chức chính trị ở trung ương và địa phương;
c) Không thực hiện hoặc thực hiện không đầy đủ yêu cầu của lượng chuyên trách bảo vệ an ninh mạng về khắc phục điểm yếu, lỗ hổng bảo mật và hành vi vi phạm pháp luật về an ninh mạng.
2. Biện pháp khắc phục hậu quả: Buộc thực hiện các biện pháp bảo đảm an ninh mạng theo quy định đối với các hành vi vi phạm quy định tại khoản 1 Điều này.
1. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng trong giám sát an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế;
b) Không phối hợp, cung cấp thông tin, dữ liệu phục vụ điều tra, xử lý hành vi vi phạm pháp luật khi đã có yêu cầu bằng văn bản;
c) Không bố trí mặt bằng, cổng kết nối, điều kiện và biện pháp kỹ thuật, nghiệp vụ cần thiết để lực lượng chuyên trách bảo vệ an ninh mạng thực hiện nhiệm vụ bảo vệ an ninh mạng theo quy định của pháp luật;
d) Không triển khai biện pháp bảo vệ an ninh mạng; không thực hiện các yêu cầu về bảo vệ an ninh mạng của lực lượng chuyên trách bảo vệ an ninh mạng.
2. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với hành vi vi phạm lần 2 trở lên đối với những quy định tại khoản 1 Điều này.
3. Biện pháp khắc phục hậu quả: Buộc thực hiện các biện pháp bảo đảm an ninh mạng theo quy định đối với các hành vi vi phạm quy định tại khoản 1 Điều này.
Điều 31. Vi phạm quy định về bảo đảm an ninh thông tin mạng
1. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối một trong các hành vi sau:
a) Không xác thực thông tin khi người dùng đăng ký tài khoản số;
b) Không bảo mật thông tin, tài khoản của người dùng;
2. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Không ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin, gỡ bỏ dịch vụ, ứng dụng có nội dung vi phạm quy định của Luật An ninh mạng chậm nhất là 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an và lưu nhật ký hệ thồng để phục vụ xác minh, điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng trong thời gian theo quy định của pháp luật; trường hợp khần cấp đe dọa xâm hại an ninh quốc gia, yêu cầu ngăn chặn, xóa bỏ thông tin chậm nhất là 06 giờ;
b) Cung cấp dịch vụ trên mạng viễn thông, Internet, các dịch vụ gia tăng cho tổ chức, cá nhân đăng tải trên không gian mạng thông tin có nội dung quy định tại các khoản 1, 2 và 3 Điều 13, khoản 1 và khoản 2 Điều 14 của Luật An ninh mạng; không dừng cung cấp các dịch vụ nêu trên khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng hoặc cơ quan chức năng có thẩm quyền;
c) Không áp dụng các biện pháp bảo vệ dữ liệu theo quy định của pháp luật và lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ khi tiến hành thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra.
d) Doanh nghiệp nước ngoài khi cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam không đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.
2. Biện pháp khắc phục hậu quả:
a) Buộc thực hiện các biện pháp bảo đảm an ninh thông tin mạng theo quy định đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;
b) Buộc ngừng cung cấp dịch vụ viễn thông, Internet hoặc ngừng kết nối viễn thông, Internet tại Việt Nam đối với các hành vi vi phạm quy định tại điểm a khoản 2 Điều này;
c) Buộc xóa khỏi kho ứng dụng số dành cho thị trường Việt Nam đối với các hành vi vi phạm quy định tại điểm a khoản 2 Điều này.
1. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không cung cấp hoặc kéo dài thời gian cung cấp vượt quá 24 giờ về thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng mà không có lý do chính đáng;
b) Không thực hiện các yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an trong việc quản lý, cung cấp dịch vụ trên mạng viễn thông, internet cho tổ chức, cá nhân có hành vi vi phạm quy định tại các khoản 1, 2, 3 Điều 13 Luật An ninh mạng;
c) Không triển khai biện pháp quản lý nhằm phòng ngừa, phát hiện, ngăn chặn, gỡ, xóa bỏ thông tin có nội dung quy định tại các khoản 1, 2, 3 Điều 13 Luật An ninh mạng trên hệ thống thông tin thuộc phạm vi quản lý khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng.
2. Biện pháp khắc phục hậu quả: Buộc thực hiện các biện pháp bảo đảm an ninh thông tin mạng theo quy định đối với các hành vi vi phạm quy định tại khoản 1 Điều này.
Điều 33. Vi phạm quy định về bảo vệ trẻ em trên không gian mạng
1. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không triển khai các biện pháp kiểm soát nội dung thông tin trên hệ thống hoặc trên dịch vụ do doanh nghiệp cung cấp gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em;
b) Không ngăn chặn việc chia sẻ và xóa bỏ thông tin có nội dung gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em;
c) Không có dấu hiệu cảnh báo đối với sản phẩm, dịch vụ công nghệ thông tin mang nội dung không có lợi cho trẻ em;
d) Không triển khai các biện pháp phù hợp để theo quy định pháp luật của Việt Nam nhằm đảm bảo phát hiện, xác định, ngăn chặn việc trẻ em trực tiếp tạo lập, sử dụng tài khoản dịch vụ bằng thông tin của mình;
đ) Không xây dựng các tính năng theo hướng dẫn của quy định pháp luật nhằm hỗ trợ cha, mẹ, người giám hộ hợp pháp của trẻ em tạo lập tài khoản cho trẻ em dưới thông tin của cha, mẹ, người giám hộ hợp pháp theo pháp luật dân sự và quản lý, giám sát được hoạt động của trẻ em;
e) Không vô hiệu hóa, hủy tài khoản dịch vụ do trẻ em trực tiếp tạo lập, sử dụng đã được cơ quan chức năng xác định, yêu cầu bằng văn bản hình thức trao đổi phù hợp khác đã được thông nhất.
2. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Đăng tải, phát tán, chia sẻ, lưu trữ, trao đổi, sử dụng thông tin, hình ảnh, âm thanh có nội dung khiêu dâm, đồi trụy, bạo lực liên quan đến trẻ em;
b) Đăng tải, chia sẻ, phát tán thông tin xúc phạm danh dự, uy tín, nhân phẩm, ảnh hưởng về sức khỏe, sự phát triển bình thường về tâm sinh lý của trẻ em.
3. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Không phối hợp với cơ quan có thẩm quyền trong bảo đảm quyền của trẻ em trên không gian mạng;
b) Kích động, lôi kéo, dụ dỗ, ép buộc trẻ em theo dõi, chia sẻ, phát tán thông tin có nội dung gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em hoặc tham gia vào các hoạt động vi phạm pháp luật khác.
4. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 2 Điều này;
b) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm quy định tại khoản 2 Điều này.
5. Biện pháp khắc phục hậu quả:
a) Buộc thực hiện các biện pháp bảo vệ trẻ em trên không gian mạng theo quy định đối với các hành vi vi phạm quy định tại khoản 1 Điều này;
b) Buộc xóa bỏ, cải chính thông tin đối với các hành vi vi phạm quy định tại khoản 2 Điều này;
c) Buộc thu hồi số thuê bao, đầu số, kho số viễn thông; tài nguyên Internet, tên miền, địa chỉ Internet (IP), số hiệu mạng (ASN); mã số quản lý, số cung cấp dịch vụ; Buộc hoàn trả địa chỉ IP, ASN, tên miền, tài khoản số đối với các hành vi vi phạm quy định tại khoản 2 Điều này;
d) Buộc nộp lại số lợi bất hợp pháp có được do thực hiện vi phạm hành chính hoặc buộc nộp lại số tiền bằng giá trị tang vật, phương tiện vi phạm hành chính đã bị tiêu thụ, tẩu tán, tiêu hủy trái quy định của pháp luật theo Điều 37 Luật Xử lý vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 2 Điều này.
Điều 34. Vi phạm quy định về thực hiện các biện pháp bảo vệ an ninh mạng
1. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Các doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, dịch vụ trên mạng Internet, dịch vụ gia tăng trên không gian mạng, chủ quản hệ thống thông tin không xóa bỏ thông tin trái pháp luật hoặc thông tin sai sự thật trên không gian mạng xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân theo quy định sau khi có đề nghị của lực lượng chuyên trách bảo vệ an ninh mạng;
b) Không đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin, thu hồi tên miền sau khi có đề nghị của lực lượng chuyên trách bảo vệ an ninh mạng.
2. Hình thức xử phạt bổ sung: Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại khoản 1 Điều này.
3. Biện pháp khắc phục hậu quả: Buộc thực hiện các biện pháp bảo đảm an ninh mạng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.
Điều 35. Vi phạm quy định về lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam
1. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không lưu trữ dữ liệu hoặc lưu trữ dữ liệu nhạy cảm về an ninh quốc gia không đầy đủ theo quy định tại Nghị định quy định chi tiết một số điều của Luật An ninh mạng 2025;
b) Không chấp hành, chấp hành không đầy đủ hoặc ngăn chặn, cản trở, vô hiệu hóa, làm mất tác dụng của biện pháp bảo vệ an ninh mạng do lực lượng chuyên trách bảo vệ an ninh mạng thực hiện;
c) Không thực hiện quyết định yêu cầu lưu trữ dữ liệu nhạy cảm về an ninh quốc gia, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam;
đ) Không bảo đảm thời gian lưu trữ nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng được quy định tại điểm b khoản 2 Điều 25 của Luật An ninh mạng 2025.
2. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại điểm a khoản 1 Điều này;
b) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm quy định tại khoản 1 Điều này;
3. Biện pháp khắc phục hậu quả:
a) Buộc lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam;
b) Buộc nộp lại số lợi bất hợp pháp có được do thực hiện vi phạm hành chính hoặc buộc nộp lại số tiền bằng giá trị tang vật, phương tiện vi phạm hành chính đã bị tiêu thụ, tẩu tán, tiêu hủy trái quy định của pháp luật theo Điều 37 Luật Xử lý vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 1 Điều này;
c) Buộc ngừng cung cấp dịch vụ viễn thông, Internet hoặc ngừng kết nối viễn thông, Internet tại Việt Nam đối với các hành vi vi phạm quy định tại khoản 1 Điều này.
Mục 4. VI PHẠM QUY ĐỊNH VỀ QUẢN LÝ SẢN PHẨM, DỊCH VỤ AN NINH MẠNG
Điều 36. Vi phạm quy định về xác thực, định danh, bảo mật tài khoản số
1. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau đây:
a) Không xác thực, định danh bằng giấy tờ tùy thân hợp pháp hoặc xác thực, định danh bằng giấy tờ không hợp pháp đối với tài khoản số bắt buộc phải xác thực, định danh theo quy định của pháp luật;
b) Không có biện pháp cảnh báo chủ sở hữu khi tài khoản số phát sinh giao dịch tiền tệ, tài chính, chứng khoán hoặc tài sản khác có thể chuyển nhượng trên không gian mạng bằng phương thức điện tử hoặc phương thức khác theo quy định nội bộ đã công bố;
c) Không lưu trữ thông tin thiết bị, địa chỉ IP, thời gian đăng nhập của tài khoản số tối thiểu 90 ngày;
d) Không tạm dừng giao dịch hoặc phong tỏa tài khoản số phục vụ các hoạt động giao dịch tiền tệ, tài chính, chứng khoán hoặc tài sản khác có thể chuyển nhượng trên không gian mạng khi phát hiện có sai sót, nhầm lẫn, bị lộ lọt thông tin hoặc khi có thông báo, yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng;
đ) Sử dụng giấy tờ tùy thân của người khác để xác thực tài khoản số;
e) Sử dụng giấy tờ tùy thân giả, tạo lập, chỉnh sửa, cắt ghép hình ảnh giấy tờ tùy thân hoặc các thủ đoạn gian dối khác để xác thực tài khoản số;
g) Định danh bằng phương thức điện tử không chính xác thông tin chủ tài khoản số phục vụ các hoạt động giao dịch tiền tệ, tài chính, chứng khoán hoặc tài sản khác có thể chuyển nhượng trên không gian mạng;
h) Sử dụng công nghệ trí tuệ nhân tạo (AI), Deepfake hoặc các biện pháp kỹ thuật công nghệ cao để giả mạo dữ liệu sinh trắc học (khuôn mặt, giọng nói) nhằm xác thực tài khoản trái phép;
i) Không lưu vết xác thực tài khoản, không lưu nhật ký truy cập, không có cơ chế phát hiện bất thường đối với tài khoản số có chức năng giao dịch tài chính.
k) Không lưu vết xác thực tài khoản, không lưu nhật ký truy cập, không có cơ chế phát hiện bất thường đối với tài khoản số có chức năng giao dịch tài chính.
2. Biện pháp khắc phục hậu quả: Buộc hoàn tất việc xác thực, định danh, thiết lập biện pháp bảo mật theo đúng quy định về xác thực, định danh, bảo mật tài khoản số đối với hành vi vi phạm quy định tại khoản 1 Điều này.
Điều 37. Vi phạm quy định về kinh doanh trong lĩnh vực an ninh mạng
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
a) Không quản lý hồ sơ, tài liệu về giải pháp kỹ thuật, công nghệ của sản phẩm an ninh mạng;
b) Không lập, lưu trữ và bảo mật thông tin của khách hàng sử dụng sản phẩm, dịch vụ an ninh mạng;
c) Không báo cáo cho Bộ Công an về tình hình kinh doanh, xuất khẩu, nhập khẩu sản phẩm, dịch vụ an ninh mạng theo quy định.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không sửa đổi hoặc bổ sung Giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng trong trường hợp doanh nghiệp thay đổi tên hoặc thay đổi người đại diện theo pháp luật hoặc thay đổi, bổ sung sản phẩm, dịch vụ an ninh mạng do doanh nghiệp cung cấp;
b) Không làm thủ tục cấp lại giấy phép trong trường hợp Giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng trong trường hợp bị mất hoặc bị hư hỏng;
c) Không từ chối cung cấp sản phẩm, dịch vụ an ninh mạng khi phát hiện tổ chức, cá nhân vi phạm pháp luật, vi phạm cam kết đã thỏa thuận về sử dụng sản phẩm, dịch vụ an ninh mạng;
d) Không tạm ngừng hoặc ngừng cung cấp sản phẩm, dịch vụ an ninh mạng theo yêu cầu của cơ quan nhà nước có thẩm quyền;
đ) Không thực hiện việc chứng nhận hợp quy hoặc công bố hợp quy và sử dụng dấu hợp quy theo quy định trước khi đưa sản phẩm an ninh mạng vào lưu thông trên thị trường;
e) Cung cấp dịch vụ an ninh mạng không đúng với nội dung ghi trên giấy phép.
3. Phạt tiền từ 50.000.000 đồng đến 75.000.000 đồng đối với một trong các hành vi sau:
a) Không duy trì một trong các điều kiện để được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng;
b) Không phối hợp, tạo điều kiện thực hiện các biện pháp nghiệp vụ khi có yêu cầu của cơ quan nhà nước có thẩm quyền.
4. Phạt tiền từ 75.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Kinh doanh sản phẩm, dịch vụ an ninh mạng nhưng không có giấy phép;
b) Kinh doanh sản phẩm, dịch vụ an ninh mạng gây phương hại đến quốc phòng, an ninh, trật tự;
c) Cung cấp thông tin không chính xác hoặc giả mạo thông tin để được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng.
5. Biện pháp khắc phục hậu quả:
Buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại các điểm c, d, đ và e khoản 2 và khoản 4 Điều này.
Điều 38. Vi phạm quy định về nhập khẩu sản phẩm an ninh mạng
1. Phạt tiền từ 75.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Nhập khẩu sản phẩm an ninh mạng thuộc Danh mục nhập khẩu theo giấy phép mà không có giấy phép;
b) Cung cấp thông tin không chính xác hoặc giả mạo thông tin để được cấp Giấy phép nhập khẩu sản phẩm an ninh mạng.
2. Hình thức xử phạt bổ sung:
Tịch thu giấy phép nhập khẩu sản phẩm an ninh mạng do thực hiện hành vi vi phạm quy định tại điểm b khoản 1 Điều này.
3. Biện pháp khắc phục hậu quả:
a) Buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này;
b) Buộc tái xuất sản phẩm an ninh mạng nhập khẩu đối với hành vi vi phạm quy định tại khoản 1 Điều này;
c) Buộc thu hồi sản phẩm an ninh mạng đối với hành vi vi phạm quy định tại khoản 1 Điều này.
Điều 39. Vi phạm các quy định về phát triển công nghiệp công nghệ thông tin
1. Phạt tiền từ 15.000.000 đồng đến 20.000.000 đồng đối với hành vi công bố không đầy đủ nội dung thông tin số trên sản phẩm hoặc trên bao gói của sản phẩm theo quy định khi tham gia sản xuất, cung cấp gói sản phẩm nội dung thông tin số hoàn chỉnh.
2. Phạt tiền từ 20.000.000 đồng đến 25.000.000 đồng đối với hành vi không công bố nội dung thông tin số trên sản phẩm hoặc trên bao gói của sản phẩm theo quy định khi tham gia sản xuất, cung cấp gói sản phẩm nội dung thông tin số hoàn chỉnh.
3. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Chuyển giao, bán, chuyển nhượng công nghệ, giải pháp phát triển sản phẩm công nghệ thông tin trọng điểm do Nhà nước đầu tư khi chưa được sự đồng ý của cơ quan quản lý nhà nước có thẩm quyền;
b) Công bố thông tin không chính xác về sản phẩm, dịch vụ công nghệ thông tin sản xuất trong nước để được hưởng ưu tiên trong đầu tư, thuê, mua sắm khi sử dụng nguồn vốn ngân sách nhà nước;
c) Cung cấp thông tin không chính xác để đáp ứng các điều kiện nhằm tham gia chương trình phát triển các sản phẩm công nghệ thông tin trọng điểm do Nhà nước đầu tư;
d) Gian lận trong việc tổ chức, sát hạch và cấp chứng chỉ đáp ứng chuẩn kỹ năng sử dụng công nghệ thông tin của tổ chức nước ngoài sử dụng tại Việt Nam.
4. Phạt tiền từ 50.000.000 đồng đến 75.000.000 đồng đối với hành vi không hoàn thành đúng thời hạn quy định việc xây dựng hạ tầng cơ sở khu công nghệ thông tin tập trung.
5. Phạt tiền từ 75.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Triển khai hoạt động khu công nghệ thông tin tập trung không đúng mục tiêu hoặc không đúng chức năng, nhiệm vụ;
b) Triển khai hoạt động khu công nghệ thông tin tập trung không đáp ứng hoặc đáp ứng không đầy đủ các tiêu chí của khu công nghệ thông tin tập trung.
6. Hình thức xử phạt bổ sung:
Tịch thu quyết định công nhận chứng chỉ công nghệ thông tin của tổ chức nước ngoài sử dụng ở Việt Nam do thực hiện hành vi vi phạm quy định tại điểm d khoản 3 Điều này.
7. Biện pháp khắc phục hậu quả:
Buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại các điểm a và d khoản 3 và điểm a, c khoản 5 Điều này.
1. Phạt tiền từ 50.000.000 đồng đến 75.000.000 đồng đối với hành vi xâm phạm đến quyền, lợi ích hợp pháp của chủ sở hữu cơ sở dữ liệu hoặc cản trở việc sử dụng cơ sở dữ liệu của chủ sở hữu khi thực hiện tái sản xuất, phân phối, quảng bá, truyền đưa, cung cấp nội dung hợp thành cơ sở dữ liệu.
2. Phạt tiền từ 75.000.000 đồng đến 100.000.000 đồng đối với hành vi cố ý phá hoại cơ sở hạ tầng thông tin hoặc phá hoại thông tin trên môi trường mạng.
3. Biện pháp khắc phục hậu quả:
a) Buộc nộp lại số lợi bất hợp pháp có được do thực hiện vi phạm hành chính quy định tại khoản 1 Điều này;
b) Buộc khôi phục lại tình trạng ban đầu đã bị thay đổi do thực hiện hành vi vi phạm quy định tại khoản 2 Điều này.
1. Phạt tiền từ 50.000.000 đồng đến 75.000.000 đồng đối với một trong các hành vi sau:
a) Sử dụng không đúng mục đích sản phẩm công nghệ thông tin đã qua sử dụng thuộc Danh mục cấm nhập khẩu nhưng được phép nhập khẩu để nghiên cứu khoa học;
b) Nhập khẩu sản phẩm công nghệ thông tin đã qua sử dụng thuộc Danh mục cấm nhập khẩu;
c) Thực hiện không đúng phương án, biện pháp xử lý phế liệu, phế thải hoặc không có phương án, biện pháp xử lý phế liệu, phế thải trong quá trình gia công, sửa chữa sản phẩm công nghệ thông tin đã qua sử dụng thuộc Danh mục cấm nhập khẩu cho thương nhân nước ngoài;
d) Gia công tái chế, sửa chữa sản phẩm công nghệ thông tin đã qua sử dụng thuộc Danh mục cấm nhập khẩu cho thương nhân nước ngoài nhưng chưa được Bộ Công an cấp phép.
2. Phạt tiền 75.000.000 đồng đến 100.000.000 đồng đối với hành vi không thực hiện phương án, biện pháp xử lý phế liệu, phế thải hoặc không có phương án, biện pháp xử lý phế liệu, phế thải trong quá trình gia công, sửa chữa sản phẩm công nghệ thông tin đã qua sử dụng thuộc Danh mục cấm nhập khẩu cho thương nhân nước ngoài.
3. Biện pháp khắc phục hậu quả:
a) Buộc tiêu hủy hoặc tái xuất sản phẩm công nghệ thông tin do thực hiện hành vi vi phạm quy định tại các khoản 1 và 2 Điều này;
b) Buộc nộp lại văn bản cho phép thực hiện hoạt động gia công, tái chế, sửa chữa sản phẩm công nghệ thông tin đã qua sử dụng thuộc danh mục cấm nhập khẩu cho thương nhân nước ngoài do thực hiện hành vi vi phạm quy định tại khoản 2 Điều này.
1. Phạt tiền từ 15.000.000 đồng đến 25.000.000 đồng đối với hành vi che giấu tên của mình hoặc giả mạo tên của tổ chức, cá nhân khác khi gửi thông tin trên môi trường mạng.
2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không có biện pháp ngăn ngừa trẻ em truy nhập thông tin không có lợi trên môi trường mạng khi cung cấp dịch vụ công nghệ thông tin;
b) Không có dấu hiệu cảnh báo đối với sản phẩm, dịch vụ công nghệ thông tin mang nội dung không có lợi cho trẻ em.
3. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Tạo ra hoặc cài đặt hoặc phát tán chương trình vi rút máy tính hoặc phần mềm gây hại vào thiết bị số của người khác;
b) Sản xuất hoặc cung cấp sản phẩm, dịch vụ công nghệ thông tin kích động dâm ô, đồi trụy, tội ác, tệ nạn xã hội, mê tín dị đoan, phá hoại thuần phong mỹ tục của dân tộc.
4. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại khoản 3 Điều này;
b) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm quy định tại khoản 3 Điều này.
5. Biện pháp khắc phục hậu quả:
a) Buộc tiêu hủy sản phẩm, dịch vụ công nghệ thông tin đối với hành vi vi phạm quy định tại điểm b khoản 3 Điều này;
b) Buộc khôi phục lại tình trạng ban đầu đã bị thay đổi do thực hiện hành vi vi phạm quy định tại điểm a khoản 3 Điều này.
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi:
a) Gửi thư điện tử quảng cáo, tin nhắn quảng cáo đến người nhận nhưng chưa được sự đồng ý của người nhận;
b) Gắn nhãn thư điện tử quảng cáo, tin nhắn quảng cáo không đúng hoặc không đầy đủ theo quy định.
c) Gọi điện thoại quảng cáo đến người sử dụng khi chưa được người sử dụng đồng ý một cách rõ ràng;
d) Gọi điện thoại quảng cáo đến người sử dụng không đồng ý nhận cuộc gọi quảng cáo trong hồ sơ thu thập sự đồng ý của khách hàng;
đ) Gửi tin nhắn đăng ký quảng cáo khi người sử dụng đã từ chối hoặc không trả lời nhận tin nhắn đăng ký quảng cáo;
e) Gửi tin nhắn quảng cáo đến người sử dụng đã từ chối nhận tin nhắn quảng cáo.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
a) Không gắn nhãn thư điện tử quảng cáo, tin nhắn quảng cáo theo quy định;
b) Không lưu lại thông tin đăng ký nhận quảng cáo, thông tin yêu cầu từ chối và thông tin xác nhận yêu cầu từ chối thư điện tử quảng cáo, tin nhắn quảng cáo, cuộc gọi quảng cáo tối thiểu 01 năm;
c) Gửi tin nhắn quảng cáo, gọi điện quảng cáo khi chưa được cấp tên định danh hoặc sử dụng số điện thoại để gửi tin nhắn quảng cáo hoặc gọi điện thoại quảng cáo.
3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không cung cấp miễn phí cho người sử dụng cơ chế tiếp nhận và xử lý các thông báo về thư rác;
b) Không có biện pháp để tránh mất mát và ngăn chặn sai thư điện tử của người sử dụng dịch vụ;
c) Không phối hợp với các nhà cung cấp dịch vụ Internet trong nước và quốc tế, nhà cung cấp dịch vụ tin nhắn trong và ngoài nước để hạn chế, ngăn chặn thư rác;
d) Không gửi ngay hoặc gửi thông tin xác nhận đã nhận được yêu cầu từ chối thư điện tử, tin nhắn không bảo đảm các yêu cầu theo quy định;
đ) Không có biện pháp giới hạn số lượng, tốc độ và tần suất nhắn tin;
e) Không giới hạn tần suất nhắn tin từ mỗi nguồn gửi hoặc không ngăn chặn các tin nhắn có nguy cơ gây mất an toàn, an ninh thông tin theo quy định;
g) Che giấu tên, địa chỉ điện tử của mình khi gửi thư điện tử, tin nhắn;
h) Không chấm dứt việc gửi đến người nhận thư điện tử quảng cáo hoặc tin nhắn quảng cáo ngay sau khi nhận được yêu cầu từ chối của người nhận;
i) Không phối hợp với các doanh nghiệp viễn thông được cấp phép thiết lập mạng viễn thông di động trong và ngoài nước ngăn chặn tin nhằn rác;
k) Không thực hiện biện pháp ngăn chặn tin nhắn rác theo yêu cầu của cơ quan nhà nước có thẩm quyên;
l) Không ngăn chặn tin nhắn rác giả mạo nguồn gửi trước khi gửi tới người sử dụng dịch vụ;
m) Không ngừng cung cấp dịch vụ nội dung qua tin nhắn khi khách hàng yêu cầu;
n) Thực hiện không đầy đủ các yêu cầu điều phối, ngăn chặn, xử lý tin nhắn rác.
o) Thực hiện quá 03 tin nhắn quảng cáo tới 01 số điện thoại hoặc 03 thư điện tử quảng cáo tới 01 địa chỉ thư điện tử hoặc 01 cuộc gọi quảng cáo tới 01 số điện thoại trong vòng 24 giờ mà không có thỏa thuận khác với người sử dụng;
p) Gửi tin nhắn quảng cáo ngoài khoảng thời gian từ 07 giờ đến 22 giờ mỗi ngày hoặc gọi điện thoại quảng cáo từ 08 giờ đến 17 giờ mỗi ngày mà không có thỏa thuận với người sử dụng;
q) Không có biện pháp kiểm tra việc đã đồng ý trước một cách rõ ràng của người sử dụng khi gửi tin nhắn quảng cáo, thư điện tử quảng cáo, gọi điện thoại quảng cáo;
r) Không cung cấp cho người sử dụng công cụ tra cứu hoặc lưu trữ các thỏa thuận về việc đăng ký, từ chối cuộc gọi quảng cáo, tin nhắn đăng ký quảng cáo để phục vụ việc thanh, kiểm tra và giải quyết khiếu nại, tố cáo;
s) Không hướng dẫn người sử dụng dịch vụ về cách thức chống tin nhắn rác, cuộc gọi rác, thư điện tử rác.
t) Không thực hiện chế độ báo cáo hoặc thực hiện chế độ báo cáo không đúng quy định hoặc bảo cáo không trung thực về hoạt động sử dụng tên định danh và/hoặc phòng chống, ngăn chặn tin nhắn rác, cuộc gọi rác theo quy định.
4. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Không tuân thủ các yêu cầu điều phối, ngăn chặn, xử lý tin nhắn rác;
b) Không thực hiện yêu cầu xử lý các thông báo, phản ánh tin nhắn rác của Bộ Công an;
c) Không thực hiện các biện pháp nhằm hạn chế thư điện tử rác theo yêu cầu của cơ quan nhà nước có thẩm quyền;
d) Không cung cấp thông tin và ngăn chặn các nguồn phát tán thư điện tử rác hoặc phần mềm độc hại theo yêu cầu của cơ quan nhà nước có thẩm quyền;
đ) Không thực hiện các biện pháp đánh giá tình trạng tin nhắn rác trên mạng viễn thông di động của nhà cung cấp dịch vụ tin nhắn theo hướng dẫn của Bộ Công an.
e) Cuộc gọi điện thoại quảng cáo không có đầy đủ thông tin về họ tên, chức vụ của người thực hiện cuộc gọi; thông tin tên, địa chỉ đơn vị thực hiện quảng cáo trước khi cung cấp nội dung quảng cáo hoặc không có thông tin về giá cước đối với trường hợp quảng cáo cho các dịch vụ có thu cước.
5. Phạt tiền từ 70.000.000 đồng đến 80.000.000 đồng đối với một trong các hành vi sau:
a) Không có đây đủ các hình thức từ chối nhận thư điện tử quảng cáo hoặc từ chối nhận tin nhắn quảng cáo;
b) Gửi hoặc phát tán thư điện tử rác, tin nhắn rác, phần mềm độc hại gây hậu quả ít nghiêm trọng; thực hiện cuộc gọi rác;
c) Tạo hàng loạt cuộc gọi nhỡ nhằm dụ dỗ người sử dụng gọi điện thoại, nhắn tin đến các số cung cấp dịch vụ nội dung để trục lợi hoặc để cung cấp thông tin, quảng cáo;
d) Khai thác, sử dụng các số dịch vụ, số thuê bao viễn thông không đúng mục đích;
đ) Số dịch vụ gọi tự do, số dịch vụ gọi giá cao được mở chiều gọi đi hoặc để gửi tin nhắn hoặc nhận tin nhắn.
e) Gửi tin nhắn đăng ký quảng cáo không đúng quy định của Bộ Công an;
g) Gửi bất kỳ tin nhắn đăng ký quảng cáo nào đến các số điện thoại nằm trong Danh sách không quảng cáo.
h) Không lưu trữ hoặc lưu trữ không đầy đủ thông tin nhật ký cuộc gọi quảng cáo (bao gồm cả bản ghi âm nội dung cuộc gọi quảng cáo) theo quy định để phục vụ thanh tra, kiểm tra, giám sát và giải quyết khiếu nại, tố cáo.
6. Phạt tiền từ 80.000.000 đồng đến 90.000.000 đồng đối với một trong các hành vi sau:
a) Quảng cáo bằng thư điện tử hoặc quảng cáo bằng tin nhắn hoặc quảng cáo bằng cuộc gọi hoặc cung cấp dịch vụ nhắn tin, gọi điện thoại qua mạng Internet nhưng không có hệ thống tiếp nhận, xử lý yêu cầu từ chối của người nhận;
b) Gửi tin nhắn quảng cáo, gọi điện thoại quảng cáo đến các số điện thoại nằm trong Danh sách không quảng cáo.
7. Phạt tiền từ 90.000.000 đồng đến 100.000.000 đồng đối với hành vi không ngăn chặn, thu hồi số thuê bao được dùng để phát tán tin nhắn rác, cuộc gọi rác.
8. Hình thức xử phạt bổ sung:
a) Đình chỉ việc cung cấp dịch vụ đối với khách hàng mới từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại các điểm c, d, e và h khoản 3, các khoản 5 và 6 Điều này;
b) Đình chỉ quyền sử dụng tên định danh từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại các điểm a và b khoản 2, các điểm d, g, h, i và o khoản 3, các điểm a và b khoản 5 Điều này.
9. Biện pháp khắc phục hậu quả:
a) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại các điểm d và đ khoản 5 Điều này;
b) Buộc thu hồi đầu số, kho số viễn thông do thực hiện hành vi vi phạm tại điểm h khoản 4, các điểm b và c khoản 4 và khoản 5 Điều này.
c) Buộc thu hồi số điện thoại do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này.
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:
a) Không có trang thông tin điện tử sử dụng tên miền quốc gia Việt Nam khi cung cấp dịch vụ gửi thư điện tử quảng cáo hoặc dịch vụ nhắn tin qua mạng Internet hoặc dịch vụ nội dung qua tin nhắn;
b) Cung cấp không đầy đủ hoặc không rõ ràng thông tin về các dịch vụ trên trang thông tin điện tử trước khi cung cấp dịch vụ gồm có: tên dịch vụ, mã lệnh tương ứng, mô tả dịch vụ, cách thức sử dụng, giá cước dịch vụ tương ứng, hướng dẫn hủy dịch vụ, số điện thoại hỗ trợ khách hàng, cam kết đồng ý sử dụng dịch vụ.
c) Không cung cấp công cụ, ứng dụng cho phép người sử dụng tự chủ động ngăn chặn thư điện tử rác và phản ánh về thư điện tử rác;
d) Không có biện pháp chặn, lọc, cập nhật danh sách các nguồn phát tán thư điện tử rác hoặc không có giải pháp để tránh mất mát và ngăn chặn nhầm thư điện tử của người sử dụng;
đ) Không giám sát, kiểm soát, rà quét hệ thống máy chủ thư điện tử của mình để đảm bảo không trở thành nguồn phát tán thư điện tử rác;
e) Không báo cáo, thống kê định kỳ theo quy định của cơ quan nhà nước có thẩm quyền
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
a) Cung cấp dịch vụ quảng cáo bằng thư điện tử hoặc dịch vụ quảng cáo bằng tin nhắn hoặc dịch vụ nội dung qua tin nhắn hoặc dịch vụ nhắn tin qua mạng Internet khi chưa được cấp mã số quản lý;
b) Khi quảng cáo, cung cấp thông tin về dịch vụ nội dung qua tin nhắn, nhắn tin trúng thưởng, chương trình bình chọn, quyên góp, ủng hộ qua tin nhắn trên báo in, báo hình, báo điện tử, trang thông tin điện tử, Internet, tin nhắn, thư điện tử, nhưng không cung cấp thông tin về giá, giá cước và loại thiết bị phù hợp để sử dụng bằng tiếng Việt Nam một cách dễ đọc; hoặc giá cước hiển thị không cùng kiểu với mã lệnh, không ngay sát mã lệnh hoặc có kích thước nhỏ hơn 2/3 kích thước của mã lệnh;
c) Không cung cấp thông tin về giá cước trước khi tính cước khi người sử dụng gọi điện tới tổng đài dịch vụ gọi giá cao, dịch vụ giải đáp thông tin;
d) Không hướng dẫn thuê bao gửi thông báo tin nhắn rác và phản hồi các thông báo về tin nhắn rác tiếp nhận được;
đ) Lưu trữ dữ liệu cung cấp dịch vụ nội dung qua tin nhắn không đầy đủ theo quy định.
e) Không xây dựng, cập nhật, cung cấp và chia sẻ danh sách đến địa chỉ IP/tên miền phát tán thư điện tử rác dùng chung cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) và các doanh nghiệp viễn thông, Internet khác
3. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Cung cấp thông tin về sản phẩm, dịch vụ bằng thư điện tử mà máy chủ gửi thư điện tử không đặt tại Việt Nam;
b) Cung cấp dịch vụ nhắn tin qua mạng Internet có máy chủ dịch vụ gửi tin nhăn không đặt tại Việt Nam;
c) Cung cấp thông tin về sản phẩm, dịch vụ bằng tin nhắn không sử dụng số gửi tin nhắn được cấp theo quy định;
d) Cung cấp dịch vụ quảng cáo bằng thư điện tử, quảng cáo bằng tin nhắn không có hệ thống tiếp nhận, xử lý yêu cầu từ chối nhận thư điện tử quảng cáo, tin nhắn quảng cáo;
đ) Không cung cấp miễn phí chức năng tiếp nhận thông báo về tin nhắn rác hoặc thư điện tử rác từ người sử dụng;
e) Không triển khai hệ thống ngăn chặn tin nhắn rác có khả năng ngăn chặn tin nhắn rác theo nguồn gửi hoặc từ khóa trong nội dung tin nhắn gửi;
g) Không cho phép doanh nghiệp đã được cấp mã số quản lý kết nối kỹ thuật với hệ thống của mình, để cung cấp dịch vụ;
h) Không lưu trữ dữ liệu cung cấp dịch vụ nội dung qua tin nhắn theo quy định;
i) Không cung cấp thông tin về giá cước khi người sử dụng gọi điện tới tổng đài dịch vụ gọi giá cao, dịch vụ giải đáp thông tin.
k) Không cung cấp cho người sử dụng các công cụ, ứng dụng để phản ánh tin nhắn rác, cuộc gọi rác và cho phép người sử dụng chủ động ngăn chặn tin nhắn rác, cuộc gọi rác;
1) Không cung cấp, cập nhật và chia sẻ các mẫu tin nhắn rác dùng chung cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) và các doanh nghiệp viễn thông khác;
m) Không chặn lọc các địa chỉ IP/tên miền phát tán hoặc bị lạm dụng phát tán thư điện tử rác thuộc quyền quản lý của mình;
n) Không thực hiện các biện pháp đánh giá tình trạng tin nhắn rác, cuộc gọi rác trên mạng viễn thông của minh;
o) Sử dụng các tên định danh không phải do Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) câp hoặc đã được Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) cấp cho tổ chức, cá nhân khác hoặc sử dụng tên định sau khi bị thu hôi;
p) Sử dụng tên định danh đê gửi tin nhắn rác hoặc gọi cuộc gọi rác hoặc cung cấp các dịch vụ vi phạm các quy định của pháp luật theo kết luận của cơ quan nhà nước.
4. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Thu cước dịch vụ đối với các tin nhắn lỗi hoặc tin nhắn không được cung cấp dịch vụ hoặc tin nhắn đã được cung cấp dịch vụ nhưng có nội dung khác với mã lệnh mà doanh nghiệp công bố hoặc tin nhắn do người dùng bị lừa đảo;
b) Không thực hiện các biện pháp ngăn chặn tin nhắn quảng cáo, cuộc gọi quảng cáo đến Danh sách không quảng cáo;
c) Không ngăn chặn, thu hồi địa chỉ điện tử được dùng đề phát tán tin nhắn rác, thư điện tử rác, cuộc gọi rác theo yêu câu của cơ quan nhà nước có thẩm quyền;
d) Không xây dựng, vận hành hệ thống kỹ thuật để phòng chống, ngăn chặn tin nhắn rác, thư điện tử rác, cuộc gọi rác;
đ) Không xây dựng, kết nối hệ thống kỹ thuật quản lý tên định danh của mình tới Hệ thống quản lý tên định danh quốc gia;
e) Không thực hiện các nhiệm vụ điều phối ngăn chặn, xử lý thư điện tử rác, cuộc gọi rác và các biện pháp nghiệp vụ khác theo yêu cầu của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).
5. Phạt tiền từ 100.000.000 đồng đến 150.000.000 đồng đối với doanh nghiệp viễn thông cung cấp dịch vụ thoại qua mạng Internet (VolP), SIP Trunk khi thực hiện một trong các hành vi sau đây:
a) Không triển khai hoặc không duy trì cơ chế kỹ thuật tự động chặn toàn bộ lưu lượng SIP Trunk, VolP phát sinh cuộc gọi ra mạng viễn thông công cộng nhưng không gắn tên định danh (Voice Brandname) hợp lệ theo quy định;
b) Không giám sát, phân tích, phát hiện lưu lượng cuộc gọi bất thường theo tiêu chí kỹ thuật do cơ quan nhà nước có thẩm quyền ban hành hoặc hướng dẫn;
c) Không thực hiện hoặc thực hiện không đầy đủ biện pháp cảnh báo, hạn chế, tạm dừng hoặc chấm dứt cung cấp dịch vụ đối với khách hàng có dấu hiệu phát sinh cuộc gọi rác, cuộc gọi lừa đảo, mạo danh theo yêu cầu của cơ quan có thầm quyền hoặc theo kết quả giám sát nội bộ;
d) Không lưu trữ, không cung cấp kịp thời nhật ký, dữ liệu kỹ thuật, thông tin định danh liên quan đến lưu lượng SIP Trunk, VoIP phục vụ công tác thanh tra, kiểm tra, điều tra, xác minh theo quy định của pháp luật.
6. Hình thức xử phạt bổ sung:
a) Đình chỉ hoạt động cung cấp dịch vụ với khách hàng mới từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 4 Điều này;
b) Đình chỉ việc cấp, cung cấp mã số quản lý mới từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại điểm a khoản 1, điểm đ khoản 2, các khoản 3 và 4 Điều này.
c) Đình chỉ cung cấp dịch vụ SIP Trunk, VoIP từ 01 tháng đên 03 tháng đối với doanh nghiệp viễn thông vi phạm quy định tại khoản 5 Điều này.
7. Biện pháp khắc phục hậu quả:
a) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại điểm c khoản 2, điểm i khoản 3 và điểm a khoản 4 Điều này;
b) Buộc thu hồi tên định danh do thực hiện hành vi vi phạm quy định tại điểm a khoản 1, điểm đ khoản 2, các điểm a, b, c và d khoản 3 và khoản 4 Điều này.
Điều 45. Vi phạm quy định về cung cấp dịch vụ nội dung thông tin trên mạng viễn thông di động
1. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không làm thủ tục đề nghị cấp lại Giấy chứng nhận đăng ký dịch vụ nội dung thông tin trên mạng viễn thông di động khi bị mất, bị hủy hoại, bị hư hỏng hoặc bị tiêu hủy dưới hình thức khác;
b) Không có tổng đài hỗ trợ, tư vấn cho người sử dụng dịch vụ;
c) Không thông báo hoặc thông báo không đúng thời hạn đến cơ quan nhà nước có thẩm quyền khi có thay đổi một trong các thông tin về địa chỉ trụ sở, người đại diện theo pháp luật của tổ chức, doanh nghiệp;
d) Báo cáo về hoạt động cung cấp dịch vụ nội dung thông tin trên mạng viễn thông di động không đúng thời hạn theo quy định.
2. Phạt tiền từ 50.000.000 đồng đến 75.000.000 đồng đối với một trong các hành vi sau:
a) Không làm thủ tục sửa đổi, bổ sung Giấy chứng nhận đăng ký cung cấp dịch vụ nội dung thông tin trên mạng viễn thông di động đã được cấp theo quy định;
b) Không xây dựng, công khai thỏa thuận cung cấp dịch vụ nội dung thông tin cho người sử dụng trước khi cung cấp dịch vụ;
c) Không thông báo hoặc thông báo không đúng thời hạn quy định việc sử dụng số cung cấp dịch vụ nội dung thông tin trên mạng viễn thông di động tới Bộ Công an kể từ ngày được cấp, hoàn trả, thu hồi hoặc thay đổi số cung cấp dịch vụ;
d) Không thực hiện báo cáo định kỳ, đột xuất về hoạt động cung cấp dịch vụ nội dung thông tin trên mạng viễn thông di động theo quy định.
3. Phạt tiền từ 75.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Lưu trữ không đầy đủ các nội dung thông tin đã cung cấp hoặc dữ liệu xử lý các yêu cầu đăng ký, yêu cầu ngừng cung cấp dịch vụ, chi tiết cước, thông tin khiếu nại của người sử dụng và kết quả xử lý khiếu nại;
b) Lưu trữ không đúng thời hạn quy định các nội dung thông tin đã cung cấp hoặc dữ liệu xử lý các yêu cầu đăng ký, yêu cầu ngừng cung cấp dịch vụ, chi tiết cước, thông tin khiếu nại của người sử dụng và kết quả xử lý khiếu nại;
c) Ngừng hoặc tạm ngừng kết nối với các tổ chức, doanh nghiệp cung cấp dịch vụ nội dung thông tin thực hiện các hành vi bị cấm không đúng thời hạn quy định khi nhận được yêu cầu của cơ quan nhà nước có thẩm quyền;
d) Cung cấp dịch vụ không đúng với quy định tại Giấy chứng nhận đăng ký cung cấp dịch vụ nội dung thông tin trên mạng viễn thông di động.
4. Phạt tiền từ 100.000.000 đồng đến 125.000.000 đồng đối với một trong các hành vi sau:
a) Không lưu trữ các nội dung thông tin đã cung cấp hoặc dữ liệu xử lý các yêu cầu đăng ký, yêu cầu ngừng cung cấp dịch vụ, chi tiết cước, thông tin khiếu nại của người sử dụng và kết quả xử lý khiếu nại;
b) Không từ chối kết nối với các tổ chức, doanh nghiệp không đăng ký cung cấp dịch vụ nội dung thông tin trên mạng viễn thông di động;
c) Không ngừng hoặc tạm ngừng kết nối với các tổ chức, doanh nghiệp cung cấp nội dung thông tin trên mạng viễn thông di động vi phạm quy định theo yêu cầu của cơ quan nhà nước có thẩm quyền;
d) Cung cấp dịch vụ nội dung thông tin trên mạng viễn thông di động không có Giấy chứng nhận đăng ký cung cấp dịch vụ nội dung;
đ) Không thông báo hoặc thông báo không đúng thời hạn đến cơ quan nhà nước có thẩm quyền khi thay đổi phương thức cung cấp dịch vụ.
5. Phạt tiền từ 125.000.000 đồng đến 150.000.000 đồng đối với một trong các hành vi sau:
a) Không kiểm soát quy trình, hệ thống cung cấp dịch vụ của các doanh nghiệp cung cấp dịch vụ nội dung theo quy định hoặc không bảo đảm việc đăng ký, xác thực, từ chối, gia hạn, hủy dịch vụ, thu cước và thông báo tới người sử dụng dịch vụ theo quy định;
b) Thông báo không đầy đủ một trong các thông tin về tên dịch vụ, mã, số cung cấp dịch vụ, cách đăng ký, chu kỳ cước, giá cước, cách từ chối, tổng đài hỗ trợ tư vấn người sử dụng dịch vụ khi quảng cáo về dịch vụ nội dung thông tin;
c) Thông tin cung cấp cho người sử dụng thiếu một trong các nội dung về tên dịch vụ, số cung cấp dịch vụ, ngày bắt đầu đăng ký, chu kỳ cước, giá cước, cách thức hủy dịch vụ khi người sử dụng truy vấn thông tin các dịch vụ nội dung thông tin đang sử dụng;
d) Không thống nhất sử dụng mã, đầu số để người sử dụng truy vấn thông tin các dịch vụ nội dung thông tin đang sử dụng;
đ) Thông báo bằng tin nhắn ngắn SMS gửi tới người sử dụng thiếu một trong các thông tin “Bạn đã đăng ký thành công, “Tên dịch vụ vừa đăng ký”, mã, số cung cấp dịch vụ, chu kỳ cước, giá cước, cách hủy, tổng đài hỗ trợ tư vấn người sử dụng dịch vụ” nhưng đã cung cấp dịch vụ theo định kỳ;
e) Gửi tin nhắn ngắn tới thuê bao đã đăng ký sử dụng dịch vụ định kỳ để thông báo về việc tự động gia hạn các dịch vụ thiếu một trong các thông tin về tên dịch vụ, mã, số cung cấp dịch vụ, chu kỳ cước, giá cước, cách hủy, tổng đài hỗ trợ tư vấn khách hàng;
g) Gửi tin nhắn ngắn thông báo việc tự động gia hạn dịch vụ không đúng tần suất hoặc không đúng thời gian quy định tới thuê bao đã đăng ký sử dụng dịch vụ định kỳ;
h) Cung cấp dịch vụ nội dung không đúng theo yêu cầu của người sử dụng đã đăng ký hoặc nội dung thông tin không đúng như tổ chức, doanh nghiệp đã quảng cáo;
i) Hoàn trả không đúng thời hạn phí dịch vụ đã thu không đúng quy định cho người sử dụng.
6. Phạt tiền từ 150.000.000 đồng đến 200.000.000 đồng đối với một trong các hành vi sau:
a) Cung cấp dịch vụ nội dung thông tin trên mạng viễn thông di động có nội dung vi phạm điều cấm;
b) Không bảo đảm cho người sử dụng dịch vụ khả năng từ chối sử dụng dịch vụ hoặc hủy dịch vụ hoặc tra cứu dịch vụ nội dung thông tin đã đăng ký, đang sử dụng;
c) Không thông báo bằng tin nhắn ngắn gửi tới người sử dụng các thông tin “Bạn đã đăng ký thành công”, “Tên dịch vụ vừa đăng ký”, mã, số cung cấp dịch vụ, chu kỳ cước, giá cước, cách hủy, tổng đài hỗ trợ tư vấn người sử dụng dịch vụ nhưng đã cung cấp dịch vụ theo định kỳ;
d) Cung cấp dịch vụ nội dung theo định kỳ trên mạng viễn thông di động mà không có sự đồng ý của người sử dụng bằng tin nhắn ngắn;
đ) Thu phí khi người sử dụng từ chối sử dụng dịch vụ hoặc hủy dịch vụ hoặc tra cứu dịch vụ nội dung thông tin đã đăng ký bằng hình thức nhắn tin, điện thoại đến tổng đài hỗ trợ, truy cập vào trang thông tin điện tử cung cấp thông tin của doanh nghiệp hoặc các hình thức khác;
e) Thu phí đối với các dịch vụ nội dung thông tin mà người sử dụng không nhận được hoặc nhận được nội dung thông tin không đầy đủ, hoàn chỉnh theo đúng yêu cầu đã đăng ký;
g) Không gửi tin nhắn ngắn tới thuê bao đã đăng ký sử dụng dịch vụ định kỳ để thông báo về việc tự động gia hạn các dịch vụ;
h) Không gửi tin nhắn thông báo về kết quả xử lý tin nhắn yêu cầu hủy dịch vụ nội dung thông tin của thuê bao;
i) Không hoàn trả phí dịch vụ đã thu không đúng quy định cho người sử dụng.
7. Hình thức xử phạt bổ sung: Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại điểm d khoản 4 Điều này.
8. Biện pháp khắc phục hậu quả:
a) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại các điểm d và đ khoản 4, các điểm b, c, d, e, g và h khoản 5 và khoản 6 Điều này;
b) Buộc thu hồi mã, số cung cấp dịch vụ do thực hiện hành vi vi phạm quy định tại các điểm d và đ khoản 4, các khoản 5 và khoản 6 Điều này.
Điều 46. Vi phạm quy định về thu cước dịch vụ
1. Phạt tiền từ 110.000.000 đồng đến 150.000.000 đồng đối với một trong các hành vi sau:
a) Không hoàn lại cước theo yêu cầu của nhà cung cấp dịch vụ nội dung qua tin nhắn hoặc không thông báo cho người sử dụng về việc hoàn cước;
b) Không cung cấp thông tin về giá cước tại các mục có chức năng trừ cước của các ứng dụng, trò chơi hoặc trang thông tin điện tử;
c) Không cung cấp chức năng cho phép người sử dụng xác nhận đồng ý hoặc không đồng ý sử dụng dịch vụ với mức cước tương ứng khi cung cấp phần mềm hoặc trang thông tin điện tử có thu cước.
2. Hình thức xử phạt bổ sung:
Đình chỉ hoạt động cung cấp dịch vụ từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 1 Điều này.
3. Biện pháp khắc phục hậu quả:
a) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này;
b) Buộc thu hồi đầu số, kho số viễn thông do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này.
Mục 6. VI PHẠM QUY ĐỊNH VỀ THÔNG TIN TRÊN MẠNG
Điều 47. Vi phạm quy định về Giấy phép thiết lập mạng xã hội
1. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không làm thủ tục đề nghị cấp lại Giấy phép thiết lập mạng xã hội trong trường hợp bị mất hoặc bị hư hỏng hoặc sử dụng giấy phép thiết lập mạng xã hội hết hạn;
b) Không thông báo đến cơ quan cấp giấy phép khi có sự thay đổi chủ sở hữu, địa chỉ trụ sở chính.
2. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với hành vi không làm thủ tục đề nghị sửa đổi, bổ sung nội dung Giấy phép thiết lập mạng xã hội theo quy định trong trường hợp có thay đổi hoặc bổ sung thông tin trong giấy phép.
3. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với hành vi thiết lập mạng xã hội nhưng không có giấy phép; trường hợp nền tảng được thiết lập có các chức năng tạo tài khoản người dùng, đăng tải, lưu trữ, chia sẻ thông tin, tương tác giữa người sử dụng hoặc quản trị cộng đồng người dùng trên không gian mạng.
4. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại khoản 3 Điều này;
b) Đình chỉ hoạt động từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 2 Điều này.
5. Biện pháp khắc phục hậu quả:
Buộc thu hồi hoặc buộc hoàn trả tên miền do thực hiện hành vi vi phạm quy định tại khoản 3 Điều này, việc thu hồi tên miền được thực hiện bởi cơ quan quản lý tài nguyên Internet theo quy định của pháp luật chuyên ngành trên cơ sở quyết định xử phạt vi phạm hành chính.
Điều 48. Vi phạm quy định về trang thông tin điện tử
1. Phạt tiền từ 12.000.000 đồng đến 25.000.000 đồng đối với hành vi cung cấp không đầy đủ hoặc không chính xác thông tin về tên của tổ chức quản lý trang thông tin điện tử, tên cơ quan chủ quản (nếu có), địa chỉ liên lạc, thư điện tử, số điện thoại liên hệ, tên người chịu trách nhiệm quản lý nội dung trên trang chủ của trang thông tin điện tử.
2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với chủ trang thông tin điện tử khi thực hiện một trong các hành vi sau:
a) Cung cấp, chia sẻ đường dẫn đến thông tin trên mạng có nội dung vi phạm quy định của pháp luật;
b) Tuyên truyền, kích động bạo lực, dâm ô, đồi trụy, tội ác, tệ nạn xã hội, mê tín dị đoan, phá hoại thuần phong, mỹ tục của dân tộc.
3. Phạt tiền từ 50.000.000 đồng đến 75.000.000 đồng đối với một trong các hành vi sau:
a) Đưa thông tin sai sự thật, xuyên tạc, vu khống, xúc phạm uy tín của tổ chức, danh dự và nhân phẩm của cá nhân;
b) Đăng, phát, sử dụng hình ảnh bản đồ Việt Nam không thể hiện đầy đủ hoặc thể hiện sai chủ quyền quốc gia;
c) Quảng cáo, tuyên truyền, mua bán hàng hóa, dịch vụ bị cấm;
d) Giả mạo trang thông tin điện tử của tổ chức, cá nhân khác;
đ) Đăng, phát các tác phẩm báo chí, văn học, nghệ thuật, xuất bản phẩm mà không được sự đồng ý của chủ thể quyền sở hữu trí tuệ hoặc không được phép lưu hành hoặc đã có quyết định cấm lưu hành hoặc tịch thu.
4. Hình thức xử phạt bổ sung:
Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại khoản 3 Điều này.
5. Biện pháp khắc phục hậu quả:
a) Buộc gỡ bỏ đường dẫn đến thông tin sai sự thật hoặc gây nhầm lẫn, thông tin vi phạm pháp luật đối với hành vi vi phạm quy định tại các khoản 2 và 3 Điều này;
b) Buộc thu hồi hoặc buộc hoàn trả tên miền do thực hiện hành vi vi phạm quy định tại các khoản 2 và 3 Điều này.
Điều 49. Vi phạm các quy định về trách nhiệm của tổ chức, doanh nghiệp thiết lập mạng xã hội
1. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Công khai không đầy đủ thỏa thuận cung cấp và sử dụng dịch vụ mạng xã hội trên trang chủ của mạng xã hội yêu cầu quản lý của cơ quan nhà nước có thẩm quyền;
b) Không có biện pháp bảo vệ bí mật thông tin riêng hoặc thông tin cá nhân của người sử dụng;
c) Không thông báo cho người sử dụng về quyền, trách nhiệm, rủi ro khi lưu trữ trao đổi, chia sẻ thông tin trên mạng;
d) Không bảo đảm quyền quyết định của người sử dụng khi cho tổ chức, doanh nghiệp thiết lập mạng xã hội cung cấp thông tin cá nhân của họ cho bên thứ ba;
đ) Không thực hiện hoặc thực hiện không đầy đủ việc đăng ký, lưu trữ và quản lý thông tin cá nhân của người thiết lập trang thông tin điện tử cá nhân và người cung cấp thông tin khác trên mạng xã hội theo quy định;
e) Cung cấp không đầy đủ hoặc không chính xác thông tin về tên của tổ chức quản lý mạng xã hội, tên cơ quan chủ quản (nếu có), địa chỉ liên lạc, thư điện tử, số điện thoại liên hệ, tên người chịu trách nhiệm quản lý nội dung, số giấy phép, ngày tháng năm cấp, cơ quan cấp phép trên trang chủ của mạng xã hội.
g) Không thực hiện hoặc thực hiện không đúng thời hạn chế độ báo cáo định kỳ hoặc không thực hiện báo cáo đột xuất hoặc nội dung báo cáo không trung thực.
2. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Sử dụng thông tin cá nhân của người khác trên mạng xã hội nhưng chưa được sự đồng ý của cá nhân đó;
b) Không cung cấp thông tin cá nhân hoặc thông tin riêng của người sử dụng có liên quan đến hoạt động khủng bố, tội phạm, vi phạm pháp luật theo yêu cầu của cơ quan nhà nước có thẩm quyền;
c) Không có hệ thống máy chủ đặt tại Việt Nam đáp ứng việc thanh tra, kiểm tra, lưu trữ, cung cấp thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền hoặc giải quyết khiếu nại của khách hàng đối với việc cung cấp dịch vụ theo quy định của Bộ Công an;
d) Không thực hiện lưu trữ các thông tin về tài khoản, thời gian đăng nhập, đăng xuất, địa chỉ IP của người sử dụng và nhật ký xử lý thông tin được đăng tải theo quy định;
đ) Vi phạm một trong các điều kiện về nhân sự, tên miền, kỹ thuật, quản lý nội dung thông tin;
e) Không công khai thỏa thuận cung cấp và sử dụng dịch vụ mạng xã hội trên trang chủ;
g) Không cung cấp thông tin về tên của tổ chức quản lý mạng xã hội, tên cơ quan chủ quản (nếu có), địa chỉ liên lạc, thư điện tử, số điện thoại liên hệ, tên người chịu trách nhiệm quản lý nội dung, số giấy phép, ngày tháng năm cấp, cơ quan cấp phép trên trang chủ của mạng xã hội.
h) Cung cấp dịch vụ không đúng với quy định tại Giấy phép thiết lập mạng xã hội;
i) Chủ động cung cấp đường dẫn đến trang thông tin điện tử hoặc ứng dụng có nội dung vi phạm pháp luật.
3. Phạt tiền từ 100.000.000 đồng đến 125.000.000 đồng đối với một trong các hành vi sau:
a) Chủ động lưu trữ, truyền đưa thông tin giả mạo, thông tin sai sự thật, vu khống, xuyên tạc, xúc phạm uy tín của tổ chức và danh dự, nhân phẩm của cá nhân;
b) Chủ động cung cấp thông tin cổ súy các hủ tục, mê tín, dị đoan, dâm ô, đồi trụy, không phù hợp với thuần phong, mỹ tục của dân tộc;
c) Chủ động cung cấp thông tin miêu tả tỉ mỉ hành động chém, giết, tai nạn, kinh dị, rùng rợn;
d) Chủ động lưu trữ, truyền đưa thông tin bịa đặt, gây hoang mang trong Nhân dân, kích động bạo lực, tội ác, tệ nạn xã hội, đánh bạc hoặc phục vụ đánh bạc;
đ) Chủ động lưu trữ, truyền đưa nội dung thông tin không phù hợp với lợi ích đất nước;
e) Chủ động đăng, phát, truyền đưa, sử dụng hình ảnh bản đồ Việt Nam không thể hiện đầy đủ hoặc thể hiện sai chủ quyền quốc gia;
g) Chủ động đăng, phát các tác phẩm báo chí, văn học, nghệ thuật, xuất bản phẩm mà không được sự đồng ý của chủ thể quyền sở hữu trí tuệ hoặc không được phép lưu hành hoặc đã có quyết định cấm lưu hành hoặc tịch thu;
h) Chủ động quảng cáo, tuyên truyền, mua bán hàng hóa, dịch vụ bị cấm;
i) Không thực hiện việc ngăn chặn, loại bỏ thông tin vi phạm theo quy định pháp luật.
4. Hình thức xử phạt bổ sung: Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại khoản 3 Điều này;
5. Biện pháp khắc phục hậu quả:
a) Buộc gỡ bỏ thông tin sai sự thật hoặc gây nhầm lẫn hoặc thông tin vi phạm pháp luật đối với hành vi vi phạm quy định tại khoản 3 Điều này;
b) Buộc thu hồi tên miền do thực hiện hành vi vi phạm quy định tại khoản 3 Điều này.
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với hành vi lợi dụng mạng xã hội để thực hiện một trong các hành vi sau:
a) Cung cấp, chia sẻ thông tin giả mạo, thông tin sai sự thật, xuyên tạc, vu khống, xúc phạm uy tín của cơ quan, tổ chức, danh dự, nhân phẩm của cá nhân;
b) Cung cấp, chia sẻ thông tin cổ súy các hủ tục, mê tín, dị đoan, dâm ô, đồi trụy, không phù hợp với thuần phong, mỹ tục của dân tộc;
c) Cung cấp, chia sẻ thông tin miêu tả tỉ mỉ hành động chém, giết, tai nạn, kinh dị, rùng rợn;
d) Cung cấp, chia sẻ thông tin bịa đặt, gây hoang mang trong Nhân dân, kích động bạo lực, tội ác, tệ nạn xã hội, đánh bạc hoặc phục vụ đánh bạc;
đ) Cung cấp, chia sẻ các tác phẩm báo chí, văn học, nghệ thuật, xuất bản phẩm mà không được sự đồng ý của chủ thể quyền sở hữu trí tuệ hoặc chưa được phép lưu hành hoặc đã có quyết định cấm lưu hành hoặc tịch thu;
e) Quảng cáo, tuyên truyền, chia sẻ thông tin về hàng hóa, dịch vụ bị cấm;
g) Cung cấp, chia sẻ hình ảnh bản đồ Việt Nam nhưng không thể hiện hoặc thể hiện không đúng chủ quyền quốc gia;
h) Cung cấp, chia sẻ đường dẫn đến thông tin trên mạng có nội dung bị cấm.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi tiết lộ thông tin thuộc danh mục bí mật nhà nước, bí mật đời tư của cá nhân và bí mật khác mà chưa đến mức truy cứu trách nhiệm hình sự.
3. Biện pháp khắc phục hậu quả:
Buộc gỡ bỏ thông tin sai sự thật hoặc gây nhầm lẫn hoặc thông tin vi phạm pháp luật do thực hiện hành vi vi phạm quy định tại các khoản 1 và 2 Điều này.
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi lưu trữ thông tin cá nhân của người khác thu thập được trên môi trường mạng vượt quá thời gian quy định của pháp luật hoặc theo thỏa thuận giữa hai bên.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
a) Không chấm dứt việc cho thuê chỗ lưu trữ thông tin số trong trường hợp tự mình phát hiện hoặc được cơ quan nhà nước có thẩm quyền thông báo cho biết thông tin đang được lưu trữ là trái pháp luật;
b) Không chấm dứt việc cung cấp cho tổ chức, cá nhân khác công cụ tìm kiếm đến các nguồn thông tin số trong trường hợp tự mình phát hiện hoặc được cơ quan nhà nước có thẩm quyền thông báo cho biết nguồn thông tin số đó là trái pháp luật;
c) Không kiểm tra lại, đính chính hoặc hủy bỏ thông tin cá nhân của người khác lưu trữ trên môi trường mạng trong quá trình thu thập, xử lý, sử dụng thông tin khi có yêu cầu của chủ sở hữu thông tin đó;
d) Cung cấp hoặc sử dụng thông tin cá nhân chưa được đính chính khi có yêu cầu đính chính của chủ sở hữu thông tin đó;
đ) Cung cấp hoặc sử dụng thông tin cá nhân khi đã có yêu cầu hủy bỏ của chủ sở hữu thông tin đó.
3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép thông tin, hệ thống thông tin;
b) Không thực hiện các biện pháp cần thiết để ngăn chặn việc truy nhập thông tin hoặc loại bỏ thông tin trái pháp luật theo yêu cầu của cơ quan nhà nước có thẩm quyền khi truyền đưa hoặc cho thuê chỗ lưu trữ thông tin số;
c) Không thực hiện yêu cầu của cơ quan nhà nước có thẩm quyền về việc xác định danh sách chủ sở hữu thuê chỗ lưu trữ thông tin số;
d) Không bảo đảm bí mật thông tin của tổ chức, cá nhân thuê chỗ lưu trữ thông tin số trừ các trường hợp cung cấp theo yêu cầu của cơ quan nhà nước có thẩm quyền;
đ) Không thực hiện các biện pháp quản lý, kỹ thuật cần thiết để bảo đảm thông tin cá nhân không bị mất, đánh cắp, tiết lộ, thay đổi hoặc phá hủy khi thu thập, xử lý và sử dụng thông tin cá nhân của người khác trên môi trường mạng;
e) Thu thập, xử lý và sử dụng thông tin của tổ chức, cá nhân khác mà không được sự đồng ý hoặc sai mục đích theo quy định của pháp luật;
g) Cung cấp, trao đổi, truyền đưa hoặc lưu trữ, sử dụng thông tin số nhằm đe dọa, quấy rối, xuyên tạc, vu khống, xúc phạm uy tín của tổ chức, danh dự, nhân phẩm, uy tín của người khác;
h) Cung cấp, trao đổi, truyền đưa hoặc lưu trữ, sử dụng thông tin số nhằm quảng cáo, tuyên truyền hàng hóa, dịch vụ thuộc danh mục bị cấm;
i) Ngăn chặn trái pháp luật việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng;
k) Không tiến hành theo dõi, giám sát thông tin số của tổ chức, cá nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền;
l) Không hợp tác, phối hợp điều tra các hành vi vi phạm pháp luật xảy ra trong quá trình truyền đưa hoặc lưu trữ thông tin số của tổ chức, cá nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền;
m) Tiết lộ thông tin thuộc danh mục bí mật nhà nước, đời sống riêng tư, bí mật cá nhân, bí mật gia đình mà chưa đến mức truy cứu trách nhiệm hình sự;
n) Giả mạo tổ chức, cá nhân và phát tán thông tin giả mạo, thông tin sai sự thật xâm hại đến quyền và lợi ích hợp pháp của tổ chức, cá nhân;
o) Chiếm đoạt thư, điện báo, điện tín, fax hoặc văn bản khác của người khác được truyền đưa trên mạng dưới bất kỳ hình thức nào;
p) Cố ý lấy các thông tin, nội dung của thư, điện báo, điện tín, fax hoặc văn bản khác của người khác được truyền đưa trên mạng;
q) Nghe, ghi âm cuộc đàm thoại trái pháp luật;
r) Thu giữ thư, điện báo, điện tín trái pháp luật.
4. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Không đảm bảo bí mật thông tin riêng chuyển qua mạng viễn thông công cộng hoặc tiết lộ thông tin riêng liên quan đến người sử dụng dịch vụ viễn thông;
b) Cung cấp, trao đổi, truyền đưa, lưu trữ, sử dụng thông tin, dịch vụ có nội dung đánh bạc hoặc phục vụ đánh bạc; dâm ô, đồi trụy, mê tín dị đoan, trái đạo đức, thuần phong mỹ tục của dân tộc.
5. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông;
b) Che giấu tên, địa chỉ điện tử của mình hoặc giả mạo tên, địa chỉ điện tử của tổ chức, cá nhân khác khi gửi thư điện tử, tin nhắn.
6. Hình thức xử phạt bổ sung: Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại các điểm b, g, h và q khoản 3, điểm a khoản 4 và khoản 7 Điều này.
7. Biện pháp khắc phục hậu quả:
a) Buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại điểm b khoản 4 và điểm a khoản 5 Điều này;
b) Buộc thu hồi đầu số, kho số viễn thông do thực hiện hành vi vi phạm quy định tại điểm b khoản 4 Điều này;
c) Buộc thu hồi tên miền do thực hiện hành vi vi phạm quy định tại điểm b khoản 3 Điều này;
Mục 7. VI PHẠM QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN
1. Khoản thu có được từ việc thực hiện hành vi vi phạm hành chính về bảo vệ dữ liệu cá nhân theo quy định tại Nghị định này là toàn bộ giá trị bằng vật, tiền, giấy tờ có giá, tài sản hoặc lợi ích vật chất khác mà tổ chức, cá nhân thu được trực tiếp hoặc gián tiếp từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
2. Nguyên tắc xác định giá trị khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân:
a) Đối với hành vi mua, bán trái phép dữ liệu cá nhân, khoản thu được xác định là tổng giá trị giao dịch ghi trên hợp đồng, hóa đơn, chứng từ thanh toán, lịch sử tin nhắn, giao dịch điện tử, dữ liệu sao kê tài khoản ngân hàng, ví điện tử hoặc cách thức tương tự khác liên quan trực tiếp đến giao dịch đó, không khấu trừ bất kỳ khoản chi phí nào phát sinh trong quá trình vi phạm.
b) Đối với hành vi thu thập, xử lý, sử dụng, chuyển giao trái phép dữ liệu cá nhân mà không thông qua hành vi mua bán trái phép dữ liệu cá nhân theo quy định tại điểm a khoản 1 Điều này, khoản thu được xác định là toàn bộ doanh thu thực tế mà tổ chức, cá nhân vi phạm thu được từ hoạt động kinh doanh có sử dụng dữ liệu cá nhân được thu thập, xử lý, sử dụng, chuyển giao trái phép, không khấu trừ bất kỳ khoản chi phí nào phát sinh trong quá trình vi phạm.
3. Thời điểm xác định khoản thu:
a) Đối với hành vi vi phạm đã kết thúc, khoản thu được tính từ thời điểm bắt đầu thực hiện hành vi vi phạm đến thời điểm hành vi vi phạm chấm dứt.
b) Đối với hành vi đang được thực hiện, khoản thu được tính đến thời điểm cơ quan có thẩm quyền lập biên bản vi phạm hành chính.
4. Trường hợp cơ quan có thẩm quyền không xác định chính xác khoản thu theo quy định tại khoản 2 Điều này, hình thức phạt tiền sẽ được áp dụng theo mức tiền phạt cho hành vi đó.
Điều 53. Vi phạm quy định về nguyên tắc bảo vệ dữ liệu cá nhân và các hành vi bị nghiêm cấm
1. Phạt tiền từ 20.000.000 đồng đến 40.000.000 đồng đối với tổ chức, cá nhân có một trong các hành vi sau:
a) Xử lý dữ liệu cá nhân không đúng phạm vi hoặc không phù hợp với mục đích xử lý dữ liệu cá nhân đã được xác định, xin sự đồng ý, thỏa thuận hoặc vượt quá mức cần thiết để thực hiện mục đích đó;
b) Không bảo đảm tính chính xác của dữ liệu cá nhân hoặc không thực hiện chỉnh sửa, cập nhật, bổ sung kịp thời khi phát hiện sai sót hoặc khi cần thiết;
c) Lưu trữ dữ liệu cá nhân vượt quá khoảng thời gian cần thiết phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật quy định khác;
d) Không chủ động phòng ngừa, phát hiện, phối hợp kịp thời với các cơ quan có thẩm quyền trong xử lý mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
2. Phạt tiền từ 40.000.000 đồng đến 60.000.000 đồng đối với tổ chức, cá nhân có một trong các hành vi sau:
a) Có hành vi chống đối, cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân;
b) Sử dụng dữ liệu cá nhân của người khác để thực hiện các hành vi trái quy định của pháp luật.
3. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi quy định tại điểm a, c khoản 1, điểm b khoản 2 Điều này;
b) Tước quyền sử dụng giấy phép kinh doanh, chứng chỉ hành nghề đối với ngành nghề có vi phạm xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 2 Điều này;
4. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đã xử lý không đúng phạm vi, không đúng mục đích hoặc lưu trữ vượt thời hạn đối với hành vi vi phạm tại điểm a, c khoản 1 Điều này;
b) Buộc nộp lại khoản thu bất hợp pháp có được do thực hiện hành vi vi phạm tại điểm a, c khoản 1, điểm b khoản 2 Điều này;
c) Buộc công khai xin lỗi chủ thể dữ liệu cá nhân trên phương tiện thông tin đại chúng đối với hành vi vi phạm tại điểm b khoản 2 Điều này.
d) Buộc chỉnh sửa, cập nhật, bổ sung dữ liệu cá nhân cho chính xác theo yêu cầu của chủ thể dữ liệu cá nhân hoặc khi phát hiện sai sót đối với hành vi vi phạm tại điểm b khoản 1 Điều này.
1. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với tổ chức, cá nhân có một trong các hành vi lợi dụng hoạt động bảo vệ dữ liệu cá nhân sau:
a) Sử dụng danh nghĩa hoạt động bảo vệ dữ liệu cá nhân để che giấu, hợp thức hóa hoặc tạo điều kiện cho hành vi vi phạm pháp luật;
b) Lợi dụng việc sử dụng lực lượng, phương tiện, biện pháp để phòng chống hoạt động xâm phạm dữ liệu cá nhân nhằm chiếm đoạt, làm sai lệch hoặc xử lý dữ liệu cá nhân trái quy định;
c) Sử dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi lừa đảo, xâm phạm quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
2. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính được sử dụng để thực hiện hành vi vi phạm quy định tại khoản 1 Điều này;
b) Tước quyền sử dụng giấy phép kinh doanh, chứng chỉ hành nghề đối với ngành nghề có vi phạm xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 1 Điều này.
3. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đã chiếm đoạt, xử lý trái phép đối với hành vi vi phạm tại khoản 1 Điều này;
b) Buộc nộp lại khoản thu bất hợp pháp có được do thực hiện hành vi vi phạm tại khoản 1 Điều này;
c) Buộc công khai xin lỗi chủ thể dữ liệu cá nhân trên phương tiện thông tin đại chúng đối với hành vi vi phạm tại điểm b, c khoản 1 Điều này.
Điều 55. Vi phạm quy định về xử lý dữ liệu cá nhân gây ảnh hưởng đến an ninh trật tự
1. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với tổ chức, cá nhân có một trong các hành vi xử lý dữ liệu cá nhân gây ảnh hưởng đến an ninh trật tự sau:
a) Xử lý dữ liệu cá nhân để tạo lập, củng cố hoặc lan truyền thông tin bịa đặt, sai sự thật, xuyên tạc, kích động, gây hoang mang hoặc gây ảnh hưởng đến an ninh trật tự;
b) Cung cấp, chuyển giao, phát tán hoặc công khai dữ liệu cá nhân biết rõ sẽ được sử dụng vào mục đích xâm phạm an ninh trật tự;
c) Chỉnh sửa, làm sai lệch, xóa, hủy, chiếm đoạt hoặc làm gián đoạn xử lý dữ liệu cá nhân nhằm gây ảnh hưởng hoạt động bình thường của cơ quan, tổ chức;
d) Thực hiện các hành vi khác gây ảnh hưởng hoặc có nguy cơ gây ảnh hưởng đến an ninh trật tự.
2. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính được sử dụng để thực hiện hành vi vi phạm quy định tại khoản 1 Điều này;
b) Tước quyền sử dụng giấy phép kinh doanh, chứng chỉ hành nghề đối với ngành nghề có vi phạm xử lý dữ liệu cá nhân từ 03 tháng đến 06 tháng đối với hành vi vi phạm quy định tại điểm a, b, c khoản 1 Điều này.
3. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đã bị xử lý nhằm gây ảnh hưởng an ninh trật tự đối với hành vi vi phạm tại khoản 1 Điều này;
b) Buộc nộp lại khoản thu bất hợp pháp có được do thực hiện hành vi vi phạm tại khoản 1 Điều này;
c) Buộc gỡ bỏ, thu hồi thông tin và dữ liệu cá nhân đã cung cấp, chuyển giao, công khai trái phép đối với hành vi vi phạm tại điểm b khoản 1 Điều này.
Điều 56. Vi phạm nghĩa vụ bảo vệ dữ liệu cá nhân của chủ thể dữ liệu cá nhân
1. Phạt tiền từ 10.000.000 đến 20.000.000 đồng đối với một trong các hành vi sau:
a) Cố ý làm lộ, làm mất dữ liệu cá nhân của bản thân gây ảnh hưởng đến trật tự, an toàn xã hội hoặc gây thiệt hại cho cơ quan, tổ chức, cá nhân có liên quan;
b) Cố ý cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật;
c) Cố ý cung cấp dữ liệu cá nhân giả mạo, sai sự thật nhằm mục đích lừa đảo, gây nhầm lẫn cho cơ quan, tổ chức, cá nhân có liên quan;
d) Cố ý tạo lập tình huống giả mạo về việc lộ, mất dữ liệu cá nhân của bản thân nhằm trốn tránh trách nhiệm, yêu cầu đền bù hoặc trục lợi gây ảnh hưởng đến uy tín, tài sản của tổ chức, cá nhân khác
đ) Cố ý không cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định bắt buộc của pháp luật hoặc theo hợp đồng đã ký kết, gây rủi ro về nhận diện pháp lý hoặc thiệt hại tài chính cho bên kiểm soát và xử lý dữ liệu.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với cá nhân có một trong các hành vi sau:
a) Thu thập, sử dụng, tiết lộ, sửa đổi, làm sai lệch, hủy hoại hoặc truy cập trái phép dữ liệu cá nhân của người khác gây thiệt hại đến quyền, lợi ích hợp pháp của người đó;
b) Cố ý cung cấp dữ liệu cá nhân của người khác nhằm mục đích lừa đảo, gây nhầm lẫn cho cơ quan, tổ chức, cá nhân có liên quan;
c) Lợi dụng việc thực hiện quyền chủ thể dữ liệu cá nhân một cách liên tục, vượt quá phạm vi cần thiết hoặc không phù hợp với mục đích thực hiện quyền, gây khó khăn hoặc cản trở hoạt động kinh doanh hợp pháp của cơ quan, tổ chức;
d) Không chấp hành quy định pháp luật về bảo vệ dữ liệu cá nhân hoặc từ chối tham gia phối hợp phòng, chống hoạt động xâm phạm dữ liệu cá nhân khi có yêu cầu chính thức của cơ quan nhà nước có thẩm quyền.
3. Hình thức xử phạt bổ sung: Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi quy định tại khoản 2, khoản 3 Điều này.
4. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đã thu thập trái phép của người khác đối với hành vi vi phạm tại điểm a khoản 2 Điều này;
b) Buộc nộp lại khoản thu bất hợp pháp có được do thực hiện hành vi vi phạm tại điểm b, c khoản 2 Điều này;
c) Buộc cung cấp lại thông tin dữ liệu cá nhân chính xác, đầy đủ theo quy định pháp luật hoặc theo hợp đồng đối với hành vi vi phạm tại điểm đ khoản 1 Điều này;
d) Buộc chấm dứt ngay hành vi cản trở việc thực hiện quyền và nghĩa vụ xử lý dữ liệu cá nhân hợp pháp đối với hành vi vi phạm tại điểm c khoản 2 Điều này.
Điều 57. Vi phạm quy định về sự đồng ý của chủ thể dữ liệu cá nhân
1. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Xử lý dữ liệu cá nhân sau khi thu thập mà chưa có được sự đồng ý của chủ thể dữ liệu cá nhân, trừ các trường hợp pháp luật có quy định khác;
b) Kèm theo điều kiện bắt buộc, từ chối cung cấp dịch vụ nếu chủ thể dữ liệu cá nhân không đồng ý xử lý dữ liệu cá nhân vào các mục đích khác không liên quan đến nội dung thỏa thuận cung cấp dịch vụ đó;
c) Thiết lập phương thức mặc định đồng ý, tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu cá nhân;
d) Việc xin sự đồng ý không được thể hiện bằng phương thức rõ ràng, cụ thể, không bảo đảm khả năng kiểm chứng về việc xác định chủ thể dữ liệu cá nhân đã thực hiện sự đồng ý, thời điểm và nội dung được đồng ý;
đ) Không cung cấp cho chủ thể dữ liệu cá nhân các thông tin minh bạch về loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân, các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân, Bên kiểm soát hoặc Bên kiểm soát và xử lý dữ liệu cá nhân dẫn đến sự đồng ý không dựa trên cơ sở tự nguyện và biết rõ;
e) Hình thức xin sự đồng ý không bảo đảm chủ thể dữ liệu cá nhân được đồng ý với từng mục đích xử lý dữ liệu cá nhân.
g) Không ghi nhận, không lưu trữ nhật ký về sự đồng ý của chủ thể dữ liệu cá nhân, không chứng minh được đã có sự đồng ý khi có yêu cầu của chủ thể dữ liệu cá nhân hoặc yêu cầu thanh tra, kiểm tra của cơ quan nhà nước có thẩm quyền;
h) Không thông báo cho chủ thể dữ liệu cá nhân biết dữ liệu cá nhân nhạy cảm của họ đang được xử lý.
2. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Cố ý tiếp tục thực hiện xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu cá nhân đã có yêu cầu ngừng, hạn chế xử lý hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản;
b) Thực hiện thu thập, xử lý dữ liệu cá nhân khi chủ thể dữ liệu cá nhân giữ im lặng hoặc không phản hồi trước yêu cầu xin sự đồng ý, tự ý coi sự im lặng là đồng ý.
3. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi quy định tại điểm a, c khoản 1, khoản 2 Điều này;
b) Tước quyền sử dụng giấy phép kinh doanh, chứng chỉ hành nghề đối với ngành nghề có vi phạm xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại điểm a, c khoản 1, khoản 2 Điều này.
4. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân thu thập, xử lý khi không có sự đồng ý hợp lệ đối với hành vi vi phạm tại điểm a, c khoản 1 và khoản 2 Điều này;
b) Buộc nộp lại khoản thu bất hợp pháp có được do thực hiện hành vi vi phạm tại khoản 2 Điều này.
Điều 58. Vi phạm quy định về thủ tục thực hiện quyền của chủ thể dữ liệu cá nhân
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân có một trong các hành vi sau:
a) Không thiết lập quy trình, thủ tục, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu cá nhân;
b) Không phân định rõ trách nhiệm của các bộ phận có liên quan trong tổ chức để thực hiện quyền của chủ thể dữ liệu cá nhân;
c) Không cung cấp thông tin hoặc không bảo đảm chủ thể dữ liệu cá nhân được biết về thủ tục thực hiện các quyền quy định tại Luật Bảo vệ dữ liệu cá nhân;
d) Không phản hồi cho chủ thể dữ liệu cá nhân hoặc cung cấp không đầy đủ thông tin về thủ tục khi nhận được yêu cầu xem, chỉnh sửa, cung cấp, xóa, rút lại sự đồng ý, hạn chế, phản đối xử lý dữ liệu cá nhân, thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân quá thời hạn 02 ngày làm việc kể từ khi nhận được yêu cầu hợp lệ;
đ) Không thông báo cho chủ thể dữ liệu cá nhân biết lý do chính đáng trong trường hợp không thể thực hiện hoặc cần gia hạn đối với yêu cầu xem, chỉnh sửa, cung cấp, xóa, rút lại sự đồng ý, hạn chế, phản đối xử lý dữ liệu cá nhân, thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của chủ thể dữ liệu cá nhân.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với Bên xử lý dữ liệu cá nhân, Bên thứ ba đã nhận được yêu cầu hợp lệ từ Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân nhưng không thực hiện đúng thời hạn một trong các yêu cầu sau:
a) Không ngừng xử lý dữ liệu cá nhân khi nhận được yêu cầu rút lại sự đồng ý, hạn chế xử lý hoặc phản đối xử lý dữ liệu cá nhân trong thời hạn do Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân xác định;
b) Không thực hiện chỉnh sửa hoặc cung cấp dữ liệu cá nhân trong thời hạn do Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân xác định;
c) Không thực hiện xóa, hủy dữ liệu cá nhân hoặc không hạn chế xử lý dữ liệu cá nhân trong thời hạn do Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân xác định;
3. Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân có một trong các hành vi không thực hiện đúng thời hạn yêu cầu của chủ thể dữ liệu cá nhân sau
a) Không thực hiện yêu cầu rút lại sự đồng ý, hạn chế xử lý hoặc phản đối xử lý dữ liệu cá nhân trong thời hạn 15 ngày; trường hợp cần yêu cầu Bên xử lý dữ liệu cá nhân, Bên thứ ba thực hiện thì không bảo đảm trong thời hạn 20 ngày; trường hợp đã gia hạn thì không bảo đảm trong thời hạn gia hạn tối đa 15 ngày;
b) Không thực hiện yêu cầu xem, chỉnh sửa hoặc cung cấp dữ liệu cá nhân trong thời hạn 10 ngày; trường hợp cần yêu cầu Bên xử lý dữ liệu cá nhân, Bên thứ ba thực hiện thì không bảo đảm trong thời hạn 15 ngày; trường hợp đã gia hạn thì không bảo đảm trong thời hạn gia hạn tối đa 10 ngày;
c) Không thực hiện yêu cầu xóa dữ liệu cá nhân trong thời hạn 20 ngày; trường hợp cần yêu cầu Bên xử lý dữ liệu cá nhân, Bên thứ ba thực hiện thì không bảo đảm trong thời hạn 30 ngày; trường hợp đã gia hạn thì không bảo đảm trong thời hạn gia hạn tối đa 20 ngày;
d) Không thực hiện yêu cầu áp dụng các biện pháp, giải pháp bảo vệ dữ liệu cá nhân trong thời hạn 15 ngày; trường hợp đã gia hạn thì không bảo đảm trong thời hạn gia hạn tối đa 15 ngày.
4. Bên xử lý dữ liệu cá nhân, Bên thứ ba không bị xử phạt theo quy định tại khoản 2 Điều này nếu có lý do hợp lý cho việc không thực hiện đúng thời hạn do Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân xác định.
5. Biện pháp khắc phục hậu quả: Buộc thực hiện đầy đủ quyền của chủ thể dữ liệu cá nhân theo yêu cầu hợp pháp và cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại khoản 2 và khoản 3 Điều này.
Điều 59. Vi phạm quy định về quyền rút lại sự đồng ý và quyền hạn chế xử lý dữ liệu cá nhân
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với các hành vi sau:
a) Sử dụng các cách thức, biện pháp nhằm che giấu, ngăn chặn hoặc cố tình gây cản trở cho việc thực hiện quyền rút lại sự đồng ý, yêu cầu hạn chế của chủ thể dữ liệu cá nhân;
b) Không thực hiện ngừng xử lý dữ liệu cá nhân kể từ khi chủ thể dữ liệu cá nhân rút lại sự đồng ý, yêu cầu hạn chế theo đúng thủ tục, trừ trường hợp pháp luật có quy định tiếp tục xử lý không cần sự đồng ý theo Điều 19 Luật Bảo vệ dữ liệu cá nhân;
c) Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân không gửi yêu cầu cho Bên xử lý dữ liệu cá nhân, Bên thứ ba để ngừng xử lý dữ liệu cá nhân của chủ thể đã rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân.
2. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân tiếp tục xử lý sau khi chủ thể đã rút lại sự đồng ý đối với hành vi vi phạm tại điểm b khoản 1 Điều này;
b) Buộc nộp lại khoản thu có được do tiếp tục khai thác dữ liệu cá nhân sau khi chủ thể đã rút lại sự đồng ý đối với hành vi vi phạm tại điểm b khoản 1 Điều này.
c) Buộc thiết lập và cung cấp cho chủ thể dữ liệu cá nhân cơ chế kỹ thuật rõ ràng, dễ tiếp cận để thực hiện quyền rút lại sự đồng ý; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại điểm a khoản 1 Điều này;
d) Buộc thực hiện ngay việc gửi yêu cầu đến Bên xử lý dữ liệu cá nhân, Bên thứ ba để dừng xử lý dữ liệu cá nhân của chủ thể đã rút lại sự đồng ý; cung cấp minh chứng thực hiện đối với hành vi vi phạm tại điểm c khoản 1 Điều này.
Điều 60. Vi phạm quy định về quyền xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
a) Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân từ chối, không cho phép chủ thể dữ liệu cá nhân truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình sau khi đã thu thập, trừ trường hợp luật có quy định khác;
b) Bên xử lý dữ liệu cá nhân, Bên thứ ba tự ý chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu cá nhân khi chưa được Bên kiểm soát dữ liệu cá nhân đồng ý bằng văn bản.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi cố ý trì hoãn, không thực hiện chỉnh sửa dữ liệu cá nhân sau khi đã xác nhận thông tin là sai sự thật, giả mạo gây ảnh hưởng về danh dự, nhân phẩm, uy tín, quyền và lợi ích hợp pháp cho chủ thể dữ liệu cá nhân.
3. Không xử phạt theo quy định tại Điều này đối với hành vi từ chối hoặc chưa thực hiện chỉnh sửa dữ liệu cá nhân nếu Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân có căn cứ hợp lý chứng minh thuộc một trong các trường hợp sau:
a) Yêu cầu chỉnh sửa nhằm mục đích gian lận, làm sai lệch thông tin để trốn tránh nghĩa vụ pháp lý hoặc thực hiện hành vi vi phạm pháp luật;
b) Việc chỉnh sửa dữ liệu cá nhân theo yêu cầu có thể xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân khác hoặc ảnh hưởng đến thuần phong mỹ tục, đạo đức, lợi ích công cộng;
c) Các trường hợp khác theo quy định của pháp luật có liên quan.
4. Biện pháp khắc phục hậu quả:
a) Buộc thực hiện chỉnh sửa dữ liệu cá nhân theo yêu cầu hợp pháp của chủ thể dữ liệu cá nhân đối với hành vi vi phạm tại khoản 2 Điều này;
b) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đã tự ý chỉnh sửa trái phép đối với hành vi vi phạm tại điểm b khoản 1 Điều này.
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với các hành vi sau:
a) Không thiết lập quy trình, quy định xử lý dữ liệu cá nhân và xác định trách nhiệm của cơ quan, tổ chức, cá nhân trong quá trình xử lý dữ liệu cá nhân;
b) Không thực hiện kiểm tra, đánh giá định kỳ việc tuân thủ quy định của pháp luật, quy trình, quy định xử lý dữ liệu cá nhân;
c) Không có cơ chế tiếp nhận và xử lý phản ánh, kiến nghị từ cơ quan, tổ chức, cá nhân có liên quan.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với các hành vi sau:
a) Không triển khai các biện pháp bảo vệ dữ liệu cá nhân phù hợp làm lộ, mất dữ liệu cá nhân được thu thập;
b) Không thực hiện đánh giá rủi ro có thể xảy ra trong quá trình xử lý dữ liệu cá nhân;
3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với cơ quan, tổ chức, cá nhân có một trong các hành vi sau:
a) Lợi dụng các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý quy định tại khoản 1 Điều 19 Luật Bảo vệ dữ liệu cá nhân để thu thập, xử lý dữ liệu cá nhân vượt quá mục đích, phạm vi cần thiết so với căn cứ theo quy định pháp luật;
b) Không chứng minh được trường hợp theo quy định pháp luật của việc xử lý dữ liệu cá nhân không cần sự đồng ý khi có yêu cầu kiểm tra của cơ quan nhà nước có thẩm quyền.
4. Biện pháp khắc phục hậu quả:
a) Buộc thiết lập, ban hành và công khai quy trình, quy định xử lý dữ liệu cá nhân; biện pháp bảo vệ dữ liệu cá nhân; cơ chế tiếp nhận phản ánh, kiến nghị theo đúng quy định, cung cấp minh chứng đã thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm quy định tại khoản 1 Điều này;
b) Buộc dừng ngay hoạt động xử lý dữ liệu cá nhân được thực hiện dựa trên căn cứ miễn đồng ý không đúng quy định hoặc vượt quá mục đích, phạm vi căn cứ đó cho phép đối với hành vi vi phạm quy định tại khoản 3 Điều này;
c) Buộc hủy, xóa tới mức không thể khôi phục toàn bộ dữ liệu cá nhân đã thu thập, xử lý vượt quá mục đích, phạm vi quy định hoặc không có căn cứ hợp pháp đối với hành vi vi phạm quy định tại điểm a khoản 3 Điều này;
d) Buộc lập, lưu trữ và cung cấp tài liệu chứng minh căn cứ hợp pháp của việc xử lý dữ liệu cá nhân không cần sự đồng ý khi có yêu cầu của cơ quan có thẩm quyền đối với hành vi vi phạm tại điểm b khoản 3 Điều này.
đ) Buộc triển khai biện pháp bảo vệ dữ liệu cá nhân phù hợp và thực hiện đánh giá rủi ro trong quá trình xử lý dữ liệu cá nhân; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại khoản 2 Điều này.
Điều 62. Vi phạm quy định về thu thập dữ liệu cá nhân
1. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với tổ chức thực hiện hành vi thu thập dữ liệu cá nhân không đúng phạm vi, mục đích cụ thể, rõ ràng hoặc không có sự đồng ý của chủ thể dữ liệu cá nhân trước khi thu thập theo quy định của pháp luật.
2. Phạt tiền từ 50.000.000 đồng đến 80.000.000 đồng đối với thu thập, lưu trữ, hình thành kho dữ liệu cá nhân từ hoạt động chuyển giao dữ liệu cá nhân để sử dụng cho các mục đích khác ngoài các mục đích đã được chủ thể dữ liệu cá nhân đồng ý.
3. Trường hợp áp dụng các biện pháp công nghệ, kỹ thuật để thu thập dữ liệu cá nhân trái quy định của pháp luật thì mức phạt tiền được xác định như sau:
a) Phạt tiền từ 100.000.000 đồng đến 200.000.000 đồng đối với tổ chức, cá nhân thực hiện hành vi thu thập dữ liệu cá nhân cơ bản của dưới 500 chủ thể dữ liệu hoặc mua bán dữ liệu cá nhân nhạy cảm của dưới 100 chủ thể dữ liệu.
b) Phạt tiền từ 200.000.000 đồng đến 300.000.000 đồng đối với tổ chức, cá nhân thực hiện hành vi thu thập dữ liệu cá nhân cơ bản của từ 500 đến dưới 1.000 chủ thể dữ liệu hoặc mua bán dữ liệu cá nhân nhạy cảm của từ 100 đến dưới 200 chủ thể dữ liệu.
c) Phạt tiền từ 300.000.000 đồng đến 500.000.000 đồng đối với tổ chức, cá nhân thực hiện hành vi thu thập dữ liệu cá nhân cơ bản của từ 1.000 đến dưới 5.000 chủ thể dữ liệu hoặc dữ liệu cá nhân nhạy cảm của từ 200 đến 1.000 chủ thể dữ liệu.
d) Phạt tiền từ 500.000.000 đồng đến 800.000.000 đồng đối với tổ chức, cá nhân thực hiện hành vi thu thập dữ liệu cá nhân cơ bản của từ 5.000 chủ thể dữ liệu trở lên, dữ liệu cá nhân nhạy cảm của từ 1.000 chủ thể dữ liệu trở lên.
4. Phạt tiền từ 50.000.000 đồng đến 80.000.000 đồng đối với hành vi quy định tại khoản 1 Điều này nếu đối tượng của hành vi vi phạm là dữ liệu cá nhân nhạy cảm.
5. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính được sử dụng để thực hiện hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;
b) Tước quyền sử dụng Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân có thời hạn từ 06 tháng đến 24 tháng đối với tổ chức thực hiện hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này.
6. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục toàn bộ dữ liệu cá nhân đã thu thập, xử lý trái quy định đối với hành vi vi phạm tại Điều này.
b) Buộc thông báo bằng văn bản đến toàn bộ chủ thể dữ liệu cá nhân bị ảnh hưởng về hành vi vi phạm và biện pháp khắc phục đã thực hiện đối với hành vi vi phạm tại khoản 2 Điều này.
c) Buộc nộp lại khoản thu có được từ hoạt động kinh doanh có sử dụng dữ liệu cá nhân thu thập trái phép đối với hành vi vi phạm tại khoản 2 Điều này.
Điều 63. Vi phạm quy định về cung cấp dữ liệu cá nhân
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi từ chối cung cấp dữ liệu cá nhân cho chính chủ thể dữ liệu cá nhân khi có yêu cầu hợp lệ.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đối với hành vi cung cấp dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân khác khi chưa được chủ thể dữ liệu cá nhân đồng ý, trừ trường hợp pháp luật có quy định khác.
3. Phạt tiền bằng 02 lần mức phạt tiền quy định tại khoản 2 và khoản 3 Điều này đối với hành vi cung cấp dữ liệu cá nhân nhạy cảm.
4. Biện pháp khắc phục hậu quả:
a) Buộc thực hiện cung cấp dữ liệu cá nhân cho chính chủ thể dữ liệu cá nhân theo yêu cầu hợp lệ đối với hành vi vi phạm tại khoản 1 Điều này;
b) Buộc thu hồi dữ liệu cá nhân đã cung cấp sai quy định đối với hành vi vi phạm tại khoản 2 và khoản 3 Điều này;
c) Buộc nộp lại khoản thu có được do thực hiện hành vi vi phạm tại khoản 2 Điều này.
Điều 64. Vi phạm quy định về công khai dữ liệu cá nhân
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau đây:
a) Công khai dữ liệu cá nhân không có mục đích cụ thể, không thuộc trường hợp được phép công khai theo quy định pháp luật;
b) Công khai vượt quá phạm vi, loại dữ liệu cá nhân cần thiết cho mục đích công khai;
c) Công khai dữ liệu cá nhân nhưng không phản ánh đúng dữ liệu từ nguồn dữ liệu gốc;
d) Không kiểm soát, giám sát chặt chẽ việc công khai dữ liệu cá nhân để bảo đảm tuân thủ đúng mục đích, phạm vi và quy định của pháp luật;
đ) Không có biện pháp ngăn chặn việc truy cập, sử dụng, tiết lộ, sao chép, sửa đổi, xóa, hủy hoặc các hành vi xử lý trái phép khác đối với dữ liệu đã công khai.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau đây:
a) Công khai dữ liệu cá nhân gây xâm phạm đến quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân;
b) Công khai dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật cho phép.
3. Biện pháp khắc phục hậu quả:
a) Buộc cải chính thông tin đối với hành vi vi phạm tại điểm c khoản 1 Điều này;
b) Buộc gỡ bỏ, thu hồi dữ liệu cá nhân đã công khai đối với hành vi vi phạm tại khoản 2 Điều này;
c) Buộc áp dụng biện pháp kiểm soát, giám sát và bảo mật đối với dữ liệu cá nhân đang công khai; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại điểm d, đ khoản 1 Điều này.
d) Buộc gỡ bỏ, thu hồi dữ liệu cá nhân đã công khai không có mục đích cụ thể hoặc vượt quá phạm vi cần thiết đối với hành vi vi phạm tại điểm a, b khoản 1 Điều này.
Điều 65. Vi phạm quy định về xóa, hủy, khử nhận dạng dữ liệu cá nhân
1. Phạt tiền từ 10.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau đây:
a) Không thông báo cho chủ thể dữ liệu cá nhân biết lý do trong trường hợp không thể thực hiện việc xóa, hủy dữ liệu cá nhân sau khi nhận được yêu cầu;
b) Việc xóa, hủy dữ liệu cá nhân không được thực hiện bằng các biện pháp an toàn;
c) Không có biện pháp ngăn chặn hoạt động xâm nhập và khôi phục trái phép dữ liệu đã xóa, hủy;
d) Khử nhận dạng dữ liệu cá nhân nhưng không kiểm soát, giám sát chặt chẽ;
đ) Không có biện pháp ngăn chặn việc truy cập trái phép, sao chép, chiếm đoạt, làm lộ, làm mất dữ liệu trong quá trình khử nhận dạng.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau đây:
a) Không thực hiện xóa, hủy dữ liệu cá nhân tại các trường hợp theo quy định pháp luật;
b) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba xóa, hủy dữ liệu cá nhân của chủ thể dữ liệu cá nhân theo quy định của pháp luật;
c) Bên xử lý dữ liệu cá nhân không thực hiện xóa hoặc trả lại toàn bộ dữ liệu cá nhân cho Bên kiểm soát dữ liệu cá nhân sau khi kết thúc hợp đồng hoặc thỏa thuận xử lý dữ liệu cá nhân.
d) Để xảy ra việc truy cập trái phép, sao chép, chiếm đoạt, làm lộ, làm mất dữ liệu cá nhân trong quá trình khử nhận dạng.
3. Phạt tiền từ 50.000.000 đồng đến 60.000.000 đồng đối với một trong các hành vi sau đây:
a) Cố ý khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy;
b) Tái nhận dạng dữ liệu cá nhân sau khi dữ liệu đó đã được khử nhận dạng, trừ trường hợp pháp luật có quy định khác.
4. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với hành vi vi phạm tại điểm a, b khoản 2 Điều này;
b) Buộc thông báo cho chủ thể dữ liệu cá nhân về việc không thể thực hiện xóa, hủy trong trường hợp quy định tại điểm a khoản 1 Điều này;
c) Buộc hủy, xóa tới mức không thể khôi phục kết quả tái nhận dạng và dữ liệu cá nhân đã được khôi phục trái phép đối với hành vi vi phạm tại khoản 3 Điều này.
d) Buộc áp dụng biện pháp kiểm soát, giám sát và ngăn chặn truy cập trái phép trong quá trình khử nhận dạng; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại điểm d, đ khoản 1 Điều này.
Điều 66. Vi phạm quy định về chuyển giao dữ liệu cá nhân
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
a) Thoả thuận về việc chuyển giao dữ liệu cá nhân không xác định trách nhiệm bảo vệ dữ liệu cá nhân trong quá trình chuyển giao, xử lý dữ liệu cá nhân; trách nhiệm thực hiện các quyền của chủ thể dữ liệu cá nhân; trách nhiệm phối hợp và tuân thủ của các bên trong trường hợp phát hiện vi phạm quy định bảo vệ dữ liệu cá nhân.
b) Trường hợp chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập, cơ quan, tổ chức không xây dựng quy trình kiểm soát việc chia sẻ, sử dụng dữ liệu cá nhân đúng quy định; không có biện pháp phòng, chống việc nhân sự nội bộ cơ quan, tổ chức chia sẻ trái phép dữ liệu cá nhân với bên thứ ba.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi chuyển giao dữ liệu cá nhân theo điểm a, điểm d khoản 1 Điều 17 của Luật Bảo vệ dữ liệu cá nhân có thu phí để cung cấp dịch vụ cho chủ thể dữ liệu cá nhân hoặc để phục vụ lợi ích hợp pháp của chủ thể dữ liệu cá nhân nhưng vi phạm các nghĩa vụ sau:
a) Không xác định rõ vai trò bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba trong hoạt động chuyển giao dữ liệu cá nhân;
b) Không xác định, giới hạn loại dữ liệu cá nhân chuyển giao trong phạm vi mục đích chuyển giao;
c) Không xác định thời hạn lưu trữ dữ liệu cá nhân phù hợp với mục đích chuyển giao; không xoá, huỷ dữ liệu cá nhân khi hoàn thành mục đích theo quy định pháp luật.
3. Phạt tiền từ 50.000.000 đồng đến 80.000.000 đồng đối với hành vi chuyển giao dữ liệu cá nhân nhạy cảm không có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải, biện pháp mã hóa, ẩn danh dữ liệu cá nhân và các biện pháp bảo mật khác trong quá trình chuyển giao.
4. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại khoản 2 Điều này;
b) Tước quyền sử dụng giấy phép kinh doanh, chứng chỉ hành nghề đối với ngành nghề có vi phạm xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 2 Điều này.
5. Biện pháp khắc phục hậu quả:
a) Buộc bổ sung, hoàn thiện thỏa thuận chuyển giao dữ liệu cá nhân theo đúng quy định và cung cấp minh chứng cho cơ quan có thẩm quyền đối với hành vi vi phạm quy định tại khoản 1 Điều này;
b) Buộc áp dụng ngay biện pháp bảo mật theo quy định đối với dữ liệu cá nhân nhạy cảm đang được lưu trữ và truyền tải đối với hành vi vi phạm tại khoản 3 Điều này;
c) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân nhạy cảm đã chuyển giao trong trường hợp không thể bảo đảm bảo mật theo quy định đối với hành vi vi phạm tại khoản 2, 3 Điều này.
Điều 67. Vi phạm quy định về mua, bán trái phép dữ liệu cá nhân
1. Mua bán trái phép dữ liệu cá nhân là hành vi cung cấp, chia sẻ, trao đổi, chuyển giao dữ liệu cá nhân nhằm thu tài sản hoặc lợi ích khác không thuộc các trường hợp quy định tại khoản 1 Điều 17 Luật Bảo vệ dữ liệu cá nhân hoặc là hành vi chuyển giao dữ liệu cá nhân có thu phí hoặc lợi ích vật chất khác vi phạm một trong các nghĩa vụ sau:
a) Không có thoả thuận về việc chuyển giao dữ liệu cá nhân;
b) Thoả thuận về việc chuyển giao dữ liệu cá nhân không xác định mục đích chuyển giao dữ liệu cá nhân hoặc không thực hiện theo đúng mục đích trong thỏa thuận chuyển giao dữ liệu cá nhân;
c) Không thiết lập hệ thống kỹ thuật, cơ chế minh bạch để chủ thể dữ liệu cá nhân đồng ý chính xác, rõ ràng theo từng lần chuyển giao, trên cơ sở được biết chính xác mục đích chuyển giao, tổ chức, cá nhân tiếp nhận và xử lý dữ liệu cá nhân;
d) Xử lý dữ liệu cá nhân không đúng cho mục đích chuyển giao được chủ thể dữ liệu cá nhân đồng ý, phù hợp với ngành, nghề đăng ký kinh doanh;
đ) Không khử nhận dạng dữ liệu cá nhân khi giao dịch trên sàn dữ liệu.
2. Trường hợp xác định được khoản thu có được từ hành vi vi phạm hành chính theo phương pháp quy định tại Điều 52 Nghị định này thì mức phạt tiền tối thiểu bằng 02 lần đến tối đa bằng 10 lần khoản thu có được từ hành vi phạm hành chính.
3. Trường hợp xác định được khoản thu có được từ hành vi vi phạm hành chính tại Khoản 2 Điều này và mức phạt tiền tối đa bằng 10
lần khoản thu có được từ hành vi vi phạm hành chính thấp hơn 3.000.000.000 đồng thì
mức phạt tiền được xác định đến mức tối đa là
3.000.000.000 đồng nếu có một trong các tình tiết tăng nặng được quy định tại
Điều 10 Luật Xử phạt vi phạm hành chính.
4. Trường hợp không xác định được khoản thu có được từ hành vi vi phạm hành chính theo phương pháp quy định tại Điều 52 Nghị định này thì mức phạt tiền được xác định như sau:
a) Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với tổ chức, cá nhân thực hiện hành vi mua, bán dữ liệu cá nhân cơ bản của dưới 1.000 chủ thể dữ liệu hoặc mua bán dữ liệu cá nhân nhạy cảm của dưới 200 chủ thể dữ liệu.
b) Phạt tiền từ 100.000.000 đồng đến 300.000.000 đồng đối với tổ chức, cá nhân thực hiện hành vi mua, bán dữ liệu cá nhân cơ bản của từ 1.000 đến dưới 2.000 chủ thể dữ liệu hoặc mua bán dữ liệu cá nhân nhạy cảm của từ 200 đến dưới 400 chủ thể dữ liệu.
c) Phạt tiền từ 300.000.000 đồng đến 500.000.000 đồng đối với tổ chức, cá nhân thực hiện hành vi mua, bán dữ liệu cá nhân cơ bản của từ 2.000 đến dưới 10.000 chủ thể dữ liệu hoặc dữ liệu cá nhân nhạy cảm của từ 400 đến 2.000 chủ thể dữ liệu.
d) Phạt tiền từ 500.000.000 đồng đến 1.000.000.000 đồng đối với tổ chức, cá nhân thực hiện hành vi mua, bán dữ liệu cá nhân cơ bản của từ 10.000 chủ thể dữ liệu trở lên, dữ liệu cá nhân nhạy cảm của từ 2.000 chủ thể dữ liệu trở lên.
5. Mức phạt tiền từ 1.000.000.000 đến tối đa 3.000.000.0000 đồng đối với các hành vi mua, bán dữ liệu cá nhân trái phép xâm phạm tới quốc phòng, an ninh trật tự, đối ngoại, kinh tế vĩ mô, tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của chủ thể dữ liệu cá nhân, quyền và lợi ích hợp pháp của tổ chức, cá nhân
6. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính được sử dụng để thực hiện hành vi vi phạm quy định tại Điều này;
b) Tước quyền sử dụng giấy phép kinh doanh, chứng chỉ hành nghề đối với ngành nghề có vi phạm xử lý dữ liệu cá nhân từ 12 tháng đến 24 tháng đối với hành vi vi phạm quy định tại Điều này.
7. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục toàn bộ dữ liệu cá nhân đã mua, bán trái phép trên tất cả hệ thống lưu trữ đối với hành vi vi phạm quy định tại Điều này;
b) Buộc nộp lại khoản thu có được từ hành vi vi phạm quy định tại Điều này;
c) Buộc thông báo công khai về hành vi vi phạm và biện pháp khắc phục đến toàn bộ chủ thể dữ liệu cá nhân bị ảnh hưởng đối với hành vi vi phạm quy định tại khoản 2 và khoản 3 Điều này.
Điều 68. Vi phạm quy định về thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau đây:
a) Bên xử lý dữ liệu cá nhân phát hiện hành vi vi phạm nhưng không thông báo kịp thời cho bên kiểm soát dữ liệu hoặc bên kiểm soát và xử lý dữ liệu;
b) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không lập biên bản xác nhận về việc xảy ra hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên xử lý dữ liệu cá nhân thực hiện báo cáo vi phạm sự cố rò rỉ dữ liệu cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân nhưng cố ý che giấu, cung cấp thông tin sai lệch về tính chất sự cố, quy mô, các loại dữ liệu cá nhân và số lượng chủ thể dữ liệu bị ảnh hưởng.
2. Phạt tiền từ 20.000.000 đồng đến 40.000.000 đồng đối với hành vi không thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong các trường hợp sau đây:
a) Phát hiện hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân;
b) Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận;
c) Không bảo đảm quyền hoặc thực hiện không đúng quyền của chủ thể dữ liệu cá nhân.
3. Phạt tiền từ 40.000.000 đồng đến 60.000.000 đồng đối với Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba có hành vi thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm hơn 72 giờ kể từ khi phát hiện vi phạm quy định về bảo vệ dữ liệu cá nhân gây tổn hại hoặc có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của chủ thể dữ liệu cá nhân.
4. Phạt tiền từ 60.000.000 đến 80.000.000 đối với một trong các hành vi sau đây:
a) Không thực hiện các biện pháp ngăn chặn hành vi vi phạm, không khắc phục hậu quả xảy ra;
b) Không phối hợp với cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong việc xử lý hành vi vi phạm.
5. Biện pháp khắc phục hậu quả:
a) Buộc thực hiện đầy đủ nghĩa vụ thông báo vi phạm theo đúng nội dung, hình thức và thời hạn quy định, cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại khoản 1, khoản 2, khoản 3 Điều này;
b) Buộc thực hiện các biện pháp ngăn chặn và khắc phục hậu quả do hành vi vi phạm gây ra theo yêu cầu của cơ quan chuyên trách bảo vệ dữ liệu cá nhân đối với hành vi vi phạm tại điểm a khoản 4 Điều này.
Điều 69. Vi phạm quy định về đánh giá tác động xử lý dữ liệu cá nhân
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với tổ chức, cá nhân có một trong các hành vi sau:
a) Bắt đầu các hoạt động xử lý dữ liệu cá nhân nhưng không lập, không duy trì Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân tại trụ sở doanh nghiệp theo quy định tại Điều 21 Luật Bảo vệ dữ liệu cá nhân;
b) Không gửi 01 bản chính Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (theo Mẫu quy định tại Phụ lục Nghị định 356/2025/NĐ-CP) cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong thời gian 60 ngày kể từ ngày đầu tiên tiến hành xử lý dữ liệu cá nhân.
c) Cố ý không hoàn thiện hồ sơ đánh giá tác động theo yêu cầu của cơ quan chuyên trách trong trường hợp hồ sơ chưa đầy đủ, đúng quy định.
d) Không cập nhật định kỳ 06 tháng đối với hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi theo quy định pháp luật.
đ) Không cập nhật ngay hồ sơ trong thời hạn 10 ngày khi thuộc một trong các trường hợp phải cập nhật theo quy định của pháp luật.
2. Phạt tiền từ 50.000.000 đồng đến 100.000.000 đồng đối với hành vi cố tình làm giả số liệu, cung cấp sai lệch thông tin trong Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hoặc từ chối chỉnh sửa, hoàn thiện hồ sơ khi có văn bản yêu cầu khắc phục từ Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an).
3. Biện pháp khắc phục hậu quả:
a) Buộc lập, hoàn thiện và nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo đúng quy định, cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại khoản 1 Điều này;
b) Buộc dừng ngay hoạt động xử lý dữ liệu cá nhân cho đến khi hoàn thành đầy đủ nghĩa vụ nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và được cơ quan chuyên trách bảo vệ dữ liệu cá nhân xác nhận đối với hành vi vi phạm tại điểm a khoản 1 Điều này.
Điều 70. Vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới
1. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới trước hoặc trong thời gian tiến hành chuyển dữ liệu;
b) Không nộp 01 bản chính hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời hạn 60 ngày kể từ ngày đầu tiên tiến hành chuyển dữ liệu;
c) Không hoàn thiện hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới trong thời hạn 30 ngày kể từ khi nhận được yêu cầu của cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
d) Không cập nhật định kỳ hoặc không cập nhật ngay hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới khi có thay đổi theo quy định pháp luật;
đ) Không duy trì hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới ở trạng thái sẵn sàng phục vụ hoạt động kiểm tra của cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
e) Không thông báo thông tin và chi tiết liên lạc của tổ chức, cá nhân phụ trách bảo vệ dữ liệu cá nhân phía bên nhận dữ liệu sau khi hoàn tất việc chuyển dữ liệu cá nhân xuyên biên giới;
g) Không có cơ chế kiểm soát hoặc không yêu cầu bên nhận dữ liệu xuyên biên giới tuân thủ quy trình khi chuyển tiếp dữ liệu cá nhân cho bên thứ ba khác, dẫn đến việc dữ liệu cá nhân của công dân Việt Nam được xử lý ngoài phạm vi đã khai báo trong hồ sơ đánh giá tác động.
2. Phạt tiền từ 50.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Không xác lập hợp đồng hoặc văn bản chuyển giao ràng buộc trách nhiệm bảo vệ dữ liệu cá nhân giữa bên chuyển và bên nhận dữ liệu xuyên biên giới, không xác định rõ trách nhiệm thực hiện quyền của chủ thể dữ liệu cá nhân sau khi dữ liệu được chuyển;
b) Không bảo đảm sự đồng ý của chủ thể dữ liệu cá nhân đối với mục đích chuyển dữ liệu xuyên biên giới hoặc không thông báo cho chủ thể dữ liệu cá nhân về việc dữ liệu của họ được chuyển ra nước ngoài, tổ chức nhận dữ liệu và mục đích xử lý;
c) Không áp dụng biện pháp bảo mật phù hợp trong quá trình chuyển dữ liệu cá nhân xuyên biên giới hoặc không có phương án bảo đảm an toàn dữ liệu cá nhân sau khi chuyển;
d) Không phối hợp hoặc cản trở hoạt động kiểm tra hoạt động chuyển dữ liệu xuyên biên giới của cơ quan chuyên trách bảo vệ dữ liệu cá nhân;
đ) Tiếp tục chuyển dữ liệu cá nhân xuyên biên giới sau khi có quyết định yêu cầu ngừng chuyển dữ liệu của cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
e) Không thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và không yêu cầu bên nhận dữ liệu xuyên biên giới dừng xử lý, ngăn chặn thiệt hại khi phát hiện bên nhận xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân hoặc sự cố lộ, mất dữ liệu cá nhân
3. Phạt tiền theo tỷ lệ phần trăm tổng doanh thu năm tài chính liền trước tại thị trường Việt Nam đối với tổ chức thực hiện chuyển dữ liệu cá nhân xuyên biên giới mà không lập hồ sơ đánh giá tác động, che giấu hoặc khai báo sai về dòng dữ liệu dẫn đến lộ, mất dữ liệu cá nhân, hoặc tiếp tục chuyển dữ liệu sau khi có quyết định yêu cầu ngừng của cơ quan chuyên trách bảo vệ dữ liệu cá nhân, cụ thể như sau:
a) Phạt tiền từ 1% đến 2% doanh thu đối với hành vi dẫn đến lộ, mất dữ liệu cá nhân của từ 10.000 đến dưới 100.000 chủ thể dữ liệu cá nhân là công dân Việt Nam;
b) Phạt tiền từ 2% đến 3% doanh thu đối với hành vi dẫn đến lộ, mất dữ liệu cá nhân của từ 100.000 đến dưới 1.000.000 chủ thể dữ liệu cá nhân là công dân Việt Nam;
c) Phạt tiền từ 3% đến 5% doanh thu đối với hành vi dẫn đến lộ, mất dữ liệu cá nhân của từ 1.000.000 chủ thể dữ liệu cá nhân là công dân Việt Nam trở lên, hoặc hành vi chuyển dữ liệu cá nhân xuyên biên giới sau khi có quyết định yêu cầu ngừng chuyển của cơ quan chuyên trách bảo vệ dữ liệu cá nhân gây tổn hại đến quốc phòng, an ninh quốc gia.
4. Trường hợp tổ chức vi phạm quy định tại khoản 3 Điều này không có doanh thu phát sinh tại thị trường Việt Nam trong năm tài chính liền trước hoặc mức phạt tính theo tỷ lệ phần trăm doanh thu tại từng điểm thấp hơn 3.000.000.000 đồng thì áp dụng mức phạt tiền như sau:
a) Phạt tiền từ 200.000.000 đồng đến 500.000.000 đồng đối với hành vi dẫn đến lộ, mất dữ liệu cá nhân của từ 10.000 đến dưới 100.000 chủ thể dữ liệu cá nhân là công dân Việt Nam;
b) Phạt tiền từ 500.000.000 đồng đến 1.000.000.000 đồng đối với hành vi dẫn đến lộ, mất dữ liệu cá nhân của từ 100.000 đến dưới 1.000.000 chủ thể dữ liệu cá nhân là công dân Việt Nam;
c) Phạt tiền từ 1.000.000.000 đồng đến 3.000.000.000 đồng đối với hành vi dẫn đến lộ, mất dữ liệu cá nhân của từ 1.000.000 chủ thể dữ liệu cá nhân là công dân Việt Nam trở lên, hoặc hành vi chuyển dữ liệu cá nhân xuyên biên giới sau khi có quyết định yêu cầu ngừng chuyển của cơ quan chuyên trách bảo vệ dữ liệu cá nhân gây tổn hại đến quốc phòng, an ninh quốc gia.
5. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại khoản 2 và khoản 3 Điều này;
b) Tước quyền sử dụng giấy phép, chứng chỉ hành nghề trong lĩnh vực có vi phạm từ 06 tháng đến 12 tháng đối với hành vi vi phạm quy định tại khoản 2 và khoản 3 Điều này;
c) Đình chỉ có thời hạn hoạt động chuyển dữ liệu cá nhân xuyên biên giới từ 06 tháng đến 12 tháng đối với hành vi vi phạm quy định tại và khoản 3 Điều này.
6. Biện pháp khắc phục hậu quả:
a) Buộc lập, hoàn thiện và nộp hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới đúng quy định đối với hành vi vi phạm quy định tại khoản 1 Điều này;
b) Buộc ngừng ngay việc chuyển dữ liệu cá nhân xuyên biên giới cho đến khi hoàn thành đầy đủ nghĩa vụ hồ sơ và được cơ quan chuyên trách bảo vệ dữ liệu cá nhân xác nhận đối với hành vi vi phạm quy định tại điểm a, b khoản 1 và điểm a, b khoản 2 Điều này;
c) Buộc yêu cầu bên nhận dữ liệu xuyên biên giới hủy, xóa tới mức không thể khôi phục toàn bộ dữ liệu cá nhân đã chuyển trái quy định; cung cấp bằng chứng bên nhận đã thực hiện việc hủy, xóa cho cơ quan có thẩm quyền đối với hành vi vi phạm quy định tại khoản 2 và khoản 3 Điều này;
d) Buộc nộp lại khoản thu có được từ hành vi vi phạm quy định tại khoản 3 Điều này;
đ) Buộc thông báo bằng văn bản đến toàn bộ chủ thể dữ liệu cá nhân bị ảnh hưởng về việc dữ liệu của họ đã được chuyển trái quy định và biện pháp khắc phục đã thực hiện đối với hành vi vi phạm quy định tại khoản 3 Điều này.
Điều 71. Vi phạm quy định về chỉ định nhân sự, bộ phận bảo vệ dữ liệu cá nhân
1. Phạt cảnh cáo hoặc phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với cơ quan, tổ chức có một trong các hành vi sau:
a) Không ký thỏa thuận trách nhiệm bảo mật với nhân sự bảo vệ dữ liệu cá nhân;
b) Không tổ chức đào tạo, bồi dưỡng kiến thức và kỹ năng về bảo vệ dữ liệu cá nhân cho nhân sự bảo vệ dữ liệu cá nhân;
c) Văn bản chính thức chỉ định nhân sự bảo vệ dữ liệu cá nhân, quyết định thành lập bộ phận bảo vệ dữ liệu cá nhân không nêu rõ chức năng, nhiệm vụ, quyền hạn và các yêu cầu về công tác bảo vệ dữ liệu cá nhân theo quy định pháp luật.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với cơ quan, tổ chức có một trong các hành vi sau:
a) Chỉ định nhân sự bảo vệ dữ liệu cá nhân không đáp ứng điều kiện về trình độ học vấn từ cao đẳng trở lên hoặc không có ít nhất 02 năm kinh nghiệm công tác liên quan đến một trong các lĩnh vực pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự;
b) Chỉ định nhân sự bảo vệ dữ liệu cá nhân chưa được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân;
c) Không ban hành văn bản chính thức chỉ định nhân sự bảo vệ dữ liệu cá nhân hoặc không ban hành quyết định thành lập bộ phận bảo vệ dữ liệu cá nhân.
3. Biện pháp khắc phục hậu quả:
a) Buộc thay thế bằng nhân sự đáp ứng đủ điều kiện theo quy định pháp luật và cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại khoản 2 Điều này;
b) Buộc ban hành văn bản chỉ định, xây dựng đầy đủ chức năng nhiệm vụ theo quy định và cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại khoản 1 Điều này.
Điều 72. Vi phạm quy định về cung cấp dịch vụ bảo vệ dữ liệu cá nhân
1. Phạt tiền từ 10.000.000 đồng đến 30.000.000 đồng đối với cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân có một trong các hành vi sau:
a) Không đáp ứng điều kiện về trình độ học vấn từ cao đẳng trở lên hoặc không có ít nhất 03 năm kinh nghiệm công tác liên quan đến một trong các lĩnh vực pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ hoặc chưa được đào tạo, bồi dưỡng chuyên sâu về bảo vệ dữ liệu cá nhân nhưng vẫn thực hiện cung cấp dịch vụ;
b) Thực hiện dịch vụ vượt quá phạm vi và nhiệm vụ đã thỏa thuận trong hợp đồng;
c) Không thực hiện xóa, hủy dữ liệu cá nhân đã xử lý trong quá trình cung cấp dịch vụ sau khi hoàn thành hợp đồng.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân có một trong các hành vi sau:
a) Không xây dựng hoặc cung cấp hồ sơ năng lực không đầy đủ các nội dung theo quy định;
b) Không có tối thiểu 03 nhân sự đáp ứng đủ điều kiện năng lực theo quy định;
c) Không giao kết hợp đồng sử dụng dịch vụ và thỏa thuận xử lý dữ liệu cá nhân với cơ quan, tổ chức sử dụng dịch vụ trước khi thực hiện cung cấp dịch vụ;
d) Không công khai thông tin về tổ chức cung cấp dịch vụ cho chủ thể dữ liệu cá nhân và các bên liên quan được biết.
3. Phạt tiền từ 50.000.000 đồng đến 100.000.000 đồng đối với tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân có hành vi lợi dụng việc cung cấp dịch vụ để truy cập, thu thập, sử dụng, tiết lộ hoặc xử lý dữ liệu cá nhân ngoài phạm vi hợp đồng hoặc thực hiện các hành vi vi phạm pháp luật khác.
4. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại khoản 3 Điều này;
b) Đình chỉ có thời hạn hoạt động cung cấp dịch vụ bảo vệ dữ liệu cá nhân từ 06 tháng đến 12 tháng đối với hành vi vi phạm quy định tại điểm a, b khoản 2 và khoản 3 Điều này.
5. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục toàn bộ dữ liệu cá nhân đã thu thập, xử lý trái phép trong quá trình cung cấp dịch vụ đối với hành vi vi phạm quy định tại điểm c khoản 1 và khoản 3 Điều này;
b) Buộc nộp lại khoản thu có được từ hành vi vi phạm quy định tại khoản 3 Điều này;
c) Buộc thông báo cho cơ quan, tổ chức đang sử dụng dịch vụ về việc tổ chức, cá nhân cung cấp dịch vụ không còn đáp ứng điều kiện theo quy định, để cơ quan, tổ chức đó kịp thời thực hiện biện pháp thay thế bảo đảm hoạt động bảo vệ dữ liệu cá nhân liên tục đối với hành vi vi phạm quy định tại điểm a, b khoản 2 Điều này.
Điều 73. Vi phạm quy định về kinh doanh dịch vụ xử lý dữ liệu cá nhân
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân đã được cấp Giấy chứng nhận có một trong các hành vi sau:
a) Không xây dựng khung quản trị rủi ro về bảo vệ dữ liệu cá nhân phù hợp với dịch vụ cung cấp;
b) Không xây dựng quy định về trách nhiệm và quyền hạn của tổ chức trong xử lý dữ liệu cá nhân;
c) Không áp dụng tiêu chuẩn, quy chuẩn liên quan đến an ninh dữ liệu, bảo vệ dữ liệu cá nhân, an ninh mạng;
d) Không thực hiện xác thực danh tính tổ chức theo quy định pháp luật về định danh và xác thực điện tử.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân đã được cấp Giấy chứng nhận có một trong các hành vi sau:
a) Trường hợp là bên xử lý dữ liệu cá nhân, tổ chức không yêu cầu bên kiểm soát dữ liệu cá nhân xin sự đồng ý của chủ thể dữ liệu cá nhân trước khi cung cấp dịch vụ, không bảo đảm chủ thể dữ liệu cá nhân được biết về loại dữ liệu được xử lý, mục đích xử lý và tổ chức cung cấp dịch vụ;
b) Không bảo đảm xử lý dữ liệu cá nhân đúng mục đích, không giới hạn việc thu thập, chuyển giao, lưu trữ phù hợp theo quy định, hoặc không có biện pháp ngăn chặn truy cập, thu thập, sử dụng, tiết lộ trái phép dữ liệu cá nhân trong hoạt động cung cấp dịch vụ;
c) Không thực hiện đánh giá hiện trạng tuân thủ và mức độ tín nhiệm về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.
3. Phạt tiền từ 50.000.000 đồng đến 80.000.000 đồng đối với tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân có một trong các hành vi sau:
a) Thực hiện hoạt động kinh doanh dịch vụ xử lý dữ liệu cá nhân khi chưa được cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân;
b) Bố trí nhân sự bảo vệ dữ liệu cá nhân không đáp ứng điều kiện về trình độ học vấn từ cao đẳng trở lên hoặc không có ít nhất 03 năm kinh nghiệm công tác liên quan đến một trong các lĩnh vực pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ hoặc chưa được đào tạo, bồi dưỡng chuyên sâu về bảo vệ dữ liệu cá nhân;
c) Không có tối thiểu 03 nhân sự đáp ứng điều kiện năng lực theo quy định;
3. Phạt tiền từ 80.000.000 đồng đến 100.000.000 đồng đối với hành vi tiếp tục kinh doanh dịch vụ xử lý dữ liệu cá nhân sau khi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân đã bị thu hồi.
4. Hình thức xử phạt bổ sung: Tước quyền sử dụng Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân từ 01 tháng đến 12 tháng đối với hành vi vi phạm quy định tại khoản 1, 2 Điều này;
5. Biện pháp khắc phục hậu quả:
a) Buộc xây dựng, ban hành và thực hiện khung quản trị rủi ro, quy định trách nhiệm, tiêu chuẩn kỹ thuật, cơ chế xác thực danh tính theo quy định; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại khoản 1 Điều này;
b) Buộc hủy, xóa tới mức không thể khôi phục toàn bộ dữ liệu cá nhân thu thập, xử lý trái phép trong quá trình cung cấp dịch vụ đối với hành vi vi phạm quy định tại khoản 2 và khoản 3 Điều này;
c) Buộc nộp lại khoản thu có được từ hành vi vi phạm tại khoản 3 Điều này.
1. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Không thực hiện quy trình xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân của trẻ em;
b) Xử lý dữ liệu cá nhân của trẻ em dưới 07 tuổi, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi mà không có sự đồng ý của người đại diện theo pháp luật, trừ trường hợp quy định tại khoản 1 Điều 19 Luật Bảo vệ dữ liệu cá nhân;
c) Xử lý dữ liệu cá nhân của trẻ em từ đủ 07 tuổi trở lên mà không có đồng thời sự đồng ý của trẻ em và người đại diện theo pháp luật, trừ trường hợp quy định tại khoản 1 Điều 19 Luật Bảo vệ dữ liệu cá nhân.
2. Phạt tiền từ 50.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Xử lý dữ liệu cá nhân của trẻ em nhằm công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em từ đủ 07 tuổi trở lên mà không có đồng thời sự đồng ý của trẻ em và người đại diện theo pháp luật;
b) Không ngừng xử lý dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi khi người đại diện theo pháp luật rút lại sự đồng ý, trừ trường hợp pháp luật có quy định khác;
d) Không ngừng xử lý dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi khi cơ quan có thẩm quyền có đủ căn cứ chứng minh việc xử lý dữ liệu có thể xâm phạm đến quyền, lợi ích hợp pháp của đối tượng được bảo vệ và yêu cầu ngừng xử lý, trừ trường hợp pháp luật có quy định khác.
3. Phạt tiền từ 100.000.000 đồng đến 200.000.000 đồng đối với hành vi không thực hiện xóa, hủy tới mức không thể khôi phục dữ liệu cá nhân của trẻ em trong các trường hợp: xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý; cha mẹ hoặc người giám hộ rút lại sự đồng ý; theo yêu cầu của cơ quan có thẩm quyền.
4. Hình thức xử phạt bổ sung:
a) Đình chỉ hoạt động xử lý dữ liệu cá nhân liên quan trực tiếp đến hành vi vi phạm từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 2 Điều này; từ 03 tháng đến 06 tháng đối với hành vi vi phạm quy định tại khoản 3 Điều này.
5. Biện pháp khắc phục hậu quả:
a) Buộc ngừng ngay hoạt động xử lý dữ liệu cá nhân và thông báo bằng văn bản cho người đại diện theo pháp luật về việc dừng xử lý đối với hành vi vi phạm quy định tại điểm b, c khoản 2 Điều này;
b) Buộc hủy, xóa tới mức không thể khôi phục toàn bộ dữ liệu cá nhân đã xử lý trái quy định đối với hành vi vi phạm quy định tại khoản 1, khoản 2 và khoản 3 Điều này;
c) Buộc gỡ bỏ thông tin về đời sống riêng tư, bí mật cá nhân đã công bố trái quy định và thông báo cho người đại diện theo pháp luật về việc gỡ bỏ đối với hành vi vi phạm quy định tại điểm a khoản 2 Điều này.
Điều 75. Vi phạm quy định về bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng lao động
1. Phạt tiền từ 20.000.000 đồng đến 50.000.000 đồng đối với cơ quan, tổ chức, cá nhân trong tuyển dụng lao động có một trong các hành vi sau:
a) Yêu cầu người dự tuyển cung cấp dữ liệu cá nhân không phục vụ cho mục đích tuyển dụng hoặc không phù hợp với quy định của pháp luật;
b) Sử dụng dữ liệu cá nhân của người dự tuyển vào mục đích khác ngoài mục đích tuyển dụng khi không có thỏa thuận với người dự tuyển;
c) Xử lý dữ liệu cá nhân của người dự tuyển khi chưa có sự đồng ý hoặc xử lý vượt quá phạm vi, mục đích đã được người dự tuyển đồng ý;
d) Không thực hiện xóa, hủy dữ liệu cá nhân của người dự tuyển trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác với người dự tuyển.
2. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với cơ quan, tổ chức, cá nhân trong quản lý, sử dụng người lao động có một trong các hành vi sau:
a) Lưu trữ dữ liệu cá nhân của người lao động vượt quá thời hạn quy định của pháp luật hoặc vượt quá thời hạn đã thỏa thuận;
b) Không thực hiện xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng lao động, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác;
c) Áp dụng biện pháp công nghệ, kỹ thuật để thu thập dữ liệu cá nhân của người lao động mà không bảo đảm người lao động biết rõ về biện pháp đó, bao gồm hành vi lắp đặt phần mềm theo dõi thiết bị, camera giám sát hoặc thiết bị thu thập dữ liệu khác tại môi trường làm việc mà không thông báo cho người lao động;
d) Áp dụng biện pháp công nghệ, kỹ thuật để thu thập dữ liệu cá nhân của người lao động không phù hợp với quy định của pháp luật hoặc không bảo đảm quyền, lợi ích hợp pháp của người lao động.
3. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với hành vi xử lý, sử dụng dữ liệu cá nhân của người lao động thu thập từ biện pháp công nghệ, kỹ thuật trái quy định của pháp luật.
4. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đã thu thập, xử lý trái quy định đối với hành vi vi phạm quy định tại điểm c, d khoản 1, điểm c, d khoản 2 và khoản 3 Điều này;
b) Buộc thông báo bằng văn bản cho người lao động về biện pháp công nghệ, kỹ thuật đang áp dụng và mục đích thu thập dữ liệu, đồng thời xin sự đồng ý theo đúng quy định đối với hành vi vi phạm quy định tại điểm c khoản 2 Điều này;
c) Buộc nộp lại khoản thu có được từ hành vi vi phạm quy định tại khoản 3 Điều này.
1. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau đây:
a) Trong quá trình kinh doanh bảo hiểm, tái bảo hiểm, nhượng tái bảo hiểm, tiến hành chuyển giao dữ liệu cá nhân của khách hàng cho đối tác nhưng không quy định rõ ràng, minh bạch trong hợp đồng đã giao kết với khách hàng;
b) Trong quá trình phát triển, vận hành các ứng dụng y tế, nền tảng chăm sóc sức khỏe trực tuyến, tiến hành thu thập dữ liệu cá nhân nhạy cảm nhưng không thiết lập quy định phân quyền giới hạn truy cập và các biện pháp bảo mật theo quy định;
2. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với cơ quan, tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe có hành vi cung cấp, chia sẻ dữ liệu cá nhân của bệnh nhân cho bên thứ ba là tổ chức cung cấp dịch vụ chăm sóc sức khỏe khác hoặc doanh nghiệp kinh doanh bảo hiểm sức khỏe, bảo hiểm nhân thọ khi chưa nhận được yêu cầu bằng văn bản của chủ thể dữ liệu cá nhân.
3. Hình thức xử phạt bổ sung: Đình chỉ hoạt động xử lý dữ liệu cá nhân liên quan trực tiếp đến hành vi vi phạm từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 1 Điều này; từ 03 tháng đến 06 tháng đối với hành vi vi phạm quy định tại khoản 2 Điều này.
4. Biện pháp khắc phục hậu quả:
a) Buộc thiết lập và áp dụng biện pháp bảo mật, phân quyền truy cập theo đúng quy định kỹ thuật đối với hệ thống thu thập dữ liệu sức khỏe, sinh trắc học; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại điểm b khoản 1 Điều này.
b) Buộc yêu cầu bên thứ ba hủy, xóa tới mức không thể khôi phục toàn bộ dữ liệu cá nhân đã tiếp nhận trái phép và cung cấp bằng chứng đã thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại khoản 2 Điều này;
c) Buộc nộp lại khoản thu bất hợp pháp có được do thực hiện hành vi vi phạm tại khoản 2 Điều này.
Điều 77. Vi phạm quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo
1. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Thu thập và sử dụng dữ liệu cá nhân cơ bản để phân phối quảng cáo mà không có sự đồng ý của chủ thể dữ liệu cá nhân;
b) Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo không cung cấp cơ chế, phương thức kỹ thuật minh bạch, dễ tiếp cận để chủ thể dữ liệu cá nhân thực hiện quyền từ chối nhận quảng cáo hoặc rút lại sự đồng ý chia sẻ dữ liệu cá nhân cho mục đích quảng cáo;
c) Thiết lập phương thức mặc định đồng ý cung cấp dữ liệu cá nhân của chủ thể dữ liệu cá nhân cho mạng lưới quảng cáo liên kết;
d) Cố ý chia sẻ hồ sơ người dùng cho bên thứ ba với mục đích kinh doanh dịch vụ quảng cáo khi người dùng đã thực hiện thao tác từ chối.
2. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:
a) Thu thập và sử dụng dữ liệu cá nhân nhạy cảm để phân phối quảng cáo mà không có sự đồng ý của chủ thể dữ liệu cá nhân;
b) Kinh doanh dịch vụ quảng cáo dựa trên dữ liệu cá nhân của trẻ em dưới 16 tuổi khi chưa được sự đồng ý của người đại diện hợp pháp.
c) Thu thập dữ liệu cá nhân thông qua việc theo dõi trang thông tin điện tử, cổng thông tin điện tử, ứng dụng để quảng cáo theo hành vi hoặc có mục tiêu cụ thể hoặc cá nhân hóa quảng cáo khi không có sự đồng ý của chủ thể dữ liệu cá nhân;
d) Không thiết lập phương thức cho phép chủ thể dữ liệu cá nhân từ chối chia sẻ dữ liệu cá nhân để quảng cáo theo hành vi hoặc có mục tiêu cụ thể hoặc cá nhân hóa quảng cáo;
đ) Cố ý lưu trữ, không xóa hoặc không hủy dữ liệu cá nhân khi dữ liệu đó không còn cần thiết cho mục đích xử lý theo quy định của pháp luật.
3. Hình thức xử phạt bổ sung:
Đình chỉ hoạt động cung cấp dịch vụ quảng cáo liên quan trực tiếp đến hành vi vi phạm từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 1; từ 03 tháng đến 06 tháng đối với hành vi vi phạm quy định tại khoản 2 Điều này.
4. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đã thu thập, sử dụng trái phép để phân phối quảng cáo đối với hành vi vi phạm tại khoản 1 và khoản 2 Điều này;
b) Buộc nộp lại khoản thu có được do thực hiện hành vi vi phạm quy định tại khoản 1 và khoản 2 Điều này;
c) Buộc thiết lập và cung cấp cho người dùng cơ chế từ chối nhận quảng cáo, rút lại sự đồng ý chia sẻ dữ liệu theo đúng quy định và cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại điểm b khoản 1 Điều này.
1. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động tín dụng có hành vi sau:
a) Không thông báo hoặc thông báo chậm quá thời hạn 72 giờ cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và chủ thể dữ liệu cá nhân kể từ thời điểm phát hiện sự cố lộ, mất dữ liệu cá nhân nhạy cảm;
b) Nội dung thông báo sự cố vi phạm bảo vệ dữ liệu cá nhân không bảo đảm đầy đủ các nội dung tối thiểu theo quy định của pháp luật;
c) Không tiến hành ghi lại nhật ký toàn bộ hoạt động xử lý dữ liệu cá nhân hoặc không thực hiện đánh giá tuân thủ định kỳ hàng năm theo quy định;
d) Không thiết lập giải pháp khôi phục dữ liệu cá nhân khi xảy ra sự cố mất dữ liệu cá nhân;
đ) Không áp dụng tiêu chuẩn, quy chuẩn kỹ thuật bảo vệ dữ liệu cá nhân; quy chuẩn kỹ thuật khử nhận dạng dữ liệu cá nhân, ẩn danh dữ liệu cá nhân theo quy định;
e) Nội dung xin sự đồng ý của chủ thể dữ liệu cá nhân không bảo đảm nêu rõ các thông tin theo quy định tại khoản 2, Điều 9 Luật Bảo vệ dữ liệu cá nhân.
2. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Sử dụng dữ liệu cá nhân của chủ thể dữ liệu cá nhân để tiến hành các hoạt động chấm điểm, xếp hạng tín dụng, đánh giá mức độ tín nhiệm về tín dụng khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân;
b) Chia sẻ, chuyển giao dữ liệu cá nhân nhạy cảm của khách hàng cho các đối tác liên kết, đối tác bán chéo các sản phẩm trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân cho từng mục đích chuyển giao;
c) Tổ chức thực hiện hoạt động thông tin tín dụng nhưng không triển khai các biện pháp quản lý, kỹ thuật để phòng, chống truy cập, sử dụng, tiết lộ, chỉnh sửa trái phép dữ liệu cá nhân của khách hàng;
d) Thu thập dữ liệu cá nhân không đúng phạm vi cần thiết phục vụ hoạt động thông tin tín dụng hoặc thu thập từ nguồn không được pháp luật cho phép.
3. Hình thức xử phạt bổ sung: Đình chỉ hoạt động cung cấp các dịch vụ thông tin tín dụng, chấm điểm, xếp hạng tín dụng, đánh giá mức độ tín nhiệm về tín dụng từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 1; từ 03 tháng đến 06 tháng đối với hành vi vi phạm quy định tại khoản 2 Điều này.
4. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục kết quả chấm điểm, xếp hạng tín dụng được tạo ra trái phép đối với hành vi vi phạm tại điểm a khoản 2 Điều này;
b) Buộc yêu cầu đối tác, bên liên kết hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân nhạy cảm đã được chia sẻ, chuyển giao trái phép đối với hành vi vi phạm tại điểm b khoản 2 Điều này;
c) Buộc thông báo bằng văn bản đến chủ thể dữ liệu cá nhân bị ảnh hưởng về hành vi vi phạm và biện pháp khắc phục đã thực hiện đối với hành vi vi phạm tại điểm a, b khoản 2 Điều này.
1. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với tổ chức cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến, nền tảng nội dung số có một trong các hành vi sau:
a) Không thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến;
b) Không cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies);
c) Không cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;
d) Không công khai chính sách bảo mật một cách minh bạch hoặc không giải thích rõ ràng, dễ hiểu về cách thức thu thập, sử dụng, lưu trữ và chia sẻ dữ liệu cá nhân;
đ) Không cung cấp cho người dùng cơ chế để truy cập, chỉnh sửa, xóa dữ liệu cá nhân; tự thiết lập các quyền riêng tư đối với tài khoản cá nhân của mình và báo cáo vi phạm về bảo mật và quyền riêng tư;
e) Không thông báo rõ ràng về các nội dung dữ liệu cá nhân sẽ bị thu thập khi chủ thể dữ liệu tiến hành cài đặt và sử dụng ứng dụng.
2. Phạt tiền từ 70.000.000 đồng đến 150.000.000 đồng đối với một trong các hành vi sau:
a) Bắt buộc người dùng cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm điều kiện bắt buộc để xác thực tài khoản sử dụng thông thường trong các trường hợp pháp luật chuyên ngành không có yêu cầu định danh;
b) Các ứng dụng OTT, mạng xã hội sử dụng các tính năng công nghệ không công khai để nghe trộm, ghi âm cuộc gọi, đọc tin nhắn văn bản hoặc tự động trích xuất danh bạ, tệp tin phương tiện thiết bị khi không có sự đồng ý của chủ thể dữ liệu cá nhân hoặc trường hợp pháp luật không có quy định khác;
c) Thu thập trái phép dữ liệu cá nhân vượt ra ngoài phạm vi đã thỏa thuận với người dùng khi cài đặt dịch vụ.
3. Hình thức xử phạt bổ sung: Đình chỉ hoạt động cung cấp dịch vụ của ứng dụng, nền tảng số tại Việt Nam từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 1; từ 03 tháng đến 06 tháng đối với hành vi vi phạm quy định tại khoản 2 Điều này.
4. Biện pháp khắc phục hậu quả:
a) Buộc thiết lập và cung cấp ngay cho người dùng tính năng từ chối theo dõi và từ chối chia sẻ cookies; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại điểm b, c khoản 1 Điều này;
b) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân, giấy tờ tùy thân, danh bạ, tệp tin đã bị thu thập, trích xuất trái phép đối với hành vi vi phạm tại khoản 2 Điều này.
Điều 80. Vi phạm quy định về bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn
1. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau đây:
a) Xử lý dữ liệu lớn có chứa dữ liệu cá nhân nhưng không xây dựng chính sách lưu trữ, xóa, hủy dữ liệu cá nhân phù hợp, đúng quy định của pháp luật;
b) Không có thỏa thuận bằng văn bản với bên thứ ba, đối tác và nhà cung cấp dịch vụ nhằm bảo đảm tuân thủ đầy đủ các quy định về bảo vệ dữ liệu cá nhân;
c) Không tổ chức đào tạo, phổ biến và nâng cao nhận thức định kỳ về bảo mật dữ liệu cá nhân cho nhân sự, đặc biệt là nhân sự trực tiếp xử lý dữ liệu.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau đây:
a) Không có cơ chế thông báo hoặc không giải thích phù hợp cho chủ thể dữ liệu cá nhân về việc dữ liệu của họ được đưa vào hệ thống phân tích dữ liệu lớn;
b) Không sử dụng phương thức xác thực mạnh (tối thiểu xác thực đa yếu tố) hoặc không phân quyền truy cập để bảo đảm chỉ những người có quyền mới được truy cập dữ liệu;
c) Không thực hiện giám sát liên tục hoặc không sử dụng các công cụ giám sát để theo dõi hoạt động truy cập và phát hiện các hành vi bất thường;
d) Không thực hiện kiểm tra, đánh giá định kỳ về an ninh mạng và bảo mật dữ liệu để phát hiện, ngăn chặn và khắc phục lỗ hổng bảo mật;
đ) Không thực hiện mã hóa, ẩn danh dữ liệu cá nhân trong quá trình chuyển giao, cung cấp dữ liệu, trừ trường hợp pháp luật chuyên ngành có quy định khác.
3. Phạt tiền từ 50.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau đây:
a) Vận hành hệ thống dữ liệu lớn đưa ra các quyết định tự động gây ảnh hưởng đến an ninh trật tự, quyền, lợi ích hợp pháp của tổ chức, cá nhân nhưng không thiết lập cơ chế giám sát hoặc không cho phép yêu cầu sự đánh giá lại từ con người;
b) Sử dụng, phát triển các hệ thống dữ liệu lớn có xử lý dữ liệu cá nhân nhằm mục đích gây tổn hại đến an ninh trật tự hoặc xâm phạm đến danh dự, nhân phẩm, tài sản của cá nhân khác.
4. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính được sử dụng trực tiếp để thực hiện hành vi vi phạm quy định tại khoản 2 và khoản 3 Điều này.
b) Đình chỉ hoạt động vận hành hệ thống, nền tảng ứng dụng phân tích dữ liệu lớn có liên quan đến xử lý dữ liệu cá nhân từ 03 tháng đến 06 tháng đối với hành vi vi phạm quy định tại khoản 3 Điều này
5. Biện pháp khắc phục hậu quả:
a) Buộc thiết lập, ban hành và công khai chính sách lưu trữ, xóa, hủy dữ liệu cá nhân và biện pháp bảo vệ dữ liệu cá nhân trong tổ chức theo đúng quy định pháp luật; buộc bổ sung, điều chỉnh thỏa thuận với bên thứ ba, đối tác và nhà cung cấp dịch vụ bảo đảm tuân thủ quy định về bảo vệ dữ liệu cá nhân; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm quy định tại khoản 1 Điều này;
b) Buộc áp dụng biện pháp bảo mật kỹ thuật và tổ chức phù hợp bao gồm xác thực đa yếu tố, phân quyền truy cập, mã hóa và ẩn danh dữ liệu cá nhân trong quá trình chuyển giao, cung cấp dữ liệu; buộc cung cấp đầy đủ thông tin minh bạch cho chủ thể dữ liệu cá nhân về việc dữ liệu của họ được đưa vào hệ thống phân tích dữ liệu lớn; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm quy định tại khoản 2 Điều này;
c) Buộc dừng ngay hoạt động xử lý dữ liệu cá nhân trái quy định cho đến khi vi phạm được khắc phục và được cơ quan có thẩm quyền xác nhận; buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đã xử lý trái phép; buộc thực hiện đầy đủ quyền của chủ thể dữ liệu cá nhân bao gồm quyền yêu cầu đánh giá lại quyết định tự động; buộc thông báo bằng văn bản đến toàn bộ chủ thể dữ liệu cá nhân bị ảnh hưởng về hành vi vi phạm và biện pháp khắc phục đã thực hiện đối với hành vi vi phạm quy định tại khoản 3 Điều này;
d) Buộc nộp lại khoản thu có được từ hành vi vi phạm quy định tại khoản 3 Điều này.
Điều 81. Vi phạm quy định về bảo vệ dữ liệu cá nhân trong hệ thống trí tuệ nhân tạo, vũ trụ ảo
1. Phạt tiền từ 20.000.000 đồng đến 50.000.000 đồng đối với hành vi xử lý dữ liệu cá nhân trong hệ thống trí tuệ nhân tạo, vũ trụ ảo nhưng không thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.
2. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau đây:
a) Không thông báo hoặc không giải thích nguyên tắc hoạt động của thuật toán tự động và ảnh hưởng của nó đối với quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân;
b) Không cung cấp công cụ, cơ chế để chủ thể dữ liệu cá nhân có quyền từ chối tham gia quá trình xử lý dữ liệu tự động;
c) Không bảo đảm cho chủ thể dữ liệu cá nhân quyền chỉnh sửa, ẩn danh hoặc xóa hồ sơ nhận dạng;
d) Không phân loại hệ thống trí tuệ nhân tạo theo các mức độ rủi ro để thiết lập các biện pháp bảo vệ dữ liệu cá nhân phù hợp;
đ) Không áp dụng các biện pháp bảo vệ dữ liệu cá nhân khi sử dụng kết quả suy luận của trí tuệ nhân tạo để xác định hoặc giúp xác định một con người cụ thể;
e) Phát triển, triển khai hệ thống trí tuệ nhân tạo, vũ trụ ảo nhưng không xây dựng hệ thống đáp ứng tiêu chuẩn an ninh mạng và bảo vệ dữ liệu toàn diện, hoặc không thiết lập hệ thống giám sát và cảnh báo sớm nguy cơ an ninh mạng;
g) Không áp dụng phương thức xác thực, định danh phù hợp hoặc không phân quyền truy cập để xử lý dữ liệu cá nhân trong hệ thống.
3. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau đây:
a) Không thiết lập cơ chế kiểm soát, ngăn chặn việc lợi dụng trí tuệ nhân tạo, vũ trụ ảo vào các hoạt động xâm phạm an ninh quốc gia, trật tự an toàn xã hội;
b) Phát triển, vận hành hệ thống trí tuệ nhân tạo, vũ trụ ảo đưa ra các quyết định tự động gây ảnh hưởng đến an ninh trật tự, quyền, lợi ích hợp pháp của tổ chức, cá nhân nhưng không thiết lập cơ chế giám sát hoặc không cho phép yêu cầu sự đánh giá lại từ con người;
c) Sử dụng, phát triển hệ thống trí tuệ nhân tạo, vũ trụ ảo nhằm mục đích gây tổn hại đến an ninh trật tự hoặc xâm phạm đến danh dự, nhân phẩm, tài sản của cá nhân khác.
4. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính bao gồm được sử dụng trực tiếp để thực hiện hành vi vi phạm quy định tại khoản 2 và khoản 3 Điều này.
b) Đình chỉ hoạt động vận hành hệ thống, nền tảng ứng dụng trí tuệ nhân tạo, vũ trụ ảo có liên quan đến xử lý dữ liệu cá nhân từ 03 tháng đến 06 tháng đối với hành vi vi phạm quy định tại khoản 3 Điều này
5. Biện pháp khắc phục hậu quả:
a) Buộc thiết lập, ban hành và thực hiện đầy đủ cơ chế thông báo, giải thích nguyên tắc hoạt động của thuật toán cho chủ thể dữ liệu cá nhân; buộc cung cấp công cụ, cơ chế để chủ thể dữ liệu cá nhân thực hiện quyền từ chối xử lý tự động, quyền chỉnh sửa, ẩn danh và xóa hồ sơ nhận dạng; buộc áp dụng biện pháp bảo mật kỹ thuật và tổ chức phù hợp bao gồm phân loại rủi ro, xác thực định danh, phân quyền truy cập và bảo vệ kết quả suy luận nhận dạng cá nhân; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm quy định tại khoản 2 Điều này;
b) Buộc dừng ngay hoạt động xử lý dữ liệu cá nhân trái quy định cho đến khi vi phạm được khắc phục và được cơ quan có thẩm quyền xác nhận; buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đã xử lý trái phép; buộc thực hiện đầy đủ quyền của chủ thể dữ liệu cá nhân bao gồm quyền yêu cầu đánh giá lại quyết định tự động; buộc thông báo bằng văn bản đến toàn bộ chủ thể dữ liệu cá nhân bị ảnh hưởng về hành vi vi phạm và biện pháp khắc phục đã thực hiện đối với hành vi vi phạm quy định tại khoản 3 Điều này;
c) Buộc nộp lại khoản thu có được từ hành vi vi phạm quy định tại khoản 3 Điều này.
Điều 82. Vi phạm quy định về bảo vệ dữ liệu cá nhân trong công nghệ chuỗi khối
1. Phạt tiền từ 20.000.000 đồng đến 50.000.000 đồng đối với hành vi xử lý dữ liệu cá nhân trong công nghệ chuỗi khối nhưng không thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.
2. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau đây:
a) Không áp dụng các thuật toán mã hóa, thuật toán băm, thuật toán ký số bảo đảm an toàn khi xử lý dữ liệu cá nhân trên chuỗi khối;
b) Không áp dụng phương thức xác thực, định danh phù hợp hoặc không phân quyền truy cập để xử lý dữ liệu cá nhân.
3. Phạt tiền từ 70.000.000 đồng đến 150.000.000 đồng đối với hành vi sử dụng công nghệ chuỗi khối để lưu trữ trực tiếp dữ liệu cá nhân (bản rõ) trên mạng lưới chuỗi khối mà không thực hiện các quy trình khử nhận dạng hoặc không sử dụng thuật toán băm dữ liệu.
4. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính được sử dụng trực tiếp để thực hiện hành vi vi phạm quy định tại khoản 2 và khoản 3 Điều này;
b) Đình chỉ hoạt động vận hành hệ thống, nền tảng ứng dụng chuỗi khối có liên quan đến xử lý dữ liệu cá nhân từ 03 tháng đến 06 tháng đối với hành vi vi phạm quy định tại khoản 3 Điều này
5. Biện pháp khắc phục hậu quả:
a) Buộc áp dụng biện pháp bảo mật kỹ thuật và tổ chức phù hợp bao gồm áp dụng thuật toán mã hóa, băm, ký số bảo đảm an toàn; thiết lập phương thức xác thực định danh và phân quyền truy cập theo đúng quy định; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm quy định tại khoản 2 Điều này;
b) Buộc dừng ngay hoạt động lưu trữ dữ liệu cá nhân dạng bản rõ trên mạng lưới chuỗi khối cho đến khi vi phạm được khắc phục và được cơ quan có thẩm quyền xác nhận; buộc áp dụng biện pháp kỹ thuật để loại bỏ dữ liệu cá nhân đã lưu trữ nguyên bản trái phép trên chuỗi khối đến mức không thể nhận dạng cá nhân; buộc thông báo bằng văn bản đến toàn bộ chủ thể dữ liệu cá nhân bị ảnh hưởng về hành vi vi phạm và biện pháp khắc phục đã thực hiện đối với hành vi vi phạm quy định tại khoản 3 Điều này;
c) Buộc nộp lại khoản thu có được từ hành vi vi phạm quy định tại khoản 3 Điều này.
Điều 83. Vi phạm quy định về bảo vệ dữ liệu cá nhân trong điện toán đám mây
1. Phạt tiền từ 20.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau đây:
a) Cung cấp dịch vụ điện toán đám mây nhưng không cung cấp thông tin về bộ phận, nhân sự bảo vệ dữ liệu cá nhân cho đối tác và các bên liên quan;
b) Tổ chức sử dụng dịch vụ điện toán đám mây không xác định rõ luồng xử lý dữ liệu cá nhân, vai trò và trách nhiệm của các bên trong hợp đồng với nhà cung cấp dịch vụ hoặc không có yêu cầu về biện pháp bảo mật kỹ thuật, tổ chức trong hợp đồng;
c) Nhà cung cấp dịch vụ điện toán đám mây không đề nghị, ràng buộc nhà thầu phụ thực hiện các quy định và nghĩa vụ bảo vệ dữ liệu cá nhân;
d) Không xây dựng chính sách lưu trữ, xóa, hủy dữ liệu cá nhân phù hợp;
đ) Tổ chức cung cấp dịch vụ điện toán đám mây không thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.
2. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau đây:
a) Cung cấp hoặc sử dụng dịch vụ điện toán đám mây nhưng không áp dụng các biện pháp kỹ thuật và tổ chức để ngăn chặn dữ liệu cá nhân bị truy cập trái phép;
b) Cung cấp hoặc sử dụng dịch vụ điện toán đám mây nhưng không thực hiện mã hóa dữ liệu cá nhân của khách hàng ở trạng thái nghỉ (lưu trữ) và trong quá trình truyền tải;
c) Không áp dụng phương thức xác thực, định danh phù hợp hoặc không phân quyền truy cập nghiêm ngặt để xử lý dữ liệu cá nhân trên điện toán đám mây;
d) Tổ chức sử dụng dịch vụ điện toán đám mây không thông báo ngay cho các bên liên quan khi có thay đổi hệ thống, hạ tầng có thể ảnh hưởng đến an toàn dữ liệu cá nhân.
3. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với hành vi sử dụng, phát triển hệ thống điện toán đám mây nhằm mục đích gây tổn hại đến an ninh trật tự hoặc xâm phạm đến danh dự, nhân phẩm, tài sản của cá nhân khác.
4. Hình thức xử phạt bổ sung:
a) Tịch thu tang vật, phương tiện vi phạm hành chính được sử dụng trực tiếp để thực hiện hành vi vi phạm quy định tại khoản 2 và khoản 3 Điều này;
b) Đình chỉ hoạt động vận hành hệ thống, nền tảng ứng dụng điện toán đám mây có liên quan đến xử lý dữ liệu cá nhân từ 03 tháng đến 06 tháng đối với hành vi vi phạm quy định tại khoản 3 Điều này.
5. Biện pháp khắc phục hậu quả:
a) Buộc thiết lập, ban hành và công khai chính sách lưu trữ, xóa, hủy dữ liệu cá nhân theo đúng quy định pháp luật; buộc bổ sung, điều chỉnh hợp đồng với nhà cung cấp dịch vụ điện toán đám mây và yêu cầu nhà thầu phụ thực hiện đầy đủ các quy định, nghĩa vụ bảo vệ dữ liệu cá nhân theo quy định pháp luật; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm quy định tại khoản 1 Điều này;
b) Buộc áp dụng biện pháp bảo mật kỹ thuật và tổ chức phù hợp bao gồm mã hóa dữ liệu cá nhân ở trạng thái nghỉ và trong quá trình truyền tải, xác thực định danh, phân quyền truy cập nghiêm ngặt và các biện pháp ngăn chặn truy cập trái phép; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm quy định tại khoản 2 Điều này;
c) Buộc dừng ngay hoạt động xử lý dữ liệu cá nhân trái quy định cho đến khi vi phạm được khắc phục và được cơ quan có thẩm quyền xác nhận; buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đã xử lý trái phép; buộc thông báo bằng văn bản đến toàn bộ chủ thể dữ liệu cá nhân bị ảnh hưởng về hành vi vi phạm và biện pháp khắc phục đã thực hiện đối với hành vi vi phạm quy định tại khoản 3 Điều này;
d) Buộc nộp khoản thu có được từ hành vi vi phạm quy định tại khoản 3 Điều này.
1. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau đây:
a) Cung cấp nền tảng, ứng dụng di động thu thập dữ liệu vị trí cá nhân nhưng không thông báo cho người sử dụng về việc sử dụng dữ liệu vị trí cá nhân;
b) Không có biện pháp kỹ thuật ngăn chặn việc thu thập dữ liệu vị trí cá nhân của các bên thứ ba không liên quan hoặc không cung cấp cho người sử dụng các tùy chọn theo dõi vị trí cá nhân;
c) Thu thập, xử lý dữ liệu sinh trắc học nhưng không thiết lập các biện pháp bảo mật vật lý đối với hệ thống, thiết bị lưu trữ và truyền tải dữ liệu sinh trắc học;
d) Không thực hiện hạn chế quyền truy cập hoặc không có hệ thống theo dõi phòng ngừa hành vi xâm phạm đối với dữ liệu vị trí cá nhân, dữ liệu sinh trắc học;
đ) Không thực hiện thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và chủ thể dữ liệu bị ảnh hưởng trong thời hạn 72 giờ kể từ thời điểm phát hiện ra sự cố vi phạm dữ liệu cá nhân liên quan đến dữ liệu vị trí hoặc dữ liệu sinh trắc học.
e) Thông báo cho chủ thể dữ liệu bị ảnh hưởng không bao gồm các nội dung tối thiểu theo quy định pháp luật;
g) Không ghi nhận, lưu trữ và cập nhật hồ sơ vi phạm phục vụ công tác thanh tra, kiểm tra và xử lý; không bảo đảm lưu hồ sơ vi phạm trong thời gian tối thiểu 5 năm kể từ ngày khắc phục xong sự cố.
h) Không thông báo công khai bằng phương tiện điện tử chính thức của tổ chức qua trang thông tin điện tử, ứng dụng; không gửi thông báo cho chủ thể dữ liệu cá nhân liên quan ngay khi điều kiện kỹ thuật cho phép trong trường hợp không thể thông báo cho tất cả chủ thể dữ liệu cá nhân bị ảnh hưởng trong thời hạn quy định vì lý do kỹ thuật hoặc khẩn cấp,.
2. Phạt tiền từ 70.000.000 đồng đến 150.000.000 đồng đối với một trong các hành vi sau đây:
a) Lắp đặt, sử dụng các công nghệ theo dõi định vị qua thẻ nhận dạng tần số vô tuyến và các công nghệ khác mà không có sự đồng ý của chủ thể dữ liệu cá nhân hoặc không có yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật hoặc pháp luật không có quy định khác;
b) Khai thác, sử dụng dữ liệu sinh trắc học của chủ thể dữ liệu cá nhân vượt quá mục đích ban đầu mà chưa có được sự đồng ý.
3. Hình thức xử phạt bổ sung:
a) Tịch thu các thiết bị phát sóng, thẻ RFID, thiết bị thu thập và máy chủ lưu trữ sinh trắc học được sử dụng để thực hiện hành vi vi phạm quy định tại khoản 2 Điều này.
b) Đình chỉ hoạt động vận hành hệ thống, nền tảng ứng dụng theo dõi vị trí có liên quan đến xử lý dữ liệu cá nhân từ 03 tháng đến 06 tháng đối với hành vi vi phạm quy định tại khoản 2 Điều này
4. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu vị trí cá nhân và dữ liệu sinh trắc học đã bị thu thập, theo dõi trái phép đối với hành vi vi phạm tại khoản 2 Điều này;
b) Buộc cung cấp cho người dùng tùy chọn bật/tắt thu thập dữ liệu vị trí cá nhân; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại điểm b khoản 1 Điều này.
1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:
a) Lắp đặt, sử dụng thiết bị ghi âm, ghi hình tại không gian công cộng, khu vực cung cấp dịch vụ cho khách hàng mà không áp dụng các hình thức thông báo, cảnh báo bằng biển báo vật lý hoặc phương tiện điện tử ở vị trí dễ nhận biết để chủ thể dữ liệu cá nhân hiểu được mình đang bị ghi âm, ghi hình;
b) Không cung cấp thông tin liên hệ của Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân khi chủ thể dữ liệu cá nhân có yêu cầu truy xuất hình ảnh của mình, trừ trường hợp pháp luật có quy định khác.
2. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:
a) Sử dụng dữ liệu cá nhân, hình ảnh, giọng nói thu được từ hệ thống camera giám sát công cộng vào các mục đích thương mại, phân tích hành vi, hoặc nhận diện khuôn mặt tự động để lập hồ sơ cá nhân mà không có sự đồng ý hợp pháp của chủ thể dữ liệu cá nhân;
b) Trích xuất, chia sẻ, công khai trái phép dữ liệu ghi âm, ghi hình, trừ trường hợp cung cấp theo yêu cầu bằng văn bản của cơ quan có thẩm quyền.
3. Hình thức xử phạt bổ sung: Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại khoản 2 Điều này.
4. Biện pháp khắc phục hậu quả:
a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu âm thanh, hình ảnh thu thập trái quy định đối với hành vi vi phạm tại khoản 1 và khoản 2 Điều này;
b) Buộc thiết lập và công khai thông tin liên hệ của Bên kiểm soát dữ liệu cá nhân để chủ thể dữ liệu cá nhân có thể yêu cầu truy xuất hình ảnh; cung cấp minh chứng thực hiện cho cơ quan có thẩm quyền đối với hành vi vi phạm tại điểm b khoản 1 Điều này.
THẨM QUYỀN LẬP BIÊN BẢN VI PHẠM HÀNH CHÍNH VÀ XỬ PHẠT VI PHẠM HÀNH CHÍNH
Điều 86. Thẩm quyền xử phạt vi phạm hành chính của Công an nhân dân
1. Chiến sĩ Công an nhân dân đang thi hành công vụ có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 10.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này.
2. Trưởng Công an cấp xã có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 50.000.000 đồng đối với các hành vi vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân;
c) Tịch thu tang vật, phương tiện vi phạm hành chính;
d) Áp dụng biện pháp khắc phục hậu quả quy định tại Điều 5 Nghị định này.
3. Trưởng phòng nghiệp vụ thuộc Cục An ninh đối ngoại, Cục An ninh nội địa, Cục An ninh chính trị nội bộ, Cục An ninh kinh tế, Cục An Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Cục Quản lý xuất nhập cảnh; Văn phòng Cơ quan cảnh sát điều tra; Cục Cảnh sát điều tra tội phạm về trật tự xã hội; Cục Cảnh sát Quản lý hành chính về trật tự an toàn xã hội; Cục Cảnh sát điều tra tội phạm về tham nhũng, kinh tế, buôn lậu; Trung tâm dữ liệu quốc gia Trưởng phòng An ninh đối ngoại, Trưởng phòng An ninh nội địa; Trưởng phòng An ninh chính trị nội bộ; Trưởng phòng An ninh kinh tế; Trưởng phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao; Chánh Văn phòng cơ quan cảnh sát điều tra; Trưởng phòng Cảnh sát điều tra tội phạm về trật tự xã hội; Trưởng phòng Cảnh sát điều tra tội phạm về tham nhũng, kinh tế, buôn lậu; Trưởng phòng Cảnh sát Quản lý hành chính về trật tự an toàn xã hội; Trưởng phòng Cảnh sát Hình sự thuộc Công an cấp tỉnh có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 80.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính;
d) Áp dụng biện pháp khắc phục hậu quả quy định tại Điều 5 Nghị định này.
4. Giám đốc Công an cấp tỉnh có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 100.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính;
d) Áp dụng hình thức xử phạt trục xuất;
đ) Áp dụng biện pháp khắc phục hậu quả quy định tại Điều 5 Nghị định này.
5. Cục trưởng Cục An ninh đối ngoại; Cục trưởng Cục An ninh nội địa; Cục trưởng Cục An ninh chính trị nội bộ; Cục trưởng Cục An ninh kinh tế; Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao; Cục trưởng Cục Quản lý xuất nhập cảnh; Chánh Văn phòng Cơ quan cảnh sát điều tra; Cục trưởng Cục Cảnh sát điều tra tội phạm về trật tự xã hội; Cục trưởng Cục Cảnh sát điều tra tội phạm về tham nhũng, kinh tế, buôn lậu; Cục trưởng Cục Cảnh sát Quản lý hành chính về trật tự an toàn xã hội; Cục Cảnh sát Hình sự; Giám đốc Trung tâm dữ liệu quốc gia có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 100.000.000 đồng đối với cá nhân có hành vi vi phạm hành chính trong lĩnh vực an ninh mạng và lĩnh vực bảo vệ dữ liệu cá nhân; mức phạt đối với tổ chức bằng 02 lần mức phạt tiền đối với cá nhân;
c) Tịch thu tang vật, phương tiện vi phạm hành chính;
d) Áp dụng biện pháp khắc phục hậu quả tại Điều 5 Nghị định này.
6. Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao có quyền:
a) Quyết định mức phạt tiền đối với trường hợp không có khoản thu từ hành vi vi phạm hành chính hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm hành chính thấp hơn 3 tỷ đồng thì được phạt tối đa đến 3 tỷ đồng
b) Quyết định mức phạt tiền đến 5% tổng doanh thu năm tài chính liền trước hoặc khoản thu có được từ hành vi vi phạm hành chính của tổ chức, cá nhân khi vi phạm có yếu tố cố ý, tái phạm hoặc không khắc phục theo yêu cầu.
7. Cục trưởng Cục Quản lý xuất nhập cảnh có quyền quyết định áp dụng hình thức xử phạt trục xuất.
Điều 87. Thẩm quyền xử phạt vi phạm hành chính của Chủ tịch Ủy ban nhân dân các cấp
1. Chủ tịch Ủy ban nhân dân cấp xã có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 50.000.000 đồng đối với các hành vi vi phạm hành chính trong lĩnh vực an ninh mạng và lĩnh vực bảo vệ dữ liệu cá nhân;
c) Tịch thu tang vật, phương tiện vi phạm hành chính;
d) Áp dụng các biện pháp khắc phục hậu quả quy định tại Điều 5 Nghị định này.
2. Chủ tịch Ủy ban nhân dân cấp tỉnh có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 100.000.000 đồng đối với cá nhân có hành vi vi phạm hành chính trong lĩnh vực an ninh mạng và lĩnh vực bảo vệ dữ liệu cá nhân; mức phạt đối với tổ chức bằng 02 lần mức phạt tiền đối với cá nhân;
c) Tịch thu tang vật, phương tiện vi phạm hành chính;
d) Áp dụng biện pháp khắc phục hậu quả quy định tại Điều 5 Nghị định này.
e) Quyết định mức phạt tiền đối với trường hợp không có khoản thu từ hành vi vi phạm hành chính hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm hành chính thấp hơn 3 tỷ đồng thì được phạt tối đa đến 3 tỷ đồng
Điều 88. Thẩm quyền xử phạt hành chính của Quân đội nhân dân
1. Chiến sĩ Bộ đội Biên phòng đang thi hành công vụ, Cảnh sát viên Cảnh sát biển đang thi hành công vụ có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 5.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này.
2. Thanh tra viên Bộ Quốc phòng; Trạm trưởng, Đội trưởng Bộ đội Biên phòng; Tổ trưởng Tổ nghiệp vụ Cảnh sát biển có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 10.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này.
3. Đội trưởng Đội đặc nhiệm phòng chống ma túy và tội phạm thuộc Đoàn đặc nhiệm phòng chống ma túy và tội phạm có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 15.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này.
4. Đội trưởng Đội nghiệp vụ Cảnh sát biển, Trạm trưởng Trạm Cảnh sát biển có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 20.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này.
5. Đồn trưởng Đồn biên phòng, Hải đội trưởng Hải đội biên phòng, Chỉ huy trưởng Ban chỉ huy Biên phòng Cửa khẩu cảng; Hải đội trưởng Hải đội Cảnh sát biển có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 30.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này.
6. Trưởng đoàn thanh tra cấp quân khu, Bộ Tư lệnh Thủ đô Hà Nội; Hải đoàn trưởng Hải đoàn Cảnh sát biển; Đoàn trưởng Đoàn trinh sát, Đoàn trưởng Đoàn đặc nhiệm phòng chống tội phạm ma túy thuộc Cảnh sát biển Việt Nam; Đoàn trưởng Đoàn đặc nhiệm phòng chống ma túy và tội phạm thuộc Cục Phòng chống ma túy và tội phạm thuộc Bộ Tư lệnh Bộ đội Biên phòng có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 50.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này.
7. Tư lệnh Vùng Cảnh sát biển, Cục trưởng Cục Nghiệp vụ và Pháp luật thuộc Cảnh sát biển Việt Nam; Chánh Thanh tra quốc phòng quân khu; Chánh Thanh tra quốc phòng Bộ Tư lệnh Thủ đô Hà Nội có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 80.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này.
8. Chánh Thanh tra các Bộ Quốc phòng; Trưởng đoàn thanh tra do Chánh Thanh tra Bộ Quốc phòng thành lập; Chỉ huy trưởng Ban Chỉ huy Bộ đội Biên phòng; Hải đoàn trưởng Hải đoàn biên phòng, Cục trưởng Cục Phòng chống ma túy và tội phạm thuộc Bộ Tư lệnh Bộ đội Biên phòng; Tư lệnh Cảnh sát biển Việt Nam có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 100.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này.
d) Quyết định mức phạt tiền đối với trường hợp không có khoản thu từ hành vi vi phạm hành chính hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm hành chính thấp hơn 3 tỷ đồng thì được phạt tối đa đến 3 tỷ đồng
1. Thanh tra viên Ban Cơ yếu Chính phủ có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 10.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này.
2. Trưởng đoàn thanh tra của Ban Cơ yếu Chính phủ, Trưởng đoàn kiểm tra do Bộ trưởng Bộ Khoa học và Công nghệ thành lập có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 50.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này.
3. Chánh Thanh tra Cơ yếu có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 80.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này.
4. Trưởng ban Ban Cơ yếu Chính phủ; Chánh Thanh tra Bộ Bộ Khoa học và Công nghệ; Cục trưởng Cục Viễn thông; Cục trưởng Cục Báo chí; Cục trưởng Cục Phát thanh, truyền hình và thông tin điện tử có quyền:
a) Phạt cảnh cáo;
b) Phạt tiền đến 100.000.000 đồng đối với các hành vi vi phạm hành chính được quy định tại Chương II;
c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này.
Điều 90. Phân định thẩm quyền xử phạt
1. Người có thẩm quyền xử phạt của Công an nhân dân có thẩm quyền xử phạt vi phạm hành chính và áp dụng các biện pháp khắc phục hậu quả đối với các hành vi vi phạm hành chính quy định tại Chương II Nghị định này theo thẩm quyền quy định tại Điều 86 Nghị định này và chức năng, nhiệm vụ, quyền hạn được giao thuộc lĩnh vực, địa bàn mình quản lý.
2. Chủ tịch Ủy ban nhân dân các cấp có thẩm quyền xử phạt ở địa phương mình quản lý, trừ trường hợp người nước ngoài có hành vi vi phạm quy định tại các điểm a, b, c, d, đ, e, g khoản 1, các điểm a, b, d khoản 2 Điều 15; khoản 1, khoản 2 Điều 16; khoản 1, khoản 2 Điều 18; khoản 1 Điều 33; khoản 1 Điều 35; khoản 3 Điều 42.
3. Thanh tra Quốc phòng, Bộ Tư lệnh Bộ đội Biên phòng, Bộ Tư lệnh Cảnh sát biển có thẩm quyền xử phạt vi phạm hành chính và áp dụng các biện pháp khắc phục hậu quả đối với các hành vi vi phạm hành chính quy định tại Chương II Nghị định này theo chức năng, nhiệm vụ, quyền hạn được giao thuộc lĩnh vực quân sự, theo thẩm quyền quy định tại Điều 88 Nghị định này và chức năng, nhiệm vụ, quyền hạn được giao thuộc lĩnh vực, địa bàn mình quản lý.
4. Thủ trưởng cơ quan thực hiện nhiệm vụ quản lý nhà nước theo chuyên ngành, lĩnh vực và một số chức danh khác thuộc lĩnh vực mình quản lý có thẩm quyền xử phạt vi phạm hành chính và áp dụng các biện pháp khắc phục hậu quả đối với các hành vi vi phạm hành chính quy định tại Điều 89 Nghị định này, trừ trường hợp người nước ngoài có hành vi vi phạm quy định tại các khoản 1, khoản 2 Điều 18: khoản 2 Điều 33; khoản 1 Điều 35; khoản 3 Điều 42.
Điều 91. Thẩm quyền lập biên bản vi phạm hành chính
1. Người có thẩm quyền xử phạt vi phạm hành chính được quy định tại Điều 86, 87, 88, 89 Nghị định này.
2. Cán bộ, công chức, viên chức, người được giao thực hiện nhiệm vụ thanh tra chuyên ngành, người thuộc lực lượng Quân đội nhân dân, Công an nhân dân và người làm công tác cơ yếu đang thi hành công vụ, nhiệm vụ có thẩm quyền lập biên bản vi phạm hành chính theo chức năng, nhiệm vụ, quyền hạn được giao.
Nghị định này có hiệu lực thi hành từ ngày……tháng....... năm 2026.
Bãi bỏ việc áp dụng các hành vi đã được quy định tại Nghị định số 15/2020/NĐ-CP ngày 03/02/2020 của Chính phủ về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử (đã được sửa đổi, bổ sung theo Nghị định số 14/2022/NĐ-CP ngày 27/01/2022) đối với các nội dung được quy định tại Nghị định này.
1. Bộ trưởng Bộ Công an có trách nhiệm theo dõi, hướng dẫn và tổ chức thi hành Nghị định này.
2. Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban Nhân dân tỉnh, thành phố trực thuộc Trung ương chịu trách nhiệm thi hành Nghị định này./.
|
Nơi nhận: |
TM. CHÍNH PHỦ |
Đăng xuất
Việc làm Hồ Chí Minh