Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng

NGHỊ ĐỊNH

QUY ĐỊNH XỬ PHẠT VI PHẠM HÀNH CHÍNH TRONG LĨNH VỰC AN NINH MẠNG

Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019;

Căn cứ Luật Xử lý vi phạm hành chính ngày 20 tháng 6 năm 2012; Luật sửa đổi, bổ sung một số điều của Luật Xử lý vi phạm hành chính ngày 13 tháng 11 năm 2020;

Căn cứ Luật An ninh quốc gia ngay 03 thang 12 năm 2004;

Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;

Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15 tháng 8 năm 2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;

Căn cứ Nghị định số 13/2023/NĐ-CP ngày 27 tháng 4 năm 2023 của Chính phủ về bảo vệ dữ liệu cá nhân;

Theo đề nghị của Bộ trưởng Bộ Công an;

Chính phủ ban hành Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

1. Nghị định này quy định về hành vi vi phạm hành chính, hình thức xử phạt, mức xử phạt, biện pháp khắc phục hậu quả đối với từng hành vi vi phạm hành chính, đối tượng bị xử phạt, thẩm quyền lập biên bản và thẩm quyền xử phạt, mức phạt tiền cụ thể theo từng chức danh đối với hành vi vi phạm hành chính trong lĩnh vực an ninh mạng.

2. Các hành vi vi phạm hành chính khác liên quan đến lĩnh vực an ninh mạng không được quy định tại Nghị định này thì áp dụng quy định tại các Nghị định khác của Chính phủ về xử phạt vi phạm hành chính trong lĩnh vực quản lý nhà nước có liên quan.

Điều 2. Đối tượng áp dụng

1. Tổ chức, cá nhân Việt Nam và tổ chức, cá nhân nước ngoài (sau đây gọi tắt là tổ chức, cá nhân) có hành vi vi phạm hành chính quy định tại Nghị định này.

2. Tổ chức quy định tại khoản 1 Điều này bao gồm:

a) Tổ chức được thành lập theo quy định của Luật Doanh nghiệp, gồm: Doanh nghiệp tư nhân, Công ty cổ phần, Công ty trách nhiệm hữu hạn, Công ty hợp danh, các đơn vị phụ thuộc doanh nghiệp;

b) Tổ chức được thành lập theo quy định của Luật Hợp tác xã;

c) Tổ chức được thành lập theo quy định của Luật Đầu tư;

d) Tổ chức chính trị - xã hội, tổ chức xã hội, tổ chức xã hội - nghề nghiệp;

đ) Doanh nghiệp nước ngoài hoặc chi nhanh, văn phòng đại diện, điạ điểm kinh doanh cua doanh nghiệp nước ngoài cung cấp dịch vụ viễn thông, Internet, dịch vụ cung cấp nội dung trên không gian mạng, công nghệ thông tin, an ninh mạng, an toàn thông tin mạng;

e) Tổ chức, doanh nghiệp cung cấp dịch vụ nội dung thông tin trên không gian mạng;

g) Tổ chức, doanh nghiệp đăng ký tên miền;

h) Chủ quản hệ thống thông tin;

i) Đơn vị vận hành hệ thống thông tin;

k) Các đơn vị sự nghiệp và các tổ chức khác theo quy định pháp luật;

NGHỊ ĐỊNH

QUY ĐỊNH XỬ PHẠT VI PHẠM HÀNH CHÍNH TRONG LĨNH VỰC AN NINH MẠNG

Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019;

Căn cứ Luật Xử lý vi phạm hành chính ngày 20 tháng 6 năm 2012; Luật sửa đổi, bổ sung một số điều của Luật Xử lý vi phạm hành chính ngày 13 tháng 11 năm 2020;

Căn cứ Luật An ninh quốc gia ngay 03 thang 12 năm 2004;

Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;

Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15 tháng 8 năm 2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;

Căn cứ Nghị định số 13/2023/NĐ-CP ngày 27 tháng 4 năm 2023 của Chính phủ về bảo vệ dữ liệu cá nhân;

Theo đề nghị của Bộ trưởng Bộ Công an;

Chính phủ ban hành Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

1. Nghị định này quy định về hành vi vi phạm hành chính, hình thức xử phạt, mức xử phạt, biện pháp khắc phục hậu quả đối với từng hành vi vi phạm hành chính, đối tượng bị xử phạt, thẩm quyền lập biên bản và thẩm quyền xử phạt, mức phạt tiền cụ thể theo từng chức danh đối với hành vi vi phạm hành chính trong lĩnh vực an ninh mạng.

2. Các hành vi vi phạm hành chính khác liên quan đến lĩnh vực an ninh mạng không được quy định tại Nghị định này thì áp dụng quy định tại các Nghị định khác của Chính phủ về xử phạt vi phạm hành chính trong lĩnh vực quản lý nhà nước có liên quan.

Điều 2. Đối tượng áp dụng

1. Tổ chức, cá nhân Việt Nam và tổ chức, cá nhân nước ngoài (sau đây gọi tắt là tổ chức, cá nhân) có hành vi vi phạm hành chính quy định tại Nghị định này.

2. Tổ chức quy định tại khoản 1 Điều này bao gồm:

a) Tổ chức được thành lập theo quy định của Luật Doanh nghiệp, gồm: Doanh nghiệp tư nhân, Công ty cổ phần, Công ty trách nhiệm hữu hạn, Công ty hợp danh, các đơn vị phụ thuộc doanh nghiệp;

b) Tổ chức được thành lập theo quy định của Luật Hợp tác xã;

c) Tổ chức được thành lập theo quy định của Luật Đầu tư;

d) Tổ chức chính trị - xã hội, tổ chức xã hội, tổ chức xã hội - nghề nghiệp;

đ) Doanh nghiệp nước ngoài hoặc chi nhanh, văn phòng đại diện, điạ điểm kinh doanh cua doanh nghiệp nước ngoài cung cấp dịch vụ viễn thông, Internet, dịch vụ cung cấp nội dung trên không gian mạng, công nghệ thông tin, an ninh mạng, an toàn thông tin mạng;

e) Tổ chức, doanh nghiệp cung cấp dịch vụ nội dung thông tin trên không gian mạng;

g) Tổ chức, doanh nghiệp đăng ký tên miền;

h) Chủ quản hệ thống thông tin;

i) Đơn vị vận hành hệ thống thông tin;

k) Các đơn vị sự nghiệp và các tổ chức khác theo quy định pháp luật;

l) Cơ quan nhà nước thực hiện hành vi vi phạm hành chính mà hành vi đó không thuộc nhiệm vụ quản lý Nhà nước được giao;

m) Tổ chức phi chính phủ hoạt động tại Việt Nam;

n) Tổ chức khác theo quy định của pháp luật.

3. Hộ kinh doanh, hộ gia đình, cộng đồng dân cư thực hiện hành vi vi phạm hành chính quy định tại Nghị định này bị áp dụng mức phạt tiền đối với cá nhân vi phạm hành chính.

4. Cơ quan, người có thẩm quyền lập biên bản, thẩm quyền xử phạt vi phạm hành chính và tổ chức, cá nhân có liên quan đến việc xử phạt vi phạm hành chính theo quy định tại Nghị định này.

Điều 3. Thời hiệu xử phạt vi phạm hành chính

Thời hiệu xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng là 01 (một) năm, trừ trường hợp vi phạm hành chính về sản xuất, xuất khẩu, nhập khẩu, kinh doanh sản phẩm, dịch vụ an ninh mạng thì thời hiệu xử phạt vi phạm hành chính là 02 (hai) năm.

Điều 4. Hình thức xử phạt, biện pháp khắc phục hậu quả

1. Đối với mỗi hành vi vi phạm hành chính trong lĩnh vực an ninh mạng, tổ chức, cá nhân phải chịu hình thức xử phạt chính là cảnh cáo và phạt tiền.

2. Tùy theo tính chất, mức độ vi phạm, tổ chức, cá nhân có hành vi vi phạm hành chính còn bị áp dụng một hoặc nhiều hình thức xử phạt bổ sung sau đây:

a) Tước quyền sử dụng giấy phép có thời hạn từ 01 tháng đến 24 tháng đối với giấy phép: bưu chính, viễn thông, thiết lập mạng viễn thông, trang thông tin điện tử tổng hợp, lắp đặt cáp viễn thông trên biển, sử dụng tần số vô tuyến điện, kinh doanh sản phẩm dịch vụ an ninh mạng, kinh doanh sản phẩm dịch vụ an toàn thông tin mạng, thiết lập mạng xã hội, cung cấp dịch vụ trò chơi điện tử G1, cung cấp dịch vụ chứng thực chữ ký số, chứng chỉ hành nghề, giấy phép hành nghề;

b) Tịch thu tang vật, phương tiện vi phạm hành chính;

c) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm;

d) Đình chỉ hoạt động có thời hạn từ 01 tháng đến 24 tháng;

đ) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng.

3. Ngoai các hình thức xử phạt vi phạm hành chính, xử phạt bổ sung, tổ chức, cá nhân vi phạm hành chính còn có thể bi ̣ap dung một hoặc nhiều biện pháp khắc phục hậu quả như sau:

a) Buộc gỡ, xóa bỏ chương trình, phần mềm;

b) Buộc thu hồi hoặc tiêu hủy sản phẩm, thiết bị, ngừng cung cấp dịch vụ gây hại về an ninh mạng hoặc không đảm bảo chất lượng hoặc không có giấy phép hoặc thực hiện không đúng với giấy phép;

c) Buộc xóa, hủy đến mức không thể khôi phục dữ liệu đã chiếm đoạt, mua bán, trao đổi trái phép;

d) Buộc xóa bỏ, cải chính thông tin có nội dung sai sự thật, gây nhầm lẫn, vi phạm pháp luật về an ninh mạng;

đ) Buộc loại bỏ tính năng, thành phần gây hại về an ninh chương trình, sản phẩm, thiết bị, dịch vụ, phần mềm;

e) Buộc thu hồi số thuê bao, đầu số, kho số  viễn thông; tài nguyên Internet, tên miền, địa chỉ Internet (IP), số hiệu mạng (ASN); mã số quản lý, số cung cấp dịch vụ;

g) Buộc hoàn trả địa chỉ IP, ASN, tên miền, tài khoản số;

h) Buộc chuyển đổi mục đích sử dụng sản phẩm, thiết bị, dịch vụ, phần mềm;

i) Buộc hủy bỏ kết quả thẩm định, đánh giá, kiểm tra, chứng nhận về an ninh mạng;

k) Buộc sửa đổi thông tin đối với sản phẩm, thiết bị, dịch vụ, phần mềm;

l) Buộc cải chính kết quả thẩm định, đánh giá, kiểm tra, chứng nhận về an ninh mạng;

m) Buộc thẩm định, đánh giá, kiểm tra, chứng nhận lại về an ninh mạng;

n) Buộc công bố lại thông tin thẩm định, đánh giá, kiểm tra, chứng nhận, thông tin về sản phẩm, thiết bị, dịch vụ, phần mềm;

o) Buộc nộp lại số lợi bất hợp pháp có được do thực hiện vi phạm hành chính hoặc buộc nộp lại số tiền bằng giá trị tang vật, phương tiện vi phạm hành chính đã bị tiêu thụ, tẩu tán, tiêu hủy trái quy định của pháp luật theo Điều 37 Luật Xử lý vi phạm hành chính.

p) Công khai xin lỗi trên các phương tiện thông tin đại chúng;

q) Buộc nộp lại giấy phép, chứng chỉ có liên quan; kiến nghị cơ quan có thẩm quyền thu hồi giấy phép, chứng chỉ, chứng nhận do vi phạm quy định của pháp luật.

Điều 5. Quy định về mức phạt tiền, thẩm quyền xử phạt

1. Mức phạt tiền quy định tại Chương II Nghị định này là mức phạt tiền được áp dụng đối với hành vi vi phạm hành chính do cá nhân thực hiện. Đối với tổ chức có cùng hành vi vi phạm, mức phạt tiền gấp 02 lần mức phạt tiền đối với cá nhân.

2. Thẩm quyền xử phạt của các chức danh quy định tại Chương III Nghị định này là thẩm quyền áp dụng đối với một hành vi vi phạm hành chính của cá nhân. Trong trường hợp phạt tiền, thẩm quyền xử phạt đối với tổ chức gấp 02 lần thẩm quyền xử phạt đối với cá nhân.

Điều 6. Hành vi vi phạm hành chính đã kết thúc, đang thực hiện

1. Thời điểm chấm dứt hành vi vi phạm để tính thời hiệu xử phạt:

a) Đối với hành vi vi phạm quy định về hoạt động tài chính, tín dụng, ngân hàng tại Nghị định này, thời điểm chấm dứt hành vi vi phạm để tính thời hiệu xử phạt là ngày các bên hoàn thành nghĩa vụ;

b) Đối với hành vi đăng ký, thông báo, thực hiện thủ tục hành chính, không gửi, không ban hành quy định nội bộ, ban hành quy định nội bộ không đúng quy định pháp luật theo quy định tại Nghị định này, thời điểm chấm dứt hành vi vi phạm để tính thời hiệu xử phạt là ngày đăng ký, thông báo, thực hiện thủ tục hành chính, gửi, ban hành quy định nội bộ;

2. Ngoài hành vi vi phạm hành chính tại điểm a, b khoản 1 Điều này, cơ quan, người có thẩm quyền xử phạt vi phạm hành chính căn cứ vào các văn bản quy phạm pháp luật có liên quan, hồ sơ, tài liệu và tình tiết của từng vụ việc cụ thể để xác định hành vi vi phạm đã kết thúc hay hành vi vi phạm đang thực hiện theo quy định tại Nghị định 118/2021/NĐ-CP.

Chương II

HÀNH VI VI PHẠM HÀNH CHÍNH, HÌNH THỨC XỬ PHẠT VÀ BIỆN PHÁP KHẮC PHỤC HẬU QUẢ

Mục 1. VI PHẠM QUY ĐỊNH VỀ BẢO ĐẢM AN NINH THÔNG TIN

Điều 7. Làm ra và phát tán thông tin trên không gian mạng có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng chưa đến mức truy cứu trách nhiệm hình sự

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với các hành vi sau đây:

a) Phát tán thông tin có nội dung kêu gọi, tổ chức, thực hiện cấu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào tạo, huấn luyện người khác nhằm chống phá Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, tiến hành các hoạt động vũ trang hoặc dùng bạo lực nhằm chống chính quyền Nhân dân;

b) Phát tán thông tin có nội dung kêu gọi, vận động, xúi giục, đe dọa, gây chia rẽ, tiến hành hoạt động vũ trang hoặc dùng bạo lực nhằm chống chính quyền Nhân dân;

c) Phát tán thông tin có nội dung kêu gọi, vận động, xúi giục, đe dọa, lôi kéo tụ tập đông người gây rối, chống người thi hành công vụ, cản trở hoạt động của cơ quan, tổ chức gây mất ổn định về an ninh, trật tự;

d) Phát tán thông tin có nội dung tuyên truyền xuyên tạc, phỉ báng chính quyền Nhân dân;

đ) Phát tán thông tin có nội dung xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc;

e) Phát tán thông tin có nội dung xuyên tạc lịch sử, phủ nhận thành tựu cách mạng;

g) Phát tán thông tin có nội dung chia rẽ, gây thù hận giữa các dân tộc, tôn giáo và Nhân dân các nước, phá hoại khối đại đoàn kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt chủng tộc;

h) Phát tán thông tin có nội dung bịa đặt, sai sự thật về chủ quyền quốc gia, an ninh, quốc phòng.

2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với các hành vi sau đây:

a) Làm ra thông tin có nội dung kêu gọi, tổ chức, thực hiện cấu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào tạo, huấn luyện người khác nhằm chống phá Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, tiến hành các hoạt động vũ trang hoặc dùng bạo lực nhằm chống chính quyền Nhân dân;

b) Làm ra thông tin có nội dung kêu gọi, vận động, xúi giục, đe dọa, gây chia rẽ, tiến hành hoạt động vũ trang hoặc dùng bạo lực nhằm chống chính quyền Nhân dân;

c) Làm ra thông tin có nội dung kêu gọi, vận động, xúi giục, đe dọa, lôi kéo tụ tập đông người gây rối, chống người thi hành công vụ, cản trở hoạt động của cơ quan, tổ chức gây mất ổn định về an ninh, trật tự;

d) Làm ra thông tin có nội dung tuyên truyền xuyên tạc, phỉ báng chính quyền Nhân dân;

đ) Làm ra thông tin có nội dung xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc;

e) Làm ra thông tin có nội dung xuyên tạc lịch sử, phủ nhận thành tựu cách mạng;

g) Làm ra thông tin có nội dung chia rẽ, gây thù hận giữa các dân tộc, tôn giáo và Nhân dân các nước, phá hoại khối đại đoàn kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt chủng tộc;

h) Làm ra thông tin có nội dung bịa đặt, sai sự thật về chủ quyền quốc gia, an ninh, quốc phòng.

3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với các hành vi sau đây:

a) Làm ra và phát tán thông tin có nội dung kêu gọi, tổ chức, thực hiện cấu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào tạo, huấn luyện người khác nhằm chống phá Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, tiến hành các hoạt động vũ trang hoặc dùng bạo lực nhằm chống chính quyền Nhân dân;

b) Làm ra và phát tán thông tin có nội dung kêu gọi, vận động, xúi giục, đe dọa, gây chia rẽ, tiến hành hoạt động vũ trang hoặc dùng bạo lực nhằm chống chính quyền Nhân dân;

c) Làm ra và phát tán thông tin có nội dung kêu gọi, vận động, xúi giục, đe dọa, lôi kéo tụ tập đông người gây rối, chống người thi hành công vụ, cản trở hoạt động của cơ quan, tổ chức gây mất ổn định về an ninh, trật tự;

d) Làm ra và phát tán thông tin có nội dung tuyên truyền xuyên tạc, phỉ báng chính quyền Nhân dân;

đ) Làm ra và phát tán thông tin có nội dung xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc;

e) Làm ra và phát tán thông tin có nội dung xuyên tạc lịch sử, phủ nhận thành tựu cách mạng;

g) Làm ra và phát tán thông tin có nội dung chia rẽ, gây thù hận giữa các dân tộc, tôn giáo và Nhân dân các nước, phá hoại khối đại đoàn kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt chủng tộc;

h) Làm ra và phát tán thông tin có nội dung bịa đặt, sai sự thật về chủ quyền quốc gia, an ninh, quốc phòng;

i) Thiết lập các trang thông tin điện tử, mạng xã hội hoặc tài khoản, chuyên trang, hội, nhóm trên mạng xã hội, diễn đàn điện tử để đăng tải, hướng dẫn thực hiện việc làm ra, phát tán thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng.

4. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng Giấy phép hoạt động của trang thông tin điện tử, Cổng thông tin điện tử từ 01 tháng đến 03 tháng đối với hành vi quy định tại điểm i khoản 3 Điều này;

b) Tước quyền sử dụng Giấy phép thiết lập mạng xã hội từ 01 tháng đến 03 tháng đối với hành vi quy định tại khoản 1, 2, 3 Điều này;

c) Tịch thu tang vật, phương tiện đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;

d) Đình chỉ hoạt động từ 01 tháng đến 03 tháng đối với doanh nghiệp thực hiện hành vi vi phạm quy định tại điểm i khoản 2 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc gỡ, xóa thông tin vi phạm, xóa hội, nhóm trên không gian mạng thực hiện hành vi chia sẻ, bình luận, phát tán, làm ra, tàng trữ, soạn thảo, đăng tải thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng đối với hành vi quy định tại khoản 1, 2, 3 Điều này;

b) Buộc thu hồi hoặc buộc hoàn trả tên miền do thực hiện hành vi vi phạm quy định tại điểm i khoản 3 Điều này;

c) Công khai xin lỗi trên các  phương tiện thông tin đại chúng hoặc phương tiện đã đăng tải thông tin về hành vi làm ra, phát tán, tàng trữ đăng tải thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng đối với hành vi quy định tại khoản 1, 2, 3 Điều này;

d) Buộc cải chính thông tin sai sự thật hoặc gây nhầm lẫn chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng đối với hành vi quy định tại khoản 1, 2, 3 Điều này.

Điều 8. Làm ra và phát tán thông tin trên không gian mạng có nội dung sai sự thật, xúc phạm, làm nhục, vu khống, ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân chưa đến mức truy cứu trách nhiệm hình sự

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với các hành vi sau đây:

a) Làm ra thông tin có nội dung xúc phạm danh dự, uy tín, nhân phẩm của người khác;

b) Làm ra thông tin có nội dung thông tin bịa đặt, sai sự thật xâm phạm danh dự, uy tín, nhân phẩm của người khác;

c) Làm ra thông tin ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân.

2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với các hành vi sau đây:

a) Phát tán thông tin có nội dung xúc phạm danh dự, uy tín, nhân phẩm của người khác;

b) Phát tán thông tin có nội dung thông tin bịa đặt, sai sự thật xâm phạm danh dự, uy tín, nhân phẩm của người khác;

c) Phát tán thông tin ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân;

d) Giả mạo trang thông tin điện tử, mạng xã hội của cơ quan, tổ chức, cá nhân;

3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi thiết lập các trang thông tin điện tử, mạng xã hội hoặc tài khoản, chuyên trang, hội, nhóm trên mạng xã hội, diễn đàn điện tử để đăng tải, hướng dẫn thực hiện việc làm ra, đăng tải thông tin có nội dung sai sự thật, xuyên tạc, xúc phạm, làm nhục, vu khống, ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân.

4. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng Giấy phép hoạt động của trang thông tin điện tử, Giấy phép thiết lập mạng xã hội, Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, Giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng từ 01 tháng đến 03 tháng đối với hành vi quy định tại khoản 3 Điều này;

b) Tịch thu tang vật, phương tiện đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;

c) Đình chỉ hoạt động từ 01 tháng đến 03 tháng đối với doanh nghiệp thực hiện hành vi vi phạm quy định tại khoản 3 Điều này.

5. Biện pháp khắc phục hậu quả:

a) Buộc gỡ, xóa thông tin trên không gian mạng có nội dung sai sự thật, xuyên tạc nhằm xúc phạm, làm nhục, vu khống, ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;

b) Buộc thu hồi hoặc buộc hoàn trả tên miền do thực hiện hành vi vi phạm quy định tại điểm d khoản 1, khoản 3 Điều này;

c) Công khai xin lỗi trên các  phương tiện thông tin đại chúng hoặc phương tiện đã đăng tải thông tin trên không gian mạng có nội dung sai sự thật, xuyên tạc nhằm xúc phạm, làm nhục, vu khống, ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân đối với hành vi quy định tại khoản 1, 2, 3 Điều này;

d) Buộc cải chính thông tin trên không gian mạng có nội dung sai sự thật, xuyên tạc nhằm xúc phạm, làm nhục, vu khống, ảnh hưởng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân đối với hành vi quy định tại khoản 1, 2, 3 Điều này.

Điều 9. Làm ra và phát tán thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý kinh tế chưa đến mức truy cứu trách nhiệm hình sự

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với các hành vi sau đây:

a) Làm ra thông tin bịa đặt, sai sự thật về sản phẩm, hàng hóa, tiền, trái phiếu, tín phiếu, công trái, séc và các loại giấy tờ có giá khác;

b) Làm ra thông tin bịa đặt, sai sự thật trong lĩnh vực tài chính, ngân hàng, chứng khoán.

2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với các hành vi sau đây:

a) Làm ra và phát tán thông tin bịa đặt, sai sự thật về sản phẩm, hàng hóa, tiền, trái phiếu, tín phiếu, công trái, séc và các loại giấy tờ có giá khác;

b) Làm ra và phát tán thông tin bịa đặt, sai sự thật trong lĩnh vực tài chính, ngân hàng, chứng khoán.

3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi thiết lập các trang thông tin điện tử, mạng xã hội hoặc tài khoản, chuyên trang, hội, nhóm trên mạng xã hội, diễn đàn điện tử để đăng tải, hướng dẫn thực hiện các hành vi quy định tại khoản 1, 2 Điều này.

4. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng Giấy phép hoạt động của trang thông tin điện tử, Giấy phép thiết lập mạng xã hội, Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, Giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 3 Điều này;

b) Tịch thu tang vật, phương tiện đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;

c) Đình chỉ hoạt động từ 01 tháng đến 03 tháng đối với doanh nghiệp thực hiện hành vi vi phạm quy định tại khoản 3 Điều này.

5. Biện pháp khắc phục hậu quả:

a) Buộc gỡ, xóa thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý kinh tế đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;

b) Buộc thu hồi hoặc buộc hoàn trả tên miền do thực hiện hành vi vi phạm quy định tại khoản 3 Điều này;

c) Công khai xin lỗi trên các phương tiện thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý kinh tế đối với hành vi quy định tại khoản 1, 2, 3 Điều này;

d) Buộc cải chính thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý kinh tế đối với hành vi quy định tại khoản 1, 2, 3 Điều này.

Điều 10. Làm ra và phát tán thông tin trên không gian mạng có nội dung bịa đặt, sai sự thật, gây hoang mang trong Nhân dân, ảnh hưởng tới trật tự xã hội chưa đến mức truy cứu trách nhiệm hình sự

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với các hành vi sau đây:

a) Làm ra thông tin sai sự thật, gây hoang mang trong Nhân dân, ảnh hưởng tới trật tự xã hội;

b) Làm ra thông tin có nội dung phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe của cộng đồng;

c) Làm ra thông tin có nội dung xúi giục, lôi kéo, kích động người khác vi phạm pháp luật.

2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với các hành vi sau đây:

a) Phát tán thông tin sai sự thật, gây hoang mang trong Nhân dân, ảnh hưởng tới trật tự xã hội;

b) Phát tán thông tin có nội dung phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe của cộng đồng;

c) Phát tán thông tin có nội dung xúi giục, lôi kéo, kích động người khác vi phạm pháp luật.

3. Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi thiết lập các trang thông tin điện tử, mạng xã hội hoặc tài khoản, hội, nhóm, chuyên trang trên mạng xã hội, diễn đàn điện tử để đăng tải, hướng dẫn thực hiện các hành vi tại khoản 1, 2 Điều này.

4. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng Giấy phép hoạt động của trang thông tin điện tử, Giấy phép thiết lập mạng xã hội, Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, Giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 3 Điều này;

b) Tịch thu tang vật, phương tiện đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;

c) Đình chỉ hoạt động từ 01 tháng đến 03 tháng đối với doanh nghiệp thực hiện hành vi vi phạm quy định tại khoản 3 Điều này.

5. Biện pháp khắc phục hậu quả:

a) Buộc gỡ, xóa thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý kinh tế đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;

b) Buộc thu hồi hoặc buộc hoàn trả tên miền do thực hiện hành vi vi phạm quy định tại khoản 3 Điều này;

c) Kiến nghị cơ quan có thẩm quyền thu hồi giấy phép, chứng chỉ, chứng nhận do vi phạm quy định của pháp luật đối với hành vi vi phạm quy định tại khoản 3 Điều này;

d) Công khai xin lỗi trên các phương tiện truyền thông về hành vi Làm ra và phát tán, tàng trữ thông tin trên không gian mạng có nội dung bịa đặt, sai sự thật nhằm gây hoang mang trong Nhân dân, ảnh hưởng tới trật tự xã hội đối với hành vi quy định tại khoản 1, 2, 3 Điều này;

đ) Buộc cải chính thông tin trên không gian mạng có nội dung bịa đặt, sai sự thật nhằm gây hoang mang trong Nhân dân, ảnh hưởng tới trật tự xã hội đối với hành vi quy định tại khoản 1, 2, 3 Điều này.

Điều 11. Vi phạm quy định về trách nhiệm xử lý thông tin trên không gian mạng có nội dung vi phạm pháp luật

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với các hành vi cung cấp, chia sẻ đường dẫn đến thông tin trên mạng có nội dung vi phạm quy định của pháp luật.

2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với các hành vi:

a) Không triển khai biện pháp quản lý, kỹ thuật nhằm phòng ngừa, phát hiện, ngăn chặn, gỡ, xóa bỏ các thông tin có nội dung vi phạm pháp luật khi được yêu cầu;

b) Không phối hợp với cơ quan chức năng triển khai biện pháp quản lý, kỹ thuật nhằm phòng ngừa, phát hiện, ngăn chặn, gỡ, xóa bỏ các thông tin có nội dung vi phạm pháp luật;

c) Không thực hiện biện pháp quản lý, kỹ thuật nhằm phòng ngừa, phát hiện, ngăn chặn, gỡ, xóa bỏ các thông tin có nội dung vi phạm pháp luật theo yêu cầu của cơ quan chức năng;

d) Không thực hiện gỡ, xóa bỏ các thông tin có nội dung vi phạm pháp luật theo yêu cầu của cơ quan chức năng;

đ) Không cung cấp thông tin về hành vi vi phạm pháp luật được đăng tải, chia sẻ trên hệ thống thông tin, sản phẩm, dịch vụ do tổ chức, cá nhân theo yêu cầu của cơ quan chức năng có thẩm quyền.

3. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với các hành vi sau đây:

a) Không bố trí cổng kết nối hoặc các điều kiện kỹ thuật cần thiết cho nhiệm vụ bảo đảm an ninh thông tin, an ninh mạng theo yêu cầu của Bộ Công an;

b) Không thực hiện ngăn chặn, ngừng cung cấp dịch vụ viễn thông, Internet đối với trường hợp bạo động, bạo loạn, sử dụng dịch vụ viễn thông xâm phạm an ninh quốc gia, chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;

c) Không chấp hành quyết định huy động một phần hoặc toàn bộ cơ sở hạ tầng viễn thông, Internet trong trường hợp xử lý tình huống nguy hiểm về an ninh mạng;

d) Cố tình chậm cung cấp thông tin phục vụ bảo vệ an ninh quốc gia theo yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.

4. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng Giấy phép hoạt động của trang thông tin điện tử, Giấy phép thiết lập mạng xã hội, Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, Giấy phép kinh doanh sản phẩm, dịch vụ an ninh mạng từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 2, 3 Điều này;

b) Tịch thu tang vật, phương tiện đối với hành vi vi phạm quy định tại khoản 1, 2 Điều này;

c) Đình chỉ hoạt động từ 01 tháng đến 03 tháng đối với doanh nghiệp thực hiện hành vi vi phạm quy định tại khoản 2, 3 Điều này.

5. Biện pháp khắc phục hậu quả:

a) Buộc gỡ, xóa thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý kinh tế đối với hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này;

b) Buộc thu hồi hoặc buộc hoàn trả tên miền do thực hiện hành vi vi phạm quy định tại điểm c khoản 2 Điều này;

c) Kiến nghị cơ quan có thẩm quyền thu hồi giấy phép, chứng chỉ, chứng nhận do vi phạm quy định của pháp luật đối với hành vi vi phạm quy định tại khoản 2, 3 Điều này.

Điều 12. Vi phạm quy định về bảo vệ thông tin thuộc bí mật nhà nước, bí mật kinh doanh, bí mật cá nhân, bí mật công tác, bí mật gia đình và đời sống riêng tư trên không gian mạng chưa đến mức truy cứu trách nhiệm hình sự

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi không xây dựng các biện pháp bảo vệ bí mật nhà nước phòng, chống lộ, mất bí mật nhà nước qua các kênh kỹ thuật.

2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với các hành vi sau đây:

a) Làm ra, lưu trữ thông tin thuộc bí mật nhà nước trên máy tính có kết nối Internet hoặc trao đổi thông tin mạng bí mật nhà nước trên không gian mạng trái quy định của pháp luật về bảo vệ bí mật nhà nước;

b) Đưa lên không gian mạng thông tin thuộc bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trái quy định của pháp luật;

c) Không thực hiện yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng về phòng, chống gián điệp mạng, bảo vệ thông tin thuộc bí mật nhà nước theo quy định của pháp luật;

d) Thay đổi, hủy bỏ hoặc vô hiệu hóa trái phép các biện pháp kỹ thuật được xây dựng, sử dụng để bảo vệ thông tin thuộc bí mật nhà nước.

3. Hình thức xử phạt bổ sung:

a) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại điểm a khoản 2 Điều này;

b) Đình chỉ, tạm đình chỉ từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại điểm c khoản 2 Điều này;

c) Tước quyền sử dụng Giấy phép hoạt động của trang thông tin điện tử từ 01 tháng đến 03 tháng đối với hành vi vi phạm quy định tại khoản 2 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc xây dựng, áp dụng biện pháp bảo vệ bí mật nhà nước phòng, chống lộ, mất bí mật nhà nước qua các kênh kỹ thuật đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

b) Buộc tiêu hủy sản phẩm, thiết bị, dịch vụ, phần mềm gây lộ, mất bí mật nhà nước, không bảo đảm an ninh mạng đối với các hành vi vi phạm quy định tại điểm a, b khoản 2 Điều này;

c) Buộc kiểm tra an ninh mạng lại đối với các sản phẩm, thiết bị, dịch vụ, phần mềm phục vụ bảo vệ bí mật nhà nước đối với các hành vi vi phạm quy định tại điểm a khoản 2 Điều này;

d) Buộc xóa, hủy đến mức không thể khôi phục dữ liệu về thông tin thuộc bí mật nhà nước, bí mật kinh doanh, bí mật cá nhân, bí mật công tác, bí mật gia đình và đời sống riêng tư trên không gian mạng vi phạm quy định tại điểm a, b khoản 2 Điều này.

Mục 2. VI PHẠM QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN

Điều 13. Vi phạm nguyên tắc bảo vệ dữ liệu cá nhân

1. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:

a) Dữ liệu cá nhân được xử lý trái quy định của pháp luật;

b) Chủ thể dữ liệu không được biết và không được nhận thông báo về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình;

c) Dữ liệu cá nhân không được xử lý đúng với mục đích được đăng ký, tuyên bố về xử lý dữ liệu cá nhân;

d) Dữ liệu cá nhân thu thập không phù hợp và không đúng giới hạn trong phạm vi, mục đích cần xử lý;

đ) Dữ liệu cá nhân được cập nhật, bổ sung trái với mục đích xử lý;

e) Dữ liệu cá nhân không được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật;

g) Dữ liệu cá nhân được lưu trữ quá thời gian phục vụ mục đích xử lý dữ liệu và quy định của pháp luật có liên quan.

2. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại điểm a, g khoản 1 Điều này.

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại điểm b, đ, e khoản 1 Điều này;

3. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại điểm a, c, d, đ khoản 1 Điều này;

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này;

c) Công khai xin lỗi chủ thể dữ liệu cá nhân đối với các hành vi vi phạm quy định tại điểm a, b, c, d, đ khoản 1 Điều này.

Điều 14. Vi phạm quyền của chủ thể dữ liệu

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Chủ thể dữ liệu không được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác;

c) Chủ thể dữ liệu không được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác;

d) Chủ thể dữ liệu đã rút lại sự đồng ý của mình mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba (nếu có) vẫn tiếp tục thu thập, xử lý, trừ trường hợp luật có quy định khác;

đ) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không xóa dữ liệu cá nhân theo đề nghị của chủ thể dữ liệu hoặc không xóa, hủy dữ liệu cá nhân đã thu thập theo quy định trong trường hợp không còn cần thiết cho mục đích thu thập ban đầu, trừ trường hợp luật có quy định khác;

e) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không xóa dữ liệu trong 48 giờ, trừ ngày nghỉ, ngày lễ, ngày Tết sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật có quy định khác;

g) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba (nếu có) không hạn chế xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu yêu cầu, trừ trường hợp luật có quy định khác;

h) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba (nếu có) không cung cấp dữ liệu cá nhân theo yêu cầu của chủ thể dữ liệu hoặc không bảo đảm việc cung cấp được thực hiện trong 48 giờ, trừ ngày nghỉ, ngày lễ, ngày Tết sau khi có yêu cầu của Chủ thể dữ liệu;

2. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với các hành vi: Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không thực hiện việc ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc tiếp tục sử dụng cho mục đích quảng cáo, tiếp thị sau khi có sự phản đối của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác hoặc không bảo đảm việc thực hiện trong 48 giờ, trừ ngày nghỉ, ngày lễ, ngày Tết sau khi có yêu cầu của Chủ thể dữ liệu;

3. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với các hành vi:

Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba (nếu có) thực hiện các hoạt động nhằm ngăn chủ thể dữ liệu khiếu nại, tố cáo hoặc khởi kiện theo quy định của Luật Khiếu nại, Luật Tố cáo và các văn bản pháp luật khác có liên quan trọng các trường hợp được quy định tại khoản 9 Điều 5 Nghị định bảo vệ dữ liệu cá nhân.

4. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khi tổ chức, cá nhân vi phạm đối với các quy định tại khoản 1, 2, 3 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại điểm đ khoản 1, khoản 2 Điều này;

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại điểm d khoản 1, khoản 2 Điều này.

5. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại điểm đ khoản 1 Điều này;

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 2 Điều này.

Điều 15. Vi phạm quy định về sự đồng ý của chủ thể dữ liệu

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Việc xử lý dữ liệu cá nhân không được sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;

b) Chủ thể dữ liệu bị bắt buộc phải đồng ý cho xử lý dữ liệu cá nhân để thực hiện một dịch vụ khác ngoài mục đích thu thập;

c) Thu thập không đúng loại dữ liệu cá nhân được chủ thể dữ liệu đồng ý cho xử lý;

d) Xử lý sai mục đích xử lý dữ liệu cá nhân mà chủ thể dữ liệu đã đồng ý;

đ) Sự đồng ý của chủ thể dữ liệu không được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này;

e) Không có quy định thể hiện chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo;

g) Không thông báo hoặc thể hiện rõ cho chủ thể dữ liệu biết dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm;

h) Không chứng minh hoặc từ chối nghĩa vụ chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.

2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với các hành vi:

a) Tiếp tục thực hiện xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản;

b) Xử lý dữ liệu cá nhân khi chủ thể dữ liệu im lặng hoặc không phản hồi trước yêu cầu đồng ý;

c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không chứng minh hoặc không nhận chứng minh rằng chủ thể dữ liệu đã đồng ý cho xử lý dữ liệu cá nhân.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khi tổ chức, cá nhân vi phạm đối với các quy định tại điểm a, c, d khoản 1, khoản 2 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại điểm a, c, d khoản 1, khoản 2 Điều này.

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại điểm a, c, d khoản 1, khoản 2 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại điểm a, c, d khoản 1, khoản 2 Điều này.

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại điểm a, c, d khoản 1, khoản 2 Điều này;

c) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại điểm a khoản 2 Điều này.

Điều 16. Vi phạm quy định về rút lại sự đồng ý

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Ngăn chặn hoặc cố tình gây khó khăn cho sự rút lại sự đồng ý xử lý dữ liệu cá nhân của chủ thể dữ liệu;

b) Không thông báo cho chủ thể dữ liệu về hậu quả có thể xảy ra khi rút lại sự đồng ý;

2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với hành vi không ngừng xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu đã rút lại sự đồng ý.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khi tổ chức, cá nhân vi phạm đối với các quy định tại khoản 2 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 2 Điều này.

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 2 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 2 Điều này.

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 2 Điều này;

c) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại điểm a khoản 2 Điều này.

Điều 17. Vi phạm quy định về thông báo xử lý dữ liệu cá nhân

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Không thông báo cho chủ thể dữ liệu trước khi tiến hành chỉnh sửa, tiết lộ, xóa, hủy dữ liệu cá nhân;

b) Không thông báo đầy đủ cho chủ thể dữ liệu về mục đích xử lý; loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý; cách thức xử lý; thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý; hậu quả, thiệt hại không mong muốn có khả năng xảy ra; thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu;

c) Việc thông báo của chủ thể dữ liệu không được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được;

d) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng trong trường hợp vi phạm lần thứ 02 quy định tại khoản 1 Điều này.

2. Biện pháp khắc phục hậu quả:

Buộc thực hiện biện pháp thông báo xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 18. Vi phạm quy định về cung cấp dữ liệu cá nhân

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Không cung cấp hoặc tìm cách gây khó khăn cản trở việc cung cấp dữ liệu cá nhân khi chủ thể dữ liệu có yêu cầu;

a) Cung cấp dữ liệu cá nhân cho chủ thể dữ liệu, dữ liệu cá nhân thuộc sở hữu hoặc dưới sự kiểm soát của tổ chức khi chủ thể dữ liệu chưa đồng ý cho phép đại diện;

b) Cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho cho tổ chức, cá nhân khác khi chưa có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;

c) Không thực hiện cung cấp dữ liệu cá nhân trong 72 giờ, không tính ngày nghỉ, ngày lễ, ngày Tết sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật có quy định khác;

d) Vi phạm quy định về không cung cấp dữ liệu cá nhân trong trường hợp gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội; việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác; chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận dữ liệu cá nhân;

đ) Cung cấp dữ liệu cá nhân mà không sử dụng Phiếu yêu cầu cung cấp dữ liệu cá nhân hoặc ghi không đầy đủ thông tin của Phiếu yêu cầu cung cấp dữ liệu cá nhân;

e) Không thông báo về thời hạn, địa điểm, hình thức cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán;

g) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng trong trường hợp vi phạm lần thứ 02 quy định tại khoản 1 Điều này;

2. Biện pháp khắc phục hậu quả:

a) Buộc cung cấp dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

b) Công khai xin lỗi trên các phương tiện thông tin đại chúng.

Điều 19. Vi phạm quy định về chỉnh sửa dữ liệu cá nhân

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Không cho phép chủ thể dữ liệu được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác;

b) Không chấp thuận yêu cầu đề nghị chỉnh sửa dữ liệu cá nhân trong trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác;

c) Cố tình trì hoãn hoặc không chỉnh sửa dữ liệu cá nhân sau khi đã đồng ý với đề nghị của chủ thể dữ liệu;

d) Không thông báo tới chủ thể dữ liệu về trường hợp không thể chỉnh sửa dữ liệu cá nhân trong 72 giờ, trừ ngày nghỉ, ngày lễ, ngày Tết kể từ khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu;

đ) Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu khi chưa được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu;

e) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng trong trường hợp vi phạm lần thứ 02 quy định tại khoản 1 Điều này.

2. Biện pháp khắc phục hậu quả:

Buộc thực hiện biện pháp chỉnh sửa dữ liệu cá nhân khi có yêu cầu hợp pháp của chủ thể dữ liệu đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

Điều 20. Vi phạm quy định về lưu trữ, xóa, hủy dữ liệu cá nhân

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Tiếp tục lưu trữ dữ liệu cá nhân khi không còn phù hợp với mục đích thu thập, khi chủ thể dữ liệu đã rút lại sự đồng ý hoặc yêu cầu xóa, hủy, dữ liệu cá nhân của mình;

b) Lưu trữ dữ liệu cá nhân mà không có hợp đồng hoặc không có văn bản của cơ quan nhà nước có thẩm quyền quy định về chức năng, nhiệm vụ được giao phù hợp với việc lưu trữ dữ liệu cá nhân;

c) Tiếp tục xử lý dữ liệu cá nhân khi đã có phản đối của chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý dữ liệu cá nhân;

d) Việc xóa dữ liệu không được thực hiện trong 72 giờ, trừ ngày nghỉ, ngày lễ, ngày Tết sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác;

đ) Xóa dữ liệu nhưng có thể khôi phục trong trường hợp tại khoản 7 Điều 16 Nghị định số 13/2023/NĐ-CP;

2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:

a) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;

b) Dữ liệu cá nhân phải xóa theo quy định của pháp luật.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này.

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1, 2 Điều này;

c) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại khoản 1, 2 Điều này.

Điều 21. Vi phạm quy định về xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi ghi âm, ghi hình nơi công cộng và xử lý dữ liệu cá nhân thu được từ hoạt động trên mà không thông báo để chủ thể hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.

2. Hình thức xử phạt bổ sung:

Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng trong trường hợp vi phạm lần thứ 02 quy định tại khoản 1 Điều này.

3. Biện pháp khắc phục hậu quả:

Buộc áp dụng hình thức thông báo để chủ thể hiểu được mình đang bị ghi âm, ghi hình.

Điều 22. Vi phạm quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo

1. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:

a) Sử dụng dữ liệu cá nhân của khách hàng không được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo;

b) Cung cấp thông tin của khách hàng trái với nguyên tắc xử lý dữ liệu cá nhân;

c) Khách hàng không biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm;

d) Không chứng minh được việc sử dụng dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo đúng với quy định tại khoản 1 và 2 Điều 21 Nghị định 13/2023/NĐ-CP.

2. Phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi vi phạm từ lần 2 trở lên đối với các quy định tại khoản 1 Điều này.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này;

c) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại khoản 1 Điều này;

d) Buộc sửa đổi thông tin đối với sản phẩm, thiết bị, dịch vụ, phần mềm có liên quan tới hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 23. Vi phạm quy định về thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân

1. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:

a) Chuyển giao dữ liệu cá nhân không thuộc các trường hợp được pháp luật quy định cho phép chuyển giao hoặc trái với nguyên tắc bảo vệ dữ liệu cá nhân;

b) Mua, bán trái phép dữ liệu cá nhân nhưng chưa đến mức truy cứu trách nhiệm hình sự;

c) Thiết lập các hệ thống phần mềm, biện pháp kỹ thuật thu thập, xử lý trái phép dữ liệu cá nhân.

2. Phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi vi phạm từ lần 2 trở lên đối với các quy định tại khoản 1 Điều này.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này.

c) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 24. Vi phạm quy định về thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không thông báo trong thời gian quy định khi phát hiện xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân;

b) Bên Xử lý dữ liệu cá nhân không thông báo hoặc thông báo sau 72 giờ, trừ ngày nghỉ, ngày lễ, ngày Tết cho Bên Kiểm soát dữ liệu cá nhân sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân;

c) Thông báo không đầy đủ các nội dung liên quan tới vi phạm quy định về bảo vệ dữ liệu cá nhân;

d) Không lập biên bản vi phạm quy định bảo vệ dữ liệu cá nhân;

đ) Không phối hợp hoặc phối hợp không đầy đủ với lực lượng chức năng, cơ quan chức năng có thẩm quyền xử lý vi phạm quy định về bảo vệ dữ liệu cá nhân.

2. Hình thức xử phạt bổ sung:

Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng trong trường hợp vi phạm lần thứ 02 quy định tại khoản 1 Điều này.

3. Biện pháp khắc phục hậu quả:

Buộc thông báo đầy đủ vi phạm quy định về bảo vệ dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 25. Vi phạm quy định về đánh giá tác động xử lý dữ liệu cá nhân

1. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với các hành vi:

a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không lập hoặc không lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân;

b) Bên Xử lý dữ liệu cá nhân không lập hoặc không lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân.

c) Không gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân;

d) Không chấp hành yêu cầu chỉnh sửa, hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).

2. Phạt tiền gấp 02 lần quy định tại khoản 1 Điều này đối với hành vi để lộ, mất dữ liệu cá nhân của 100.000 công dân Việt Nam tới dưới 1.000.000 công dân Việt Nam.

3. Phạt tiền gấp 05 lần quy định tại khoản 1 Điều này đối với hành vi để lộ, mất dữ liệu cá nhân của 1.000.000 công dân Việt Nam trở lên tới dưới 5.000.000 công dân Việt Nam.

4. Phạt tiền bằng 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi để lộ, mất dữ liệu cá nhân của 5.000.000 công dân Việt Nam trở lên.

5. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khi tổ chức, cá nhân vi phạm đối với các quy định tại khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

6. Biện pháp khắc phục hậu quả:

a) Buộc lập hoặc không lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đối với các hành vi vi phạm tại khoản 1 Điều này;

b) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này.

d) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 26. Vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài

1. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:

a) Bên chuyển dữ liệu ra nước ngoài không lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều 25 Nghị định 13/2023/NĐ-CP;

b) Không lập hoặc không lưu giữ Hồ sơ đánh giá tác động chuyển dữ liệu

cá nhân ra nước ngoài của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân;

c) Không gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân;

d) Không thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công;

d) Không chấp hành yêu cầu chỉnh sửa, hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).

đ) Không chấp hành yêu cầu kiểm tra chuyển dữ liệu cá nhân ra nước ngoài của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).

2. Phạt tiền gấp 02 lần quy định tại khoản 1 Điều này đối với hành vi quy định tại khoản 1 Điều này mà để lộ, mất dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân của 100.000 công dân Việt Nam tới dưới 1.000.000 công dân Việt Nam ra nước ngoài.

3. Phạt tiền gấp 05 lần quy định tại khoản 1 Điều này đối với hành vi quy định tại khoản 1 Điều này mà để lộ, mất dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân của 1.000.000 công dân Việt Nam tới dưới 5.000.000 công dân Việt Nam ra nước ngoài.

4. Phạt tiền bằng 3% đến 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi để lộ, mất dữ liệu cá nhân hoặc hoặc chuyển dữ liệu cá nhân của trên 5.000.000 công dân Việt Nam ra nước ngoài.

5. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khi tổ chức, cá nhân vi phạm đối với các quy định tại khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm quy định tại khoản 1 Điều này;

d) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

6. Biện pháp khắc phục hậu quả:

a) Buộc lập và lưu giữ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài đối với các hành vi vi phạm tại khoản 1 Điều này;

b) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này.

d) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 27. Vi phạm quy định về biện pháp bảo vệ dữ liệu cá nhân

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Không áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo quy định;

b) Không xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân cơ bản, không nêu rõ những việc cần thực hiện theo quy định của Nghị định số 13/2023/NĐ-CP và không kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc huỷ các thiết bị chứa dữ liệu cá nhân cơ bản.

2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:

a) Không chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân nhạy cảm, không chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân nhạy cảm và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân nhạy cảm với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;

b) Không thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 va Điều 18 Nghị định số 13/2023/NĐ-CP.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại điểm a khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại điểm a khoản 1 Điều này.

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc áp dụng biện pháp bảo vệ dữ liệu cá nhân đối với các hành vi vi phạm tại khoản 1 Điều này;

b) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại điểm a khoản 1, điểm b khoản 2 Điều này.

Mục 3. VI PHẠM QUY ĐỊNH VỀ PHÒNG, CHỐNG TẤN CÔNG MẠNG

Điều 28. Vi phạm quy định về phòng, chống tấn công mạng

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với các hành vi sau đây:

a) Cố ý phát tán hoặc làm lây nhiễm các chương trình tin học gây hại cho mạng viễn thông, Internet, mạng máy tính, phương tiện điện tử;

b) Cố ý phát tán chương trình tin học nhằm mục đích xóa hoặc mã hóa cơ sở dữ liệu thông tin của người khác;

c) Cản trở, rối loạn, làm tê liệt, gián đoạn, ngưng trệ hoạt động, ngăn chặn trái phép việc truyền tải dữ liệu của mạng viễn thông, Internet, mạng máy tính, phương tiện điện tử;

d) Xâm nhập, làm tổn hại, chiếm đoạt dữ liệu được lưu trữ, truyền đưa qua mạng viễn thông, Internet, mạng máy tính, phương tiện điện tử;

đ) Xâm nhập, cung cấp, tiết lô thông tin, dữ liệu; tạo ra hoặc khai thác các lỗ hổng bảo mật và dịch vụ hệ thống để chiếm đoạt thông tin, thu lợi bất chính, phá hoại;

e) Thực hiện hành vi gây ảnh hưởng đến hoạt động bình thường của mạng viễn thông, Internet, mạng máy tính, phương tiện điện tử;

g) Không cung cấp đầy đủ, kịp thời thông tin, tài liệu liên quan liên quan đến tấn công mạng theo yêu cầu của cơ quan có thẩm quyền.

2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với các hành vi sau đây:

a) Sản xuất, mua bán, trao đổi, tặng cho công cụ, thiết bị, phần mềm có tính năng tấn công mạng viễn thông, Internet, mạng máy tính, phương tiện điện tử để sử dụng vào mục đích trái pháp luật;

b) Sản xuất, mua bán, trao đổi, tặng cho chương trình tin học, phần mềm công nghệ thông tin gây hại cho mạng máy tính, mạng viễn thông, phương tiện điện tử;

c) Không phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng áp dụng các biện pháp để ngăn chặn, loại trừ hành vi tấn công mạng;

d) Cung cấp dịch vụ tấn công mạng trái pháp luật.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng bưu chính, viễn thông, thiết lập mạng viễn thông, trang thông tin điện tử tổng hợp, lắp đặt cáp viễn thông trên biển, sử dụng tần số vô tuyến điện, kinh doanh sản phẩm dịch vụ an ninh mạng, kinh doanh sản phẩm dịch vụ an toàn thông tin mạng, thiết lập mạng xã hội, cung cấp dịch vụ trò chơi điện tử G1, cung cấp dịch vụ chứng thực chữ ký số, chứng chỉ hành nghề, giấy phép hành nghề từ 12 tháng đến 18 tháng đối với hành vi vi phạm quy định tại điểm a, b, c, d, đ, e, g khoản 1, điểm a, b, d khoản 2 Điều này;

b) Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại điểm a, b, c, d, đ, e, g khoản 1, điểm a, b, d khoản 2 Điều này;

c) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm tại điểm a, b, c, d, đ, e, g khoản 1, điểm a, b, d khoản 2 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc gỡ, xóa bỏ chương trình, phần mềm, thu hồi hoặc tiêu hủy sản phẩm, thiết bị, ngừng cung cấp dịch vụ gây hại về an ninh mạng đối với hành vi vi phạm quy định tại điểm a, b, c, d, đ, e, g khoản 1, điểm a, b, d khoản 2 Điều này;

b) Buộc đưa ra khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc tái xuất hàng hoá, vật phẩm, phương tiện đối với hành vi vi phạm quy định tại điểm a, b, c, d, đ, e, g khoản 1, điểm a, b, d khoản 2 Điều này;

c) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu bị chiếm đoạt, mua bán, trao đổi trái phép đối với hành vi vi phạm quy định tại điểm a, b, c, d, đ, e, g khoản 1, điểm a, b, d khoản 2 Điều này;

d) Buộc xóa bỏ và cải chính thông tin sai sự thật hoặc gây nhầm lẫn đối với hành vi vi phạm quy định tại điểm a, b, c, d, đ, e, g khoản 1, điểm a, b, d khoản 2 Điều này;

đ) Buộc loại bỏ yếu tố vi phạm trong chương trình, sản phẩm, thiết bị, dịch vụ, phần mềm đối với hành vi vi phạm quy định tại điểm a, b, c, d, đ, e, g khoản 1, điểm a, b, d khoản 2 Điều này;

e) Buộc thu hồi sản phẩm, thiết bị, dịch vụ, phần mềm không bảo đảm chất lượng đối với hành vi vi phạm quy định tại điểm a, b, c, d, đ, e, g khoản 1, điểm a, b, d khoản 2 Điều này;

g) Buộc thu hồi số thuê bao, đầu số, kho số viễn thông; tài nguyên Internet, tên miền, địa chỉ Internet (IP), số hiệu mạng (ASN); mã số quản lý, số cung cấp dịch vụ đối với hành vi vi phạm quy định tại điểm a, b, c, d, đ, e, g khoản 1, điểm a, b, d khoản 2 Điều này;

h) Buộc hoàn trả địa chỉ IP, ASN, tên miền, các tài khoản số đối với hành vi vi phạm quy định tại điểm a, b, c, d, đ, e, g khoản 1, điểm a, b, d khoản 2 Điều này;

i) Buộc thu hồi số lợi bất hợp pháp có được đối với hành vi vi phạm quy định tại khoản 1 Điều này đối với hành vi vi phạm quy định tại điểm a, b, c, d, đ, e, g khoản 1, điểm a, b, d khoản 2 Điều này;

k) Buộc sửa đổi thông tin đối với sản phẩm, thiết bị, dịch vụ, phần mềm đối với quy định tại điểm a, b khoản 2 Điều này.

Điều 29. Vi phạm quy định về phòng, chống khủng bố mạng

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với các hành vi sau đây:

a) Sử dụng không gian mạng kích động hoạt động khủng bố hoặc đe dọa khủng bố;

b) Cố ý chia sẻ, bình luận cổ súy cho các thông tin tuyên truyền của các tổ chức, cá nhân khủng bố trên không gian mạng;

c) Làm ra thông tin có nội dung kêu gọi, vận động, xúi giục, lôi kéo người khác tiến hành hoạt động khủng bố mạng;

d) Làm ra và phát tán thông tin có nội dung kêu gọi, vận động, xúi giục, lôi kéo người khác tiến hành hoạt động khủng bố mạng.

2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với các hành vi sau đây:

a) Hỗ trợ việc sử dụng không gian mạng để thực hiện mục đích ủng hộ, tài trợ hoặc vận động người khác ủng hộ, tài trợ cho tổ chức, cá nhân khủng bố;

b) Chậm trễ, cản trở, không thực hiện các biện pháp theo yêu cầu của lực lượng chức năng trong phòng, chống khủng bố mạng;

c) Hỗ trợ các tổ chức, cá nhân khủng bố sử dụng không gian mạng đối phó với các biện pháp phòng, chống khủng bố mạng của cơ quan chức năng nhưng chưa đến mức xử lý hình sự.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng bưu chính, viễn thông, thiết lập mạng viễn thông, trang thông tin điện tử tổng hợp, lắp đặt cáp viễn thông trên biển, sử dụng tần số vô tuyến điện, kinh doanh sản phẩm dịch vụ an ninh mạng, kinh doanh sản phẩm dịch vụ an toàn thông tin mạng, thiết lập mạng xã hội, cung cấp dịch vụ trò chơi điện tử G1, cung cấp dịch vụ chứng thực chữ ký số, chứng chỉ hành nghề, giấy phép hành nghề từ 12 tháng đến 18 tháng đối với hành vi vi phạm quy định tại khoản 1, 2 Điều này;

b) Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;

c) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm tại khoản 1, 2 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc gỡ, xóa bỏ chương trình, phần mềm, thu hồi hoặc tiêu hủy sản phẩm, thiết bị, ngừng cung cấp dịch vụ gây hại về an ninh mạng đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;

b) Buộc đưa ra khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc tái xuất hàng hoá, vật phẩm, phương tiện đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;

c) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu bị chiếm đoạt, mua bán, trao đổi trái phép đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;

d) Buộc xóa bỏ và cải chính thông tin sai sự thật hoặc gây nhầm lẫn đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;

g) Buộc thu hồi sản phẩm, thiết bị, dịch vụ, phần mềm không bảo đảm chất lượng đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;

h) Buộc thu hồi số thuê bao, đầu số, kho số viễn thông; tài nguyên Internet, tên miền, địa chỉ Internet (IP), số hiệu mạng (ASN); mã số quản lý, số cung cấp dịch vụ đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;

i) Buộc hoàn trả địa chỉ IP, ASN, tên miền, các tài khoản số đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;

k) Buộc thu hồi số lợi bất hợp pháp có được đối với hành vi vi phạm quy định tại khoản 1 Điều này đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này.

Điều 30. Vi phạm quy định về phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng

1. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với các hành vi sau đây:

a) Không phối hợp ngăn chặn, gỡ, xóa bỏ thông tin có nội dung kích động trên không gian mạng có nguy cơ xảy ra bạo loạn, phá rối an ninh, khủng bố;

b) Không phối hợp triển khai các giải pháp kỹ thuật, nghiệp vụ để phòng ngừa, phát hiện, xử lý tình huống nguy hiểm về an ninh mạng;

c) Không phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng trong phòng ngừa, phát hiện, xử lý tình huống nguy hiểm về an ninh mạng;

d) Không triển khai ngay phương án phòng ngừa, ứng phó khẩn cấp về an ninh mạng, ngăn chặn, loại trừ hoặc giảm nhẹ thiệt hại do tình huống nguy hiểm về an ninh mạng gây ra;

đ) Không phối hợp thu thập thông tin liên quan; theo dõi, giám sát liên tục đối với tình huống nguy hiểm về an ninh mạng;

e) Không thực hiện ngừng cung cấp thông tin mạng tại khu vực cụ thể hoặc ngắt cổng kết nối mạng quốc tế;

g) Không bố trí lực lượng, phương tiện ngăn chặn, loại bỏ tình huống nguy hiểm về an ninh mạng.

2. Hình thức xử phạt bổ sung: Tước quyền sử dụng các giấy phép có liên quan tới hoạt động kinh doanh từ 12 tháng đến 18 tháng đối với hành vi vi phạm quy định tại khoản 1 Điều này.

3. Biện pháp khắc phục hậu quả: Buộc thực hiện các biện pháp phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

Mục 4. VI PHẠM QUY ĐỊNH VỀ TRIỂN KHAI HOẠT ĐỘNG BẢO VỆ AN NINH MẠNG

Điều 31. Vi phạm quy định về bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia

1. Phat tiền từ 5.000.000 đồng đến 15.000.000 đồng đối với một trong các hành vi vi phạm quy định về xác lập hệ thống thông tin quan trọng về an ninh quốc gia sau:

a) Không chủ động rà soát xác lập hệ thống thông tin quan trọng về an ninh quốc gia đối với hệ thống thông tin thuộc phạm vi quản lý;

b) Cố tình không rà soát xác lập hệ thống thông tin quan trọng về an ninh quốc gia đối với hệ thống thông tin thuộc phạm vi quản lý sau khi đã có thông báo của lực lượng chuyên trách bảo vệ an ninh mạng;

c) Không gửi Bộ Công an, Bộ Quốc phòng, Ban Cơ yếu Chính phủ theo phân cấp quản lý hồ sơ hệ thống thông tin quan trọng quốc gia đã được Thủ tướng Chính phủ phê duyệt để xác lập Danh mục hệ thống thông tin quan trọng về an ninh quốc gia;

d) Không chuyển cho Bộ Công an, Bộ Quốc phòng, Ban Cơ yếu Chính phủ theo phân cấp quản lý hồ sơ thẩm định về cấp độ an toàn thông tin mà xét thấy có đủ căn cứ để đưa vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia để thẩm định hồ sơ đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.

2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi vi phạm quy định về thẩm định an ninh mạng sau:

a) Không tiến hành thẩm định an ninh mạng làm cơ sở cho việc quyết định xây dựng hệ thống thông tin có đủ tiêu chí là hệ thống thông tin quan trọng về an ninh quốc gia;

b) Không tiến hành thẩm định an ninh mạng làm cơ sở cho việc nâng cấp hệ thống thông tin có đủ tiêu chí là hệ thống thông tin quan trọng về an ninh quốc gia.

3. Phat tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với một trong các hành vi vi phạm về kiểm tra an ninh mạng, giám sát an ninh mạng sau:

a) Không tiến hành đánh giá điều kiện an ninh mạng đối với hệ thống thông tin trước khi đưa vào vận hành, sử dụng;

b) Không xây dựng quy định, quy trình và phương án bảo đảm an ninh mạng; không bố trí nhân sự vận hành, quản trị hệ thống;

d) Không xây dựng phương án ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin theo quy định pháp luật;

đ) Không xây dựng biện pháp kỹ thuật để giám sát, bảo vệ an ninh mạng, biện pháp bảo vệ hệ thống;

e) Không xây dựng các biện pháp bảo vệ bí mật nhà nước, phòng, chống lộ, mất bí mật nhà nước qua các kênh kỹ thuật;

g) Không có biện pháp bảo đảm an ninh vật lý theo quy định pháp luật;

i) Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia không tiến hành kiểm tra an ninh mạng, giám sát an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý theo quy định pháp luật;

k) Không phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng khi tiến hành kiểm tra an ninh mạng, giám sát an ninh mạng theo quy định pháp luật;

l) Không triển khai, không tham gia hoạt động ứng phó, khắc phục sự cố khi sự cố an ninh mạng xảy ra hoặc khi có yêu cầu của lực lượng chủ trì điều phối;

m) Không báo cáo kịp thời cho lực lượng chuyên trách bảo vệ an ninh mạng về sự cố an ninh mạng nghiêm trọng đối với hệ thống thông tin thuộc phạm vi quản lý.

n) Không thực hiện các biện pháp theo hướng dẫn của lực lượng chuyên trách bảo vệ an ninh mạng và các biện pháp phù hợp khác để ngăn chặn, xử lý, khắc phục hậu quả ngay sau khi nhận được thông báo.

4. Phat tiền từ 40.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:

a) Không tiến hành kiểm tra an ninh mạng định kỳ hằng năm;

b) Không tiến hành kiểm tra an ninh mạng, giám sát an ninh mạng khi có yêu cầu quản lý nhà nước về an ninh mạng;

c) Không thông báo kết quả kiểm tra an ninh mạng bằng văn bản cho lực lượng chuyên trách bảo vệ an ninh mạng theo quy định;

d) Quá thời hạn mà không khắc phục điểm yếu, lỗ hổng bảo mật theo khuyến cáo của lực lượng chuyên trách bảo vệ an ninh mạng theo quy định.

đ) Vi phạm quy định về điều kiện về quy định, quy trình, phương án bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia;

e) Vi phạm quy định về điều kiện về nhân sự vận hành, quản trị hệ thống, bảo vệ an ninh mạng;

h) Vi phạm quy định về điều kiện bảo đảm an ninh mạng đối với thiết bị, phần cứng, phần mềm là thành phần hệ thống;

i) Vi phạm quy định về điều kiện về biện pháp kỹ thuật, an ninh vật lý để giám sát, bảo vệ an ninh mạng.

5. Biện pháp khắc phục hậu quả:

a) Yêu cầu thực hiện các biện pháp bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia đối với các hành vi vi phạm tại khoản 1, 2, 3, 4 Điều này;

b) Buộc cải chính kết quả thẩm định, đánh giá, kiểm tra, chứng nhận về an ninh mạng đối với các hành vi quy định tại khoản 2, 3, 4 Điều này;

c) Buộc công bố lại thông tin thẩm định, đánh giá, kiểm tra, chứng nhận, thông tin về sản phẩm, thiết bị, dịch vụ, phần mềm đối với các hành vi quy định tại khoản 2, 3, 4 Điều này.

Điều 32. Vi phạm quy định về bao vê an ninh mạng đối với hệ thống thông tin không thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia

1. Phạt canh cao đối với hành vi không chấp hành quy định về việc rà soát, xác lập hồ sơ đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.

2. Phat tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Không phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng thực hiện biện pháp bảo vệ an ninh mạng khi phát hiện hệ thống thông tin thuộc phạm vi quản lý có liên quan tới hành vi vi phạm quy định của pháp luật về an ninh mạng;

b) Không thông báo cho lực lượng chuyên trách bảo vệ an ninh mạng khi phát hiện hành vi vi phạm pháp luật về an ninh mạng đối với hệ thống thông tin của cơ quan nhà nước, tổ chức chính trị ở trung ương va điạ phương;

c) Không thực hiện hoặc thực hiện không đầy đủ yêu cầu của lượng chuyên trách bảo vệ an ninh mạng về khắc phục điểm yếu, lỗ hổng bảo mật và hành vi vi phạm pháp luật về an ninh mạng.

3. Biện pháp khắc phục hậu quả: Yêu cầu thực hiện các biện pháp bảo đảm an ninh mạng theo quy định đối với các hành vi vi phạm quy định tại khoản 1, 2, 3 Điều này.

Điều 33. Vi phạm quy định về bảo vệ an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế

1. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:

a) Không phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng trong giám sát an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế;

b) Không phối hợp, cung cấp thông tin, dữ liệu phục vụ điều tra, xử lý hành vi vi phạm pháp luật khi đa co yêu cầu bằng văn bản;

c) Không bố trí mặt bằng, công kết nối, điều kiện và biện pháp kỹ thuật, nghiệp vụ cần thiết để lực lượng chuyên trách bảo vệ an ninh mạng thực hiện nhiệm vụ bảo vệ an ninh mạng theo quy định của pháp luật;

d) Không triển khai biện pháp bảo vệ an ninh mạng; không thực hiện các yêu cầu về bảo vệ an ninh mạng của lực lượng chuyên trách bảo vệ an ninh mạng.

2. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với hành vi vi phạm lần 2 trở lên đối với những quy định tại khoản 1 Điều này.

3. Biện pháp khắc phục hậu quả: Yêu cầu thực hiện các biện pháp bảo đảm an ninh mạng theo quy định đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 34. Vi phạm quy định về bảo đảm an ninh thông tin mạng

1. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:

a) Không xác thực thông tin khi người dùng đăng ký tài khoản số;

b) Không bảo mật thông tin, tài khoản của người dùng;

c) Không ngăn chặn hoặc áp dụng các biện pháp ngăn chặn không đúng mức độ cần thiết để ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật An ninh mạng trên dịch vụ hoặc hệ thống thông tin do cơ quan, tổ chức trực tiếp quản lý chậm nhất là 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông và lưu nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng;

d) Cung cấp dịch vụ trên mạng viễn thông, Internet, các dịch vụ gia tăng cho tổ chức, cá nhân đăng tải trên không gian mạng thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật An ninh mạng; không dừng cung cấp các dịch vụ nêu trên khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng hoặc cơ quan chức năng có thẩm quyền;

đ) Trang thông tin điện tử, mạng xã hội không có hệ thống máy chủ đặt tại Việt Nam đáp ứng việc thanh tra, kiểm tra, lưu trữ, cung cấp thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền hoặc giải quyết khiếu nại của khách hàng đối với việc cung cấp dịch vụ theo quy định.

2. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng Giấy phép bưu chính, viễn thông, thiết lập mạng viễn thông, trang thông tin điện tử tổng hợp, lắp đặt cáp viễn thông trên biển, sử dụng tần số vô tuyến điện, kinh doanh sản phẩm dịch vụ an ninh mạng, kinh doanh sản phẩm dịch vụ an toàn thông tin mạng, thiết lập mạng xã hội, cung cấp dịch vụ trò chơi điện tử G1, cung cấp dịch vụ chứng thực chữ ký số, chứng chỉ hành nghề, giấy phép hành nghề từ 01 tháng đến 03 tháng đối với tổ chức, cá nhân vi phạm quy định tại khoản 1 Điều này;

b) Tước quyền sử dụng Giấy phép kinh doanh tại thị trường Việt Nam.

3. Biện pháp khắc phục hậu quả:

a) Yêu cầu thực hiện các biện pháp bảo đảm an ninh thông tin mạng theo quy định đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;

b) Yêu cầu ngừng cung cấp dịch vụ viễn thông, Internet hoặc ngừng kết nối viễn thông, Internet tại Việt Nam đối với các hành vi vi phạm quy định tại điểm c khoản 1 Điều này;

c) Buộc xóa khỏi kho ứng dụng số dành cho thị trường Việt Nam đối với các hành vi vi phạm quy định tại điểm c khoản 1 Điều này.

Điều 35. Vi phạm quy định về phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng điều tra, xử lý hành vi vi phạm pháp luật

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Không cung cấp hoặc kéo dài thời gian cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng mà không có lý do chính đáng;

b) Không thực hiện các yêu cầu bằng văn bản của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an trong việc quản lý, cung cấp dịch vụ trên mạng viễn thông, internet cho tổ chức, cá nhân có hành vi vi phạm quy định tại các khoản 1, 2, 3, 4, 5 Điều 16 Luật An ninh mạng;

c) Không triển khai biện pháp quản lý, kỹ thuật nhằm phòng ngừa, phát hiện, ngăn chặn, gỡ, xóa bỏ thông tin có nội dung quy định tại các khoản 1, 2, 3, 4, 5 Điều 16 Luật An ninh mạng trên hệ thống thông tin thuộc phạm vi quản lý khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng.

2. Hình thức xử phạt bổ sung: Tước quyền sử dụng Giấy phép bưu chính, viễn thông, thiết lập mạng viễn thông, trang thông tin điện tử tổng hợp, lắp đặt cáp viễn thông trên biển, sử dụng tần số vô tuyến điện, kinh doanh sản phẩm dịch vụ an ninh mạng, kinh doanh sản phẩm dịch vụ an toàn thông tin mạng, thiết lập mạng xã hội, cung cấp dịch vụ trò chơi điện tử G1, cung cấp dịch vụ chứng thực chữ ký số, chứng chỉ hành nghề, giấy phép hành nghề từ 01 tháng đến 03 tháng đối với tổ chức, cá nhân vi phạm lần thứ 02 quy định tại khoản 1 Điều này.

3. Biện pháp khắc phục hậu quả: Yêu cầu thực hiện các biện pháp bảo đảm an ninh thông tin mạng theo quy định đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 36. Vi phạm quy định về bảo vệ trẻ em trên không gian mạng

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Không triển khai các biện pháp kiểm soát nội dung thông tin trên hệ thống hoặc trên dịch vụ do doanh nghiệp cung cấp gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em;

b) Không ngăn chặn việc chia sẻ và xóa bỏ thông tin có nội dung gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em;

c) Không có dấu hiệu cảnh báo đối với sản phẩm, dịch vụ công nghệ thông tin mạng nội dung không có lợi cho trẻ em.

2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:

a) Đăng tải, phát tán, chia sẻ, lưu trữ, trao đổi, sử dụng thông tin, hình ảnh, âm thanh co nội dung khiêu dâm, đồi trụy, bạo lực liên quan đến trẻ em;

b) Đăng tải, chia sẻ, phát tán thông tin xúc phạm danh dự, uy tín, nhân phẩm, ảnh hưởng về sức khỏe, sự phát triển bình thường về tâm sinh lý của trẻ em.

3. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:

a) Không phối hợp với cơ quan có thẩm quyền trong bảo đảm quyền của trẻ em trên không gian mạng;

b) Kích động, lôi kéo, dụ dỗ, ép buộc trẻ em theo dõi, chia sẻ, phát tán thông tin có nội dung gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em hoặc tham gia vào các hoạt động vi phạm pháp luật khác.

2. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng Giấy phép bưu chính, viễn thông, thiết lập mạng viễn thông, trang thông tin điện tử tổng hợp, lắp đặt cáp viễn thông trên biển, sử dụng tần số vô tuyến điện, kinh doanh sản phẩm dịch vụ an ninh mạng, kinh doanh sản phẩm dịch vụ an toàn thông tin mạng, thiết lập mạng xã hội, cung cấp dịch vụ trò chơi điện tử G1, cung cấp dịch vụ chứng thực chữ ký số, chứng chỉ hành nghề, giấy phép hành nghề từ 01 tháng đến 03 tháng đối với tổ chức, cá nhân vi phạm quy định tại khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 2 Điều này;

c) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm quy định tại khoản 2 Điều này.

3. Biện pháp khắc phục hậu quả:

a) Yêu cầu thực hiện các biện pháp bảo vệ trẻ em trên không gian mạng theo quy định đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

b) Buộc xóa bỏ, cải chính thông tin đối với các hành vi vi phạm quy định tại khoản 2 Điều này;

c) Buộc thu hồi số thuê bao, đầu số, kho số  viễn thông; tài nguyên Internet, tên miền, địa chỉ Internet (IP), số hiệu mạng (ASN); mã số quản lý, số cung cấp dịch vụ; Buộc hoàn trả địa chỉ IP, ASN, tên miền, tài khoản số đối với các hành vi vi phạm quy định tại khoản 2 Điều này;

d) Buộc nộp lại số lợi bất hợp pháp có được do thực hiện vi phạm hành chính hoặc buộc nộp lại số tiền bằng giá trị tang vật, phương tiện vi phạm hành chính đã bị tiêu thụ, tẩu tán, tiêu hủy trái quy định của pháp luật theo Điều 37 Luật Xử lý vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 2 Điều này.

Điều 37. Vi phạm quy định về thực hiện các biện pháp bảo vệ an ninh mạng

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Các doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, dịch vụ trên mạng Internet, dịch vụ gia tăng trên không gian mạng, chủ quản hệ thống thông tin không xóa bỏ thông tin trái pháp luật hoặc thông tin sai sự thật trên không gian mạng xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân theo quy định sau khi có đề nghị của lực lượng chuyên trách bảo vệ an ninh mạng;

b) Không đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin, thu hồi tên miền sau khi có đề nghị của lực lượng c huyên trách bảo vệ an ninh mạng.

2. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng Giấy phép bưu chính, viễn thông, thiết lập mạng viễn thông, trang thông tin điện tử tổng hợp, lắp đặt cáp viễn thông trên biển, sử dụng tần số vô tuyến điện, kinh doanh sản phẩm dịch vụ an ninh mạng, kinh doanh sản phẩm dịch vụ an toàn thông tin mạng, thiết lập mạng xã hội, cung cấp dịch vụ trò chơi điện tử G1, cung cấp dịch vụ chứng thực chữ ký số, chứng chỉ hành nghề, giấy phép hành nghề từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại khoản 1 Điều này.

3. Biện pháp khắc phục hậu quả: Buộc thực hiện các biện pháp bảo đảm an ninh mạng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 38. Vi phạm quy định về lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam

1. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:

a) Cố tình không lưu trữ dữ liệu hoặc lưu trữ dữ liệu không đầy đủ theo quy định tại khoản 1 Điều 26 Nghị định 53/2023/NĐ-CP của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;

b) Không chấp hành, chấp hành không đầy đủ hoặc ngăn chặn, cản trở, vô hiệu hóa, làm mất tác dụng của biện pháp bảo vệ an ninh mạng do lực lượng chuyên trách bảo vệ an ninh mạng thực hiện;

c) Không thực hiện quyết định yêu cầu lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam;

d) Không bảo đảm thời gian lưu trữ dữ liệu theo quy định tại khoản 1 Điều 26 Nghị định 53/2023/NĐ-CP của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;

đ) Không bảo đảm thời gian lưu trữ nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng được quy định tại điểm b khoản 2 Điều 26 của Luật An ninh mạng.

2. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng Giấy phép bưu chính, viễn thông, thiết lập mạng viễn thông, trang thông tin điện tử tổng hợp, lắp đặt cáp viễn thông trên biển, sử dụng tần số vô tuyến điện, kinh doanh sản phẩm dịch vụ an ninh mạng, kinh doanh sản phẩm dịch vụ an toàn thông tin mạng, thiết lập mạng xã hội, cung cấp dịch vụ trò chơi điện tử G1, cung cấp dịch vụ chứng thực chữ ký số, chứng chỉ hành nghề, giấy phép hành nghề từ 01 tháng đến 03 tháng đối với tổ chức, cá nhân vi phạm quy định tại khoản 1 Điều này;

c) Tịch thu tang vật, phương tiện vi phạm hành chính đối với hành vi vi phạm quy định tại điểm a khoản 1 Điều này;

d) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm quy định tại khoản 1 Điều này;

3. Biện pháp khắc phục hậu quả:

a) Buộc lưu trữ dữ liệu, đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam;

b) Buộc nộp lại số lợi bất hợp pháp có được do thực hiện vi phạm hành chính hoặc buộc nộp lại số tiền bằng giá trị tang vật, phương tiện vi phạm hành chính đã bị tiêu thụ, tẩu tán, tiêu hủy trái quy định của pháp luật theo Điều 37 Luật Xử lý vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Yêu cầu ngừng cung cấp dịch vụ viễn thông, Internet hoặc ngừng kết nối viễn thông, Internet tại Việt Nam đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

Mục 5. VI PHẠM QUY ĐỊNH VỀ PHÒNG, CHỐNG HÀNH VI SỬ DỤNG KHÔNG GIAN MAṆG, CÔNG NGHỆ THÔNG TIN, PHƯƠNG TIỆN ĐIỆN TỬ ĐỂ VI PHẠM PHÁP LUẬT VỀ TRẬT TỰ AN TOÀN XÃ HỘI

Điều 39. Vi phạm quy định về phòng, chống hành vi sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử để xâm phạm trật tự quản lý kinh tế

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong những hành vi sau:

a) Đăng tải thông tin mua, bán, trao đổi, cho tặng, thu thập, cho thuê, cho mượn, sử dụng trái pháp luật thông tin tại khoản thanh toán, tại khoản trong lĩnh vực tiền tệ và ngân hàng, tại khoản số, thông tin thẻ tín dụng trên không gian mạng;

b) Đăng tải thông tin mua bán hàng hóa, dịch vụ bị cấm theo quy định pháp luật;

c) Đăng tin kinh doanh vàng, ngoại hối trái pháp luật trên không gian mạng;

d) Đăng tin quảng cáo, mua bán, trao đổi, cho, tặng tiền giả, giấy tờ có giá giả, văn bằng gia, chứng chỉ gia, giấy tờ tùy thân giả trên không gian mạng;

đ) Đăng tin quảng cáo, mua bán giấy tờ do cơ quan nhà nước có thẩm quyền cấp trên không gian mạng;

e) Truy cập bất hợp pháp vào tài khoản số của cơ quan, tổ chức, cá nhân.

2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với các hành vi sau đây:

a) Thiết lập trang thông tin điện tử, phần mềm, ứng dụng mạo danh cơ quan nhà nước;

b) Phát tán tin nhắn, thư điện tử mạo danh cơ quan nhà nước;

c) Mua bán, trao đổi, cho tặng, cho thuê, cho mượn các thiết bị, phần cứng, phần mềm có chứa thông tin, dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác;

d) Sử dụng tiền, tài chính, vật chất yêu cầu người khác sử dụng số điện thoại để nhận tin nhắn hoặc cuộc gọi dùng để xác thực một lần đăng ký các tại khoản tài chính, tài khoản ngân hàng;

đ) Sử dụng thông tin về tài khoản số, tài khoản mạng xã hội, tài khoản điện tử của cơ quan, tổ chức, cá nhân để chiếm đoạt tài sản.

3. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với các hành vi sau đây:

a) Sử dụng không gian mạng can thiệp vào hoạt động giao dịch, thay đổi tài khoản nhận tiền để lừa đảo, chiếm đoạt tài sản;

b) Sử dụng không gian mạng huy động vốn theo phương thức lấy tiền của người sau, trả lãi cho người trước để lừa đảo, chiếm đoạt tài sản;

c) Kinh doanh theo phương thức đa cấp trên không gian mạng để lừa đảo chiếm đoạt tài sản;

d) Sử dụng không gian mạng lừa đảo trong giao dịch chứng khoán để chiếm đoạt tài sản;

đ) Sử dụng không gian mạng kêu gọi từ thiện để lừa đảo, chiếm đoạt tài sản;

e) Chiếm đoạt, thu thập, tàng trữ, công khai hóa trái phép thông tin về tài khoản số của người khác;

g) Thiết lập, cung cấp trái phép dịch vụ viễn thông, internet nhằm chiếm đoạt tài sản; trộm cắp cước viễn thông quốc tế trên nền Internet;

h) Làm, tàng trữ, mua bán, sử dụng, lưu hành thẻ ngân hàng giả nhằm chiếm đoạt tài sản của chủ tài khoản, chủ thẻ hoặc thanh toán hàng hóa, dịch vụ;

i) Thiết lập san kinh doanh vàng, ngoại hối trái pháp luật trên mạng Internet.

4. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với những hành vi sau:

a) Thiết lập hệ thống thông tin, trang thông tin điện tử, ứng dụng, sàn giao dịch cho vay ngang hàng, tiền ảo, tài sản ảo và các dạng tương tự khi chưa được cấp phép, chấp thuận của cơ quan có thẩm quyền;

b) Thiết lập hệ thống thông tin, trang thông tin điện tử, ứng dụng, sàn giao dịch ngoại tệ, kim loại, dầu, đá quý và các dạng tương tự khi chưa được cơ quan có thẩm quyền cấp phép, chấp thuận.

c) Mạo danh các cơ quan thực thi pháp luật, yêu cầu cung cấp thông tin, chiếm đoạt tài sản;

d) Xâm nhập, tấn công hệ thống thông tin phục vụ các hoạt động giao dịch tiền tệ, tài chính, chứng khoán hoặc tài sản khác có thể chuyển nhượng trên không gian mạng.

5. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng Giấy phép bưu chính, viễn thông, thiết lập mạng viễn thông, trang thông tin điện tử tổng hợp, lắp đặt cáp viễn thông trên biển, sử dụng tần số vô tuyến điện, kinh doanh sản phẩm dịch vụ an ninh mạng, kinh doanh sản phẩm dịch vụ an toàn thông tin mạng, thiết lập mạng xã hội, cung cấp dịch vụ trò chơi điện tử G1, cung cấp dịch vụ chứng thực chữ ký số, chứng chỉ hành nghề, giấy phép hành nghề từ 01 tháng đến 03 tháng đối với tổ chức, cá nhân vi phạm quy định tại khoản 1, 2, 3, 4 Điều này;

b) Tịch thu tang vật, phương tiện đối với hành vi vi phạm quy định tại khoản 1, 2, 3, 4 Điều này.

6. Biện pháp khắc phục hậu quả:

a) Buộc gỡ, xóa thông tin đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

b) Buộc thu hồi hoặc tiêu hủy sản phẩm, thiết bị, ngừng cung cấp dịch vụ gây hại về an ninh mạng hoặc không đảm bảo chất lượng hoặc không có giấy phép hoặc thực hiện không đúng với giấy phép đối với hành vi vi phạm quy định tại khoản 2, 3, 4 Điều này;

c) Buộc loại bỏ tính năng, thành phần gây hại về an ninh chương trình, sản phẩm, thiết bị, dịch vụ, phần mềm đối với hành vi vi phạm quy định tại khoản 2, 3, 4 Điều này;

d) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1, 2, 3, 4 Điều này;

đ) Buộc nộp lại giấy phép, chứng chỉ có liên quan đối với các hành vi vi phạm quy định tại khoản 1, 2, 3, 4 Điều này.

Điều 40. Vi phạm quy định phòng, chống hành vi sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử xâm phạm trật tự xã hội

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với các hành vi sau đây:

a) Đánh bạc trên không gian mạng;

b) Đăng tải thông tin quảng cáo trò chơi đổi thưởng trái phép, đánh bạc, tổ chức đánh bạc trên không gian mạng;

c) Mạo danh các cơ quan thực thi pháp luật yêu cầu nạn nhân cung cấp thông tin hỗ trợ điều tra nhằm đánh cắp thông tin tài khoản và chiếm đoạt tài sản;

d) Đăng tải thông tin có nội dung cổ vũ, tuyên truyền trái phép mê tín dị đoan; kích động, dụ dỗ, lôi kéo đua xe trái phép trên hệ thống thông tin, trang thông tin điện tử, mạng xã hội;

đ) Đăng tải thông tin cổ vũ săn bắt động vật hoang dã, quảng cáo bán động vật hoang dã bị cấm theo quy định của pháp luật trên không gian mạng.

2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với các hành vi sau đây:

a) Thiết lập các trang thông tin điện tử, mạng xã hội, chuyên trang trên mạng xã hội, hệ thống thông tin, ứng dụng để tổ chức đánh bạc trái phép trên không gian mạng;

b) Cung cấp dịch vụ công nghệ thông tin, phần cứng, phần mềm; thiết lập trang/cổng thông tin điện tử, ứng dụng có nội dung xâm phạm quyền tác giả, quyền liên quan tới sở hữu công nghiệp;

c) Thiết lập các trang thông tin điện tử, mạng xã hội, chuyên trang trên mạng xã hội, hệ thống thông tin, ứng dụng có nội dung quảng cáo mại dâm, khiêu dâm, đồi trụy;

d) Tổ chức quay phim, phát hình ảnh trực tuyến có nội dung khiêu dâm, đồi trụy trên hệ thống thông tin, trang thông tin điện tử, mạng xã hội;

đ) Cung cấp dịch vụ công nghệ thông tin, phần cứng, phần mềm, dịch vụ khác hỗ trợ, phục vụ hoạt động quay phim, phát hình ảnh trực tuyến nội dung khiêu dâm, đồi trụy;

e) Không kiểm duyệt, ngăn chặn, loại bỏ nội dung khiêu dâm, đồi trụy, tệ nạn xã hội và các hành vi vi phạm pháp luật khác trên hệ thống thông tin, trang thông tin điện tử, mạng xã hội;

g) Đăng tải thông tin mua, bán trái phép chất ma túy, chất cấm trên không gian mạng;

h) Đăng tải thông tin mua bán công thức, phương pháp điều chế, tiền chất, phương tiện, dụng cụ dùng vào việc sản xuất hoặc sử dụng trái phép chất ma túy, chất cấm trên không gian mạng;

i) Đăng tải thông tin mua, bán mô, bộ phận cơ thể người, người trên không gian mạng;

k) Đăng tải thông tin hướng dẫn, dụ dỗ, lôi kéo, cưỡng ép người khác thực hiện hành vi vi phạm pháp luật trên không gian mạng;

l) Đăng tải thông tin quang cao dịch vụ cho vay lãi vượt quá lãi suất tối đa quy định trong Bộ luật dân sự trên không gian mạng;

m) Đăng tải thông tin mua, bán vũ khí, vật liệu nổ, công cụ hỗ trợ, trang phục, cấp hiệu, phù hiệu, số hiệu Công an Nhân dân, Quân đội Nhân dân Việt Nam trên không gian mạng.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng Giấy phép bưu chính, viễn thông, thiết lập mạng viễn thông, trang thông tin điện tử tổng hợp, lắp đặt cáp viễn thông trên biển, sử dụng tần số vô tuyến điện, kinh doanh sản phẩm dịch vụ an ninh mạng, kinh doanh sản phẩm dịch vụ an toàn thông tin mạng, thiết lập mạng xã hội, cung cấp dịch vụ trò chơi điện tử G1, cung cấp dịch vụ chứng thực chữ ký số, chứng chỉ hành nghề, giấy phép hành nghề từ 01 tháng đến 03 tháng đối với tổ chức, cá nhân vi phạm quy định tại khoản 1, 2 Điều này;

b) Tịch thu tang vật, phương tiện đối với hành vi vi phạm quy định tại khoản 1, 2 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc gỡ, xóa thông tin đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

b) Buộc thu hồi hoặc tiêu hủy sản phẩm, thiết bị, ngừng cung cấp dịch vụ gây hại về an ninh mạng hoặc không đảm bảo chất lượng hoặc không có giấy phép hoặc thực hiện không đúng với giấy phép đối với hành vi vi phạm quy định tại khoản 2 Điều này;

c) Buộc loại bỏ tính năng, thành phần gây hại về an ninh chương trình, sản phẩm, thiết bị, dịch vụ, phần mềm đối với hành vi vi phạm quy định tại khoản 2 Điều này;

d) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1, 2 Điều này.

Điều 41. Vi phạm quy định về xác thực, định danh, bảo mật tài khoản số

1. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với các hành vi sau đây:

a) Không xác thực, định danh bằng giấy tờ tùy thân hợp pháp hoặc xác thực, định danh bằng giấy tờ không hợp pháp đối với tài khoản số bắt buộc phải xác thực, định danh theo quy định của pháp luật;

b) Không có biện pháp cảnh báo chủ sở hữu khi tài khoản số phát sinh giao dịch tiền tệ, tài chính, chứng khoán hoặc tài sản khác có thể chuyển nhượng trên không gian mạng;

c) Không lưu trữ thông tin thiết bị, địa chỉ IP, thời gian đăng nhập của tài khoản số tối thiểu 90 ngày;

d) Không tạm dừng giao dịch tài khoản số phục vụ các hoạt động giao dịch tiền tệ, tài chính, chứng khoán hoặc tài sản khác có thể chuyển nhượng trên không gian mạng khi phát hiện có sai sót, nhầm lẫn, bị lộ lọt thông tin hoặc khi có thông báo, yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng;

đ) Sử dụng giấy tờ tùy thân của người khác để xác thực tài khoản số;

e) Sử dụng giấy tờ tùy thân giả, tạo lập, chỉnh sửa, cắt ghép hình ảnh giấy tờ tùy thân hoặc các thủ đoạn gian dối khác để xác thực tài khoản số;

g) Định danh bằng phương thức điện tử không chính xác thông tin chủ tài khoản số phục vụ các hoạt động giao dịch tiền tệ, tài chính, chứng khoán hoặc tài sản khác có thể chuyển nhượng trên không gian mạng.

2. Biện pháp khắc phục hậu quả: Buộc thực hiện quy định về xác thực, định danh, bảo mật tài khoản số đối với hành vi vi phạm quy định tại khoản 1 Điều này.

Chương III

THẨM QUYỀN LẬP BIÊN BẢN VI PHẠM HÀNH CHÍNH VÀ XỬ PHẠT VI PHẠM HÀNH CHÍNH

Điều 42. Thẩm quyền xử phạt vi phạm hành chính của Công an Nhân dân

1. Trưởng Công an cấp huyện, Trưởng phòng nghiệp vụ thuộc Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao; Trưởng phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Trưởng phòng An ninh chính trị nội bộ; Trưởng phòng Cảnh sát điều tra tội phạm về trật tự xã hội thuộc Công an cấp tỉnh có quyền:

a) Phạt tiền đến 20.000.000 đồng đối với các hành vi vi phạm hành chính quy định tại Mục 1, 2, 3, 4, 5 Chương II Nghị định này theo chức năng, nhiệm vụ được giao;

b) Tước quyền sử dụng giấy phép, chứng chỉ hành nghề có thời hạn hoặc đình chỉ hoạt động có thời hạn;

c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt được quy định tại điểm b khoản này;

d) Áp dụng biện pháp khắc phục hậu quả quy định tại điểm a, c, đ và k khoản 1 của Luật Xử lý vi phạm hành chính va Nghị định này.

2. Giám đốc Công an cấp tỉnh có quyền

a) Phạt tiền đến 50.000.000 đồng đối với các hành vi vi phạm hành chính quy định tại Mục 1, 2, 3, 4, 5 Chương II Nghị định này theo chức năng, nhiệm vụ được giao;

b) Tước quyền sử dụng giấy phép, chứng chỉ hành nghề có thời hạn hoặc đình chỉ hoạt động có thời hạn;

c) Tịch thu tang vật, phương tiện vi phạm hành chính;

d) Áp dụng biện pháp khắc phục hậu quả quy định của Luật Xử lý vi phạm hành chính và Nghị định này;

đ) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm.

3. Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao có quyền:

a) Phạt tiền đến 100.000.000 đồng đối với các hành vi vi phạm hành chính tại Chương II Nghị định này theo chức năng, nhiệm vụ được giao;

b) Tước quyền sử dụng giấy phép, chứng chỉ hành nghề có thời hạn hoặc đình chỉ hoạt động có thời hạn;

c) Tịch thu tang vật, phương tiện vi phạm hành chính;

d) Áp dụng biện pháp khắc phục hậu quả theo quy định của Luật Xử lý vi phạm hành chính và Nghị định này.

đ) Quyết định mức phạt tiền đến gấp 5 lần mức phạt tiền đối với các hành vi hoặc 5% doanh thu năm tài chính liền trước hoặc số lợi thu được từ vi phạm hành chính của tổ chức, cá nhân vi phạm tại thị trường Việt Nam.

4. Cục trưởng Cục Quản lý xuất nhập cảnh có quyền quyết định áp dụng hình thức xử phạt trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm.

Điều 43. Thẩm quyền xử phạt vi phạm hành chính của Ủy ban Nhân dân các cấp

1. Chủ tịch Ủy ban Nhân dân cấp huyện có quyền:

a) Phạt tiền đến 50.000.000 đồng đối với các hành vi vi phạm hành chính quy định tại Mục 1, 2, 3, 4, 5 Chương II Nghị định này theo chức năng, nhiệm vụ được giao;

b) Tước quyền sử dụng giấy phép có thời hạn hoặc đình chỉ hoạt động có thời hạn;

c) Tịch thu tang vật, phương tiện vi phạm hành chính;

d) Áp dụng các biện pháp khắc phục hậu quả quy định tại các điểm a, b, c, đ, e, h, i và k Khoản 1 Điều 28 của Luật xử lý vi phạm hành chính và Nghị định này.

2. Chủ tịch Ủy ban Nhân dân cấp tỉnh có quyền:

a) Phạt tiền đến 100.000.000 đồng đối với các hành vi vi phạm hành chính quy định tại Mục 1, 2, 3, 4, 5 Chương II Nghị định này theo chức năng, nhiệm vụ được giao;

b) Tước quyền sử dụng giấy phép có thời hạn hoặc đình chỉ hoạt động có thời hạn;

c) Tịch thu tang vật, phương tiện vi phạm hành chính;

d) Áp dụng biện pháp khắc phục hậu quả quy định của Luật Xử lý vi phạm hành chính và quy định tại Nghị định này.

Điều 44. Thẩm quyền xử phạt vi phạm hành chính của Thanh tra Thông tin và Truyền thông

1. Chánh Thanh tra Sở Thông tin và Truyền thông; Trưởng đoàn thanh tra chuyên ngành của Sở Thông tin và Truyền thông có quyền:

a) Phạt tiền không vượt quá 50.000.000 đồng đối với các hành vi vi phạm hành chính quy định tại Mục 1 Nghị định này;

b) Tước quyền sử dụng giấy phép, chứng chỉ hành nghề có thời hạn hoặc đình chỉ hoạt động có thời hạn;

c) Tịch thu tang vật, phương tiện vi phạm hành chính có giá trị không vượt quá 02 lần mức tiền phạt quy định tại Điểm b Khoản này;

d) Áp dụng biện pháp khắc phục hậu quả quy định của Luật Xử lý vi phạm hành chính và quy định tại Nghị định này.

2. Chánh Thanh tra Bộ Thông tin và Truyền thông, Cục trưởng Cục Viễn thông, Cục trưởng Cục Phát thanh, truyền hình và thông tin điện tử, Cục trưởng Cục Tần số vô tuyến điện có quyền:

a) Phạt tiền không vượt quá 100.000.000 đồng đối với các hành vi vi phạm hành chính quy định tại Mục 1 Nghị định này;

b) Tước quyền sử dụng giấy phép, chứng chỉ hành nghề có thời hạn hoặc đình chỉ hoạt động có thời hạn;

c) Tịch thu tang vật, phương tiện vi phạm hành chính;

d) Áp dụng biện pháp khắc phục hậu quả quy định của Luật Xử lý vi phạm hành chính và quy định tại Nghị định này.

Điều 45. Thẩm quyền xử phạt vi phạm hành chính của Thanh tra Quốc phòng, Ban Cơ yếu Chính phủ

1. Chánh Thanh tra Quốc phòng có thẩm quyền xử phạt vi phạm hành chính và áp dụng các biện pháp khắc phục hậu quả đối với các hành vi vi phạm hành chính quy định tại Chương II Nghị định này theo chức năng, nhiệm vụ được giao và thuộc phạm vi quản lý của Bộ Quốc phòng.

2. Người có thẩm quyền xử phạt vi phạm hành chính thuộc Ban Cơ yếu Chính phủ xử phạt vi phạm hành chính và áp dụng các biện pháp khắc phục hậu quả đối với các hành vi vi phạm hành chính quy định tại Chương II Nghị định này theo chức năng, nhiệm vụ được giao và thuộc phạm vi quản lý của Ban Cơ yếu Chính phủ.

Điều 46. Thẩm quyền xử phạt vi phạm hành chính của Thanh tra Văn hóa, Thể thao và Du lịch

Chánh Thanh tra Văn hóa, Thể thao và Du lịch có thẩm quyền xử phạt theo quy định của Luật xử lý vi phạm hành chính đối với các hành vi vi phạm hành chính quy định tại Điều 36; điểm đ khoản 1, điểm c, d, đ, e khoản 2 Điều 40 Nghị định này theo chức năng, nhiệm vụ trong phạm vi, lĩnh vực mình quản lý.

Điều 47. Thẩm quyền xử phạt vi phạm hành chính của Thanh tra Bộ Lao động - Thương binh và Xã hội

Chánh Thanh tra Bộ Lao động - Thương binh và Xã hội có thẩm quyền xử phạt theo quy định của Luật xử lý vi phạm hành chính đối với các hành vi vi phạm hành chính quy định đối với hành vi quy định tại Điều 36 Nghị định này theo chức năng, nhiệm vụ trong phạm vi, lĩnh vực mình quản lý.

Điều 48. Thẩm quyền lập biên bản vi phạm hành chính

1. Người có thẩm quyền xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng được quy định tại Điều 42, 43, 44, 45, 46, 47, 48 Nghị định này.

2. Người có thẩm quyền, người được giao thực hiện nhiệm vụ thanh tra chuyên ngành, người thuộc lực lượng Công an Nhân dân đang thi hành công vụ, nhiệm vụ theo chức năng, nhiệm vụ, quyền hạn được giao.

Chương IV

ĐIỀU KHOẢN THI HÀNH

Điều 49. Hiệu lực thi hành

Nghị định này có hiệu lực thi hành từ ngày 01 tháng 6 năm 2024.

Điều 50. Quy định chuyển tiếp

1. Đối với hành vi vi phạm hành chính trong lĩnh vực an ninh mạng xảy ra trước thời điểm Nghị định này có hiệu lực mà sau đó mới bị phát hiện hoặc đang xem xét, giải quyết thì áp dụng Nghị định của Chính phủ về xử phạt vi phạm hành chính có hiệu lực tại thời điểm thực hiện hành vi vi phạm để xử lý. Trường hợp Nghị định này không quy định trách nhiệm pháp lý hoặc quy định trách nhiệm pháp lý hẹ hơn đối với hành vi đã xảy ra trước thời điểm Nghị định này có hiệu lực thì áp dụng các quy định của Nghị định này để xử lý.

2. Đối với quyết định xử phạt vi phạm hành chính đã được ban hành hoặc đã được thi hành xong trước thời điểm Nghị định này có hiệu lực thi hành, mà cá nhân, tổ chức bị xử phạt vi phạm hành chính còn khiếu nại thì áp dụng quy định của Luật Xử lý vi phạm hành chính, các Nghị định chuyên ngành khác có liên quan.

Điều 51. Trách nhiệm thi hành

1. Bộ trưởng Bộ Công an có trách nhiệm theo dõi, hướng dẫn và tổ chức thi hành Nghị định này.

2. Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban Nhân dân tỉnh, thành phố trực thuộc Trung ương chịu trách nhiệm thi hành Nghị định này./.