Theo dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân vừa được công bố để lấy ý kiến rộng rãi, mức phạt đối với bên xử lí vi phạm dữ liệu cá nhân trong một số trường hợp có thể lên tới 5% tổng doanh thu.

5% tổng doanh thu của cá nhân kinh doanh hay các cá nhân sử dụng dữ liệu cá nhân người dùng để tạo ra thu nhập, và 5% tổng doanh thu của các tổ chức, doanh nghiệp kinh doanh, có thể rất khác nhau. Cụ thể, mức 5% này tùy thuộc vào doanh thu của từng tổ chức, doanh nghiệp, và cũng tùy thuộc vào doanh thu tại từng thời điểm, từng năm.

Theo Luật Bảo vệ Dữ liệu Châu Âu (General Data Protection Regulation - GDPR) đang được áp dụng đối với các quốc gia thuộc cộng đồng này, mức xử phạt tiền tối đa đối với trường hợp vi phạm lớn về dữ liệu cá nhân là 4% tổng doanh thu năm hoặc 20 triệu Euro.

Thế nhưng, sau khi GDPR có hiệu lực từ tháng 5.2018, các quốc gia thuộc EU đã điều chỉnh lại luật bảo vệ dữ liệu cá nhân của mình để phù hợp với GDPR. Thậm chí, có trường hợp luật của quốc gia áp dụng các điều khoản phạt nặng hơn.

Đơn cử, vào đầu năm 2019, Pháp đã xử phạt Google 56 triệu USD vì những vi phạm về việc sử dụng dữ liệu cá nhân trong quảng cáo trực tuyến.

Trước đó, Facebook trong vụ bê bối để lộ dữ liệu của 87 triệu người dùng cho công ty Cambridge Analytica (Anh quốc), đã bị phạt 500.000 bảng tại Anh. Và đến tháng 5.2020, Facebook tiếp tục phải nộp phạt 6,5 triệu USD tại Canada vì những vi phạm do đã đưa ra các tuyên bố không chính xác hoặc gây hiểu lầm về quyền riêng tư.

Tuy nhiên, tất cả các khoản phạt kể trên gộp lại cũng không bằng khoản phạt mà Ủy ban Thương mại liên bang Mỹ (FTC) đã áp dụng đối với Facebook. Cũng trong vụ bê bối để lộ dữ liệu 87 triệu người dùng Facebook cho Cambridge Analytica vỡ lở vào tháng 3.2018, “ông lớn” mạng xã hội này đã phải nộp phạt đến 5 tỉ USD.

Song với khoản phạt vô tiền khoán hậu này, Facebook vẫn còn được cho là “may mắn” vì tránh được biện pháp chế tài bổ sung là bị chia tách thành 2 doanh nghiệp nhỏ hơn.

Cho tới thời điểm này, Mỹ vẫn chưa có một bộ luật về bảo vệ dữ liệu cá nhân áp dụng cho toàn liên bang tương tự như Châu Âu. Tuy nhiên, mỗi bang của Mỹ có những luật riêng về vấn đề này, hoặc luật liên bang áp dụng bảo vệ hình ảnh, dữ liệu cá nhân trong từng lĩnh vực/ngành hẹp, như đối với trẻ em, hay đối với người tiêu dùng…

Và cho dù Mỹ cũng không có qui định rõ mức phạt tiền tối đa 5% tổng doanh thu như cách Châu Âu áp mức 4% tổng doanh thu năm theo luật GDPR, nhưng qua khoản phạt FTC áp dụng đối với Facebook cho thấy còn nặng hơn tỉ lệ 5% tổng doanh thu năm.

Cụ thể năm 2018, cũng là năm xảy ra vụ bê bối làm lộ dữ liệu 87 triệu người dùng, Facebook đạt doanh thu 55,84 tỉ USD. 2019, năm Facebook phải đóng khoản phạt kỉ lục 5 tỉ USD, mạng xã hội này đạt doanh thu 69,7 tỉ USD. Theo đó, mức phạt 5 tỉ USD bằng 8,95% doanh thu năm 2018 và bằng 7,17% doanh thu năm 2019.

Tại Việt Nam hiện nay, không ít công ty đang hoạt động trong lĩnh vực Internet, cung cấp các dịch vụ trực tuyến hoặc O2O (Online to Offline), kinh tế số… doanh thu hàng năm từ 100 triệu USD đến vài trăm triệu USD, đồng thời sở hũu lượng dữ liệu cá nhân người dùng lên đến hàng chục triệu người. Việc quản lí dữ liệu người dùng của các doanh nghiệp này cũng sẽ bị chế tài trực tiếp bởi các qui định về bảo vệ dữ liệu cá nhân.