Chính thức nghiêm cấm chiếm đoạt, cố ý làm lộ dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân vừa được Quốc hội thông qua quy định cấm mua, bán dữ liệu cá nhân dưới mọi hình thức. Hành vi mua, bán dữ liệu cá nhân trái phép bị xử phạt tối đa 10 lần khoản thu bất hợp pháp.
Với 433/435 đại biểu có mặt biểu quyết tán thành (đạt tỷ lệ 99,54%), ngày 26/6, Quốc hội đã biểu quyết thông qua Luật Bảo vệ dữ liệu cá nhân. Luật có hiệu lực thi hành từ ngày 1/1/2026.
Đáng chú ý, tại Luật, tổ chức, cá nhân vi phạm các quy định về bảo vệ dữ liệu cá nhân có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự tùy theo tính chất, mức độ và hậu quả của hành vi.
Cụ thể, hành vi mua, bán dữ liệu cá nhân trái phép bị xử phạt tối đa 10 lần khoản thu bất hợp pháp. Nếu không xác định được khoản thu, tổ chức vi phạm có thể bị phạt đến 3 tỷ đồng, cá nhân bị phạt đến 1,5 tỷ đồng.
Quốc hội đã biểu quyết thông qua Luật Bảo vệ dữ liệu cá nhân.
Với hành vi chuyển dữ liệu cá nhân xuyên biên giới trái phép, mức phạt là 5% doanh thu năm trước của tổ chức. Trường hợp không có doanh thu, mức phạt cũng có thể lên tới 3 tỷ đồng. Chính phủ sẽ ban hành hướng dẫn về cách tính khoản thu để áp dụng mức xử phạt này.
Luật cũng quy định cấm mua, bán dữ liệu cá nhân dưới mọi hình thức. Theo đó, nghiêm cấm hành vi sử dụng dữ liệu cá nhân của người khác để thực hiện hành vi trái pháp luật; cho người khác sử dụng dữ liệu cá nhân của mình; chiếm đoạt, cố ý làm lộ hoặc làm mất dữ liệu cá nhân; xử lý dữ liệu với mục đích chống lại Nhà nước, xâm phạm quốc phòng, an ninh quốc gia, trật tự xã hội, hoặc cản trở việc bảo vệ dữ liệu cá nhân.
Đối với dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến, các nền tảng không được thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng; không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản; không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của người dùng.
Tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng không sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu cá nhân khi chưa có sự đồng ý.
Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới.
Trước đó, trình bày Báo cáo giải trình, tiếp thu, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới cho biết, tại Luật này đã quy định chặt chẽ cơ chế thực hiện các quyền của chủ thể dữ liệu, các hoạt động xử lý dữ liệu cá nhân.
Cụ thể, tại Luật này đã làm rõ các quy định về việc thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân, các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu.
Về lực lượng bảo vệ dữ liệu cá nhân, Luật quy định gồm: Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an; bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân; tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân.
Nhằm giảm gánh nặng tuân thủ pháp luật, dự thảo luật đã bổ sung quy định doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các quy định về lập hồ sơ đánh giá tác động, chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong thời hạn 5 năm kể từ ngày luật có hiệu lực thi hành và miễn thực hiện đối với các hộ kinh doanh, doanh nghiệp siêu nhỏ.
