Hành vi mua, bán dữ liệu cá nhân bị phạt tiền tối đa 10 lần khoản thu
Luật quy định ngành, nghề kinh doanh có điều kiện là kinh doanh dịch vụ xử lý dữ liệu cá nhân và giao Chính phủ quy định chi tiết nhằm quản lý chặt chẽ ngành nghề có quy mô xử lý dữ liệu cá nhân lớn và nhạy cảm này.

Thứ trưởng Bộ Công an Lê Quốc Hùng giới thiệu nội dung mới của luật - Ảnh: TT
Chiều 11/7, Văn phòng Chủ tịch nước đã tổ chức họp báo công bố Lệnh của Chủ tịch nước về các luật đã được Quốc hội thông qua tại Kỳ họp thứ 9, trong đó có Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 1/1/2026.
Giới thiệu những điểm mới của Luật này, Thứ trưởng Bộ Công an Lê Quốc Hùng nêu rõ, để đảm bảo khả thi và ngăn chặn hiệu quả các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân, Luật đã quy định các hành vi bị nghiêm cấm bám sát thực tiễn, đảm bảo tính bao quát, tập trung vào những hành vi phổ biến, nghiêm trọng, như: xử lý dữ liệu cá nhân nhằm chống lại Nhà nước; lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Đặc biệt, hành vi mua, bán dữ liệu cá nhân bị nghiêm cấm, trừ trường hợp luật có quy định khác sẽ tạo hành lang pháp lý để đấu tranh với tội phạm coi dữ liệu cá nhân như hàng hóa thông thường để mua, bán, xâm phạm nghiêm trọng đến quyền con người, quyền lợi hợp pháp của cá nhân, tổ chức.
Lãnh đạo Bộ Công an cũng nhấn mạnh, Luật đã quy định xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo hình thức xử phạt hành chính hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật dựa trên tính chất, mức độ, hậu quả của hành vi vi phạm.
Về hình thức xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân, Luật quy định: đối với hành vi mua, bán dữ liệu cá nhân thì mức phạt tiền tối đa là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 3 tỷ đồng thì áp dụng mức phạt tiền tối đa là 3 tỷ đồng. Chính phủ sẽ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: Mức phạt tiền tối đa là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn 3 tỷ đồng thì áp dụng mức phạt tiền tối đa là 3 tỷ đồng.
Còn đối với các hành vi vi phạm khác, mức phạt tiền tối đa là 3 tỷ đồng với tố chức. Mức phạt áp dụng với cá nhân bằng 1/2 mức phạt đối với tổ chức theo từng hành vi.
Quy định riêng chặt chẽ để bảo vệ dữ liệu cá nhân của nhóm đối tượng yếu thế, cũng là nội dung đáng chú ý của luật.
Theo Thứ trưởng Bộ Công an Lê Quốc Hùng, nhận thấy tầm quan trọng của bảo vệ dữ liệu cá nhân trong các lĩnh vực đặc thù, quan trọng, Luật đã quy định các điều khoản cụ thể để điều chỉnh hoạt động bảo vệ dữ liệu cá nhân trong quá trình xử lý. Như trong tuyển dụng, quản lý, sử dụng người lao động; kinh doanh dịch vụ quảng cáo; nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến; xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây; hoạt động tài chính, ngân hàng, thông tin tín dụng; hoạt động kinh doanh bảo hiểm; hoạt động ghi âm, ghi hình tại nơi công cộng.
Luật cũng quy định ngành, nghề kinh doanh có điều kiện là kinh doanh dịch vụ xử lý dữ liệu cá nhân và giao Chính phủ quy định chi tiết nhằm quản lý chặt chẽ ngành nghề có quy mô xử lý dữ liệu cá nhân lớn và nhạy cảm này.
Đối với dữ liệu cá nhân của trẻ em, người mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi, Luật cũng có quy định riêng chặt chẽ để bảo vệ dữ liệu cá nhân của nhóm đối tượng yếu thế, dễ tổn thương này. Đối với dữ liệu vị trí, dữ liệu sinh trắc học, Luật quy định yêu cầu biện pháp bảo mật nghiêm ngặt, hạn chế quyền truy cập và có cơ chế thông báo cho chủ thể dữ liệu nếu xảy ra thiệt hại.
Liên quan quy định đánh giá tác động hoạt động xử lý và chuyển dữ liệu cá nhân xuyên biên giới, Thứ trưởng Bộ Công an Lê Quốc Hùng cho hay, tổ chức, cá nhân tiến hành chuyển dữ liệu cá nhân xuyên biên giới phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và gửi cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong vòng 60 ngày kể từ ngày chuyển.
Quy định này vừa giúp cơ quan chuyên trách quản lý hoạt động chuyển dữ liệu cá nhân của công dân Việt Nam xuyên biên giới, vừa tạo cơ chế linh hoạt cho doanh nghiệp, không quy định cấp phép kiểm duyệt trước khi chuyển dữ liệu cá nhân xuyên biên giới. Tương tự, tổ chức, cá nhân lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân để kiểm soát rủi ro trong quá trình xử lý dữ liệu cá nhân.
Tuy nhiên, để tạo điều kiện thuận lợi cho các doanh nghiệp, Luật cũng có những quy định miễn trừ các nghĩa vụ này đối với doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp, hộ kinh doanh, doanh nghiệp siêu nhỏ, trừ khi họ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu nhạy cảm hoặc xử lý dữ liệu của số lượng lớn chủ thể.