Mua bán dữ liệu cá nhân trái phép có thể bị phạt 3 tỷ đồng
Luật Bảo vệ dữ liệu cá nhân quy định mức phạt hành chính với hành vi mua, bán dữ liệu cá nhân có thể gấp 10 lần khoản thu từ vi phạm và mức phạt tối đa là 3 tỷ đồng.
Tiếp tục chương trình Kỳ họp thứ 9, sáng 26/6, Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân với 433/435 đại biểu tham gia biểu quyết tán thành.
Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân.
Điều 8 (Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân) của Luật quy định, tổ chức, cá nhân có hành vi vi phạm quy định của Luật này và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm. Nếu không xác định được khoản thu, tổ chức vi phạm có thể bị phạt đến 3 tỷ đồng, cá nhân bị phạt đến 1,5 tỷ đồng.
Với hành vi chuyển dữ liệu cá nhân xuyên biên giới trái phép, mức phạt là 5% doanh thu năm trước của tổ chức. Trường hợp không có doanh thu, mức phạt cũng có thể lên tới 3 tỷ đồng. Chính phủ sẽ ban hành hướng dẫn về cách tính khoản thu để áp dụng mức xử phạt này.
Ủy ban Thường vụ Quốc hội cho rằng các vi phạm trong lĩnh vực dữ liệu cá nhân có thể gây hậu quả nghiêm trọng, vì vậy cần thiết phải áp dụng mức phạt cao nhằm đảm bảo tính răn đe, đặc biệt với các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng nghìn tỷ đồng.
Nghiêm cấm mọi hành vi mua, bán dữ liệu cá nhân
Luật này quy định cấm mua, bán dữ liệu cá nhân dưới mọi hình thức. Ủy ban Thường vụ Quốc hội cho rằng việc cấm triệt để hành vi mua bán dữ liệu cá nhân là cần thiết để ngăn chặn tình trạng rao bán thông tin cá nhân tràn lan trên mạng, hoặc việc nhân viên tổ chức lợi dụng dữ liệu để lừa đảo, chiếm đoạt tài sản. Dữ liệu cá nhân gắn với quyền riêng tư, nhân thân và không thể coi là hàng hóa để trao đổi mua bán.
Một số ý kiến đề nghị rà soát cụm từ "cơ quan, tổ chức, cá nhân Việt Nam" và làm rõ cách áp dụng đối với người Việt Nam định cư ở nước ngoài, người nước ngoài tại Việt Nam hoặc tổ chức nước ngoài không hiện diện tại Việt Nam.
Có ý kiến đề nghị bổ sung để xử lý những hành vi xử lý dữ liệu cá nhân, xâm hại quyền và lợi ích hợp pháp của đất nước và công dân Việt Nam diễn ra ngoài lãnh thổ Việt Nam thì xử lý theo pháp luật Việt Nam hoặc theo điều ước quốc tế mà Việt Nam là thành viên.
Có ý kiến cũng đề nghị quy định rõ trách nhiệm của các nền tảng xuyên biên giới như Google, Facebook, TikTok… và yêu cầu phải có cơ quan đại diện tại Việt Nam; đề nghị làm rõ phạm vi thu thập dữ liệu cá nhân và quản lý máy chủ tại nước ngoài.
Ủy ban Thường vụ Quốc hội cho biết, dự thảo luật đã chỉnh lý theo hướng làm rõ phạm vi áp dụng và trách nhiệm, nghĩa vụ cần tuân thủ của các doanh nghiệp cung cấp nền tảng xuyên biên giới như Google, Facebook, TikTok… không có hiện diện tại Việt Nam và xử lý dữ liệu người dùng là công dân Việt Nam hoàn toàn ngoài lãnh thổ của Việt Nam.
Đối với yêu cầu các nền tảng xuyên biên giới như Google, Facebook, TikTok… có cơ quan đại diện tại Việt Nam thì thực hiện theo quy định của Luật An ninh mạng, Luật Dữ liệu, bởi các luật này đã có quy định về yêu cầu cơ quan đại diện tại Việt Nam hoặc đặt máy chủ tại Việt Nam tùy vào điều kiện cụ thể.
Theo quan điểm của Ủy ban Thường vụ Quốc hội, nếu bổ sung vào dự thảo Luật này quy định áp dụng đối với cá nhân, tổ chức nước ngoài không có hiện diện tại Việt Nam hoặc đặt máy chủ tại Việt Nam nhưng có xử lý dữ liệu cá nhân của công dân Việt Nam là khó khả thi vì hạn chế về nguồn lực, công nghệ, quan hệ đối ngoại, thiếu thẩm quyền tài phán để quản lý và xử lý hành vi vi phạm.
Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 1/1/2026.
