Thứ trưởng Bộ Công an Lê Quốc Hùng: Phạt tối đa 10 lần khoản thu từ hành vi mua, bán dữ liệu cá nhân
Theo Thượng tướng Lê Quốc Hùng - Thứ trưởng Bộ Công an, hành vi mua, bán dữ liệu cá nhân bị nghiêm cấm, trừ trường hợp luật có quy định khác sẽ tạo hành lang pháp lý để đấu tranh với tội phạm coi dữ liệu cá nhân như hàng hóa thông thường để mua, bán, xâm phạm nghiêm trọng đến quyền con người, quyền lợi hợp pháp của cá nhân, tổ chức.
Chiều 11/7, Văn phòng Chủ tịch nước đã tổ chức họp báo công bố Lệnh của Chủ tịch nước công bố các luật đã được Quốc hội khóa XV thông qua tại Kỳ họp thứ 9, trong đó có Luật Bảo vệ dữ liệu cá nhân.
Phó Chủ nhiệm Văn phòng Chủ tịch nước Phạm Thanh Hà chủ trì họp báo. Ảnh: Hồng Thái
Ngày 26/6/2025, tại Kỳ họp thứ 9, Quốc hội khóa XV đã thông qua Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 và có hiệu lực thi hành kể từ ngày 1/1/2026. Luật số 91/2025/QH15 thể chế hóa quan điểm chỉ đạo của Đảng về bảo vệ quyền con người, quyền công dân, quyền và lợi ích hợp pháp của cá nhân; tạo sự đồng bộ, thống nhất, xuyên suốt của hệ thống pháp luật, phục vụ cuộc cách mạng đột phá phát triển khoa học công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia theo tinh thần Nghị quyết 57-NQ/TW của Bộ Chính trị; góp phần bảo đảm an ninh con người, chủ quyền dữ liệu trong kỷ nguyên mới của dân tộc.
Việc xây dựng Luật Bảo vệ dữ liệu cá nhân nhằm hoàn thiện, thống nhất hệ thống pháp luật về bảo vệ dữ liệu cá nhân, tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân cho các tố chức, cá nhân trong nước tiếp cận trình độ quốc tế, khu vực; đẩy mạnh sử dụng dữ liệu cá nhân đúng pháp luật phục vụ phát triển kinh tế, xã hội.
Nghiêm cấm hành vi mua, bán dữ liệu cá nhân
Tại buổi họp báo, Thứ trưởng Bộ Công an Lê Quốc Hùng đã giới thiệu những nội dung mới của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
Theo Thứ trưởng Bộ Công an Lê Quốc Hùng, để đảm bảo khả thi và ngăn chặn hiệu quả các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân, Luật đã quy định các hành vi bị nghiêm cấm bám sát thực tiễn, đảm bảo tính bao quát, tập trung vào những hành vi phổ biến, nghiêm trọng, như: xử lý dữ liệu cá nhân nhằm chống lại Nhà nước; lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Đặc biệt, hành vi mua, bán dữ liệu cá nhân bị nghiêm cấm, trừ trường hợp luật có quy định khác sẽ tạo hành lang pháp lý để đấu tranh với tội phạm coi dữ liệu cá nhân như hàng hóa thông thường để mua, bán, xâm phạm nghiêm trọng đến quyền con người, quyền lợi hợp pháp của cá nhân, tổ chức.
Thứ trưởng Bộ Công an Lê Quốc Hùng giới thiệu những nội dung mới của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 tại buổi họp báo. Ảnh: Hồng Thái
Luật đã quy định xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo hình thức xử phạt hành chính hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật dựa trên tính chất, mức độ, hậu quả của hành vi vi phạm. Đối với hình thức xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân, áp dụng:
Đối với hành vi mua, bán dữ liệu cá nhân: Mức phạt tiền tối đa là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 3 tỷ đồng thì áp dụng mức phạt tiền tối đa là 3 tỷ đồng. Chính phủ sẽ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: Mức phạt tiền tối đa là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn 3 tỷ đồng thì áp dụng mức phạt tiền tối đa là 3 tỷ đồng.
Đối với các hành vi vi phạm khác: Mức phạt tiền tối đa là 3 tỷ đồng với tố chức. Mức phạt áp dụng với cá nhân bằng 1/2 mức phạt đối với tổ chức theo từng hành vi.
Quy định riêng chặt chẽ để bảo vệ dữ liệu cá nhân của nhóm đối tượng yếu thế
Theo Thứ trưởng Bộ Công an Lê Quốc Hùng, nhận thấy tầm quan trọng của bảo vệ dữ liệu cá nhân trong các lĩnh vực đặc thủ, quan trọng, Luật đã quy định các điều khoản cụ thể để điều chỉnh hoạt động bảo vệ dữ liệu cá nhân trong quá trình xử lý, như: trong tuyển dụng, quản lý, sử dụng người lao động; kinh doanh dịch vụ quảng cáo; nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến; xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây; hoạt động tài chính, ngân hàng, thông tin tín dụng; hoạt động kinh doanh bảo hiểm; hoạt động ghi âm, ghi hình tại nơi công cộng.
Luật cũng công nhận ngành, nghề kinh doanh có điều kiện là kinh doanh dịch vụ xử lý dữ liệu cá nhân và giao Chính phủ quy định chi tiết nhằm quản lý chặt chẽ ngành nghề có quy mô xử lý dữ liệu cá nhân lớn và nhạy cảm này.
Quang cảnh buổi họp báo. Ảnh: Hồng Thái
Đối với dữ liệu cá nhân của trẻ em, người mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi, Luật cũng có quy định riêng chặt chẽ để bảo vệ dữ liệu cá nhân của nhóm đối tượng yếu thế, dễ tổn thương này. Đối với dữ liệu vị trí, dữ liệu sinh trắc học, Luật quy định yêu cầu biện pháp bảo mật nghiêm ngặt, hạn chế quyền truy cập và có cơ chế thông báo cho chủ thể dữ liệu nếu xảy ra thiệt hại.
Tổ chức phổ biến, hướng dẫn về Luật Bảo vệ dữ liệu cá nhân
Liên quan quy định đánh giá tác động hoạt động xử lý và chuyển dữ liệu cá nhân xuyên biên giới, Thứ trưởng Bộ Công an Lê Quốc Hùng cho hay, tổ chức, cá nhân tiến hành chuyển dữ liệu cá nhân xuyên biên giới phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và gửi cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong vòng 60 ngày kể từ ngày chuyển.
Quy định này vừa giúp cơ quan chuyên trách quản lý hoạt động chuyển dữ liệu cá nhân của công dân Việt Nam xuyên biên giới, vừa tạo cơ chế linh hoạt cho doanh nghiệp, không quy định cấp phép kiểm duyệt trước khi chuyển dữ liệu cá nhân xuyên biên giới. Tương tự, tổ chức, cá nhân lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân để kiếm soát rủi ro trong quá trình xử lý dữ liệu cá nhân.
Tuy nhiên, để tạo điều kiện thuận lợi cho các doanh nghiệp, Luật cũng có những quy định miễn trừ các nghĩa vụ này đối với doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp, hộ kinh doanh, doanh nghiệp siêu nhỏ, trừ khi họ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu nhạy cảm hoặc xử lý dữ liệu của số lượng lớn chủ thể.
Ngoài ra, Thứ trưởng Bộ Công an Lê Quốc Hùng cũng cho biết, để tổ chức thi hành Luật hiệu quả, Bộ Công an sẽ chủ trì, phối hợp với các bộ, ngành, địa phương xây dựng văn bản hướng dẫn thi hành; đồng thời, trong thời gian tới, trên cơ sở Kế hoạch triển khai thi hành Luật của Thủ tướng Chính phủ, Bộ Công an sẽ tổ chức phổ biến, hướng dẫn cho các bộ, ngành, địa phương, tổ chức, cá nhân về Luật Bảo vệ dữ liệu cá nhân.
