Mua bán dữ liệu cá nhân trái phép có thể bị phạt gấp 10 lần doanh thu
Sáng 26/6, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân với đa số đại biểu có mặt biểu quyết tán thành.
Luật vừa được thông qua có 5 chương, 39 điều, có hiệu lực thi hành từ ngày 1/1/2026.
Luật quy định 7 hành vi bị nghiêm cấm, gồm: Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; Cản trở hoạt động bảo vệ dữ liệu cá nhân; Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
Ngoài ra còn nghiêm cấm: Xử lý dữ liệu cá nhân trái quy định của pháp luật; Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác; Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Bên cạnh đó, một nội dung đáng chú ý là Luật Bảo vệ dữ liệu cá nhân quy định về xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Cụ thể, đối với hành vi mua, bán dữ liệu cá nhân, có thể bị phạt đến 10 lần khoản thu có được từ hành vi vi phạm; đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa 5% doanh thu năm liền trước; đối với các hành vi vi phạm khác, mức phạt tiền tối đa là 3 tỷ đồng; cá nhân vi phạm thì mức xử phạt bằng một phần hai đối với tổ chức.
Luật yêu cầu bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu phải được sự đồng ý của chủ thể cho phép sử dụng dữ liệu. Chủ thể cũng có quyền rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân khi có nghi ngờ vi phạm.
Luật mới thông qua cũng quy định về bảo vệ dữ liệu cá nhân trong một số hoạt động. Trong đó, đáng chú ý, với các hoạt động tài chính, ngân hàng, tín dụng phải thực hiện đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm.
Tổ chức tín dụng chỉ thu thập những dữ liệu cá nhân cần thiết phục vụ cho hoạt động thông tin tín dụng từ các nguồn phù hợp với quy định và phải thông báo cho chủ thể dữ liệu cá nhân trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng.
Bên cạnh đó, đối với các nền tảng mạng xã hội, quảng cáo trực tuyến không được thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận; không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.
Các mạng xã hội cũng không được cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng.
Cùng đó là quy định không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác; Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân.
Trước đó, trình bày báo cáo giải trình, tiếp thu, chỉnh lý dự thảo luật, Chủ nhiệm Ủy ban Quốc phòng An ninh của Quốc hội Lê Tấn Tới, cho biết dự thảo luật bảo đảm tính thống nhất với hệ thống pháp luật, tương thích với điều ước quốc tế có liên quan mà Việt Nam là thành viên và bảo đảm tính khả thi.
Ủy ban Thường vụ Quốc hội thấy rằng do tính chất và hậu quả nghiêm trọng của hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân nên cần quy định mức phạt cao hơn để bảo đảm tính răn đe đối với các doanh nghiệp lớn, đặc biệt là các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng nghìn tỷ đồng. Do vậy, cơ quan này đã chỉ đạo rà soát, chỉnh lý quy định về mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm.