Từ 1/1/2026: Mua bán dữ liệu cá nhân có thể bị phạt gấp 10 lần khoản thu bất hợp pháp

Dữ liệu cá nhân bao gồm họ tên, số CMND, số điện thoại, địa chỉ, tài khoản ngân hàng và nhiều thông tin nhạy cảm khác

Quy định về dữ liệu cá nhân

Theo Điều 2 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân được hiểu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc hình thức tương tự trên môi trường điện tử, gắn liền hoặc giúp nhận diện một con người cụ thể.

Dữ liệu cá nhân bao gồm hai nhóm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Trong đó, các thông tin như họ tên, nơi sinh, quê quán, địa chỉ liên hệ, hình ảnh cá nhân, số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, biển số xe, mã số thuế, bảo hiểm xã hội, thẻ bảo hiểm y tế... đều được coi là dữ liệu cá nhân.

Ngoài ra, dữ liệu tài khoản số, lịch sử hoạt động trên không gian mạng, thông tin về đời sống tình dục, xu hướng tình dục hoặc dữ liệu khách hàng tại tổ chức tín dụng, ngân hàng, trung gian thanh toán cũng thuộc phạm vi được bảo vệ.

Bảo vệ dữ liệu cá nhân được hiểu là toàn bộ hoạt động nhằm phòng ngừa, phát hiện, ngăn chặn và xử lý các hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định pháp luật.

Các mức xử phạt vi phạm bảo vệ dữ liệu cá nhân

Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 quy định:

Tổ chức và cá nhân vi phạm có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự, đồng thời phải bồi thường nếu gây thiệt hại.

Đối với hành vi mua bán dữ liệu cá nhân, mức phạt tiền tối đa được áp dụng là gấp 10 lần khoản thu bất hợp pháp từ hành vi vi phạm. Trường hợp không có khoản thu hoặc khoản thu quá thấp, mức phạt sẽ được áp dụng theo quy định chung.

Đối với hành vi vi phạm liên quan đến chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tối đa đối với tổ chức là 5% doanh thu của năm trước liền kề. Nếu tổ chức không có doanh thu hoặc mức phạt tính theo doanh thu thấp hơn mức phạt chung, mức phạt tiền theo quy định chung sẽ được áp dụng.

Ngoài ra, các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân sẽ bị xử phạt tối đa 3 tỷ đồng. Với cá nhân, mức phạt tối đa bằng một nửa mức phạt áp dụng cho tổ chức. Chính phủ sẽ có quy định cụ thể về phương pháp tính khoản thu bất hợp pháp từ hành vi vi phạm để áp dụng mức xử phạt phù hợp.

Những hành vi bị nghiêm cấm

Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025 cũng liệt kê bảy hành vi bị nghiêm cấm.

Trong đó, có việc xử lý dữ liệu cá nhân chống lại Nhà nước, gây ảnh hưởng đến quốc phòng, an ninh quốc gia hoặc trật tự xã hội; cản trở hoạt động bảo vệ dữ liệu; lợi dụng việc bảo vệ dữ liệu để thực hiện hành vi trái pháp luật; sử dụng, chiếm đoạt hoặc làm lộ dữ liệu cá nhân trái phép; cũng như hành vi mua bán dữ liệu cá nhân khi không được pháp luật cho phép.

Những quy định này thể hiện nỗ lực của Nhà nước trong việc xây dựng hành lang pháp lý chặt chẽ, nhằm bảo đảm an toàn thông tin cá nhân và tạo nền tảng cho phát triển kinh tế số.

Cẩm Vân