Từ 1/2/2026, mua bán dữ liệu cá nhân có thể bị phạt gấp 10 lần doanh thu

Tiếp tục chương trình Kỳ họp thứ 9, sáng 26/6, Quốc hội khoá XV đã thông qua Luật Bảo vệ dữ liệu cá nhân, với 433/435 đại biểu tham gia biểu quyết tán thành, bằng 90,59% tổng số đại biểu. Luật có hiệu lực thi hành từ ngày 1/1/2026.

Trước đó, trình bày báo cáo giải trình, tiếp thu, chỉnh lý dự thảo luật, Chủ nhiệm Uỷ ban Quốc phòng, An ninh và Đối ngoại của Quốc hội Lê Tấn Tới cho biết dự thảo luật bảo đảm tính thống nhất với hệ thống pháp luật, tương thích với điều ước quốc tế có liên quan mà Việt Nam là thành viên và bảo đảm tính khả thi.

Uỷ ban Thường vụ Quốc hội đã chỉ đạo nghiên cứu, tiếp thu các ý kiến của đại biểu Quốc hội, chỉnh lý quy định cấm mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác và bổ sung quy định về chuyển giao dữ liệu cá nhân.

Theo đó, việc chuyển giao dữ liệu cá nhân được thực hiện trong các trường hợp: chuyển giao dữ liệu cá nhân khi có sự đồng ý của chủ thể dữ liệu cá nhân; chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập; chuyển giao dữ liệu cá nhân để tiếp tục xử lý dữ liệu cá nhân trong trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước.

Chia, tách, sáp nhập, hợp nhất, kết thúc hoạt động đơn vị, tổ chức; đơn vị, tổ chức được thành lập trên cơ sở kết thúc hoạt động của đơn vị, tổ chức khác; bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao dữ liệu cá nhân cho bên xử lý dữ liệu cá nhân, bên thứ ba để xử lý dữ liệu cá nhân theo quy định; chuyển giao dữ liệu cá nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền; chuyển giao dữ liệu cá nhân trong các trường hợp đã được quy định.

Dự thảo luật nhấn mạnh việc chuyển giao dữ liệu cá nhân trong các trường hợp nêu trên có thu phí hoặc không thu phí thì không được xác định là mua, bán dữ liệu cá nhân.

Luật Bảo vệ dữ liệu cá nhân cấm các hành vi: xử lý dữ liệu cá nhân nhằm chống lại Nhà nước, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; cản trở hoạt động bảo vệ dữ liệu cá nhân; lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; xử lý dữ liệu cá nhân trái quy định của pháp luật.

Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác; chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân cũng là những hành vi bị cấm thực hiện theo Luật Bảo vệ dữ liệu cá nhân.

Luật quy định xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

Cụ thể, đối với hành vi mua, bán dữ liệu cá nhân, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm; đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa 5% doanh thu năm liền trước; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 3 tỷ đồng; cá nhân vi phạm thì mức xử phạt bằng 1/2 đối với tổ chức.

Miễn thực hiện Luật Bảo vệ dữ liệu cá nhân với hộ kinh doanh, DN siêu nhỏ

Chủ nhiệm Lê Tấn Tới cho biết thêm luật quy định chặt chẽ cơ chế thực hiện các quyền của chủ thể dữ liệu, các hoạt động xử lý dữ liệu cá nhân cụ thể như thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xoá, huỷ, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân, các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu.

Luật Bảo vệ dữ liệu cá nhân cũng thống nhất thuật ngữ “chuyển dữ liệu cá nhân xuyên biên giới” cho phù hợp với quy định của Luật Dữ liệu và áp dụng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và chỉ kiểm tra khi cần thiết, thay vì yêu cầu xin phép trước trong đa số trường hợp, tạo thuận lợi cho doanh nghiệp.

Về đánh giá tác động khi xử lý dữ liệu cá nhân và khi chuyển dữ liệu cá nhân xuyên biên giới, Luật cơ bản kế thừa các nội dung do Chính phủ trình. Theo đó, cơ quan, tổ chức chỉ cần lập hồ sơ này một lần cho suốt quá trình hoạt động và cập nhật khi có thay đổi và cơ quan chức năng sẽ thực hiện kiểm tra hồ sơ khi xét thấy cần thiết. Đối với cả hai loại đánh giá tác động này, nếu đã thực hiện theo quy định của Luật này thì không phải thực hiện việc đánh giá rủi ro tương tự theo quy định của Luật Dữ liệu.

Ngoài ra, nhằm giảm gánh nặng tuân thủ pháp luật, Uỷ ban Thường vụ Quốc hội đã chỉ đạo bổ sung quy định doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các quy định về lập hồ sơ đánh giá tác động, chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong thời hạn 5 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành và miễn thực hiện đối với các hộ kinh doanh, doanh nghiệp siêu nhỏ.