Phạt tiền tỷ nếu giao dịch chia sẻ dữ liệu cá nhân bất hợp pháp
Luật Bảo vệ dữ liệu cá nhân vừa được Quốc hội thông qua quy định mức phạt hành chính với hành vi mua, bán dữ liệu cá nhân có thể lên tới 10 lần khoản thu bất hợp pháp.
Theo Điều 8 của Luật, cá nhân, tổ chức vi phạm các quy định bảo vệ dữ liệu cá nhân có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự dựa trên tính chất, mức độ và hậu quả của hành vi. Nếu gây thiệt hại, người vi phạm còn phải bồi thường theo quy định pháp luật. Cụ thể, hành vi mua, bán dữ liệu cá nhân trái phép bị xử phạt tối đa 10 lần khoản thu bất hợp pháp. Nếu khoản thu không xác định được, mức phạt có thể lên tới 3 tỷ đồng với tổ chức và 1,5 tỷ đồng với cá nhân. Trong trường hợp vi phạm chuyển dữ liệu cá nhân xuyên biên giới trái phép, mức phạt là 5% doanh thu năm trước của tổ chức. Nếu không có doanh thu, tổ chức vi phạm vẫn có thể bị phạt đến 3 tỷ đồng. Chính phủ sẽ ban hành hướng dẫn cụ thể về cách tính khoản thu để áp dụng mức xử phạt này.
Đại biểu Quốc hội tại hội trường Diên Hồng. Ảnh: Cổng TTĐT Quốc hội
Giải thích về mức phạt cao, Ủy ban Thường vụ Quốc hội cho rằng các vi phạm trong lĩnh vực dữ liệu cá nhân có thể gây hậu quả nghiêm trọng. Vì vậy, cần áp dụng mức phạt nghiêm khắc để đảm bảo tính răn đe, đặc biệt với các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng nghìn tỷ đồng.
Luật cũng cấm triệt để việc mua, bán dữ liệu cá nhân dưới mọi hình thức. Điều 7 của Luật nghiêm cấm sử dụng dữ liệu cá nhân của người khác để thực hiện hành vi trái pháp luật; cho người khác sử dụng dữ liệu cá nhân của mình; chiếm đoạt, cố ý làm lộ hoặc làm mất dữ liệu cá nhân; xử lý dữ liệu với mục đích chống lại Nhà nước, xâm phạm quốc phòng, an ninh quốc gia, trật tự xã hội, hoặc cản trở việc bảo vệ dữ liệu cá nhân. Theo Thường vụ Quốc hội, "việc cấm triệt để hành vi mua bán dữ liệu cá nhân là cần thiết để ngăn chặn tình trạng rao bán thông tin cá nhân tràn lan trên mạng, hoặc việc nhân viên tổ chức lợi dụng dữ liệu để lừa đảo, chiếm đoạt tài sản". Dữ liệu cá nhân, gắn với quyền riêng tư và nhân thân, không thể coi là hàng hóa để trao đổi mua bán. Kinh nghiệm quốc tế cho thấy hầu hết các quốc gia như Mỹ, Thái Lan, Singapore hay Malaysia không công nhận dữ liệu cá nhân là tài sản mà chỉ thừa nhận quyền kiểm soát của cá nhân đối với dữ liệu của chính mình.
Thực tế tại Việt Nam, tình trạng thu thập và rao bán dữ liệu cá nhân như một loại hàng hóa đã diễn ra phổ biến trong khi hành lang pháp lý còn nhiều lỗ hổng. Nhiều trường hợp chưa có cơ chế kiểm soát việc đồng ý sử dụng, mục đích xử lý hoặc bảo vệ đầy đủ quyền của người dùng. Vì vậy, Luật mới khẳng định rõ rằng dữ liệu cá nhân không phải là tài sản, và mọi hành vi mua bán dữ liệu đều bị cấm.
Ngoài ra, Luật đặt ra các quy định nghiêm ngặt đối với các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến tại Điều 29. Các nền tảng không được thu thập dữ liệu trái phép hoặc ngoài phạm vi đã thỏa thuận với khách hàng. Đồng thời, không được yêu cầu người dùng cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản. Việc nghe lén, nghe trộm, ghi âm cuộc gọi hoặc đọc tin nhắn văn bản khi không có sự đồng ý của người dùng cũng bị nghiêm cấm. Các nền tảng phải công khai chính sách bảo mật, minh bạch trong việc thu thập và sử dụng dữ liệu, đồng thời cung cấp cơ chế để người dùng truy cập, chỉnh sửa, xóa thông tin và thiết lập quyền riêng tư. Trong trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, các nền tảng phải áp dụng biện pháp bảo vệ phù hợp.
Luật cũng quy định các nguyên tắc bảo vệ dữ liệu cá nhân trong lĩnh vực tài chính, ngân hàng và thông tin tín dụng. Các tổ chức, cá nhân hoạt động trong lĩnh vực này không được sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng hoặc mức độ tín nhiệm về tín dụng khi chưa có sự đồng ý. Các tổ chức tín dụng chỉ được thu thập những dữ liệu cá nhân cần thiết phục vụ cho hoạt động thông tin tín dụng từ các nguồn phù hợp với quy định pháp luật. Đồng thời, họ phải thông báo cho chủ thể dữ liệu cá nhân trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng hoặc thông tin tín dụng. Các tổ chức, cá nhân thực hiện hoạt động thông tin tín dụng phải áp dụng biện pháp phòng, chống truy cập, sử dụng, tiết lộ hoặc chỉnh sửa trái phép dữ liệu cá nhân của khách hàng. Họ cũng phải có các giải pháp để khôi phục dữ liệu cá nhân của khách hàng trong trường hợp bị mất và đảm bảo bảo mật trong quá trình thu thập, cung cấp và xử lý dữ liệu cá nhân.
Luật Bảo vệ dữ liệu cá nhân sẽ có hiệu lực từ ngày 1/1/2026.
