Mua bán dữ liệu cá nhân trái phép có thể bị phạt tới 10 lần doanh thu - Báo VnExpress

Theo quy định tại Điều 8 của Luật, tổ chức, cá nhân vi phạm các quy định về bảo vệ dữ liệu cá nhân có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự tùy theo tính chất, mức độ và hậu quả của hành vi. Trường hợp gây thiệt hại, người vi phạm còn phải bồi thường theo quy định pháp luật.

Cụ thể, hành vi mua, bán dữ liệu cá nhân trái phép bị xử phạt tối đa 10 lần khoản thu bất hợp pháp. Nếu không xác định được khoản thu, tổ chức vi phạm có thể bị phạt đến 3 tỷ đồng, cá nhân bị phạt đến 1,5 tỷ đồng. Với hành vi chuyển dữ liệu cá nhân xuyên biên giới trái phép, mức phạt là 5% doanh thu năm trước của tổ chức. Trường hợp không có doanh thu, mức phạt cũng có thể lên tới 3 tỷ đồng. Chính phủ sẽ ban hành hướng dẫn về cách tính khoản thu để áp dụng mức xử phạt này.

Ủy ban Thường vụ Quốc hội lý giải rằng các vi phạm trong lĩnh vực dữ liệu cá nhân có thể gây hậu quả nghiêm trọng, vì vậy cần thiết phải áp dụng mức phạt cao nhằm đảm bảo tính răn đe, đặc biệt với các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng nghìn tỷ đồng.

Cấm mua bán dữ liệu cá nhân

Luật cũng quy định cấm mua, bán dữ liệu cá nhân dưới mọi hình thức. Điều 7 của Luật nghiêm cấm hành vi sử dụng dữ liệu cá nhân của người khác để thực hiện hành vi trái pháp luật; cho người khác sử dụng dữ liệu cá nhân của mình; chiếm đoạt, cố ý làm lộ hoặc làm mất dữ liệu cá nhân; xử lý dữ liệu với mục đích chống lại Nhà nước, xâm phạm quốc phòng, an ninh quốc gia, trật tự xã hội, hoặc cản trở việc bảo vệ dữ liệu cá nhân.

Theo Thường vụ Quốc hội, việc cấm triệt để hành vi mua bán dữ liệu cá nhân là cần thiết để ngăn chặn tình trạng rao bán thông tin cá nhân tràn lan trên mạng, hoặc việc nhân viên tổ chức lợi dụng dữ liệu để lừa đảo, chiếm đoạt tài sản. Dữ liệu cá nhân gắn với quyền riêng tư, nhân thân và không thể coi là hàng hóa để trao đổi mua bán. Kinh nghiệm quốc tế cho thấy hầu hết quốc gia, như Mỹ, Thái Lan, Singapore hay Malaysia, không công nhận dữ liệu cá nhân là tài sản mà chỉ thừa nhận quyền kiểm soát của mỗi người với dữ liệu của chính mình.

Tại Việt Nam, tình trạng dữ liệu cá nhân bị thu thập và rao bán như hàng hóa đã diễn ra phổ biến trong khi hành lang pháp lý còn thiếu. Nhiều trường hợp chưa có cơ chế kiểm soát việc đồng ý sử dụng, mục đích xử lý, hoặc bảo vệ đầy đủ quyền của người dùng. Vì vậy, Luật mới khẳng định rõ dữ liệu cá nhân không phải là tài sản và việc mua bán là hành vi bị cấm.

Mạng xã hội không được yêu cầu người dùng cung cấp ảnh giấy tờ tùy thân

Luật quy định nguyên tắc bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến tại điều 29. Các nền tảng không được thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng; không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản; không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của người dùng.

Đồng thời, các nền tảng phải công khai chính sách bảo mật, minh bạch trong việc thu thập và sử dụng dữ liệu, cung cấp cơ chế để người dùng truy cập, chỉnh sửa, xóa thông tin và thiết lập quyền riêng tư. Trong trường hợp chuyển dữ liệu cá nhân công dân Việt Nam ra nước ngoài, các nền tảng phải có biện pháp bảo vệ phù hợp.

Ngân hàng không được thu thập thông tin tín dụng để chấm điểm

Luật cũng đặt ra các nguyên tắc bảo vệ dữ liệu trong lĩnh vực tài chính, ngân hàng và thông tin tín dụng.

Theo đó, tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng không sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu cá nhân khi chưa có sự đồng ý.

Tổ chức tín dụng chỉ thu thập những dữ liệu cá nhân cần thiết phục vụ cho hoạt động thông tin tín dụng từ các nguồn phù hợp với quy định và phải thông báo cho chủ thể dữ liệu cá nhân trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng.

Tổ chức, cá nhân thực hiện hoạt động thông tin tín dụng áp dụng các biện pháp phòng, chống truy cập, sử dụng, tiết lộ, chỉnh sửa trái phép dữ liệu cá nhân của khách hàng; có giải pháp khôi phục dữ liệu cá nhân của khách hàng trong trường hợp bị mất; bảo mật trong quá trình thu thập, cung cấp, xử lý dữ liệu cá nhân của khách hàng.

Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 1/1/2026.

Sơn Hà