Người thực hiện hành vi mua bán dữ liệu cá nhân có thể bị xử phạt lên tới 10 lần khoản thu lợi từ hành vi vi phạm

Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân, phạt tới 10 lần khoản thu và 5% doanh thu đối với hành vi vi phạm nghiêm trọng

Sáng 26/6, tại Kỳ họp thứ 9, Quốc hội khóa XV, với 433/435 đại biểu tham gia biểu quyết tán thành (chiếm 90,59% tổng số đại biểu Quốc hội), Quốc hội đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân. Đây là đạo luật lần đầu tiên thiết lập hành lang pháp lý toàn diện về bảo vệ dữ liệu cá nhân trong bối cảnh chuyển đổi số, phát triển kinh tế số, xã hội số đang diễn ra mạnh mẽ.

Luật gồm 5 chương, 39 điều, quy định về nguyên tắc bảo vệ dữ liệu cá nhân; quyền và nghĩa vụ của chủ thể dữ liệu; trách nhiệm của tổ chức, cá nhân xử lý dữ liệu; lực lượng thực thi và điều kiện bảo đảm bảo vệ dữ liệu cá nhân. Luật có hiệu lực thi hành từ ngày 1/1/2026.

Tại Điều 8 của Luật, quy định rõ các hình thức xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân. Theo đó, tổ chức, cá nhân có hành vi vi phạm có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự, tùy theo tính chất, mức độ và hậu quả của hành vi. Nếu gây thiệt hại, người vi phạm còn phải bồi thường theo quy định của pháp luật.

Về xử phạt hành chính, mức phạt tiền tối đa đối với tổ chức có hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm. Trường hợp không có khoản thu hoặc mức phạt tính theo khoản thu thấp hơn mức phạt tối đa thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều 8, tức tối đa là 3 tỷ đồng.

Đối với hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa là 5% doanh thu của năm trước liền kề của tổ chức vi phạm. Nếu không có doanh thu hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tối đa, cũng áp dụng mức phạt tối đa theo khoản 5 Điều 8 (3 tỷ đồng). Riêng đối với cá nhân vi phạm, mức phạt tiền tối đa bằng một phần hai mức phạt áp dụng cho tổ chức. Chính phủ sẽ quy định phương pháp tính khoản thu có được từ hành vi vi phạm để làm căn cứ xử phạt.

Luật cũng thiết lập cơ chế hậu kiểm đối với hoạt động chuyển dữ liệu cá nhân xuyên biên giới. Theo đó, các tổ chức, cá nhân thực hiện hoạt động này không bắt buộc xin phép trước trong mọi trường hợp, mà chỉ cần lập hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới một lần cho toàn bộ quá trình hoạt động và cập nhật khi có thay đổi. Cơ quan có thẩm quyền sẽ kiểm tra hồ sơ khi xét thấy cần thiết. Quy định này được đánh giá là tạo thuận lợi đáng kể cho hoạt động của doanh nghiệp, đồng thời vẫn đảm bảo được quản lý nhà nước về dữ liệu cá nhân.

Báo cáo trước Quốc hội, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới cho biết: Tiếp thu ý kiến đại biểu, dự thảo Luật đã được chỉnh lý để quy định rõ nguyên tắc khi chủ thể dữ liệu thực hiện quyền của mình, phải tuân thủ pháp luật, các nghĩa vụ theo hợp đồng và đảm bảo quyền, lợi ích hợp pháp của chính chủ thể đó. Việc thực hiện quyền không được gây khó khăn cho nghĩa vụ pháp lý của các bên liên quan, cũng như không xâm phạm quyền, lợi ích hợp pháp của Nhà nước, tổ chức, cá nhân khác.

Luật cũng quy định cụ thể các hoạt động xử lý dữ liệu cá nhân như: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao... và các trường hợp được xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể, như trong các tình huống vì quốc phòng, an ninh quốc gia, phòng chống tội phạm hoặc cấp cứu, bảo vệ tính mạng, sức khỏe người dân.