Từ 1/1/2026, mua bán dữ liệu cá nhân có thể bị phạt gấp 10 lần khoản thu bất hợp pháp

Luật Bảo vệ dữ liệu cá nhân 2025 được Quốc hội thông qua hôm 26/6/2025 và chính thức có hiệu lực từ 1/1/2026.

Khoản 1 Điều 14 Luật Bảo vệ dữ liệu cá nhân 2025 quy định, dữ liệu cá nhân sẽ được xóa, hủy trong các trường hợp: Cá nhân yêu cầu và chấp nhận các rủi ro có thể xảy ra; Mục đích xử lý dữ liệu đã hoàn thành; Hết thời hạn lưu trữ theo quy định của pháp luật; Có quyết định từ cơ quan nhà nước có thẩm quyền; Theo thỏa thuận giữa các bên; Trường hợp khác theo quy định pháp luật.

Ngoài ra, việc xóa dữ liệu phải bảo đảm an toàn và ngăn chặn việc khôi phục trái phép. Nếu không thể xóa vì lý do chính đáng, bên kiểm soát dữ liệu phải thông báo lại cho người yêu cầu.

Điều 13 Luật Bảo vệ dữ liệu cá nhân 2025 nêu rõ, cá nhân có thể tự chỉnh sửa một số loại dữ liệu cá nhân hoặc yêu cầu bên kiểm soát dữ liệu thực hiện chỉnh sửa;

Bên kiểm soát dữ liệu có trách nhiệm xử lý yêu cầu trong thời hạn luật định. Việc chỉnh sửa phải đảm bảo tính chính xác và nếu không thể thực hiện vì lý do hợp lý thì phải có thông báo chính thức.

Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025 cũng liệt kê bảy hành vi bị nghiêm cấm.

Trong đó, có việc xử lý dữ liệu cá nhân chống lại Nhà nước, gây ảnh hưởng đến quốc phòng, an ninh quốc gia hoặc trật tự xã hội; cản trở hoạt động bảo vệ dữ liệu; lợi dụng việc bảo vệ dữ liệu để thực hiện hành vi trái pháp luật; xử lý dữ liệu cá nhân trái quy định của pháp luật cũng là những hành vi bị cấm.

Luật cũng cấm sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.

Các hành vi mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác; chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân cũng sẽ bị cấm.

Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 quy định:

Tổ chức và cá nhân vi phạm có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự, đồng thời phải bồi thường nếu gây thiệt hại.

Đối với hành vi mua bán dữ liệu cá nhân, mức phạt tiền tối đa được áp dụng là gấp 10 lần khoản thu bất hợp pháp từ hành vi vi phạm. Trường hợp không có khoản thu hoặc khoản thu quá thấp, mức phạt sẽ được áp dụng theo quy định chung.

Đối với hành vi vi phạm liên quan đến chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tối đa đối với tổ chức là 5% doanh thu của năm trước liền kề. Nếu tổ chức không có doanh thu hoặc mức phạt tính theo doanh thu thấp hơn mức phạt chung, mức phạt tiền theo quy định chung sẽ được áp dụng.

Ngoài ra, các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân sẽ bị xử phạt tối đa 3 tỷ đồng.

Với cá nhân, mức phạt tối đa bằng một nửa mức phạt áp dụng cho tổ chức. Chính phủ sẽ có quy định cụ thể về phương pháp tính khoản thu bất hợp pháp từ hành vi vi phạm để áp dụng mức xử phạt phù hợp.

Mai Linh (t/h)