Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực thi hành từ ngày 1.1.2026. Trong đó, đáng chú ý là các quy định về hành vi bị nghiêm cấm, và chế tài các hành vi vi phạm pháp luật về xử lý dữ liệu cá nhân.
Luật Bảo vệ dữ liệu cá nhân 2025 nghiêm cấm hành vi mua bán dữ liệu
ẢNH MINH HỌA: ĐÀO NGỌC THẠCH
Về các hành vi bị nghiêm cấm trong xử lý dữ liệu cá nhân, luật sư Trương Ngọc Liêu (Đoàn luật sư TP.Hà Nội) cho biết, điều 7 luật Bảo vệ dữ liệu cá nhân quy định cụ thể 7 hành vi bị nghiêm cấm, gồm:
- Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
- Cản trở hoạt động bảo vệ dữ liệu cá nhân.
- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
- Xử lý dữ liệu cá nhân trái quy định của pháp luật.
- Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
- Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
- Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Như vậy, theo luật sư Liêu, luật Bảo vệ dữ liệu cá nhân quy định thêm 3 hành vi bị nghiêm cấm mà trước đó Nghị định 13/2023/NĐ-CP chưa quy định, bao gồm các hành vi: sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác; chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Có thể bị truy cứu trách nhiệm hình sự
Đồng thời, luật sư Trương Ngọc Liêu cũng nhấn mạnh, tại điều 8 luật Bảo vệ dữ liệu cá nhân quy định rõ về chế tài xử lý hành vi vi phạm trong xử lý dữ liệu cá nhân.
Bao gồm, tổ chức, cá nhân có hành vi vi phạm liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường.
Về xử phạt hành chính, luật sư Liêu cho hay, mức phạt tiền tối đa đối với tổ chức có hành vi mua, bán dữ liệu cá nhân là phạt tiền 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 3 tỉ đồng thì áp dụng mức phạt tiền tối đa là 3 tỉ đồng.
Trường hợp tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới, thì mức phạt là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn 3 tỉ đồng thì áp dụng mức phạt tiền tối đa là 3 tỉ đồng.
Ngoài ra, các tổ chức có hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân, thì mức phạt tiền tối đa là 3 tỉ đồng.
"Mức phạt tiền tối đa quy định nêu trên được áp dụng đối với tổ chức. Cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một nửa mức phạt tiền đối với tổ chức", luật sư Liêu chia sẻ.
Về vi phạm dẫn đến truy cứu trách nhiệm hình sự, theo luật sư Trương Ngọc Liêu, nếu cá nhân, tổ chức thực hiện các hành vi như: Xử lý dữ liệu cá nhân nhằm gây ảnh hưởng đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; Cố ý làm lộ, làm mất dữ liệu cá nhân, sử dụng dữ liệu cá nhân của người khác để thực hiện hành vi vi phạm pháp luật như lừa đảo chiếm đoạt tài sản, xúc phạm nghiêm trọng danh dự, nhân phẩm người khác... thì có thể bị truy cứu trách nhiệm hình sự.
"Tùy hành vi vi phạm, các tội tương ứng bị xử lý trách nhiệm hình sự có thể là tội lợi dụng các quyền tự do dân chủ xâm phạm lợi ích của Nhà nước, quyền, lợi ích hợp pháp của tổ chức, cá nhân (điều 331); tội lừa đảo chiếm đoạt tài sản (điều 174); tội làm nhục người khác (điều 155)...", luật sư Liêu nêu.
