Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân

Luật gồm 5 chương, 39 điều, có hiệu lực thi hành từ 1/1/2026.

Đáng chú ý, theo Luật, tổ chức, cá nhân vi phạm các quy định về bảo vệ dữ liệu cá nhân có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự tùy theo tính chất, mức độ và hậu quả của hành vi.

Trường hợp gây thiệt hại, người vi phạm còn phải bồi thường theo quy định pháp luật. Cụ thể, hành vi mua, bán dữ liệu cá nhân trái phép bị xử phạt tối đa 10 lần khoản thu bất hợp pháp. Nếu không xác định được khoản thu, tổ chức vi phạm có thể bị phạt đến 3 tỷ đồng, cá nhân bị phạt đến 1,5 tỷ đồng.

Với hành vi chuyển dữ liệu cá nhân xuyên biên giới trái phép, mức phạt là 5% doanh thu năm trước của tổ chức. Trường hợp không có doanh thu, mức phạt cũng có thể lên tới 3 tỷ đồng.

Chính phủ sẽ ban hành hướng dẫn về cách tính khoản thu để áp dụng mức xử phạt này.

Về nguyên tắc bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến (điều 29). Luật quy định, các nền tảng không được thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng; không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản; không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của người dùng.

Tổ chức tín dụng chỉ thu thập những dữ liệu cá nhân cần thiết phục vụ cho hoạt động thông tin tín dụng từ các nguồn phù hợp với quy định và phải thông báo cho chủ thể dữ liệu cá nhân trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng.

Tổ chức, cá nhân thực hiện hoạt động thông tin tín dụng áp dụng các biện pháp phòng, chống truy cập, sử dụng, tiết lộ, chỉnh sửa trái phép dữ liệu cá nhân của khách hàng; có giải pháp khôi phục dữ liệu cá nhân của khách hàng trong trường hợp bị mất; bảo mật trong quá trình thu thập, cung cấp, xử lý dữ liệu cá nhân của khách hàng.

Quy định chặt chẽ cơ chế thực hiện các quyền của chủ thể dữ liệu

Trước đó, trình bày Báo cáo giải trình, tiếp thu, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới cho biết, dự thảo luật điều chỉnh mức phạt hành chính tại khoản 2 Điều 4 (nay là khoản 2, 3, 4, 5 và 6 Điều 8) theo hướng chỉ áp dụng mức phạt tối đa đến 5% doanh thu năm trước liền kề đối với hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới; mức phạt tối đa là 10 lần khoản thu có được từ hành vi vi phạm đối với hành vi mua, bán dữ liệu cá nhân; đồng thời, giao Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân bảo đảm tính khả thi. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỷ đồng.

Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới nêu rõ, nhiều ý kiến góp ý về việc cơ chế bảo đảm thực hiện các yêu cầu của chủ thể dữ liệu cá nhân, các hoạt động xử lý dữ liệu cá nhân cụ thể, các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu, chuyển dữ liệu cá nhân ra nước ngoài, đánh giá tác động xử lý dữ liệu cá nhân, bảo vệ dữ liệu cá nhân trong một số lĩnh vực, hoạt động cụ thể.

Đáng chú ý, về phân cấp, phân quyền trong công tác quản lý nhà nước về bảo vệ dữ liệu cá nhân, dự thảo luật quy định Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân; Bộ Công an là cơ quan đầu mối chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về dữ liệu cá nhân, Bộ Quốc phòng chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về dữ liệu cá nhân thuộc phạm vi quản lý. Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND cấp tỉnh thực hiện quản lý nhà nước đối với bảo vệ dữ liệu cá nhân theo lĩnh vực quản lý và theo chức năng, nhiệm vụ được giao.

Đặc biệt, dự thảo luật đã triệt để cắt giảm, đơn giản hóa thủ tục hành chính, điều kiện đầu tư sản xuất, kinh doanh, giảm chi phí tuân thủ, tạo thuận lợi cao nhất cho người dân và doanh nghiệp. So với dự thảo Chính phủ trình, dự thảo luật tiếp thu, chỉnh lý bước đầu đã cắt giảm 4 dịch vụ là ngành, nghề đầu tư kinh doanh có điều kiện, từ 5 dịch vụ trong dự thảo do Chính phủ trình giảm xuống còn 1 dịch vụ là Dịch vụ xử lý dữ liệu cá nhân (đã bổ sung vào nội dung sửa đổi, bổ sung một số điều của Luật Đầu tư đang trình Quốc hội thông qua).

Ủy ban Thường vụ Quốc hội đã chỉ đạo nghiên cứu, tiếp thu các ý kiến của đại biểu Quốc hội. Trong đó, đã bỏ các quy định không rõ ràng, không cần thiết do đã được điều chỉnh ở các văn bản quy phạm pháp luật chuyên ngành khác như về các biện pháp bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân, nghiên cứu, phát triển về bảo vệ dữ liệu cá nhân…

Về những hành vi bị nghiêm cấm (Điều 7), tại khoản 5, có ý kiến đại biểu nhất trí với quy định cấm mua, bán dữ liệu cá nhân vì phù hợp với Hiến pháp và pháp luật về dân sự và dữ liệu cá nhân không phải hàng hóa mà là thông tin gắn với cá nhân, không thể giao dịch như tài sản thông thường.

Nhiều ý kiến đề nghị, thay vì cấm tuyệt đối, để phù hợp với thỏa thuận hợp pháp trong kinh tế thị trường, không cản trở các giao dịch hợp pháp như khi người dùng đồng ý chia sẻ dữ liệu.

UBTVQH khẳng định, quy định cấm mua, bán dữ liệu cá nhân nhằm kịp thời ngăn chặn hành vi thu thập trái phép và rao bán các gói dữ liệu cá nhân trên không gian mạng hay người trong nội bộ các tổ chức bán dữ liệu cá nhân cho đối tượng bên ngoài lợi dụng lừa đảo, chiếm đoạt tài sản quy mô lớn, gây bức xúc trong xã hội thời gian qua. Dữ liệu cá nhân không thể được giao dịch như hàng hóa thông thường vì gắn với quyền nhân thân, quyền riêng tư của mỗi người.

Tham khảo kinh nghiệm quốc tế cho thấy, dữ liệu cá nhân không được công nhận là tài sản, một số quốc gia (như Mỹ, Thái Lan, Singapore, Malaysia...) chỉ công nhận về quyền kiểm soát của chủ thể đối với việc sử dụng dữ liệu cá nhân của mình như thế nào.

Quyền kiểm soát này không phải chỉ thực hiện qua quyền đồng ý tiết lộ, chia sẻ, chuyển giao dữ liệu cá nhân cho bên khác và nhận lại lợi ích, mà còn có các quy định hết sức chặt chẽ để vận hành một cơ chế đồng bộ, kiểm soát để dữ liệu cá nhân của chủ thể không bị xâm phạm, sử dụng sai mục đích; không được tự ý chuyển giao cho bên thứ ba; không sử dụng vào các mục đích khác ngoài thỏa thuận; chủ thể luôn có quyền từ chối hoặc rút lại sự đồng ý một cách dễ dàng bất cứ lúc nào).

"Thực tế tại Việt Nam, nhiều dữ liệu cá nhân đã bị các đối tượng phạm tội sử dụng để giao dịch, mua, bán, cho thuê như hàng hóa mà chưa có quy định của luật để điều chỉnh; các cơ chế đảm bảo quyền của chủ thể dữ liệu cá nhân; khả năng kiểm soát sự đồng ý, mục đích xử lý dữ liệu cá nhân chưa đảm bảo chặt chẽ, nên cần thống nhất nhận thức về việc dữ liệu cá nhân không phải tài sản và cần cấm mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác" - Chủ nhiệm Lê Tấn Tới nhấn mạnh.