Chính thức từ 1/1/2026, người dân có thể bị phạt tới 1,5 tỷ đồng nếu làm điều này

Sáng 26/6, trong khuôn khổ chương trình làm việc của Kỳ họp thứ 9, Quốc hội đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân với 433/435 đại biểu tham gia biểu quyết tán thành.

Luật Bảo vệ dữ liệu cá nhân gồm 5 chương và 39 điều, quy định đầy đủ và thống nhất các nội dung liên quan đến dữ liệu cá nhân (DLCN), bảo đảm sự tương thích với Luật Dữ liệu cũng như các quy định pháp luật chuyên ngành. Luật nêu rõ trách nhiệm của từng chủ thể trong công tác bảo vệ DLCN, bao gồm cơ quan quản lý nhà nước, đơn vị kiểm soát, xử lý DLCN, các tổ chức, cá nhân có liên quan và lực lượng bảo vệ dữ liệu cá nhân. Ngoài ra, luật cũng bổ sung quy định về việc thiết lập cơ chế giám sát đối với hoạt động xử lý dữ liệu không cần sự đồng ý của chủ thể DLCN.

Dự thảo luật có phạm vi điều chỉnh và đối tượng áp dụng bao trùm mọi cá nhân, tổ chức, cơ quan có liên quan đến hoạt động xử lý DLCN. Tại Mục 2 Chương II, luật còn dành riêng các điều khoản (từ Điều 26 đến Điều 31) để điều chỉnh vấn đề bảo vệ dữ liệu trong nhiều lĩnh vực quan trọng như tài chính, ngân hàng, y tế, thương mại điện tử, truyền thông, mạng xã hội, trí tuệ nhân tạo, internet... Chính phủ cũng được giao quyền hướng dẫn chi tiết đối với việc phát triển các công nghệ mới như xử lý dữ liệu lớn, AI, điện toán đám mây, chuỗi khối, vũ trụ ảo, nền tảng mạng xã hội...

Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân. Ảnh: Internet

Một trong những điểm nổi bật của luật là việc cắt giảm tối đa các thủ tục hành chính, điều kiện đầu tư và kinh doanh, qua đó giảm chi phí tuân thủ và tạo thuận lợi cho người dân và doanh nghiệp. So với bản dự thảo trước đó do Chính phủ trình, luật đã được chỉnh lý theo hướng tinh gọn, loại bỏ 4/5 dịch vụ thuộc ngành, nghề đầu tư kinh doanh có điều kiện, chỉ còn giữ lại duy nhất dịch vụ xử lý DLCN. Dịch vụ này đã được đưa vào nội dung sửa đổi, bổ sung của Luật Đầu tư trình Quốc hội tại cùng kỳ họp.

Về xử lý vi phạm, Điều 8 của luật quy định rõ: "Tổ chức, cá nhân có hành vi vi phạm quy định của Luật này và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật".

Trong đó, hành vi mua bán dữ liệu cá nhân trái phép có thể bị phạt hành chính tới 10 lần khoản thu bất hợp pháp; nếu không xác định được khoản thu, mức phạt tối đa là 3 tỷ đồng đối với tổ chức, 1,5 tỷ đồng đối với cá nhân. Riêng hành vi chuyển dữ liệu cá nhân xuyên biên giới trái phép có thể bị xử phạt 5% doanh thu của năm trước. Trường hợp không phát sinh doanh thu, mức phạt vẫn có thể lên tới 3 tỷ đồng. Chính phủ sẽ ban hành hướng dẫn cụ thể về cách tính khoản thu làm căn cứ xử phạt.

Ảnh minh họa

Ủy ban Thường vụ Quốc hội cho rằng, vi phạm trong lĩnh vực dữ liệu cá nhân có thể gây ra hậu quả nghiêm trọng, do đó việc áp dụng các mức phạt nghiêm khắc là cần thiết nhằm răn đe, nhất là đối với các doanh nghiệp công nghệ hoặc tập đoàn đa quốc gia có quy mô doanh thu lớn.

Luật cũng quy định rõ: "Cấm mua, bán dữ liệu cá nhân dưới mọi hình thức". Theo nhận định của Ủy ban Thường vụ Quốc hội, quy định này là cần thiết trong bối cảnh thông tin cá nhân bị rao bán tràn lan trên mạng, hoặc bị lợi dụng để thực hiện hành vi lừa đảo, chiếm đoạt tài sản. Dữ liệu cá nhân gắn liền với quyền riêng tư và nhân thân, vì vậy không thể xem là loại hàng hóa để trao đổi mua bán.

Luật Bảo vệ dữ liệu cá nhân sẽ chính thức có hiệu lực thi hành từ ngày 1/1/2026.

>> Bộ trưởng Bộ Công an: Cần chế tài xử lý nghiêm minh việc mua bán dữ liệu cá nhân