Chính thức từ nay, mua bán dữ liệu cá nhân sẽ bị phạt gấp 10 lần doanh thu
“Chợ đen” dữ liệu với hàng trăm triệu bản ghi bị đánh cắp đang bị siết chặt.
Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ 1/1/2026, quy định mức phạt đến 3 tỷ đồng cho vi phạm hành chính. Riêng hành vi mua bán dữ liệu trái phép sẽ chịu mức phạt gấp 10 lần khoản thu lợi bất chính, nhằm tăng tính răn đe và bảo vệ quyền lợi người dùng.
Thông tin trên được Thượng tá Nguyễn Đình Đỗ Thi, Phó trưởng phòng tham mưu - Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an), chia sẻ tại tọa đàm bảo vệ dữ liệu cá nhân do Hiệp hội An ninh mạng Quốc gia tổ chức ngày 31/12.
Thực tế các năm gần đây cho thấy tình trạng mua bán dữ liệu cá nhân trái phép diễn biến phức tạp. Theo thống kê của A05, tính riêng 6 tháng đầu năm 2025, lực lượng chức năng đã phát hiện và xử lý 56 vụ mua bán dữ liệu trái phép, với tổng quy mô lên tới hơn 110 triệu bản ghi dữ liệu.
Dữ liệu này thường bị các nhóm tội phạm sử dụng để giả danh ngân hàng, doanh nghiệp viễn thông hoặc cơ quan công quyền nhằm lừa đảo chiếm đoạt tài sản. Thượng tá Thi cho biết, năm 2024, Việt Nam ghi nhận hơn 659.000 vụ tấn công mạng, trong đó hơn 10.000 vụ nhắm trực tiếp vào hệ thống của cơ quan Nhà nước và doanh nghiệp.
Đại tá Nguyễn Hồng Quân - Phó cục trưởng A05, nhận định Luật Bảo vệ dữ liệu cá nhân đánh dấu bước ngoặt trong tư duy lập pháp. Quyền bảo vệ dữ liệu cá nhân, trước đây được xem là một phần của quyền riêng tư, nay trở thành quyền độc lập, được pháp luật ghi nhận và bảo hộ. Việt Nam trở thành một trong số các quốc gia có quy định pháp lý cụ thể về vấn đề này, thể hiện cam kết xây dựng môi trường số an toàn.
Theo Thượng tá Nguyễn Đình Đỗ Thi, đối với vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu, mức phạt tối đa là 3 tỷ đồng. Riêng hành vi kinh doanh hoặc mua bán dữ liệu cá nhân trái phép, mức phạt lên tới 10 lần khoản lợi thu được từ hành vi vi phạm. "Đây là những điểm mới và là chế tài mạnh để các chủ thể có trách nhiệm hơn trong việc đảm bảo an toàn dữ liệu cho người dùng", ông nhấn mạnh.
Cơ quan soạn thảo luật khuyến cáo người dân chủ động bảo vệ mật khẩu, sử dụng xác thực đa lớp và cân nhắc kỹ các điều khoản trước khi sử dụng dịch vụ số. Doanh nghiệp, đặc biệt là các đơn vị xử lý dữ liệu, cần áp dụng biện pháp kỹ thuật xuyên suốt từ khâu thu thập đến lưu trữ, đồng thời báo ngay cho cơ quan chức năng khi phát hiện vi phạm hoặc hệ thống bị tấn công.
Ông Ngô Tuấn Anh, Phó trưởng ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân - Hiệp hội An ninh mạng Quốc gia, cho rằng để luật đi vào thực tiễn cần 3 yếu tố: nhân lực, quy trình và công nghệ.
"Không hệ thống nào an toàn nếu con người thiếu hiểu biết pháp luật và rủi ro", ông nhận định.
Việc triển khai luật hiệu quả đòi hỏi hệ sinh thái bảo vệ dữ liệu toàn diện, kết hợp nhân lực được đào tạo, quy trình chuẩn hóa và công nghệ nhiều lớp. Các giải pháp công nghệ nội địa phù hợp với điều kiện trong nước sẽ giúp doanh nghiệp giảm chi phí tuân thủ, đồng thời nâng cao hiệu quả bảo vệ dữ liệu cá nhân.
