QUY ĐỊNH PHÁP LUẬT VỀ VIỆC BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG THỜI ĐẠI SỐ

Trong thời đại công nghệ số hiện nay, dữ liệu cá nhân đóng vai trò quan trọng trong hầu hết các hoạt động như học tập, làm việc, mua sắm và giao dịch trực tuyến. Tuy nhiên, tình trạng lộ lọt thông tin cá nhân, cuộc gọi rác, tin nhắn lừa đảo hay mua bán dữ liệu trái phép đang diễn ra ngày càng phổ biến. Điều này đặt ra yêu cầu cần có các quy định pháp luật nhằm bảo vệ quyền riêng tư và an toàn thông tin của mỗi cá nhân.

1. Dữ liệu cá nhân là gì? 

Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân. 

– Dữ liệu cá nhân cơ bản: là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành. 

– Dữ liệu cá nhân nhạy cảm:  là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành. 

* Một khi dữ liệu đã được “khử nhận dạng” (không còn khả năng định danh cụ thể một người) thì sẽ không còn được coi là dữ liệu cá nhân.

2. Các hành vi bị nghiêm cấm 

Căn cứ theo Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025:

“1. Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

2. Cản trở hoạt động bảo vệ dữ liệu cá nhân.

3. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.

4. Xử lý dữ liệu cá nhân trái quy định của pháp luật.

5. Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.

6. Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.

7. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.”

3. Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân

Căn cứ theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025:

“1. Tổ chức, cá nhân có hành vi vi phạm quy định của Luật này và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

2. Việc xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân thực hiện theo quy định tại các khoản 3, 4, 5, 6 và 7 Điều này và pháp luật về xử lý vi phạm hành chính.

3. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.

4. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.

5. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.

6. Mức phạt tiền tối đa quy định tại các khoản 3, 4 và 5 Điều này được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.

7. Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.”

* Đối với cá nhân vi phạm, mức phạt bằng 1/2 so với tổ chức. Ngoài ra, tùy theo tính chất nghiêm trọng, người vi phạm có thể bị truy cứu trách nhiệm hình sự hoặc phải bồi thường thiệt hại dân sự.

Kết luận

Việc ban hành Luật Bảo vệ dữ liệu cá nhân 2025 không chỉ là một yêu cầu pháp lý, mà còn là lời cam kết của Nhà nước trong việc bảo vệ con người trước những mặt trái của công nghệ.

Trong bối cảnh dữ liệu là tài sản, là nguồn lực phát triển, mỗi cá nhân cần nâng cao cảnh giác và ý thức tự bảo vệ thông tin của mình. Đồng thời, các doanh nghiệp và tổ chức cần xem việc tuân thủ pháp luật về dữ liệu không phải là gánh nặng, mà là nền tảng cốt lõi để xây dựng uy tín và phát triển bền vững. Một môi trường số an toàn chỉ có thể hình thành khi tất cả chúng ta cùng hiểu, cùng làm đúng và cùng tôn trọng quyền riêng tư của nhau.