Sáng 26/6, với 433/435 đại biểu tán thành, Quốc hội đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân, quy định nhiều chế tài nghiêm khắc đối với các hành vi vi phạm, đặc biệt là việc mua bán dữ liệu cá nhân, một hành vi bị nghiêm cấm hoàn toàn.
Phó Chủ tịch Quốc hội, Thượng tướng Trần Quang Phương điều hành phiên họp. Ảnh: Phạm Thắng.
Phạt tới 10 lần khoản thu từ vi phạm
Theo Điều 8 của Luật, các tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân sẽ bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự, tùy mức độ và hậu quả. Trong đó, hành vi mua bán dữ liệu cá nhân trái phép có thể bị xử phạt lên tới 10 lần khoản thu bất hợp pháp. Nếu không xác định được khoản thu, mức phạt tối đa là 3 tỷ đồng đối với tổ chức, 1,5 tỷ đồng với cá nhân.
Riêng hành vi chuyển dữ liệu cá nhân xuyên biên giới trái phép, mức phạt được ấn định bằng 5% doanh thu năm trước của tổ chức vi phạm; trường hợp không có doanh thu, mức phạt cũng có thể lên tới 3 tỷ đồng.
Ủy ban Thường vụ Quốc hội nhấn mạnh, các vi phạm liên quan dữ liệu cá nhân có thể gây hậu quả nghiêm trọng và khó khắc phục, do đó cần thiết phải áp dụng mức phạt cao để đảm bảo tính răn đe, đặc biệt với các doanh nghiệp công nghệ, tập đoàn đa quốc gia có quy mô doanh thu hàng nghìn tỷ đồng.
Dữ liệu cá nhân không phải là hàng hóa
Điều 7 của Luật quy định rõ: Cấm tuyệt đối hành vi mua bán dữ liệu cá nhân dưới mọi hình thức. Bên cạnh đó, người dùng không được sử dụng dữ liệu cá nhân của người khác để thực hiện hành vi trái pháp luật hoặc cho người khác sử dụng dữ liệu của mình. Các hành vi như chiếm đoạt, làm lộ, làm mất dữ liệu hay sử dụng để chống phá Nhà nước, gây ảnh hưởng an ninh quốc gia… đều bị nghiêm cấm.
Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới trình bày Báo cáo giải trình, tiếp thu, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân. Ảnh: Phạm Thắng.
Theo giải thích của Thường vụ Quốc hội, việc cấm mua bán là nhằm ngăn chặn tình trạng rao bán dữ liệu tràn lan trên mạng, hay việc lợi dụng dữ liệu để lừa đảo, chiếm đoạt tài sản. Dữ liệu cá nhân gắn liền với quyền riêng tư, nhân thân, không thể coi là tài sản để mua bán như hàng hóa. Nhiều quốc gia như Mỹ, Singapore, Thái Lan, Malaysia đều không công nhận dữ liệu cá nhân là tài sản, mà chỉ ghi nhận quyền kiểm soát dữ liệu của cá nhân.
Tại Việt Nam, tình trạng thu thập, mua bán dữ liệu cá nhân diễn ra phổ biến nhưng lại thiếu hành lang pháp lý đầy đủ. Luật mới khẳng định rõ: Dữ liệu cá nhân không phải là tài sản, việc mua bán là hành vi bị cấm.
Mạng xã hội không được yêu cầu ảnh giấy tờ tùy thân
Luật cũng thiết lập các nguyên tắc chặt chẽ đối với mạng xã hội và nền tảng trực tuyến. Theo Điều 29, các nền tảng không được yêu cầu người dùng cung cấp ảnh, video chứa toàn bộ hoặc một phần giấy tờ tùy thân để xác thực tài khoản, trừ trường hợp được sự đồng ý rõ ràng. Ngoài ra, các nền tảng không được nghe lén, ghi âm, đọc tin nhắn nếu không có sự cho phép.
Các nền tảng số bắt buộc phải công khai chính sách bảo mật, minh bạch trong thu thập và sử dụng dữ liệu, đồng thời phải có cơ chế để người dùng chỉnh sửa, xóa thông tin và thiết lập quyền riêng tư.
Đối với dữ liệu cá nhân chuyển ra nước ngoài, các nền tảng phải có biện pháp bảo vệ phù hợp và chỉ cần lập hồ sơ đánh giá tác động một lần, cập nhật khi có thay đổi, thay vì phải xin phép trước như đề xuất ban đầu.
Ngân hàng không được tự ý chấm điểm tín dụng
Trong lĩnh vực tài chính - ngân hàng, Luật quy định rõ: Không được sử dụng thông tin tín dụng cá nhân để chấm điểm, xếp hạng tín dụng nếu chưa có sự đồng ý.
Các tổ chức tín dụng chỉ được thu thập dữ liệu thực sự cần thiết từ các nguồn hợp pháp và phải thông báo ngay cho người dùng nếu xảy ra rò rỉ, mất mát dữ liệu liên quan đến tài khoản ngân hàng, tài chính, tín dụng.
Luật cũng yêu cầu các tổ chức tín dụng thực hiện đầy đủ biện pháp bảo mật, ngăn chặn truy cập và sử dụng trái phép, đồng thời có giải pháp khôi phục dữ liệu khi cần thiết.
Quốc hội biểu quyết thông qua Luật Bảo vệ dữ liệu cá nhân. Ảnh: Hồ Long.
Quyền kiểm soát dữ liệu cá nhân được đảm bảo
Một nội dung đáng chú ý là Luật đã quy định rõ quyền của chủ thể dữ liệu cá nhân, như quyền được biết, được đồng ý, được chỉnh sửa, xóa dữ liệu và phản đối việc xử lý dữ liệu.
Các hành vi xử lý dữ liệu cá nhân như thu thập, mã hóa, khử nhận dạng, cung cấp, công khai, chuyển giao đều phải tuân thủ quy định pháp luật. Một số trường hợp không cần sự đồng ý cũng được xác định rõ để tránh lạm dụng.
Luật quy định lực lượng bảo vệ dữ liệu cá nhân gồm: Cơ quan chuyên trách thuộc Bộ Công an; Bộ phận, nhân sự phụ trách trong từng cơ quan, tổ chức; Các tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu; Tổ chức, cá nhân được huy động tham gia nhiệm vụ này.
Để giảm gánh nặng tuân thủ, Luật cho phép doanh nghiệp nhỏ và khởi nghiệp được miễn thực hiện đánh giá tác động và chỉ định nhân sự phụ trách dữ liệu trong vòng 5 năm kể từ khi Luật có hiệu lực. Hộ kinh doanh và doanh nghiệp siêu nhỏ được miễn hoàn toàn.
Luật Bảo vệ dữ liệu cá nhân sẽ chính thức có hiệu lực từ ngày 1/1/2026, được kỳ vọng sẽ tạo ra hành lang pháp lý vững chắc, bảo vệ hiệu quả quyền riêng tư của công dân, đồng thời tăng cường trách nhiệm và minh bạch trong môi trường số đang phát triển mạnh mẽ.
