Luật bảo vệ dữ liệu cá nhân áp dụng mức xử phạt hành chính lên đến 5% tổng doanh thu hàng năm đối với hành vi vi phạm

05/08/2025 | Chính sách khác

Ngày 26/06/2025, Quốc Hội đã thông qua Luật số 91/2025/QH15 Luật bảo vệ dữ liệu cá nhân. Đáng chú ý, Luật áp dụng các biện pháp xử phạt hành chính nghiêm khắc đối với một số hành vi vi phạm, với mức phạt lên đến 5% tổng doanh thu hàng năm hoặc gấp mười lần khoản lợi bất hợp pháp thu được hoặc mức phạt lên đến 5 tỷ đồng. Luật bảo vệ dữ liệu cá nhân sẽ có hiệu lực từ ngày 1/1/2026. Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện quy định tại Điều 21, Điều 22 và khoản 2 Điều 33 của Luật này trong thời gian 05 năm kể từ ngày Luật này có hiệu lực thi hành, trừ doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu cá nhân.

Mục lục:

I. Dữ liệu cá nhân là gì
II. Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân
III. Chuyển dữ liệu cá nhân xuyên biên giới
IV. Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây

I. Dữ liệu cá nhân là gì

Theo quy định Điều 2 Luật bảo vệ dữ liệu cá nhân số 91/2025/QH15 ngày 26/06/2025 ("LBVDLCN") thì dữ liệu cá nhân gồm những nội dung sau:

1. Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.

2. Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.

3. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành.

II. Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân

Điều 8 của Luật quy định các chế tài xử phạt hành chính rất nặng, có tính răn đe cao:

Mua, bán dữ liệu cá nhân: Mức phạt tiền tối đa là 10 lần khoản thu bất hợp pháp
Vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: Mức phạt tối đa đối với tổ chức lên đến 5% tổng doanh thu của năm trước liền kề.
Các hành vi vi phạm khác: Mức phạt tiền tối đa là 03 tỷ đồng.

Lưu ý: Mức phạt đối với cá nhân thực hiện cùng hành vi vi phạm sẽ bằng một phần hai (1/2) mức phạt đối với tổ chức

III. Chuyển dữ liệu cá nhân xuyên biên giới

1. Các trường hợp chuyển dữ liệu cá nhân xuyên biên giới bao gồm:

a) Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam;

b) Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức, cá nhân ở nước ngoài;

c) Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam.

2. Theo Điều 20, các tổ chức, cá nhân khi chuyển dữ liệu cá nhân ra khỏi Việt Nam phải:

a. Lập hồ sơ đánh giá tác động: Phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

b. Gửi cho cơ quan chuyên trách: Gửi 01 bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân (thuộc Bộ Công an) trong vòng 60 ngày kể từ ngày đầu tiên chuyển dữ liệu.

c. Cập nhật định kỳ: Hồ sơ này được cập nhật khi có thay đổi.

3. Các trường hợp không phải thực hiện quy định về đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới bao gồm:

a) Việc chuyển dữ liệu cá nhân xuyên biên giới của cơ quan nhà nước có thẩm quyền;

b) Cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây;

c) Chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới;

d) Các trường hợp khác theo quy định của Chính phủ.

IV. Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây

1. Dữ liệu cá nhân trong môi trường dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải được xử lý đúng mục đích và giới hạn trong phạm vi cần thiết, bảo đảm quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.

2. Việc xử lý dữ liệu cá nhân trong môi trường dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải tuân thủ quy định của Luật này và quy định khác của pháp luật có liên quan; phù hợp với chuẩn mực đạo đức, thuần phong mỹ tục của Việt Nam.

3. Hệ thống và dịch vụ sử dụng dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải được tích hợp các biện pháp bảo mật dữ liệu cá nhân phù hợp; phải sử dụng phương thức xác thực, định danh phù hợp và phân quyền truy cập để xử lý dữ liệu cá nhân.

4. Việc xử lý dữ liệu cá nhân bằng trí tuệ nhân tạo phải thực hiện phân loại theo mức độ rủi ro để có biện pháp bảo vệ dữ liệu cá nhân phù hợp.

5. Không sử dụng, phát triển hệ thống xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây có sử dụng dữ liệu cá nhân để gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của người khác.

Toàn văn Luật bảo vệ dữ liệu cá nhân 2025, xin vui lòng xem tại đây.

Thông tin có trong bài viết này mang tính chất chung và chỉ nhằm mục đích cung cấp thông tin về quy định pháp luật. DB Legal sẽ không chịu trách nhiệm cho bất kỳ việc sử dụng hoặc áp dụng thông tin cho bất kỳ mục đích kinh doanh nào. Để có tư vấn pháp lý chuyên sâu, xin vui lòng liên hệ với chúng tôi.

For more information:

📞: +84 357 466 579

📧: contact@dblegal.vn

🌐Facebook: DB Legal Vietnamese Fanpage or DB Legal English Fanpage

🐦X(Twitter)

💼Linkedin

🎬Youtube