Theo đó, nghĩa vụ liên quan đến ANM và BVDLCN của doanh nghiệp được đặt ra xuyên suốt trong quá trình hoạt động. Đi cùng với các nghĩa vụ này là các chế chế tài ngày càng nghiêm khắc với mức phạt lớn nhằm bảo đảm quy định mới được thực thi nghiêm túc trong thực tế. Mặc dù, các quy định mới được đánh giá là tiến bộ và tiệm cận với xu hướng quản trị dữ liệu trên thế giới. Tuy nhiên bài toán tuân thủ không chỉ là vấn đề pháp lý mà còn gắn với chi phí và nguồn lực kỹ thuật khi đòi hỏi doanh nghiệp vừa có thể tối ưu về mặt kinh tế vừa đảm bảo tránh các rủi ro xử phạt tiềm ẩn.
Ảnh minh họa. Nguồn: Internet.
Xử phạt vi phạm trong lĩnh vực ANM
Vi phạm do không đảm bảo an toàn cơ sở hạ tầng viễn thông
Hiện nay, việc phân phối các sản phẩm, dịch vụ Internet ngày càng phổ biến. Tuy nhiên, nhiều cơ sở kinh doanh thường ít quan tâm trong việc trang bị cơ sở hạ tầng đủ an toàn để đảm bảo an toàn thông tin. Bên cạnh đó, các bên cung cấp dịch vụ cũng không hướng dẫn các bên đại lý Internet thực hiện dẫn đến tình trạng các điểm truy cập Internet dễ dàng bị tấn công và đánh cắp thông tin. Từ đó, lỗ hỏng thông tin bị đánh cắp dễ dàng và ngày càng xuất hiện nhiều đối tượng xấu lợi dụng nhằm buôn bán, chuyển giao cho các mục đích thu lời trên không gian mạng. Trên cơ sở đó, các yêu cầu về đảm bảo an toàn cơ sở hạ tầng viễn thông được đặt ra. Cụ thể, theo điểm a khoản 1 Điều 20 Dự thảo NĐ, trường hợp không triển khai các hệ thống kỹ thuật, nghiệp vụ bảo đảm an toàn, an ninh sẽ phạt tiền từ 10 đến 20 triệu đồng. Mặc dù mức phạt không quá cao nhưng phù hợp với bối cảnh Nhà nước đặt ra các yêu cầu trách nhiệm của các doanh nghiệp trong vấn đề an ninh mạng. Bên cạnh phạt tiền, một số biện pháp khắc phục hậu quả cũng được áp dụng đồng thời trong một số trường hợp như buộc khôi phục lại tình trạng ban đầu được áp dụng khi có hành vi làm hư hỏng đường dây cáp quang, ăng-ten hoặc trang thiết bị của hệ thống truyền dẫn.[1]
Vi phạm do không triển khai các biện pháp giám sát an toàn, bảo vệ hệ thống thông tin
Trước đây, khung hình phạt về các hành vi không áp dụng biện pháp bảo đảm an toàn được xác định từ 10-70 triệu đồng.[2] Theo Điều 25 Dự thảo NĐ, mức phạt của hành vi không ban hành quy định về bảo vệ hệ thống thông tin trong hoạt động thiết kế, xây dựng, vận hành, sử dụng, nâng cấp, hủy bỏ hệ thông thông tin là 25 đến 50 triệu đồng, cao hơn so với 10-20 triệu đồng ở thời điểm trước đó. Tương tự như vậy, các hành vi không kiểm tra giám sát việc tuân thủ, không phối hợp với các chủ quản hệ thống thông tin hoặc không áp dụng các biện pháp quản lý, kỹ thuật cần thiết đều là cơ sở để đưa ra mức phạt từ 50 đến 100 triệu đồng. Các hành vi vi phạm được xây dựng dựa trên kế thừa từ các quy định cũ song mức phạt tăng lên gấp 5 lần để răn đe, đốc thúc việc triển khai của doanh nghiệp trong trách nhiệm bảo vệ an ninh hệ thống thông tin.
Vi phạm do không đảm bảo an ninh thông tin mạng
Đảm bảo an ninh thông tin mạng là một trong những mục tiêu hàng đầu trong Luật ANM 2025. Theo khoản 2 Điều 25 Luật ANM 2025, doanh nghiệp khi cung cấp dịch vụ trên không gian mạng bắt buộc phải xác thực thông tin khi người dùng đăng ký tài khoản số và bảo mật thông tin, tài khoản người dùng. Khi đó, việc tuân thủ trở thành nghĩa vụ bắt buộc, đòi hỏi doanh nghiệp phải thiết lập các cơ chế xác thực và quản lý tài khoản an toàn trong suốt vòng đời sử dụng dịch vụ. Chẳng hạn, doanh nghiệp cần triển khai các biện pháp xác thực người dùng phù hợp như xác thực qua số điện thoại, email, hoặc các hình thức xác thực đa yếu tố (multi-factor authentication - MFA). Đồng thời, hệ thống cũng phải áp dụng các biện pháp bảo mật như mã hóa thông tin đăng nhập, kiểm soát truy cập, ghi nhận nhật ký truy cập và phát hiện các hành vi đăng nhập bất thường nhằm ngăn chặn nguy cơ chiếm đoạt hoặc sử dụng trái phép tài khoản người dùng. Trên thực tế, nhiều nền tảng công nghệ lớn đã áp dụng các biện pháp này như Google và Facebook. Trường hợp không tuân thủ, doanh nghiệp sẽ bị xử phạt từ 75 đến 100 triệu tùy theo mức độ nghiêm trọng. Kèm theo đó là hình thức xử phạt bổ sung như doanh nghiệp sẽ bị tước quyền sử dụng Giấy phép kinh doanh từ 01 đến 03 tháng. Không chỉ dừng lại ở chế tài tài chính và hành chính, các vi phạm này còn có thể gây ra những hệ quả đáng kể đối với hoạt động của doanh nghiệp. Việc bị tước quyền sử dụng giấy phép kinh doanh có thể làm gián đoạn hoặc đình trệ hoạt động cung cấp dịch vụ trên không gian mạng, ảnh hưởng trực tiếp đến doanh thu và quan hệ với khách hàng, đối tác. Đồng thời, việc bị xử phạt trong lĩnh vực an ninh mạng cũng có thể tác động tiêu cực đến uy tín và mức độ tin cậy của doanh nghiệp trên thị trường.
Xử phạt trong lĩnh vực BVDLCN
Vi phạm quyền của chủ thể dữ liệu
Điều 4 Luật BVDLCN 2025 ghi nhận một số quyền của chủ thể dữ liệu cá nhân như: (i) Quyền được đồng ý hoặc không đồng ý, rút lại sự đồng ý, Quyền xem, chỉnh sửa hoặc yêu cầu chỉnh sửa; (iii) Quyền yêu cầu xóa,... Đây là những quyền mang tính nền tảng được luật hóa trong giai đoạn tài sản số và nhu cầu bảo mật thông tin được chú trọng.
Do đó, để đảm bảo quyền chủ thể được thực thi trên thực tế, Dự thảo Nghị định đã đưa ra các chế tài cụ thể trong trường hợp doanh nghiệp vi phạm. Tùy theo yêu cầu của chủ thể dữ liệu, bên kiểm soát, bên kiểm soát và xử lý dữ liệu phải đảm bảo việc phản hồi trong thời gian 02 ngày làm việc và thực hiện trong thời gian quy định.[3] Một trong những tình huống dự kiến có thể xuất hiện nhiều trong thời gian tới là khi người lao động nghỉ việc thường sẽ có yêu cầu doanh nghiệp xóa dữ liệu cá nhân của mình. Theo đó, nếu căn cứ theo khoản 4 Điều 5 Nghị định 356/2025/NĐ-CP doanh nghiệp phải có trách nhiệm thực hiện việc xóa dữ liệu trong thời gian 20 ngày hoặc dài hơn đối với các trường hợp phức tạp. Lúc này, doanh nghiệp cần xây dựng quy trình tiếp nhận và xử lý yêu cầu để đảm bảo việc thực hiện và thông báo về kết quả xử lý một cách kịp thời nhanh chóng. Vì việc chậm trễ trong việc thực thi quyền của người lao động – chủ thể dữ liệu có thể dẫn đến việc bị xử phạt từ 70 đến 100 triệu đồng và buộc áp dụng các hình thức phạt bổ sung như đình chỉ việc xử lý dữ liệu của doanh nghiệp trong một khoản thời gian nhất định.[4]
Vi phạm trong thực hiện thủ tục hành chính về BVDLCN
Thủ tục đánh giá tác động xử lý dữ liệu là thủ tục bắt buộc để cơ quan chuyên trách về bảo vệ dữ liệu cá nhân có thể đánh giá tình hình tuân thủ và mức độ rủi ro trong quá trình kiểm soát, xử lý và lưu trữ dữ liệu cá nhân của doanh nghiệp và các bên liên quan, đặc biệt là các doanh nghiệp lớn. Ngoài ra, doanh nghiệp phải thực hiện đánh giá tác động chuyển dữ liệu cá nhân khi có hoạt động chuyển dữ liệu ra nước ngoài. Do đó, Dự thảo Nghị định đã bổ sung các chế tài cụ thể cho các hành vi vi phạm liên quan đến hai thủ tục này. Đối với vi phạm về đánh giá tác động xử lý dữ liệu cá nhân, bên kiểm soát, bên kiểm soát và xử lý dữ liệu cá nhân có thể bị phạt từ 50 đến 70 triệu đồng khi:[5] (i) không lập hoặc lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu; (ii) không gửi Bộ Công An bản chính theo Mẫu số 02a (đối với doanh nghiệp); (iii) không chấp hành yêu cầu chỉnh sửa, hoàn thiện hồ sơ trong thời hạn quy định. Mức phạt này còn có thể được nhân lên trong trường hợp doanh nghiệp làm lộ hoặc làm mất dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu.[6] Tương tự với các hành vi này, mức phạt sẽ là 70 đến 100 triệu đồng trong trường hợp chuyển dữ liệu cá nhân ra nước ngoài.
Đáng lưu ý, rất nhiều hình thức xử phạt bổ sung và biện pháp khắc phục được áp dụng đồng thời. Ví dụ, doanh nghiệp phải lập hoặc lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân nhưng không triển khai thực hiện. Trong tình huống này doanh nghiệp có thể bị phạt theo mức phạt nêu trên và bị đình chỉ giấy phép kinh doanh, kèm theo đó là buộc phải lập hoặc lưu giữ hồ sơ đánh giá tác động theo đúng quy định. Điều này cho thấy việc không tuân thủ các nghĩa vụ về đánh giá tác động không giúp doanh nghiệp tránh được trách nhiệm thực hiện thủ tục mà chỉ làm gia tăng chi phí tuân thủ.
Thay vì chờ đến khi bị cơ quan có thẩm quyền kiểm tra hoặc ban hành chế tài xử phạt, doanh nghiệp mới tìm cách thực hiện. Việc chủ động triển khai các thủ tục rà soát hoạt động, đánh giá rủi ro, thực hiện thủ tục hành chính đánh giá tác động ngay từ giai đoạn này nếu có xử lý dữ liệu cá nhân là hết sức cần thiết với doanh nghiệp. Trong bối cảnh Nhà nước đang thực thi chặt chẽ các quy định về bảo vệ an ninh mạng và dữ liệu cá nhân, việc thực thi các quy định này không còn là lựa chọn mà buộc doanh nghiệp phải thực thi bằng phương án tốt nhất.
[1] Khoản 7 Điều 20 Dự thảo Nghị định.
[2] Điều 87 Nghị định 15/2020/NĐ-CP.
[3] Điều 5 Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật BVDLCN.
[4] Khoản 2 Điều 58 Dự thảo Nghị định.
[5] Khoản 1 Điều 67 Dự thảo Nghị định.
[6] Khoản 2 Điều 67 Dự thảo Nghị định.
NGUYỄN VIỆT HÙNG
Công ty Luật TNHH HM&P.
