Cụ thể, theo khoản 3 Điều 25 Nghị định số 340/2025/NĐ-CP của Chính phủ, phạt tiền từ 100 - 200 triệu đồng đối với hành vi lợi dụng hoạt động thông tin tín dụng để tư lợi cá nhân, xâm phạm lợi ích của Nhà nước hoặc quyền, lợi ích hợp pháp của tổ chức, cá nhân mà chưa đến mức bị truy cứu trách nhiệm hình sự. Như vậy, mức xử phạt mới cao nhất đối với hành vi lên tới 200 triệu đồng.
Ảnh minh họa. Nguồn: Internet.
Trước khi Nghị định số 340/2025/NĐ-CP có hiệu lực, mức xử phạt với các hành vi vi phạm liên quan đến thông tin tín dụng theo quy định trước đó trong Nghị định 88/2019/NĐ-CP thấp hơn.
Cụ thể, các hành vi thu thập, cung cấp, trao đổi, sử dụng sai quy định thông tin tín dụng bị xử phạt từ 20 - 40 triệu đồng đối với những hành vi thu thập thông tin tín dụng ngoài phạm vi cho phép hoặc không có sự đồng ý của chủ thể dữ liệu.
Phạt từ 40 - 80 triệu đồng đối với hành vi cố ý làm sai lệch nội dung thông tin tín dụng; phạt từ 80 - 100 triệu đồng đối với hành vi thu thập, cung cấp, trao đổi, sử dụng trái phép thông tin tín dụng khi chưa đến mức bị truy cứu trách nhiệm hình sự.
Bên cạnh đó, Nghị định số 340/2025/NĐ-CP cũng quy định xử phạt từ 20 - 40 triệu đồng đối với các hành vi trao đổi, cung cấp, sao chép thông tin tín dụng hoặc sản phẩm thông tin tín dụng sai mục đích, sai đối tượng, hoặc cung cấp cho bên thứ ba không đúng quy định của pháp luật.
Quy định này nhằm ngăn chặn tình trạng mua bán, chia sẻ trái phép dữ liệu tín dụng, vốn tiềm ẩn nhiều rủi ro xâm phạm quyền riêng tư của người dân.
Buộc thông báo sự cố trong vòng 72 giờ
Bên cạnh các chế tài xử phạt tại Nghị định số 340/2025/NĐ-CP, các yêu cầu về bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng và thông tin tín dụng cũng được đặt ra vô cùng chặt chẽ.
Cụ thể, tại Điều 27 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định, tổ chức và cá nhân hoạt động trong các lĩnh vực này có trách nhiệm thực hiện đầy đủ các quy định về bảo vệ dữ liệu cá nhân nhạy cảm, bảo đảm an toàn, bảo mật thông tin theo tiêu chuẩn pháp luật.
Luật cũng nghiêm cấm việc sử dụng thông tin tín dụng của chủ thể dữ liệu để chấm điểm, xếp hạng tín dụng, đánh giá mức độ tín nhiệm khi chưa có sự đồng ý của chính chủ thể dữ liệu.
Việc thu thập dữ liệu cá nhân chỉ được thực hiện trong phạm vi cần thiết, từ các nguồn hợp pháp và phải kịp thời thông báo cho khách hàng trong trường hợp xảy ra lộ, mất thông tin liên quan đến tài khoản, tài chính hoặc tín dụng.
Để cụ thể hóa các quy định của Luật, Chính phủ đã ban hành Nghị định số 356/2025/NĐ-CP hướng dẫn chi tiết việc bảo vệ dữ liệu cá nhân. Trong đó, tại Điều 8 Nghị định số 356/2025/NĐ-CP nêu rõ, các tổ chức, cá nhân có liên quan phải áp dụng tiêu chuẩn, quy chuẩn kỹ thuật bảo vệ dữ liệu cá nhân, thực hiện đánh giá tuân thủ quy định về bảo vệ dữ liệu cá nhân định kỳ hằng năm và ghi lại đầy đủ nhật ký toàn bộ hoạt động xử lý dữ liệu.
Đặc biệt, khi xin sự đồng ý của chủ thể dữ liệu cá nhân, tổ chức, cá nhân phải nêu rõ mục đích xử lý dữ liệu, bao gồm cả hoạt động chấm điểm, xếp hạng tín dụng nếu có, đồng thời thông tin rõ về nguồn thu thập, thời gian lưu trữ và cơ chế rút lại sự đồng ý theo quy định.
Trong trường hợp phát hiện lộ, mất dữ liệu cá nhân nhạy cảm, tổ chức, cá nhân trực tiếp thu thập dữ liệu có trách nhiệm thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và cho chính chủ thể dữ liệu trong thời hạn không quá 72 giờ.
Với các quy định và chế tài mới, việc quản lý, khai thác và bảo vệ thông tin tín dụng được kỳ vọng sẽ ngày càng chặt chẽ, góp phần bảo vệ quyền và lợi ích hợp pháp của người dân, đồng thời nâng cao tính minh bạch, an toàn trong hoạt động tài chính, ngân hàng.
