Cụ thể, theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 quy định về xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân nêu rõ, tổ chức, cá nhân có hành vi vi phạm quy định của Luật Bảo vệ dữ liệu cá nhân 2025 và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
Việc xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân thực hiện theo các quy định dưới đây và pháp luật về xử lý vi phạm hành chính.
Bên cạnh đó, mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều 8 Luật thì áp dụng mức phạt tiền theo quy định tại khoản 5.
Ảnh minh họa. Nguồn: Internet.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều 8 Luật thì áp dụng mức phạt tiền theo quy định tại khoản 5.
Khoản 5 Điều 8 Luật này cũng nêu rõ, mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỉ đồng.
Mức phạt tiền tối đa được quy định tại các khoản 3, 4, 5 Điều 8 Luật này được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Như vậy, theo quy định mới, từ ngày 01/01/2026, mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.
Trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa thì mức phạt đối với hành vi này tối đa là 03 tỉ đồng đối với tổ chức và 1,5 tỉ đồng đối với cá nhân.
Trước đó, tại Kỳ họp thứ 9, Quốc hội khóa XV ngày 26/6, lý giải về vấn đề tăng gấp 10 lần mức xử phạt vi phạm hành chính đối với hành vi mua bán dữ liệu cá nhân, Ủy ban Thường vụ Quốc hội cho biết, các vi phạm trong lĩnh vực dữ liệu cá nhân có thể gây hậu quả nghiêm trọng, vì vậy cần thiết phải áp dụng mức phạt cao nhằm đảm bảo tính răn đe, đặc biệt với các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng nghìn tỷ đồng.
Ngoài ra, tại Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025 cũng quy định về việc cấm mua, bán dữ liệu cá nhân dưới mọi hình thức.
Theo đó, nghiêm cấm hành vi sử dụng dữ liệu cá nhân của người khác để thực hiện hành vi trái pháp luật; cho người khác sử dụng dữ liệu cá nhân của mình; chiếm đoạt, cố ý làm lộ hoặc làm mất dữ liệu cá nhân; xử lý dữ liệu với mục đích chống lại Nhà nước, xâm phạm quốc phòng, an ninh quốc gia, trật tự xã hội, hoặc cản trở việc bảo vệ dữ liệu cá nhân.
Theo Ủy ban Thường vụ Quốc hội, việc cấm triệt để hành vi mua bán dữ liệu cá nhân là cần thiết để ngăn chặn tình trạng rao bán thông tin cá nhân tràn lan trên mạng, hoặc việc nhân viên tổ chức lợi dụng dữ liệu để lừa đảo, chiếm đoạt tài sản. Dữ liệu cá nhân gắn với quyền riêng tư, nhân thân và không thể coi là hàng hóa để trao đổi mua bán. Kinh nghiệm quốc tế cho thấy hầu hết quốc gia, như Mỹ, Thái Lan, Singapore hay Malaysia, không công nhận dữ liệu cá nhân là tài sản mà chỉ thừa nhận quyền kiểm soát của mỗi người với dữ liệu của chính mình.
Tại Việt Nam, tình trạng dữ liệu cá nhân bị thu thập và rao bán như hàng hóa đã diễn ra phổ biến trong khi hành lang pháp lý còn thiếu. Nhiều trường hợp chưa có cơ chế kiểm soát việc đồng ý sử dụng, mục đích xử lý, hoặc bảo vệ đầy đủ quyền của người dùng. Vì vậy, Luật Bảo vệ dữ liệu cá nhân 2025 lần này khẳng định rõ dữ liệu cá nhân không phải là tài sản và việc mua bán là hành vi bị cấm.
