Vi phạm dữ liệu cá nhân: Mức phạt 3 tỷ đồng và 5% doanh thu áp dụng khi nào?

Kể từ khi Luật Bảo vệ dữ liệu cá nhân năm 2025 (số 91/2025/QH15) có hiệu lực, các doanh nghiệp và tổ chức phải đối mặt với mức xử phạt hành chính nghiêm khắc chưa từng có. Cụ thể, các hành vi vi phạm nghiêm trọng như mua bán trái phép dữ liệu cá nhân hoặc chuyển dữ liệu xuyên biên giới không đúng quy định có thể bị phạt tới 3 tỷ đồng hoặc 5% tổng doanh thu của năm trước liền kề, tùy theo mức độ vi phạm.

Vi phạm dữ liệu cá nhân: Mức phạt 3 tỷ đồng và 5% doanh thu áp dụng khi nào?

Bài viết dưới đây sẽ phân tích chi tiết các quy định tại Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 và các đề xuất trong Dự thảo Nghị định xử phạt vi phạm hành chính trong an ninh mạng và bảo vệ dữ liệu cá nhân do Bộ Thông tin và Truyền thông soạn thảo.

Hành vi mua, bán dữ liệu cá nhân bị phạt thế nào?

Theo quy định tại Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025, đối với hành vi mua, bán dữ liệu cá nhân, mức phạt tiền tối đa được xác định bằng 10 lần khoản thu có được từ hành vi vi phạm. Đây là mức phạt rất cao nhằm triệt tiêu động cơ kinh tế của các hành vi vi phạm.

Tuy nhiên, trong trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu thấp hơn 3 tỷ đồng, thì mức phạt tiền tối đa áp dụng là 3 tỷ đồng. Quy định này nhằm đảm bảo tính răn đe đối với mọi hành vi, kể cả khi chưa phát sinh lợi nhuận thực tế.

Chuyển dữ liệu cá nhân xuyên biên giới sai quy định: Mức phạt 5% doanh thu

Đối với tổ chức có hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa được tính bằng 5% doanh thu của năm trước liền kề của tổ chức đó. Đây là mức phạt được thiết kế để tương xứng với quy mô hoạt động của doanh nghiệp.

Trường hợp tổ chức không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn 3 tỷ đồng, thì mức phạt tiền tối đa áp dụng là 3 tỷ đồng.

Các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân

Đối với các hành vi vi phạm khác không thuộc hai nhóm trên, mức phạt tiền tối đa là 3 tỷ đồng. Điều này có nghĩa là mọi hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân đều có thể bị xử phạt ở mức rất cao, thể hiện tính nghiêm minh của pháp luật.

Lưu ý về mức phạt đối với cá nhân

Mức phạt tiền tối đa nêu trên được áp dụng đối với tổ chức. Đối với cá nhân thực hiện cùng hành vi vi phạm, mức phạt tiền tối đa bằng 1/2 mức phạt tiền đối với tổ chức. Như vậy, mức phạt tối đa đối với cá nhân có thể lên tới 1,5 tỷ đồng.

Đề xuất mức phạt đối với vi phạm nguyên tắc bảo vệ dữ liệu cá nhân

Theo Điều 57 Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong an ninh mạng và bảo vệ dữ liệu cá nhân (do Bộ Thông tin và Truyền thông soạn thảo), các hành vi vi phạm nguyên tắc bảo vệ dữ liệu cá nhân được đề xuất xử phạt như sau:

Mức phạt từ 50 - 70 triệu đồng

Áp dụng đối với các hành vi:

• Xử lý dữ liệu cá nhân trái quy định của pháp luật.
• Thu thập, xử lý dữ liệu cá nhân không đúng phạm vi, mục đích cụ thể, rõ ràng.
• Không đảm bảo độ chính xác của dữ liệu, không chỉnh sửa, cập nhật, bổ sung khi cần thiết.
• Lưu trữ dữ liệu cá nhân quá khoảng thời gian phù hợp với mục đích xử lý.
• Không thực hiện có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người để bảo vệ dữ liệu cá nhân.
• Không chủ động phòng ngừa, phát hiện, ngăn chặn, xử lý kịp thời các hành vi vi phạm.
• Không gắn bảo vệ dữ liệu cá nhân với bảo vệ lợi ích quốc gia, dân tộc.

Mức phạt từ 70 - 100 triệu đồng

Áp dụng đối với các hành vi nghiêm trọng hơn:

• Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước, gây ảnh hưởng đến quốc phòng, an ninh quốc gia.
• Cản trở hoạt động bảo vệ dữ liệu cá nhân.
• Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
• Sử dụng dữ liệu cá nhân của người khác hoặc cho người khác sử dụng dữ liệu của mình để thực hiện hành vi trái pháp luật.
• Mua, bán dữ liệu cá nhân (trừ trường hợp luật có quy định khác).
• Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Hình thức xử phạt bổ sung và biện pháp khắc phục hậu quả

Bên cạnh phạt tiền, tổ chức, cá nhân vi phạm còn có thể bị áp dụng các hình thức xử phạt bổ sung và biện pháp khắc phục hậu quả sau:

Hình thức xử phạt bổ sung

• Tịch thu tang vật, phương tiện vi phạm hành chính.
• Đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng.

Biện pháp khắc phục hậu quả

• Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân.
• Buộc hoàn trả hoặc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm.
• Công khai xin lỗi chủ thể dữ liệu cá nhân.

Tác động thực tiễn đối với doanh nghiệp

Các quy định này có tác động rất lớn đến hoạt động của doanh nghiệp, đặc biệt là các công ty công nghệ, thương mại điện tử, tài chính - ngân hàng và các tổ chức có hoạt động thu thập, xử lý dữ liệu cá nhân quy mô lớn. Doanh nghiệp cần:

• Rà soát và hoàn thiện quy trình bảo vệ dữ liệu cá nhân nội bộ.
• Đảm bảo tuân thủ các nguyên tắc xử lý dữ liệu theo quy định của Luật Bảo vệ dữ liệu cá nhân 2025.
• Đặc biệt thận trọng khi thực hiện chuyển dữ liệu cá nhân xuyên biên giới, vì mức phạt có thể lên tới 5% doanh thu.
• Xây dựng kế hoạch ứng phó sự cố và báo cáo kịp thời khi xảy ra vi phạm.

Theo đánh giá của các chuyên gia pháp lý, mức phạt lên tới 3 tỷ đồng hoặc 5% doanh thu là một bước tiến mạnh mẽ trong việc bảo vệ dữ liệu cá nhân tại Việt Nam, tương đồng với các tiêu chuẩn quốc tế như GDPR của châu Âu. Điều này buộc các doanh nghiệp phải đầu tư nghiêm túc vào hệ thống bảo mật và tuân thủ pháp luật.

Câu hỏi thường gặp (FAQ)

Trường hợp nào doanh nghiệp bị phạt 5% doanh thu?

Mức phạt 5% doanh thu của năm trước liền kề được áp dụng đối với tổ chức có hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới và có doanh thu trong năm trước liền kề. Nếu không có doanh thu hoặc mức phạt tính theo doanh thu thấp hơn 3 tỷ đồng thì áp dụng mức phạt tối đa 3 tỷ đồng.

Cá nhân vi phạm có bị phạt tới 3 tỷ đồng không?

Không. Mức phạt 3 tỷ đồng và 5% doanh thu là áp dụng đối với tổ chức. Đối với cá nhân, mức phạt tiền tối đa bằng 1/2 mức phạt đối với tổ chức, tức tối đa 1,5 tỷ đồng.

Hành vi mua bán dữ liệu cá nhân bị phạt như thế nào?

Hành vi mua, bán dữ liệu cá nhân bị phạt 10 lần khoản thu có được từ hành vi vi phạm. Nếu không có khoản thu hoặc mức phạt thấp hơn 3 tỷ đồng thì áp dụng mức phạt tối đa 3 tỷ đồng. Ngoài ra, theo dự thảo nghị định, hành vi này còn có thể bị phạt từ 70 - 100 triệu đồng và bị áp dụng các hình thức xử phạt bổ sung như tịch thu tang vật, đình chỉ xử lý dữ liệu.