Dữ liệu cá nhân còn bị rao bán như… rau?

Luật quy định, đối với hành vi mua, bán dữ liệu cá nhân, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 3 tỉ đồng.

Bảo đảm tính răn đe

Sáng 26/6, tại Kỳ họp thứ 9, Quốc hội khóa XV, với 433/435 đại biểu tham gia biểu quyết tán thành, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân. Luật có hiệu lực từ ngày 1/1/2026.

Theo luật được thông qua, tổ chức, cá nhân vi phạm các quy định về bảo vệ dữ liệu cá nhân có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự tùy theo tính chất, mức độ và hậu quả của hành vi. Trường hợp gây thiệt hại, người vi phạm còn phải bồi thường theo quy định pháp luật.

Hành vi mua, bán dữ liệu cá nhân trái phép bị xử phạt tối đa 10 lần khoản thu bất hợp pháp. Nếu không xác định được khoản thu, tổ chức vi phạm có thể bị phạt đến 3 tỉ đồng, cá nhân bị phạt đến 1,5 tỉ đồng.

Với hành vi chuyển dữ liệu cá nhân xuyên biên giới trái phép, mức phạt là 5% doanh thu năm trước của tổ chức. Trường hợp không có doanh thu, mức phạt cũng có thể lên tới 3 tỉ đồng. Chính phủ sẽ ban hành hướng dẫn về cách tính khoản thu để áp dụng mức xử phạt này.

Ủy ban Thường vụ Quốc hội lý giải, các vi phạm trong lĩnh vực dữ liệu cá nhân có thể gây hậu quả nghiêm trọng, vì vậy, cần thiết phải áp dụng mức phạt cao nhằm đảm bảo tính răn đe, đặc biệt với các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng nghìn tỉ đồng. Luật cũng quy định cấm mua, bán dữ liệu cá nhân dưới mọi hình thức.

Điều 7 của luật nghiêm cấm hành vi sử dụng dữ liệu cá nhân của người khác để thực hiện hành vi trái pháp luật; Cho người khác sử dụng dữ liệu cá nhân của mình; Chiếm đoạt, cố ý làm lộ hoặc làm mất dữ liệu cá nhân; Xử lý dữ liệu với mục đích chống lại Nhà nước, xâm phạm quốc phòng, an ninh quốc gia, trật tự xã hội, hoặc cản trở việc bảo vệ dữ liệu cá nhân.

Theo Ủy ban Thường vụ Quốc hội, việc cấm triệt để hành vi mua bán dữ liệu cá nhân là cần thiết để ngăn chặn tình trạng rao bán thông tin cá nhân tràn lan trên mạng, hoặc việc nhân viên tổ chức lợi dụng dữ liệu để lừa đảo, chiếm đoạt tài sản.

Dữ liệu cá nhân gắn với quyền riêng tư, nhân thân và không thể coi là hàng hóa để trao đổi mua bán. Kinh nghiệm quốc tế cho thấy hầu hết quốc gia, như Mỹ, Thái Lan, Singapore hay Malaysia không công nhận dữ liệu cá nhân là tài sản mà chỉ thừa nhận quyền kiểm soát của mỗi người với dữ liệu của chính mình.

Tại Việt Nam, tình trạng dữ liệu cá nhân bị thu thập và rao bán như hàng hóa đã diễn ra phổ biến trong khi hành lang pháp lý còn thiếu. Nhiều trường hợp chưa có cơ chế kiểm soát việc đồng ý sử dụng, mục đích xử lý, hoặc bảo vệ đầy đủ quyền của người dùng.

Luật mới khẳng định rõ, dữ liệu cá nhân không phải là tài sản và việc mua bán là hành vi bị cấm.

Theo Ủy ban Thường vụ Quốc hội, việc chỉnh lý dự án luật cũng làm rõ phạm vi áp dụng và trách nhiệm, nghĩa vụ cần tuân thủ của các doanh nghiệp cung cấp nền tảng xuyên biên giới như Google, Facebook, TikTok… không có cơ quan đại diện tại Việt Nam và xử lý dữ liệu người dùng là công dân Việt Nam hoàn toàn ngoài lãnh thổ của Việt Nam.

Đối với yêu cầu các nền tảng xuyên biên giới như Google, Facebook, TikTok… có cơ quan đại diện tại Việt Nam được thực hiện theo quy định của Luật An ninh mạng, Luật Dữ liệu.

Dữ liệu cá nhân không phải là hàng hóa

Ngày 16/6/2025, Công an tỉnh Tuyên Quang thông tin, lực lượng Công an xã Hòa Phú (huyện Chiêm Hóa) đã ngăn chặn thành công một vụ chuyển tiền lớn khi một người dân chuẩn bị chuyển 500 triệu đồng cho đối tượng lừa đảo qua Facebook.

Trước đó, chị T. - trú tại xã Hòa Phú kết bạn với một tài khoản lạ trên mạng xã hội. Sau nhiều tuần trò chuyện, tạo dựng mối quan hệ tin tưởng, đối tượng dụ dỗ chị đầu tư vào một sàn giao dịch tiền ảo.

Khi chị T. chuyển trước 50 triệu đồng. Kẻ lừa đảo viện lý do “giao dịch lỗi”, yêu cầu chuyển tiếp 500 triệu đồng để rút tiền ra. Gia đình phát hiện vụ việc đã kịp thời báo công an. Lực lượng chức năng đã nhanh chóng phối hợp với ngân hàng tại địa phương, can thiệp kịp thời, giúp bảo toàn tài sản cho chị T.

Vụ việc trên không phải là cá biệt. Trong rất nhiều trường hợp, người bị hại bị dẫn dắt từ từ, thao túng cảm xúc và hành vi. Từ thông tin họ tên, số điện thoại, địa chỉ, mã số định danh... những kẻ lừa đảo dễ dàng vẽ ra các kịch bản tinh vi như giả danh công an, ngân hàng, cơ quan Nhà nước hoặc “người quen” trên mạng.

Tại buổi tọa đàm tuyên truyền các dự án luật do Bộ Công an chủ trì soạn thảo mới được tổ chức, ông Đào Đức Triệu - Phó Trưởng phòng Tham mưu Tổng hợp, Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao nhấn mạnh, dữ liệu cá nhân với đặc tính gắn liền với con người, giúp định danh hay xác định một con người, mang nội hàm gắn liền với quyền nhân thân, quyền riêng tư nên không thể coi là hàng hóa, tài sản thông thường.

Giá trị sử dụng của dữ liệu cá nhân trong hoạt động kinh tế, xã hội cho thấy đây là một loại tài nguyên đặc biệt, yêu cầu khai thác, sử dụng phải đi đôi với bảo vệ ở mức cao nhất.

Quan điểm này phù hợp với thông lệ của quốc tế và quy định của các nước về bảo vệ dữ liệu cá nhân cũng lấy quyền riêng tư làm trọng tâm bảo vệ và thiết lập các quy định, cơ chế kiểm soát chặt chẽ việc sử dụng, khai thác dữ liệu cá nhân không vi phạm các nguyên tắc bảo vệ dữ liệu cá nhân.

Chia sẻ với báo chí, đại biểu Quốc hội Nguyễn Thị Việt Nga (đoàn Hải Dương) cho rằng, thời gian qua, hiện tượng lộ lọt dữ liệu cá nhân diễn ra ngày càng phổ biến, tinh vi. Các thông tin về số điện thoại, địa chỉ email, tài khoản ngân hàng, hồ sơ y tế… đều có thể bị thu thập, mua bán, sử dụng trái phép.

Hệ quả là dù các cơ quan chức năng đã rất nỗ lực trong tuyên truyền, đấu tranh với loại tội phạm lừa đảo qua mạng, nhưng loại tội phạm này vẫn bùng phát mạnh mẽ, gây bất ổn xã hội và ảnh hưởng tới niềm tin của người dân.

Bà Nga nhấn mạnh tới sự cần thiết ban hành Luật Bảo vệ dữ liệu cá nhân nhằm khắc phục khoảng trống pháp lý và tăng cường hiệu quả quản lý Nhà nước, bảo vệ quyền con người trong không gian số và thúc đẩy phát triển an toàn, bền vững về kinh tế số.