Có bị xử phạt khi chưa có quy định xử phạt chi tiết trong lĩnh vực bảo vệ dữ liệu cá nhân? Nhìn từ vụ việc VNG (chủ quản của Zalo App) bị xử phạt hành chính 810 triệu đồng

Bàn luận pháp luật

Có bị xử phạt khi chưa có quy định xử phạt chi tiết trong lĩnh vực bảo vệ dữ liệu cá nhân? Nhìn từ vụ việc VNG (chủ quản của Zalo App) bị xử phạt hành chính 810 triệu đồng

LexNovum Lawyers

LexNovum Lawyers

03/02/2026

Hoạt động bảo vệ dữ liệu cá nhân tại Việt Nam đã được triển khai từ tháng 7/2023 với Nghị định 13/2023/NĐ-CP (“Nghị định 13”) (hết hiệu lực từ 01/01/2026). Nhằm hoàn thiện khung pháp luật về bảo vệ dữ liệu cá nhân (“BVDLCN”), Luật BVDLCN 2025 và Nghị định 356/2025/NĐ-CP (“Nghị định 356”) được ban hành, thay thế cho Nghị định 13, qua đó đặt ra nhiều nghĩa vụ và trách nhiệm cho doanh nghiệp trong hoạt động BVDLCN. Bên cạnh hai văn bản kể trên, ngày 15/4/2024, Bộ Công an đã trình Chính phủ Tờ trình số 166/TTr-BCA-A05 về dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng[1] (“Nghị định xử phạt”). Trong đó, Nghị định xử phạt đã dành riêng Mục 2 Chương II, quy định các chế tài xử lý vi phạm trong lĩnh vực BVDLCN. Song, tính đến thời điểm hiện tại, Nghị định xử phạt nêu trên mới dừng lại tại giai đoạn dự thảo mà chưa được ban hành chính thức.

Với bối cảnh nêu trên, trong quá trình tư vấn, LexNovum Lawyers đã nhận được khá nhiều câu hỏi của Quý Khách hàng rằng: “Trong giai đoạn pháp luật BVDLCN chưa quy định các chế tài chi tiết đối với từng hành vi vi phạm, cơ quan có thẩm quyền có thể xử phạt vi phạm không?”. Trong bài viết này, LexNovum Lawyers sẽ phân tích bao quát từ quy định pháp luật đến thực tiễn áp dụng, qua đó giúp Quý Khách hàng trả lời câu hỏi nêu trên.

1. Chế tài xử phạt vi phạm trong lĩnh vực BVDLCN

Theo Điều 8 Luật BVDLCN 2025, doanh nghiệp vi phạm quy định của Luật BVDLCN 2025 và quy định khác có liên quan đến BVDLCN thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

Về xử phạt vi phạm hành chính, Luật BVDLCN 2025 quy định 03 hành vi vi phạm mà theo đó chủ thể vi phạm sẽ bị xử phạt, bao gồm:

  • Hành vi mua, bán dữ liệu cá nhân: mức phạt tối đa gấp 10 lần khoản thu có được từ hành vi vi phạm;
  • Vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới: mức phạt tối đa 5% doanh thu;
  • Hành vi vi phạm khác trong lĩnh vực BVDLCN: mức phạt tối đa 03 tỷ đồng.

Có thể thấy rằng các quy định nêu trên của Luật BVDLCN 2025 mới dừng lại ở việc thiết lập khung pháp lý chung về nguyên tắc và hình thức xử lý đối với hành vi vi phạm trong lĩnh vực BVDLCN. Theo đó, LNV hiểu rằng các chế tài cụ thể (hình thức xử phạt chính và hình thức xử phạt bổ sung) sẽ được quy định chi tiết tại các văn bản dưới luật. Như đã đề cập, hiện tại quy định cụ thể về chế tài xử phạt trong lĩnh vực BVDLCN vẫn đang trong quá trình xây dựng và mới dừng lại ở giai đoạn dự thảo lấy ý kiến. LNV sẽ tiếp tục theo dõi và cập nhật đến Quý Khách hàng ngay khi Nghị định xử phạt chính thức được ban hành.

2. Có bị xử phạt khi cơ quan có thẩm quyền chưa ban hành Nghị định xử phạt trong lĩnh vực BVDLCN hay không?

Mặc dù hiện tại, nghị định xử phạt trong lĩnh vực BVDLCN chưa được ban hành, song, điều này không đồng nghĩa với việc các hành vi vi phạm pháp luật về BVDLCN không bị xử lý. Tùy vào tính chất, mức độ của từng hành vi vi phạm pháp luật BVDLCN mà cơ quan có thẩm quyền sẽ áp dụng chế tài tương ứng được quy định trong các văn bản quy phạm pháp luật khác như: Bộ luật Hình sự 2015 (Điều 159 và Điều 288), Bộ luật Dân sự 2015 (Điều 34.3 và Điều 34.5), Luật Công nghệ thông tin 2006 (Điều 22.2), Luật Sở hữu trí tuệ 2005 (Điều 111.2), Luật Bảo vệ quyền lợi người tiêu dùng 2023 (Điều 17.2 và Điều 18), … để xử lý vi phạm. Để tìm hiểu chi tiết, Quý Doanh nghiệp có thể tham khảo bài viết sau: Siết chặt xử lý vi phạm – Điểm mới nổi bật trong Dự thảo Luật Bảo vệ dữ liệu cá nhân.

Mới đây, Ủy ban Cạnh tranh quốc gia đã áp dụng tinh thần trên khi xử phạt Công ty Cổ phần Tập đoàn VNG (“VNG”), đơn vị chủ quản của nền tảng Zalo. Để Quý Doanh nghiệp tiện theo dõi, LexNovum Lawyers xin tóm lược nội dung chính của vụ việc như sau:

Vào tháng 12/2025, ứng dụng Zalo đã gửi thông báo yêu cầu chủ tài khoản phải cập nhật điều khoản dịch vụ mới được tiếp tục sử dụng. Trong đó có nhiều điều khoản liên quan đến hoạt động xử lý dữ liệu cá nhân, như: Zalo có quyền thu thập, chia sẻ dữ liệu cá nhân của người dùng, bao gồm dữ liệu cơ bản (số điện thoại, họ và tên, giới tính, mối quan hệ gia đình, thông tin CCCD…) và dữ liệu cá nhân nhạy cảm. Nếu không đồng ý thỏa thuận, chủ tài khoản Zalo sẽ không được tiếp tục sử dụng, hệ thống sẽ tự động xóa tài khoản sau 45 ngày nếu người dùng không thay đổi quyết định[2]. Theo hiển thị trên màn hình, người dùng chỉ có 02 lựa chọn: (i) đồng ý với tất cả quy định trong chính sách mới, bao gồm các điều khoản về xử lý dữ liệu cá nhân; và (ii) không sử dụng ứng dụng Zalo. Sau quá trình điều tra, ngày 20/01/2026, Ủy ban Cạnh tranh quốc gia đã ban hành quyết định xử phạt VNG căn cứ theo Luật Bảo vệ quyền lợi người tiêu dùng và các quy định xử phạt có liên quan. Cụ thể, VNG bị xử phạt 810 triệu đồng do:

(1) Không thiết lập cơ chế để người tiêu dùng lựa chọn phạm vi thông tin đồng ý cung cấp cũng như thể hiện sự đồng ý hoặc không đồng ý đối với từng loại thông tin;

(2) Không có cơ chế cho phép người tiêu dùng lựa chọn việc cho phép hoặc không cho phép sử dụng thông tin của mình cho mục đích quảng cáo, giới thiệu sản phẩm, hàng hóa, dịch vụ và các hoạt động thương mại khác,…

Hành vi trên của VNG xuất phát từ việc tuân thủ trách nhiệm thu thập sự đồng ý của chủ thể dữ liệu theo Điều 11 Nghị định 13, Điều 9 Luật BVDLCN 2025. Tại thời điểm VNG xin sự đồng ý, Luật BVDLCN 2025 chưa có hiệu lực pháp luật; thế nên ta sẽ soi chiếu cách hành xử của Zalo trong bối cảnh của Nghị định 13. Theo Điều 11 Nghị định 13, khi thu thập sự đồng ý, doanh nghiệp với vai trò là Bên kiểm soát, Bên kiểm soát và xử lý phải (i) thông báo đầy đủ các nội dung theo Khoản 2 Điều 11 và (ii) bảo đảm đáp ứng đầy đủ các điều kiện khác, chẳng hạn như (i) khi có nhiều mục đích thì phải liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra, (ii) chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo. Như vậy, với cách thức xin sự đồng ý nêu trên, VNG chưa bảo đảm cơ chế để chủ thể dữ liệu thể hiện sự đồng ý linh hoạt, mà đặt họ vào tình thế buộc phải chấp thuận toàn bộ hoặc rời bỏ nền tảng. Do nghị định xử phạt trong lĩnh vực BVDLCN chưa được ban hành, Ủy ban Cạnh tranh quốc gia đã căn cứ vào Luật Bảo vệ quyền lợi người tiêu dùng để xử lý hành vi vi phạm. Điều này xuất phát từ thực tế rằng hoạt động xin sự đồng ý và xử lý dữ liệu cá nhân của Zalo không chỉ chịu sự điều chỉnh của pháp luật về BVDLCN, mà còn gắn trực tiếp với quan hệ cung cấp dịch vụ số giữa doanh nghiệp và người tiêu dùng. Vì vậy, các hành vi này đồng thời thuộc phạm vi điều chỉnh của pháp luật về bảo vệ quyền lợi người tiêu dùng và các quy định xử phạt vi phạm hành chính có liên quan.

Như vậy, có thể khẳng định rằng, việc thiếu vắng chế tài xử phạt cụ thể trong pháp luật BVDLCN tại thời điểm hiện tại không làm mất đi cơ sở pháp lý để xử lý hành vi vi phạm. Hơn hết, các chế tài áp dụng có thể đa dạng, không chỉ dừng lại ở xử phạt vi phạm hành chính mà còn có thể dẫn đến trách nhiệm dân sự hoặc thậm chí trách nhiệm hình sự, tùy theo tính chất và mức độ vi phạm. Trong bối cảnh pháp luật về BVDLCN ngày càng được hoàn thiện, rủi ro bị xử phạt đối với các hành vi không tuân thủ là khó tránh khỏi, vấn đề chỉ còn là sớm hay muộn. Do đó, ngay từ thời điểm này, doanh nghiệp cần chủ động hoàn thiện và tuân thủ đầy đủ các quy trình về BVDLCN nhằm hạn chế rủi ro pháp lý phát sinh.

Liên quan đến việc tuân thủ pháp luật về BVDLCN, LexNovum Lawyers hiện đang cung cấp các dịch vụ sau:

i. Tư vấn tuân thủ pháp luật về BVDLCN;

ii. Tư vấn thực hiện thủ tục đánh giá tác động với cơ quan nhà nước (bao gồm: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới).

Quý Khách hàng có nhu cầu tư vấn chuyên sâu về lĩnh vực BVDLCN, vui lòng liên hệ trực tiếp với chúng tôi để được hỗ trợ kịp thời và phù hợp.

Người thực hiện: Cộng sự Quế Trân, Cộng sự Ngọc Mai

Tham vấn: Luật sư Phan Nhi

Lưu ý:

Bài viết này được thực hiện dựa trên quy định của pháp luật Việt Nam (hiện hành) và kinh nghiệm thực tế. Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi. 

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.

—————————–

[1] Vui lòng xem chi tiết tại cổng thông tin Bộ Tư pháp: Hồ sơ thẩm định dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng https://moj.gov.vn/qt/tintuc/Pages/chi-dao-dieu-hanh.aspx?ItemID=4271

[2] Ý Như, Điều khoản mới của Zalo và vấn đề bảo đảm quyền cho người sử dụng, Tạp chí điện tử Luật sư Việt Nam

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage