Mức phạt vi phạm pháp luật về bảo vệ dữ liệu cá nhân có quá khắt khe không?
LexNovum Lawyers
06/11/2025
Trước ngày 01/01/2026, đối với các hành vi vi phạm trong trong lĩnh vực bảo vệ dữ liệu cá nhân (“BVDLCN”), cơ quan có thẩm quyền chủ yếu dựa vào các quy định rải rác trong những văn bản pháp luật có liên quan như Bộ luật Hình sự, Bộ luật Dân sự, Luật Công nghệ thông tin, Luật Sở hữu trí tuệ,… để xử lý và áp dụng chế tài tương thích. Song, kể từ ngày Luật BVDLCN 2025 có hiệu lực, các chế tài chuyên biệt trong luật này sẽ được ưu tiên áp dụng. Vấn đề đặt ra là cơ sở của các mức phạt này là gì, được tham khảo từ đâu và có quá khắt khe hay không? Trong bài viết dưới đây, LexNovum Lawyers (“LNV”) sẽ tiến hành phân tích quy định của Luật BVDLCN 2025 tại Việt Nam, đồng thời, so sánh và đối chiếu với quy định của pháp luật BVDLCN của các quốc gia khác để cung cấp một góc nhìn đến Quý Khách hàng đối với câu hỏi nêu trên.
1. Chế tài xử lý vi phạm trong lĩnh vực BVDLCN
1.1 Tại Việt Nam
Điều 8.1 Luật BVDLCN 2025 quy định: “Tổ chức, cá nhân có hành vi vi phạm quy định của Luật này và quy định khác của pháp luật có liên quan đến BVDLCN thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật”.
Với quy định nêu trên, chủ thể có hành vi vi phạm pháp luật về BVDLCN, có thể sẽ bị xử phạt theo một trong hai hình thức: (i) xử phạt hành chính; hoặc (ii) truy cứu trách nhiệm hình sự, căn cứ vào tính chất, mức độ và hành vi vi phạm. Bên cạnh đó, trường hợp hành vi vi phạm gây thiệt hại, chủ thể vi phạm còn có nghĩa vụ bồi thường theo quy định của pháp luật.
Theo đó, đối với chế tài xử phạt vi phạm hành chính, tùy theo từng hành vi vi phạm mà Luật BVDLCN sẽ có các chế tài khác nhau, cụ thể như sau:
(i) Hành vi mua, bán dữ liệu cá nhân (“DLCN”)
Theo quy định tại Điều 8.3 và Điều 8.5 Luật BVDLCN 20251, mức phạt đối với hành vi mua, bán DLCN sẽ được áp dụng tương ứng với một trong hai trường hợp:
– Trường hợp 1: CÓ khoản thu từ hành vi vi phạm (“Khoản thu”):
- Nếu [Khoản thu x 10] < 03 tỷ đồng: áp dụng mức phạt tối đa 03 tỷ đồng;
- Nếu [Khoản thu x 10] ≥ 03 tỷ đồng: áp dụng mức phạt tối đa là: [Khoản thu x 10].
Ví dụ: Doanh nghiệp mua, bán DLCN thu được 400 triệu đồng, mức phạt tối đa là [400 triệu x 10 = 4 tỷ] > 03 tỷ đồng. Theo đó, mức phạt tối đa được xác định đối với doanh nghiệp trong trường hợp này là 04 tỷ đồng.
– Trường hợp 2: KHÔNG CÓ Khoản thu: áp dụng mức phạt tối đa 03 tỷ đồng.
Theo đó, khoản thu từ hành vi mua bán DLCN sẽ được sử dụng làm căn cứ để xác định mức xử phạt và sẽ được Chính phủ quy định chi tiết phương pháp tính khoản thu có được từ hành vi vi phạm. Song, tính đến thời điểm hiện tại, chưa có bất kỳ văn bản chính thức hay dự thảo nào được ban hành liên quan đến nội dung trên. LNV sẽ tiếp tục theo dõi chi tiết này và cập nhật đến Quý Độc giả khi có thông tin mới nhất.
(ii) Hành vi vi phạm quy định chuyển DLCN xuyên biên giới
Theo quy định tại Điều 8.4 Luật BVDLCN 20252, khi có hành vi vi phạm quy định chuyển DLCN xuyên biên giới, tổ chức vi phạm sẽ bị xử phạt dựa trên doanh thu của năm trước liền kề. Như vậy, tương tự như hành vi mua bán DLCN, có hai trường hợp sẽ xảy ra như sau:
– Trường hợp 1: CÓ doanh thu năm trước liền kề (“Doanh thu”):
- Nếu: 5% Doanh thu < 03 tỷ: áp dụng mức phạt tối đa 03 tỷ;
- Nếu: 5% Doanh thu ≥ 03 tỷ: áp dụng mức phạt tối đa 5% Doanh thu.
Ví dụ: Doanh nghiệp có Doanh thu là 200 tỷ đồng, khi có hành vi vi phạm quy định chuyển DLCN xuyên biên giới, với mức phạt tối đa được xác định là 5% Doanh thu, tức 5% x 200 tỷ, doanh nghiệp sẽ bị xử phạt tối đa đến 10 tỷ đồng.
– Trường hợp 2: KHÔNG CÓ Doanh thu: áp dụng mức phạt tối đa 03 tỷ đồng.
(iii) Các hành vi vi phạm khác trong lĩnh vực BVDLCN
Căn cứ theo quy định tại Điều 8.5 Luật BVDLCN 2025, có thể hiểu rằng đối với các hành vi vi phạm khác, không thuộc hai hành vi (i) và (ii) nêu trên, chủ thể vi phạm sẽ bị áp dụng mức phạt tối đa 03 tỷ đồng.
Lưu ý: Các mức phạt hành chính nêu trên được áp dụng đối với tổ chức; trường hợp cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa được áp dụng bằng ½ mức phạt tiền đối với tổ chức.
1.2 Tại Liên minh Châu Âu (EU)
Với các hành vi mua bán DLCN và vi phạm quy định về chuyển DLCN xuyên biên giới được nêu tại Mục 1.1, theo quy định tại Điều 83.5 General Data Protection Regulation (tạm dịch: Quy định chung về bảo vệ dữ liệu) của Liên minh Châu Âu (“GDPR”), doanh nghiệp sẽ bị xử phạt hành chính lên tới 20.000.000 EUR (khoảng 614 tỷ đồng theo tỷ giá ngày 30/10/2025) hoặc tối đa 4% tổng doanh thu hằng năm trên toàn thế giới của năm tài chính trước đó, tùy theo mức nào cao hơn.
Ngoài ra, đối với doanh nghiệp có các hành vi vi phạm về (i) quyền của chủ thể dữ liệu (quy định tại Điều 12 đến Điều 22 GDPR); (ii) vi phạm về bất kỳ nghĩa vụ nào theo luật của các Quốc gia thành viên được ban hành theo Chương IX GDPR; và (iii) không tuân thủ mệnh lệnh, biện pháp tạm thời hoặc đình chỉ xử lý dữ liệu do cơ quan giám sát ban hành theo Điều 58.2 GDPR, hoặc không cung cấp quyền truy cập theo quy định tại Điều 58.1 GDPR cũng sẽ bị áp dụng chế tài xử phạt tương tự.
Bên cạnh đó, đối với các doanh nghiệp vi phạm về nghĩa vụ của (i) Bên Kiểm soát và Bên xử lý DLCN; (ii) Certification body (tạm dịch: Tổ chức chứng nhận); và (iii) Monitoring body (tạm dịch: Tổ chức giám sát) sẽ bị phạt từ 10.000.000 EUR (khoảng 307 tỷ đồng theo tỷ giá ngày 30/10/2025) hoặc tối đa 2% tổng doanh thu hằng năm trên toàn thế giới của năm tài chính trước đó, tùy theo mức nào cao hơn theo quy định tại Điều 83.4 GDPR.
Trên thực tế, vào năm 2018 Ủy ban Bảo vệ Dữ liệu (DPC) của Ireland đã chính thức áp dụng mức phạt 251 triệu EUR (tương đương 263 triệu USD) đối với Meta – Công ty mẹ của Facebook vì đã có hành vi (i) vi phạm các nguyên tắc GDPR về bảo vệ dữ liệu; và (ii) thông báo không đầy đủ thông tin và không ghi chép đầy đủ về sự cố và các biện pháp khắc phục.3
1.3 Tại Trung Quốc
Khác với hệ thống pháp luật BVDLCN tại Việt Nam và EU, pháp luật về bảo vệ DLCN tại Trung Quốc – Personal Information Protection Law (tạm dịch: Luật bảo vệ thông tin cá nhân) (“PIPL”) không chọn tiếp cận quy định chế tài theo hướng liệt kê, phân loại từng hành vi vi phạm cụ thể mà áp dụng cách tiếp cận theo hướng tổng thể, quy định nguyên tắc xử lý và chế tài chung đối với mọi hành vi vi phạm nghĩa vụ BVDLCN. Tuy nhiên, đối với mức xử phạt vi phạm hành chính, PIPL cũng có cách tiếp cận tương đồng pháp luật Việt Nam và EU: phạt tiền trực tiếp hoặc tính trên doanh thu của năm tài chính trước đó, cụ thể:
Theo quy định tại Điều 66 PIPL, khi doanh nghiệp xử lý DLCN vi phạm các quy định của PIPL hoặc xử lý DLCN mà không thực hiện đầy đủ các nghĩa vụ bảo vệ thông tin cá nhân theo quy định của PIPL, cơ quan chức năng có thẩm quyền sẽ áp dụng các biện pháp:
– Yêu cầu doanh nghiệp thực hiện biện pháp khắc phục;
– Ban hành cảnh cáo;
– Tịch thu khoản thu lợi bất hợp pháp;
– Yêu cầu doanh nghiệp xử lý DLCN trái phép tạm ngừng hoặc chấm dứt cung cấp dịch vụ.
Nếu Doanh nghiệp từ chối khắc phục sẽ bị phạt tiền với mức phạt tối đa không quá 1.000.000 CNY (khoảng 3.6 tỷ đồng theo tỷ giá ngày 30/10/2025) và phạt tiền từ 10.000 CNY (khoảng 36 triệu đồng theo tỷ giá ngày 30/10/2025) đến 100.000 CNY (khoảng 360 triệu đồng theo tỷ giá ngày 30/10/2025) đối với người phụ trách trực tiếp và các cá nhân có trách nhiệm liên quan trực tiếp.
Trong trường hợp hành vi vi phạm có tính chất nghiêm trọng, doanh nghiệp có thể bị áp dụng các chế tài:
– Khắc phục hậu quả;
– Tịch thu khoản lợi bất hợp pháp;
– Áp dụng hình phạt tiền không quá 50.000.000 CNY (khoảng 175 tỷ đồng theo tỷ giá ngày 30/10/2025) hoặc tối đa 5% tổng doanh thu của năm trước đó;
– Tạm ngừng kinh doanh;
– Thu hồi giấy phép kinh doanh.
Ngoài ra, người phụ trách trực tiếp và cá nhân có trách nhiệm liên quan sẽ bị phạt tiền từ 100.000 CNY (khoảng 360 triệu đồng theo tỷ giá ngày 30/10/2025) đến 1.000.000 CNY (khoảng 3.6 tỷ đồng theo tỷ giá ngày 30/10/2025), và có thể bị cấm giữ chức vụ như Giám đốc, Kiểm soát viên, Nhà quản lý cấp cao, hoặc người phụ trách bảo vệ DLCN của các doanh nghiệp có liên quan trong một thời hạn nhất định.
2. Nhận định về mức phạt vi phạm BVDLCN theo pháp luật Việt Nam
Trong khi EU và Trung Quốc có mức xử phạt lên đến hàng trăm tỷ đồng, có thể thấy rằng mức phạt về BVDLCN tại Việt Nam có phần nhẹ hơn (về giá trị) so với các nước bạn. Do đó, dựa trên nền tảng về kinh tế và pháp luật, nhiều chuyên gia cũng cho rằng mức phạt hiện nay được quy định tại Luật BVDLCN là hợp lý và mang tính răn đe nhất định bởi thực trạng lộ lọt DLCN tại Việt Nam đang ở mức báo động. Thực tế ghi nhận nhiều sự cố rò rỉ dữ liệu người dùng xảy ra tại các doanh nghiệp và tổ chức như: Vietnam Airlines, VNG, Trung tâm Thông tin tín dụng quốc gia (CIC),… Việc lộ lọt những DLCN nêu trên có thể dẫn đến những hệ quả nghiêm trọng như thông tin cá nhân của người dùng bị lợi dụng để thực hiện các hành vi lừa đảo, chiếm đoạt tài sản, mạo danh hoặc tấn công mạng, gây thiệt hại về uy tín, danh tiếng và tổn thất tài chính cho cá nhân, tổ chức có liên quan. Bên cạnh đó, các sự cố rò rỉ dữ liệu không chỉ làm suy giảm niềm tin của người tiêu dùng vào khả năng bảo vệ thông tin của các doanh nghiệp, tổ chức, mà còn ảnh hưởng tiêu cực đến môi trường đầu tư và an ninh mạng quốc gia nói chung.
Song, để mức phạt vi phạm về BVDLCN phát huy hiệu quả, LNV cho rằng cần sớm có hướng dẫn cụ thể từ cơ quan có thẩm quyền về (i) phương pháp tính Khoản thu có được từ hành vi vi phạm; (ii) phạm vi xác định Doanh thu sẽ được tính thế nào, trong lãnh thổ Việt Nam hay doanh thu toàn cầu; (iii) hoàn thiện hệ thống báo cáo, tuân thủ BVDLCN tại Cổng dịch vụ công; và (iv) đảm bảo công tác hướng dẫn, phản hồi rõ ràng từ cơ quan quản lý khi tiếp nhận câu hỏi từ cộng đồng?
Về phía các doanh nghiệp, nhằm giảm thiểu tối đa các vi phạm trong lĩnh vực BVDLCN, các doanh nghiệp cần sớm triển khai để tuân thủ đầy đủ các nghĩa vụ được pháp luật quy định. Chi tiết Quý Doanh nghiệp có thể tìm hiểu thêm tại ĐÂY. LNV sẵn sàng đồng hành và hỗ trợ Quý Khách hàng trong việc áp dụng hiệu quả các quy định về BVDLCN để đảm bảo doanh nghiệp tuân thủ đúng và đầy đủ quy định pháp luật hiện hành.
Người thực hiện: Cộng sự Quế Trân
Tham vấn: Luật sư Phan Nhi
Lưu ý:
Bài viết này được thực hiện dựa trên quy định của pháp luật Việt Nam (hiện hành) và kinh nghiệm thực tế. Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.
Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.
