Việt Nam siết chặt Bảo vệ Dữ liệu

Read in English

Việt Nam đã đẩy mạnh các biện pháp bảo vệ dữ liệu cá nhân trong hai năm qua. Quá trình này bắt đầu với việc ban hành Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân vào năm 2023, ngay sau đó là việc xây dựng Luật Bảo vệ Dữ liệu Cá nhân, dự kiến sẽ được ban hành vào quý IV năm 2025. Ngoài ra, Bộ Công an đã khởi động đợt kiểm tra đầu tiên về việc tuân thủ quy định bảo vệ dữ liệu cá nhân vào cuối năm 2024. Chiến dịch này tập trung vào việc chia sẻ dữ liệu hợp pháp và tăng cường các biện pháp an toàn thông tin mạng để bảo vệ dữ liệu.

Năm 2025 tiếp tục đánh dấu nhiều bước phát triển quan trọng. Đáng chú ý, vào ngày 21 tháng 2 năm 2025, Chính phủ đã ban hành Nghị định 24/2025/NĐ-CP, sửa đổi, bổ sung một số điều của Nghị định 98/2020/NĐ-CP ngày 26 tháng 8 năm 2020 về xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng. Nghị định mới đã tăng mức xử phạt đối với các vi phạm liên quan đến quyền riêng tư và bảo vệ dữ liệu, cụ thể:

• Các vi phạm trong thu thập, lưu trữ và sử dụng thông tin người tiêu dùng có thể bị phạt đến 30 triệu đồng, hoặc 60 triệu đồng nếu liên quan đến dữ liệu cá nhân nhạy cảm. Các vi phạm này bao gồm không có tài liệu ủy quyền khi thuê bên thứ ba xử lý dữ liệu, soạn thảo hợp đồng thiếu trách nhiệm rõ ràng về bảo vệ dữ liệu, thu thập hoặc sử dụng dữ liệu mà không có sự đồng ý của người dùng, không có chính sách bảo vệ người tiêu dùng minh bạch, không cho phép người dùng truy cập, chỉnh sửa thông tin, hoặc không xóa dữ liệu sau khi hết thời hạn lưu trữ. Đối với các nền tảng số lớn, mức phạt có thể lên đến 120 triệu đồng (Điều 46.1).
• Các hành vi vi phạm như không giải quyết khiếu nại của người tiêu dùng liên quan đến thu thập hoặc sử dụng dữ liệu trái phép, không báo cáo sự cố bảo mật trong vòng 24 giờ, không có biện pháp bảo mật dữ liệu phù hợp, hoặc chia sẻ thông tin người dùng với bên thứ ba mà không có sự đồng ý có thể bị phạt tối đa 40 triệu đồng, hoặc 80 triệu đồng nếu liên quan đến dữ liệu nhạy cảm. Đối với các nền tảng số lớn, mức phạt này có thể lên đến 160 triệu đồng (Điều 46.2).
• Các nhà cung cấp dịch vụ nền tảng số có thể bị phạt 70 triệu đồng nếu không có tài liệu ủy quyền rõ ràng khi thuê bên thứ ba xử lý dữ liệu, hợp đồng không quy định trách nhiệm bảo vệ dữ liệu, hoặc thực hiện xử lý dữ liệu mà không có sự đồng ý của người tiêu dùng. Đối với các nền tảng trung gian, mức phạt có thể lên đến 200 triệu đồng, trong khi các nền tảng số lớn có thể bị phạt đến 400 triệu đồng (Điều 53a).

Với các quy định ngày càng chặt chẽ, các doanh nghiệp tiêu dùng và nền tảng số phải tuân thủ nghiêm ngặt để tránh các mức phạt nặng. Những vi phạm như thu thập dữ liệu trái phép hoặc chậm báo cáo vi phạm bảo mật có thể dẫn đến hậu quả nghiêm trọng. Các doanh nghiệp cần ưu tiên thực hiện các biện pháp bảo vệ dữ liệu bao gồm: đảm bảo thu thập sự đồng ý rõ ràng của người dung, tăng cường bảo mật dữ liệu để giảm thiểu nguy cơ rò rỉ thông tin, xây dựng cơ chế giải quyết khiếu nại về quyền riêng tư của khách hàng, áp dụng các chiến lược tuân thủ chủ động, bao gồm chính sách dữ liệu rõ ràng, kiểm toán định kỳ và công cụ quản lý quyền riêng tư.

Song song với việc tăng cường chế tài xử phạt, Chính phủ, đặc biệt là Bộ Công an, đang đẩy nhanh quá trình hoàn thiện Dự thảo Luật Bảo vệ Dữ liệu Cá nhân—một phiên bản toàn diện và nâng cao hơn so với Nghị định 13/2023. Dự thảo luật này sẽ mở rộng phạm vi điều chỉnh, siết chặt quy định về thu thập và xử lý dữ liệu, yêu cầu thực hiện đánh giá tác động bảo vệ dữ liệu, đưa ra các điều kiện nghiêm ngặt hơn đối với chuyển dữ liệu xuyên biên giới, và có các quy định đặc biệt về dữ liệu nhạy cảm (ví dụ: dữ liệu sinh trắc học, tín dụng, vị trí).

Theo Thông báo số 56/TB-VPCP của Văn phòng Chính phủ, tổng kết cuộc họp năm 2024 của Ủy ban Quốc gia về Chuyển đổi số và Đề án 06, Bộ Công an được giao chủ trì phối hợp với các cơ quan liên quan để hoàn thiện Luật Bảo vệ Dữ liệu Cá nhân. Luật dự kiến sẽ được trình Quốc hội xem xét và thông qua tại Kỳ họp thứ 9 vào tháng 5 năm 2025. Sau khi luật được ban hành, Bộ Công an sẽ xây dựng các nghị định hướng dẫn thực hiện. Đáng chú ý, Nghị định về Xử phạt Hành chính trong lĩnh vực An ninh mạng và Bảo vệ Dữ liệu Cá nhân, với mức phạt tối đa lên đến 5% doanh thu năm tài chính trước, dự kiến sẽ được ban hành ngay sau Luật Bảo vệ Dữ liệu Cá nhân.