Các hành vi bị nghiêm cấm về xử lý dữ liệu cá nhân là những “lằn ranh đỏ” pháp lý mà mọi doanh nghiệp phải tuyệt đối tuân thủ để tránh hậu quả pháp lý nghiêm trọng. Tại DPVN, chúng tôi sẽ phân tích chi tiết các hành vi bị cấm và cung cấp giải pháp giúp doanh nghiệp bạn nhận diện và phòng ngừa các rủi ro không tuân thủ này.
Các quy định pháp luật nào xác định các hành vi bị cấm trong xử lý dữ liệu cá nhân?
Cơ sở pháp lý chính là Điều 8 của Nghị định 13/2023/NĐ-CP và được phát triển, làm rõ hơn tại Điều 7 của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Các điều khoản này thiết lập một danh sách các hành vi bị cấm tuyệt đối, đóng vai trò là những giới hạn pháp lý cao nhất để bảo vệ quyền riêng tư, an ninh quốc gia và trật tự an toàn xã hội.
Việc pháp luật quy định một danh mục rõ ràng các hành vi bị nghiêm cấm có ý nghĩa vô cùng quan trọng. Nó tạo ra một khuôn khổ pháp lý minh bạch, giúp các tổ chức, cá nhân biết được đâu là những giới hạn không thể vượt qua trong quá trình khai thác và sử dụng dữ liệu. Đây không chỉ là các quy tắc tuân thủ, mà còn là sự khẳng định của Nhà nước về tầm quan trọng của việc bảo vệ dữ liệu cá nhân như một quyền con người cơ bản.
Về chuyên môn sâu, danh sách các hành vi bị cấm này phản ánh hai mối quan tâm chính của nhà làm luật: (1) Bảo vệ các lợi ích công cộng cốt lõi như an ninh quốc gia, trật tự xã hội; và (2) Bảo vệ các quyền và lợi ích hợp pháp của từng cá nhân, tổ chức. Doanh nghiệp cần hiểu rằng việc thực hiện bất kỳ hành vi nào trong danh sách này không chỉ là một sai sót trong tuân thủ, mà là một hành vi vi phạm pháp luật nghiêm trọng.
5 nhóm hành vi bị nghiêm cấm chính theo Nghị định 13 là gì?
Điều 8 Nghị định 13/2023/NĐ-CP đã liệt kê 5 nhóm hành vi bị cấm, bao gồm: (1) Xử lý dữ liệu trái quy định; (2) Xử lý dữ liệu để chống lại Nhà nước; (3) Xử lý dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự xã hội và quyền lợi của người khác; (4) Cản trở hoạt động bảo vệ dữ liệu; và (5) Lợi dụng hoạt động bảo vệ dữ liệu để vi phạm pháp luật.
Dưới đây, DPVN sẽ phân tích chi tiết từng nhóm hành vi kèm theo các ví dụ minh họa để doanh nghiệp dễ dàng nhận diện và phòng tránh.
Hành vi 1: Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân?
Đây là nhóm hành vi bao trùm và phổ biến nhất, liên quan đến việc không tuân thủ các nguyên tắc và nghĩa vụ cơ bản được quy định trong chính Nghị định 13.
- Ví dụ 1: Một ứng dụng di động thu thập danh bạ của người dùng mà không có sự đồng ý của chủ thể dữ liệu cá nhân.
- Ví dụ 2: Một công ty thu thập dữ liệu khách hàng để giao hàng nhưng sau đó lại sử dụng cho mục đích marketing mà không thông báo và không có sự đồng ý riêng.
- Ví dụ 3: Một doanh nghiệp không thực hiện các thủ tục hành chính bắt buộc như lập hồ sơ đánh giá tác động.
Hành vi 2 & 3: Xử lý dữ liệu để chống lại Nhà nước hoặc gây ảnh hưởng an ninh quốc gia, trật tự xã hội?
Hai nhóm hành vi này nhấn mạnh đến khía cạnh an ninh quốc gia. Việc sử dụng dữ liệu cá nhân không chỉ là vấn đề riêng tư mà còn có thể trở thành công cụ để thực hiện các hoạt động gây phương hại đến lợi ích công cộng.
- Ví dụ 1: Lập các cơ sở dữ liệu về quan điểm chính trị của cá nhân để phục vụ cho các hoạt động tuyên truyền, phá hoại.
- Ví dụ 2: Làm rò rỉ hoặc bán thông tin cá nhân của các cán bộ, công chức nhà nước cho các thế lực thù địch.
- Ví dụ 3: Sử dụng dữ liệu vị trí để theo dõi, giám sát các hoạt động hợp pháp của các tổ chức, cá nhân nhằm mục đích xấu.
Hành vi 4: Cản trở hoạt động bảo vệ dữ liệu của cơ quan có thẩm quyền?
Hành vi này nhắm vào việc chống đối hoặc gây khó khăn cho các hoạt động thực thi pháp luật của Cục An ninh mạng và các cơ quan chức năng khác.
- Ví dụ 1: Từ chối cung cấp hồ sơ, tài liệu khi có quyết định thanh tra, kiểm tra về bảo vệ dữ liệu cá nhân.
- Ví dụ 2: Cung cấp thông tin sai sự thật, không đầy đủ hoặc tiêu hủy bằng chứng khi đang bị điều tra.
- Ví dụ 3: Không thực hiện hoặc trì hoãn việc thực hiện các yêu cầu của cơ quan chức năng về việc khắc phục vi phạm.
Hành vi 5: Lợi dụng hoạt động bảo vệ dữ liệu để vi phạm pháp luật?
Đây là một hành vi tinh vi hơn, sử dụng chính “vỏ bọc” tuân thủ để thực hiện các mục đích bất hợp pháp.
- Ví dụ 1: Một công ty tuyên bố có chính sách bảo vệ dữ liệu rất tốt để thu hút người dùng đăng ký, nhưng trên thực tế lại ngầm bán dữ liệu của họ.
- Ví dụ 2: Một nhân viên được giao nhiệm vụ bảo vệ dữ liệu (DPO) nhưng lại lợi dụng quyền truy cập của mình để trích xuất dữ liệu cho mục đích cá nhân.
Luật Bảo vệ dữ liệu cá nhân 2025 đã mở rộng và làm rõ các hành vi bị cấm như thế nào?
Luật 91/2025/QH15 tại Điều 7 đã kế thừa các quy định của Nghị định 13 và bổ sung, làm rõ thêm một số hành vi nghiêm trọng, đặc biệt là hành vi “Mua, bán dữ liệu cá nhân” và “Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân”. Điều này cho thấy sự quyết tâm của nhà làm luật trong việc xử lý các vấn nạn nhức nhối hiện nay.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Việc Luật 2025 đưa hành vi Mua, bán dữ liệu cá nhân vào danh sách cấm một cách tường minh là một bước tiến rất lớn. Trước đây, hành vi này thường được xử lý theo các tội danh khác trong Bộ luật Hình sự. Nay, với quy định trực tiếp này và chế tài xử phạt lên đến 10 lần khoản thu có được, các doanh nghiệp kinh doanh dựa trên việc mua bán dữ liệu trái phép sẽ phải đối mặt với rủi ro pháp lý và tài chính cực kỳ cao.”
Việc phân biệt giữa hành vi được phép và bị cấm là rất quan trọng:
| Hành vi Được phép (Có điều kiện) | Hành vi Bị cấm |
|---|---|
| Chia sẻ dữ liệu cho đối tác vận chuyển để giao hàng (có thông báo và hợp đồng). | Bán danh sách thông tin khách hàng (tên, SĐT, địa chỉ) cho một công ty bất động sản. |
| Sử dụng dữ liệu để gửi marketing (có sự đồng ý opt-in rõ ràng). | Tự động thêm tất cả khách hàng vào danh sách marketing mà không hỏi ý kiến. |
Hậu quả pháp lý của việc thực hiện các hành vi bị nghiêm cấm là gì?
Hậu quả pháp lý là vô cùng nghiêm trọng và đa tầng, bao gồm: (1) Xử phạt vi phạm hành chính với mức phạt rất cao; (2) Trách nhiệm bồi thường thiệt hại vật chất và tinh thần cho chủ thể dữ liệu; (3) Truy cứu trách nhiệm hình sự đối với các tội danh tương ứng; và (4) Thiệt hại nặng nề về uy tín và thương hiệu.
Việc tuân thủ không chỉ là một lựa chọn, mà là một yêu cầu sống còn. Các hậu quả pháp lý mà doanh nghiệp có thể phải đối mặt được thể hiện rõ trong các văn bản pháp luật mới:
- Xử phạt hành chính: Luật 91/2025/QH15 đã đưa ra một khung hình phạt mang tính răn đe rất cao, có thể phạt tiền lên tới 5% tổng doanh thu đối với hành vi chuyển dữ liệu xuyên biên giới trái phép.
- Bồi thường thiệt hại: Doanh nghiệp vi phạm phải bồi thường thiệt hại cho nạn nhân.
- Trách nhiệm hình sự: Các hành vi như mua bán dữ liệu trái phép có thể bị truy cứu theo các tội danh trong Bộ luật Hình sự như “Tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác” (Điều 289) hoặc “Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” (Điều 288).
DPVN: Dịch Vụ Rà Soát và Phòng Ngừa Rủi Ro Vi Phạm
Cách tốt nhất để tránh các hậu quả pháp lý nghiêm trọng là phòng ngừa. Việc rà soát toàn diện các hoạt động xử lý dữ liệu để đảm bảo không có hành vi nào rơi vào vùng cấm là một bước đi khôn ngoan và cần thiết.
Đội ngũ chuyên gia của DPVN sẽ giúp bạn thực hiện một cuộc “kiểm tra sức khỏe” toàn diện về tuân thủ, xác định các rủi ro và đưa ra giải pháp khắc phục. Hãy liên hệ với Luật sư Nguyễn Lâm Sơn để được tư vấn:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp về các hành vi bị nghiêm cấm
1. Việc chia sẻ dữ liệu giữa các công ty con trong cùng một tập đoàn có bị xem là “mua bán” không?
Nếu việc chia sẻ không có yếu tố “bán” (trao đổi để nhận lại lợi ích vật chất), nó sẽ không bị coi là mua bán. Tuy nhiên, nó vẫn là một hành vi “chuyển giao” dữ liệu và phải tuân thủ các quy định khác, như phải có sự đồng ý của chủ thể dữ liệu và có thỏa thuận xử lý dữ liệu nội bộ.
2. Nếu tôi thu thập dữ liệu từ các nguồn công khai (ví dụ: thông tin trên website của công ty khác), tôi có vi phạm không?
Việc dữ liệu được công khai không đồng nghĩa với việc bạn có quyền tự do thu thập và xử lý nó cho mục đích riêng của mình. Bạn vẫn cần có một cơ sở pháp lý hợp lệ. Việc thu thập tự động (crawling/scraping) hàng loạt dữ liệu cá nhân từ các nguồn công khai cho mục đích thương mại có thể bị xem là hành vi xử lý trái phép.
3. Làm thế nào để phân biệt giữa “chuyển giao” dữ liệu hợp pháp và “mua bán” trái phép?
Sự khác biệt cốt lõi nằm ở cơ sở pháp lý và sự minh bạch. Chuyển giao hợp pháp là khi có sự đồng ý rõ ràng của chủ thể dữ liệu cho việc chuyển giao đó, và có hợp đồng ràng buộc trách nhiệm giữa các bên. Mua bán trái phép là khi việc trao đổi diễn ra ngầm, không có sự đồng ý của người có dữ liệu.
4. Nếu một nhân viên của tôi thực hiện hành vi bị cấm, công ty có chịu trách nhiệm không?
Có. Công ty, với tư cách là Bên Kiểm soát Dữ liệu, phải chịu trách nhiệm pháp lý cho các hành vi xử lý dữ liệu được thực hiện bởi nhân viên của mình trong phạm vi công việc. Do đó, việc đào tạo và giám sát nhân viên là một nghĩa vụ cực kỳ quan trọng.
5. Cần làm gì nếu tôi phát hiện một tổ chức khác đang thực hiện hành vi bị nghiêm cấm?
Bạn có quyền và cũng là một phần nghĩa vụ của chủ thể dữ liệu cá nhân là tham gia phòng chống vi phạm. Bạn có thể thu thập bằng chứng và gửi đơn tố giác đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) thông qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- Bộ luật Hình sự 2015 (sửa đổi, bổ sung 2017): https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Bo-luat-hinh-su-2015-296661.aspx
- Luật An ninh mạng 2018: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Luat-an-ninh-mang-2018-383236.aspx
