Mua bán dữ liệu cá nhân

Mua bán dữ liệu cá nhân có thể bị phạt bao nhiêu?

Ngày đăng - 24/05/2024

Luật sư Nguyễn Lâm Sơn Tư vấn Nghị định 13/2023/NĐ-CP, Tin tức, Tư vấn Luật bảo vệ dữ liệu cá nhân

Việc mua bán dữ liệu cá nhân là một hành vi bị nghiêm cấm, có thể đối mặt với mức phạt tiền nghiêm khắc lên đến 10 lần khoản thu bất chính. Tại DPVN, chúng tôi sẽ phân tích sâu các quy định về mua bán dữ liệu và khung xử phạt hành vi mua bán, giúp doanh nghiệp bạn hiểu rõ rủi ro và tuân thủ pháp luật.

Những văn bản pháp luật nào quy định về việc xử phạt hành vi mua bán dữ liệu cá nhân?

Cơ sở pháp lý chính quy định hành vi mua bán dữ liệu cá nhân là bất hợp pháp bao gồm Điều 3 Nghị định 13/2023/NĐ-CP và được làm rõ hơn tại Điều 7 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Đặc biệt, Điều 8 của Luật 91/2025/QH15 đã lần đầu tiên đưa ra một khung chế tài xử phạt hành chính chuyên ngành và cực kỳ nghiêm khắc cho hành vi này.

Vấn nạn mua bán dữ liệu cá nhân trái phép đã và đang gây ra nhiều hệ lụy nghiêm trọng cho xã hội, từ các cuộc gọi lừa đảo, tin nhắn rác cho đến các vụ việc mạo danh tinh vi hơn. Để giải quyết vấn nạn này, pháp luật Việt Nam đã có những bước tiến mạnh mẽ.

  • Nghị định 13/2023/NĐ-CP: Tại Khoản 4, Điều 3 đã đặt ra nguyên tắc nền tảng: “Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác”.
  • Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15: Đã nâng tầm quy định này lên cấp Luật, khẳng định rõ tại Khoản 6, Điều 7 rằng “Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác” là một trong những hành vi bị nghiêm cấm về xử lý dữ liệu cá nhân.

Về chuyên môn sâu, việc cấm mua bán dữ liệu cá nhân xuất phát từ quan điểm pháp lý coi dữ liệu cá nhân không phải là tài sản có thể tự do giao dịch, mà là một phần không thể tách rời của quyền nhân thân. Do đó, việc trao đổi, mua bán nó như một món hàng thông thường là hành vi xâm phạm trực tiếp đến quyền riêng tư được pháp luật bảo vệ.

Mức phạt tiền đối với hành vi mua bán dữ liệu cá nhân theo Luật mới là bao nhiêu?

Theo Khoản 3, Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm. Đây là một chế tài mang tính răn đe kinh tế rất cao, nhắm trực tiếp vào động cơ lợi nhuận của các đối tượng vi phạm.

Đây là một cơ chế xử phạt hoàn toàn mới và tiến bộ, được thiết kế để đảm bảo rằng lợi ích thu được từ việc vi phạm sẽ không bao giờ lớn hơn hậu quả phải gánh chịu.

Cách tính mức phạt

Luật quy định rõ, cơ quan chức năng sẽ xác định tổng số tiền hoặc lợi ích vật chất mà tổ chức, cá nhân thu được từ việc mua bán dữ liệu trái phép. Mức phạt tối đa sẽ bằng con số này nhân với 10.

Ví dụ thực tế: Một cá nhân bán một tệp dữ liệu chứa 10.000 thông tin khách hàng với giá 20 triệu đồng. Khoản thu có được là 20 triệu đồng. Mức phạt tiền tối đa mà cá nhân này có thể phải đối mặt là: 20.000.000 đồng x 10 = 200.000.000 đồng.

Trường hợp không có khoản thu hoặc khoản thu thấp thì sao?

Luật cũng đã dự liệu trường hợp này. Khoản 3, Điều 8 quy định: “trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này”.

Khoản 5 quy định mức phạt tiền tối đa cho các vi phạm khác là 3 tỷ đồng đối với tổ chức. Do đó, ngay cả khi khoản thu bất chính là rất nhỏ, tổ chức vi phạm vẫn có thể bị phạt tới 3 tỷ đồng, và cá nhân vi phạm có thể bị phạt tới 1.5 tỷ đồng (bằng 1/2 mức phạt của tổ chức).

Ngoài phạt tiền, các hình thức xử phạt khác và hậu quả pháp lý là gì?

Ngoài phạt tiền, hành vi mua bán dữ liệu cá nhân còn có thể đối mặt với các hình thức xử phạt bổ sung như tịch thu tang vật, phương tiện vi phạm; các biện pháp khắc phục hậu quả; và đặc biệt là nguy cơ bị truy cứu trách nhiệm hình sự theo các tội danh tương ứng trong Bộ luật Hình sự.

Doanh nghiệp và cá nhân vi phạm không chỉ đối mặt với rủi ro tài chính.

  • Truy cứu trách nhiệm hình sự: Hành vi mua bán dữ liệu có thể cấu thành “Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” (Điều 288 Bộ luật Hình sự 2015), với mức phạt tù có thể lên đến 7 năm.
  • Trách nhiệm bồi thường thiệt hại: Nạn nhân (chủ thể dữ liệu) có quyền khởi kiện yêu cầu bồi thường các thiệt hại về vật chất và tinh thần.
  • Tổn thất uy tín: Đây là hậu quả vô hình nhưng nặng nề nhất. Một vụ bê bối mua bán dữ liệu có thể phá hủy hoàn toàn lòng tin của khách hàng và đối tác.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Trong thực tiễn, các cơ quan chức năng, đặc biệt là Cục An ninh mạng, đang xử lý rất quyết liệt các đường dây mua bán dữ liệu. Nhiều vụ việc đã được khởi tố hình sự. Doanh nghiệp cần hiểu rằng, việc mua một tệp dữ liệu khách hàng để telesales không còn là một hành vi marketing “xám” nữa, mà là một hành vi vi phạm pháp luật rõ ràng, có thể dẫn đến hậu quả hình sự.”

Những yếu tố nào ảnh hưởng đến mức phạt cuối cùng khi mua bán dữ liệu cá nhân?

Mức phạt cuối cùng sẽ được quyết định dựa trên việc xem xét các tình tiết tăng nặng và giảm nhẹ theo quy định của Luật Xử lý Vi phạm Hành chính. Các yếu tố ảnh hưởng chính bao gồm quy mô vi phạm, loại dữ liệu bị mua bán (đặc biệt là dữ liệu nhạy cảm), mức độ thiệt hại gây ra, và thái độ hợp tác của đối tượng vi phạm.

Tình tiết tăng nặng Tình tiết giảm nhẹ
Vi phạm có tổ chức, quy mô lớn. Chủ động ngăn chặn, giảm thiểu thiệt hại.
Mua bán dữ liệu cá nhân nhạy cảm. Tự nguyện khai báo, thành khẩn hối lỗi.
Gây ra hậu quả nghiêm trọng. Chủ động bồi thường thiệt hại cho nạn nhân.
Tái phạm, vi phạm nhiều lần. Hợp tác với cơ quan chức năng trong quá trình điều tra.

DPVN: Dịch Vụ Tư Vấn và Phòng Ngừa Rủi Ro Vi Phạm

Cách tốt nhất để tránh các chế tài xử phạt là xây dựng một chương trình tuân thủ vững chắc ngay từ đầu, đảm bảo mọi hoạt động thu thập và sử dụng dữ liệu đều hợp pháp.

Đội ngũ của DPVN sẽ giúp bạn rà soát các quy trình, xác định các rủi ro liên quan đến việc sử dụng dữ liệu của bên thứ ba và xây dựng các biện pháp phòng ngừa hiệu quả. Hãy liên hệ với Luật sư Nguyễn Lâm Sơn để được tư vấn:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Câu hỏi thường gặp về xử phạt hành vi mua bán dữ liệu cá nhân

1. Việc trao đổi danh sách khách hàng giữa hai công ty đối tác có bị coi là mua bán không?

Có thể. Nếu việc “trao đổi” này mang lại lợi ích kinh tế cho cả hai bên, nó có thể được xem xét là một hình thức của mua bán. Kể cả khi không có giao dịch tiền trực tiếp, việc này vẫn là một hành vi xử lý dữ liệu đòi hỏi phải có sự đồng ý rõ ràng của khách hàng.

2. Nếu tôi chỉ mua dữ liệu đã được công khai trên mạng thì có vi phạm không?

Có rủi ro cao. Việc một người tự công khai dữ liệu cá nhân không đồng nghĩa với việc họ cho phép dữ liệu đó được mua bán và sử dụng cho mục đích thương mại. Việc mua bán các bộ dữ liệu được thu thập tự động từ các nguồn công khai vẫn có thể bị xem là hành vi bất hợp pháp.

3. Có trường hợp nào luật cho phép “mua, bán” dữ liệu không?

Luật có ghi “trừ trường hợp luật có quy định khác”. Điều này mở ra khả năng trong tương lai có thể có các luật chuyên ngành cho phép một số hình thức trao đổi dữ liệu rất hẹp, có kiểm soát (ví dụ: trong lĩnh vực nghiên cứu khoa học hoặc giữa các trung tâm thông tin tín dụng), nhưng hiện tại, về cơ bản mọi hình thức mua bán cho mục đích thương mại đều bị cấm.

4. Ai là người bị phạt? Người bán, người mua, hay cả hai?

Cả hai đều có thể bị xử phạt. Người bán thực hiện hành vi xử lý dữ liệu trái phép. Người mua tiếp nhận và sử dụng dữ liệu một cách bất hợp pháp. Cả hai đều là các mắt xích trong chuỗi vi phạm và cùng phải chịu trách nhiệm trước pháp luật.

5. Các vụ việc mua bán dữ liệu đã bị xử phạt trước đây thường có mức phạt bao nhiêu?

Trước khi Luật 2025 có hiệu lực, các vụ việc thường được xử lý theo Nghị định 15/2020/NĐ-CP với mức phạt hành chính vài chục triệu đồng. Một số vụ việc lớn đã bị khởi tố hình sự. Tuy nhiên, các mức phạt này được đánh giá là chưa đủ sức răn đe, đó là lý do Luật mới đã tăng nặng chế tài một cách đáng kể.

Nguồn tham khảo:

  1. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
  2. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  3. Bộ luật Hình sự 2015 (sửa đổi, bổ sung 2017): https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Bo-luat-hinh-su-2015-296661.aspx
  4. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  5. Báo điện tử VnExpress – Chuyên mục “Lộ thông tin cá nhân”: https://vnexpress.net/chu-de/lo-thong-tin-ca-nhan-4061
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486