Mức Phạt Vi Phạm Quy Định Về Chuyển Dữ Liệu Cá Nhân Xuyên Biên Giới

Avatar of baovedlcn

Ngày đăng -

baovedlcn Tư vấn Luật bảo vệ dữ liệu cá nhân

Trong bối cảnh toàn cầu hóa, việc chuyển dữ liệu cá nhân xuyên biên giới là nhu cầu thiết yếu, nhưng đi kèm với đó là những rủi ro pháp lý nghiêm trọng nếu doanh nghiệp không nắm rõ mức phạt vi phạm quy định mới nhất. DPVN sẽ giúp Quý doanh nghiệp hiểu rõ các chế tài xử phạt theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Nghị định 356/2025/NĐ-CP, từ đó chủ động xây dựng chiến lược tuân thủ hiệu quả, bảo vệ an toàn tài sản và uy tín thương hiệu.

Cập nhật quan trọng 2026: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đã chính thức nâng mức phạt lên tới 5% tổng doanh thu đối với các vi phạm về chuyển dữ liệu ra nước ngoài, thay thế hoàn toàn các quy định cũ tại Nghị định 13/2023/NĐ-CP.

Mức phạt tiền cụ thể cho hành vi vi phạm chuyển dữ liệu cá nhân xuyên biên giới là bao nhiêu?

Theo Khoản 4 Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới sẽ bị phạt tiền tối đa lên đến 5% tổng doanh thu của năm tài chính liền kề trước đó tại Việt Nam. Trường hợp không xác định được doanh thu hoặc mức phạt tính theo doanh thu thấp hơn, mức phạt tiền tối đa được áp dụng là 03 tỷ đồng (theo Khoản 5 Điều 8).

Đây là một sự thay đổi mang tính bước ngoặt, đưa chế tài xử phạt của Việt Nam tiệm cận với các tiêu chuẩn quốc tế như GDPR. Trước đây, theo Nghị định 13, mức phạt hành chính thường chỉ dừng lại ở con số cố định và chưa đủ sức răn đe đối với các tập đoàn đa quốc gia có doanh thu hàng ngàn tỷ đồng. Việc áp dụng mức phạt dựa trên phần trăm doanh thu buộc các doanh nghiệp, đặc biệt là các “ông lớn” công nghệ, tài chính, ngân hàng phải đặt vấn đề bảo vệ dữ liệu lên hàng đầu trong chiến lược kinh doanh.

Để Quý vị dễ hình dung, DPVN xin đưa ra một ví dụ giả định:

Ví dụ: Một Công ty Thương mại điện tử A có tổng doanh thu năm 2025 tại Việt Nam là 1.000 tỷ đồng. Năm 2026, công ty này thực hiện chuyển dữ liệu hành vi tiêu dùng của khách hàng Việt Nam về máy chủ tại nước ngoài mà không lập hồ sơ đánh giá tác động theo quy định. Nếu bị phát hiện và xử lý, mức phạt tối đa mà công ty A phải đối mặt là: 1.000 tỷ x 5% = 50 tỷ đồng. Con số này lớn hơn rất nhiều so với mức phạt hành chính thông thường.

Tuy nhiên, mức phạt 5% là mức trần tối đa. Trong thực tế xử lý, cơ quan chức năng sẽ căn cứ vào tính chất, mức độ của hành vi, hậu quả xảy ra (số lượng chủ thể dữ liệu bị ảnh hưởng, loại dữ liệu bị lộ lọt) và các tình tiết tăng nặng, giảm nhẹ để ra quyết định cuối cùng.

Những hành vi nào bị coi là vi phạm quy định chuyển dữ liệu ra nước ngoài?

Các hành vi vi phạm phổ biến bao gồm: Chuyển dữ liệu mà không lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (Mẫu 09); Không nộp hồ sơ về Bộ Công an trong thời hạn 60 ngày; Không cập nhật hồ sơ khi có thay đổi; Chuyển dữ liệu trái phép gây hại đến an ninh quốc gia; hoặc Không thực hiện các biện pháp bảo vệ dữ liệu (như mã hóa, khử nhận dạng) theo yêu cầu.

Căn cứ vào Điều 20 Luật Bảo vệ dữ liệu cá nhân và Nghị định 356/2025/NĐ-CP, DPVN tổng hợp các nhóm hành vi vi phạm chính mà doanh nghiệp cần đặc biệt lưu ý:

1. Vi phạm về thủ tục hành chính (Lập và nộp hồ sơ)

  • Không lập hồ sơ: Đây là lỗi vi phạm cơ bản nhất. Bất kỳ hoạt động nào thuộc phạm vi chuyển dữ liệu cá nhân xuyên biên giới là gì? (bao gồm cả lưu trữ đám mây tại nước ngoài) đều bắt buộc phải lập hồ sơ đánh giá tác động.
  • Nộp hồ sơ chậm trễ: Thời hạn quy định là 60 ngày kể từ ngày bắt đầu hoạt động chuyển dữ liệu. Việc nộp muộn dù chỉ 01 ngày cũng bị coi là vi phạm.
  • Hồ sơ không trung thực: Kê khai sai sự thật về loại dữ liệu, mục đích chuyển hoặc các biện pháp bảo vệ trong Mẫu 09 Báo cáo đánh giá tác động.

2. Vi phạm về nghĩa vụ cập nhật và duy trì

  • Không cập nhật hồ sơ định kỳ: Theo quy định, doanh nghiệp phải cập nhật hồ sơ 06 tháng/lần. Việc “quên” cập nhật là lỗi rất phổ biến mà DPVN thường xuyên cảnh báo khách hàng.
  • Không thông báo thay đổi đột xuất: Khi có sự thay đổi về Bên Nhận ở nước ngoài, loại dữ liệu mới phát sinh, hoặc thay đổi hệ thống công nghệ, doanh nghiệp phải cập nhật hồ sơ trong vòng 10 ngày.

3. Vi phạm về an toàn dữ liệu và an ninh quốc gia

  • Chuyển dữ liệu bị cấm: Chuyển các loại dữ liệu cốt lõi, dữ liệu quan trọng quốc gia ra nước ngoài mà không được phép (theo Luật Dữ liệu và Luật An ninh mạng).
  • Không áp dụng biện pháp bảo vệ: Chuyển dữ liệu nhạy cảm hoặc dữ liệu lớn mà không thực hiện khử nhận dạng và mã hóa dữ liệu cá nhân khi chuyển xuyên biên giới theo yêu cầu tại Nghị định 356.
  • Không tuân thủ yêu cầu ngừng chuyển: Tiếp tục chuyển dữ liệu sau khi đã có văn bản yêu cầu ngừng chuyển của Bộ Công an (do phát hiện rủi ro an ninh).

Ngoài phạt tiền, doanh nghiệp còn chịu những hình phạt bổ sung nào?

Ngoài phạt tiền, doanh nghiệp vi phạm có thể bị áp dụng các hình phạt bổ sung nghiêm khắc như: Đình chỉ hoạt động chuyển dữ liệu ra nước ngoài; Tước quyền sử dụng Giấy phép kinh doanh dịch vụ xử lý dữ liệu; Buộc thu hồi và tiêu hủy dữ liệu đã chuyển trái phép; và Công khai thông tin vi phạm trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.

Đối với nhiều doanh nghiệp, các hình phạt bổ sung này đôi khi còn đáng sợ hơn cả phạt tiền. Việc bị đình chỉ dòng chảy dữ liệu ra nước ngoài đồng nghĩa với việc “đóng băng” hoạt động kinh doanh quốc tế, gây đứt gãy chuỗi cung ứng dịch vụ và thiệt hại kinh tế không thể đo đếm.

Ví dụ, một ngân hàng sử dụng hệ thống Core Banking đặt tại nước ngoài (Cloud) nếu bị yêu cầu ngừng chuyển dữ liệu do vi phạm, toàn bộ hoạt động giao dịch của ngân hàng đó có thể bị tê liệt ngay lập tức. Hoặc một công ty cung cấp dịch vụ phân tích dữ liệu (Data Analytics) nếu bị tước giấy phép kinh doanh theo Điều 27 Nghị định 356 thì coi như phải đóng cửa.

Chính vì vậy, việc tuân thủ quy định ngay từ đầu không chỉ là vấn đề pháp lý mà còn là vấn đề sống còn của doanh nghiệp. DPVN khuyến nghị các doanh nghiệp nên chủ động rà soát quy trình, thực hiện lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài đầy đủ và chính xác.

Làm thế nào để xác định doanh thu làm căn cứ tính phạt?

Doanh thu để tính phạt là tổng doanh thu của năm tài chính liền kề trước năm thực hiện hành vi vi phạm tại Việt Nam. Con số này được xác định dựa trên Báo cáo tài chính đã được kiểm toán hoặc Tờ khai quyết toán thuế thu nhập doanh nghiệp của tổ chức vi phạm.

Quy định này đặt ra một thách thức lớn cho các tập đoàn đa quốc gia có doanh thu “khủng” tại Việt Nam. Nó đảm bảo tính công bằng và tính răn đe: doanh nghiệp càng lớn, trách nhiệm bảo vệ dữ liệu càng cao, và mức phạt khi vi phạm càng nặng.

Trong trường hợp doanh nghiệp mới thành lập chưa đủ 01 năm tài chính, hoặc không cung cấp được dữ liệu doanh thu chính xác, cơ quan chức năng sẽ áp dụng mức phạt tiền tối đa theo khung quy định tại Khoản 5 Điều 8 Luật 91/2025/QH15 là 03 tỷ đồng. Mức phạt này áp dụng cho tổ chức; đối với cá nhân vi phạm, mức phạt bằng 1/2 mức phạt của tổ chức (tối đa 1,5 tỷ đồng).

Doanh nghiệp của bạn đã sẵn sàng cho “kỷ nguyên” chế tài mới?

Đừng để rủi ro mất 5% doanh thu trở thành hiện thực. Hãy để các chuyên gia của DPVN hỗ trợ bạn rà soát và hoàn thiện hồ sơ tuân thủ ngay hôm nay.

DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân

Hotline: 0982976486

Email: info@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Liên hệ tư vấn ngay

Câu hỏi thường gặp (FAQ)

1. Tôi chỉ lưu trữ dữ liệu trên Google Drive (Server nước ngoài) có bị phạt không?

Nếu bạn là doanh nghiệp và lưu trữ dữ liệu cá nhân của khách hàng/nhân viên trên Cloud Server đặt tại nước ngoài mà không lập hồ sơ đánh giá tác động (theo Mẫu 09) và gửi về Bộ Công an, bạn ĐANG vi phạm quy định và có thể bị xử phạt.

2. Ai có quyền ra quyết định xử phạt vi phạm này?

Thẩm quyền xử phạt thuộc về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an, Thanh tra Bộ Thông tin và Truyền thông, và Ủy ban nhân dân các cấp theo phân cấp quản lý.

3. Doanh nghiệp nhỏ có được miễn trừ xử phạt không?

Không. Luật pháp áp dụng chung cho mọi đối tượng. Tuy nhiên, doanh nghiệp siêu nhỏ, hộ kinh doanh được miễn nghĩa vụ lập hồ sơ đánh giá tác động trong 05 năm đầu (theo Điều 41 Nghị định 356/2025/NĐ-CP), trừ khi kinh doanh dịch vụ xử lý dữ liệu. Nếu thuộc diện được miễn lập hồ sơ thì sẽ không bị phạt lỗi “không lập hồ sơ”, nhưng vẫn bị phạt nếu có hành vi vi phạm khác như làm lộ lọt dữ liệu.

4. Nếu phát hiện vi phạm, tôi phải làm gì để giảm nhẹ mức phạt?

Doanh nghiệp cần ngay lập tức thực hiện thủ tục thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân (theo Mẫu số 08 Nghị định 356) cho Bộ Công an trong vòng 72 giờ và tích cực khắc phục hậu quả. Đây là tình tiết giảm nhẹ quan trọng.

5. Mức phạt 5% doanh thu áp dụng từ thời điểm nào?

Quy định này có hiệu lực thi hành từ ngày 01/01/2026. Mọi hành vi vi phạm xảy ra từ thời điểm này sẽ bị áp dụng mức phạt mới theo Luật Bảo vệ dữ liệu cá nhân 2025.

Nguồn tham khảo:

  • Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
  • Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
  • Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
  • DPVN: Tổng hợp các mức phạt vi phạm hành chính mới nhất 2026.
  • Báo Chính phủ: Tăng cường chế tài xử lý vi phạm dữ liệu cá nhân trong kỷ nguyên số.
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486