Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân.

Với 433/435 đại biểu tham gia biểu quyết tán thành, sáng 26/6, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân (DLCN) có hiệu lực thi hành từ ngày 1/1/2026.

Báo cáo trước khi đại biểu bấm nút, Chủ nhiệm Ủy ban Quốc phòng, an ninh và đối ngoại của Quốc hội Lê Tấn Tới nêu rõ, Dự thảo Luật bảo đảm tính thống nhất với hệ thống pháp luật, tương thích với điều ước quốc tế có liên quan mà Việt Nam là thành viên và bảo đảm tính khả thi.

Đáng chú ý, ông Tới cho biết, nhằm giảm gánh nặng tuân thủ pháp luật, Ủy ban Thường vụ Quốc hội đã chỉ đạo bổ sung quy định doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các quy định về lập hồ sơ đánh giá tác động, chỉ định bộ phận, nhân sự bảo vệ DLCN trong thời hạn 5 năm kể từ ngày Luật này có hiệu lực thi hành và miễn thực hiện đối với các hộ kinh doanh, doanh nghiệp siêu nhỏ.

Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân là nội dung được nhiều đại biểu quan tâm thảo luận.

Trên cơ sở tiếp thu ý kiến ĐBQH, UBTVQH đã chỉ đạo rà soát, chỉnh lý quy định về mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi vi phạm tại các khoản 3, 4, 5 và 6 Điều 8 dự thảo Luật.

 3. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.

4. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.

5. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.

6. Mức phạt tiền tối đa quy định tại các khoản 3, 4 và 5 Điều này được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.

Theo Ủy ban Thường vụ Quốc hội, do tính chất và hậu quả nghiêm trọng của hành vi vi phạm quy định về bảo vệ DLCN nên cần quy định mức phạt cao hơn để bảo đảm tính răn đe đối với các doanh nghiệp lớn, đặc biệt là các tập đoàn đa quốc gia hoặc doanh nghiệp công nghệ có doanh thu hàng nghìn tỷ đồng.

Do đó, UBTVQH đề nghị chỉnh lý dự thảo Luật theo hướng, nâng mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ DLCN là 3 tỷ đồng; sửa đổi, bổ sung quy định tại khoản 3 Điều 24 của Luật Xử lý vi phạm hành chính theo hướng mức phạt tiền tối đa trong lĩnh vực bảo vệ DLCN sẽ được thực hiện theo quy định của Luật Bảo vệ DLCN.

Đối với đối với hành vi mua, bán DLCN thì có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 thì áp dụng mức phạt tiền tối đa quy định tại khoản 5 (3 tỷ đồng). Quy định này được thiết kế trên cơ sở tham khảo quy định về xử lý vi phạm tại Điều 132 của Luật Chứng khoán .

Chỉ quy định mức phạt tiền tối đa 5% doanh thu năm liền trước của tổ chức, doanh nghiệp đối với hành vi vi phạm quy định chuyển DLCN xuyên biên giới; trường hợp không có doanh thu hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 thì áp dụng mức phạt tiền tối đa theo quy định tại khoản 5 (3 tỷ đồng).

Luật cũng bổ sung quy định xử phạt đối với cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền tối đa đối với tổ chức.

Luật giao Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.