Từ 1-1-2026, Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực. Trong đó, Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025 đã quy định các hành vi bị nghiêm cấm như xử lý dữ liệu cá nhân trái quy định của pháp luật; mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác...
Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025, tổ chức, cá nhân có hành vi vi phạm đến bảo vệ dữ liệu cá nhân, tùy theo tính chất, mức độ, hậu quả có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
Theo đó, mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.
Trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 điều này (thấp hơn 3 tỉ đồng) thì áp dụng mức phạt tiền theo quy định tại khoản 5 điều này là 3 tỉ đồng.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó.
Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này (thấp hơn 3 tỉ đồng) thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này là 3 tỉ đồng.
Mức phạt tiền tối đa được áp dụng đối với tổ chức. Cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
