Tổng hợp các mức phạt về vi phạm bảo vệ dữ liệu cá nhân từ 01/01/2026

1. Quy định về dữ liệu cá nhân

Điều 2 Nghị định 13/2023/NĐ-CP quy định, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

Theo đó, dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Cụ thể, có thể kể đến một thông tin phổ biến như:

- Họ, chữ đệm và tên khai sinh, tên gọi khác;

- Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

- Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;

- Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;

- Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;

- Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán...

Như vậy, có thể hiểu, bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.

2. Các mức phạt về vi phạm bảo vệ dữ liệu cá nhân 

Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 quy định xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân như sau:

(1) Tổ chức, cá nhân có hành vi vi phạm quy định của Luật Bảo vệ dữ liệu cá nhân 2025 và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

(2) Việc xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân thực hiện theo quy định tại các mục (3), (4), (5), (6) và (7) và pháp luật về xử lý vi phạm hành chính.

(3) Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.

Trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định thì áp dụng mức phạt tiền theo quy định tại mục (5).

(4) Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó. 

(5) Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.

(6) Mức phạt tiền tối đa quy định tại các mục (3), (4) và (5) được áp dụng đối với tổ chức;

Đối với cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.

(7) Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

3. Hành vi bị nghiêm cấm theo Luật Bảo vệ dữ liệu cá nhân 2025

Căn cứ Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025 có 7 hành vi bị nghiêm cấm bao gồm:

- Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

- Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Trên đây là tổng hợp các mức phạt vi phạm bảo vệ dữ liệu cá nhân từ 01/01/2026.