Hành vi bị nghiêm cấm theo Luật Bảo vệ dữ liệu cá nhân mới nhất

Trong bối cảnh cuộc Cách mạng Công nghiệp lần thứ tư đang tái định nghĩa mọi giá trị kinh tế - xã hội, dữ liệu cá nhân đã trở thành thực thể hữu hình mang tính sống còn đối với sự phát triển của quốc gia và doanh nghiệp. Tuy nhiên, sự tự do lưu chuyển thông tin trên không gian mạng cũng đồng thời mở ra "chiếc hộp Pandora" với những biến tướng tinh vi của tội phạm công nghệ cao và các hành vi xâm dụng đời tư bất hợp pháp.

Để thiết lập một "thành trì" bảo vệ quyền cơ bản của công dân, pháp luật Việt Nam đã xác lập hệ thống các hành vi bị nghiêm cấm như một ranh giới đỏ không thể xâm phạm trong hoạt động xử lý dữ liệu. Những quy định cấm này không chỉ đơn thuần là các rào cản hành chính, mà là biểu hiện của nguyên tắc "tôn trọng và bảo vệ quyền con người" được cụ thể hóa trong kỷ nguyên số. Việc nhận diện rõ ràng các hành vi bị nghiêm cấm không chỉ giúp các tổ chức, cá nhân tránh khỏi những chế tài nghiêm khắc của pháp luật, mà còn là điều kiện tiên quyết để xây dựng một hệ sinh thái dữ liệu minh bạch, an toàn và nhân văn. 

1. Tầm quan trọng của việc nhận diện hành vi bị cấm 

Việc nhận diện và hiểu rõ các hành vi bị nghiêm cấm tại Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025 không chỉ là yêu cầu về mặt tuân thủ pháp luật mà còn là chiến lược bảo vệ sự tồn tại của doanh nghiệp trong kỷ nguyên số. Các hành vi này đóng vai trò định hướng cho toàn bộ hoạt động xử lý dữ liệu, từ khâu thu thập ban đầu cho đến khi xóa bỏ hoàn toàn dữ liệu.

1.1. Vai trò trong việc thiết lập hành lang an toàn dữ liệu

Hành lang an toàn dữ liệu không được xây dựng chỉ bằng các biện pháp kỹ thuật mà phải dựa trên nền tảng pháp lý nghiêm ngặt. Điều 7 của Luật Bảo vệ dữ liệu cá nhân 2025 thiết lập các "lằn ranh đỏ" mà bất kỳ sự xâm phạm nào cũng dẫn đến những hậu quả pháp lý nặng nề. Bằng cách liệt kê rõ ràng các hành vi bị cấm, luật cung cấp một thước đo chuẩn mực để các cơ quan quản lý nhà nước kiểm tra, giám sát và xử lý vi phạm. Đồng thời, các quy định này giúp chủ thể dữ liệu nhận thức được quyền lợi của mình, từ đó tạo ra cơ chế giám sát xã hội đối với các hoạt động xử lý dữ liệu của doanh nghiệp.

Sự hiện diện của các điều cấm tại Điều 7 còn có tác dụng răn đe, ngăn chặn các ý định trục lợi bất chính từ dữ liệu cá nhân ngay từ giai đoạn sơ khởi. Điều này đặc biệt quan trọng khi các đối tượng tội phạm thường tận dụng sự chủ quan, lơ là của người dân để thu thập thông tin qua các chương trình khuyến mãi, bốc thăm trúng thưởng hoặc các ứng dụng trò chơi trực tuyến. Hành lang an toàn này đảm bảo rằng dòng chảy dữ liệu trong nền kinh tế được diễn ra một cách minh bạch, có kiểm soát và tôn trọng quyền riêng tư của cá nhân.

1.2. Tại sao cá nhân và tổ chức cần đặc biệt lưu ý văn bản năm 2025

Văn bản Luật Bảo vệ dữ liệu cá nhân 2025 mang tính chất bước ngoặt so với các quy định trước đây như Nghị định 13/2023/NĐ-CP. Có ba lý do chính khiến các tổ chức và cá nhân cần đặc biệt quan tâm đến văn bản này:

Thứ nhất, mức độ pháp lý của văn bản được nâng cao từ Nghị định lên thành Luật, thể hiện sự ưu tiên cao nhất của Nhà nước trong việc bảo vệ dữ liệu cá nhân. Điều này đồng nghĩa với việc các quy định sẽ có tính ổn định cao hơn, phạm vi điều chỉnh rộng hơn và sự phối hợp giữa các cơ quan hành pháp sẽ chặt chẽ hơn.

Thứ hai, hệ thống chế tài trong Luật 2025 được thiết kế theo hướng cực kỳ khắt khe nhằm đối phó với tình trạng vi phạm diễn biến phức tạp. Các mức phạt tiền có thể tính dựa trên tỷ lệ phần trăm doanh thu hoặc gấp nhiều lần khoản thu bất chính, tạo ra áp lực tài chính khổng lồ buộc các tập đoàn công nghệ phải đầu tư nghiêm túc vào hệ thống bảo mật và tuân thủ pháp luật.

Thứ ba, Luật 2025 giải quyết các vấn đề mới phát sinh trong thời đại trí tuệ nhân tạo (AI) và chuyển dữ liệu xuyên biên giới. Việc sử dụng dữ liệu để huấn luyện AI mà không có sự đồng ý hoặc không tuân thủ các tiêu chuẩn kỹ thuật có thể dẫn đến mức phạt lên tới hàng tỷ đồng, một con số đủ sức làm thay đổi tư duy quản trị của các doanh nghiệp khởi nghiệp công nghệ.

2. Hành vi bị nghiêm cấm về dữ liệu cá nhân

Luật Bảo vệ dữ liệu cá nhân 2025 đã hệ thống hóa các vi phạm thành 7 hành vi cốt lõi, bao quát toàn bộ các nguy cơ xâm phạm dữ liệu trong môi trường thực tế và không gian mạng.

2.1. Xử lý dữ liệu xâm phạm an ninh quốc gia và trật tự xã hội

Đây là nhóm hành vi bị nghiêm cấm hàng đầu do tính chất nguy hiểm cho cộng đồng và Nhà nước. Mọi hoạt động xử lý dữ liệu cá nhân nhằm mục đích chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia hoặc trật tự an toàn xã hội đều bị coi là vi phạm nghiêm trọng.

Hành vi này không chỉ bao gồm việc sử dụng dữ liệu để tuyên truyền xuyên tạc mà còn bao gồm việc cung cấp dữ liệu cá nhân có thể gây ảnh hưởng đến tính mạng, sức khỏe thể chất hoặc tinh thần của người khác. Trong nhiều trường hợp, việc xử lý dữ liệu trái phép có thể bị coi là hành vi gây ảnh hưởng đến trật tự xã hội nếu dữ liệu đó liên quan đến cán bộ công chức hoặc được sử dụng phục vụ mục đích phá hoại hệ thống thông tin của các cơ quan nhà nước.

2.2. Hành vi cản trở 

Pháp luật bảo vệ tính liêm chính của các hoạt động bảo vệ dữ liệu. Nghiêm cấm mọi hành vi cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan chức năng có thẩm quyền. Điều này đảm bảo rằng các cuộc thanh tra, kiểm tra về an ninh mạng và bảo vệ dữ liệu được diễn ra thông suốt.

Mọi hành vi trực tiếp hoặc gián tiếp làm gián đoạn, vô hiệu hóa hoặc gây khó khăn cho các hoạt động nhằm bảo vệ dữ liệu cá nhân theo quy định của pháp luật. Biểu hiện của hành vi này khá đa dạng, có thể xuất hiện trong nội bộ tổ chức hoặc từ bên ngoài. Trong thực tiễn, đó có thể là việc không cung cấp, cung cấp không đầy đủ hoặc cố tình trì hoãn cung cấp thông tin khi cơ quan có thẩm quyền yêu cầu phục vụ công tác kiểm tra, thanh tra về bảo vệ dữ liệu cá nhân.

Ngoài ra, hành vi phá hoại hệ thống kỹ thuật, làm sai lệch dữ liệu, hoặc cản trở việc vận hành các biện pháp bảo mật cũng được xem là một dạng cản trở. Ngay cả việc ban hành quy trình nội bộ mang tính hình thức, không khả thi hoặc cố tình thiết kế các thủ tục phức tạp nhằm né tránh trách nhiệm bảo vệ dữ liệu cũng có thể bị coi là hành vi này. Về bản chất, đây là hành vi xâm phạm trực tiếp đến hiệu quả thực thi pháp luật, làm suy giảm khả năng bảo vệ quyền riêng tư của cá nhân và có thể gây ra hậu quả nghiêm trọng như rò rỉ, mất mát hoặc bị lạm dụng dữ liệu.

2.3. Hành vi lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật

Hành vi lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật lại mang tính chất tinh vi và khó nhận diện hơn. Đây là trường hợp chủ thể sử dụng danh nghĩa, công cụ hoặc quy định liên quan đến bảo vệ dữ liệu cá nhân như một “vỏ bọc” để thực hiện các hành vi trái pháp luật. Ví dụ, một số tổ chức có thể viện dẫn lý do “bảo mật dữ liệu” để từ chối cung cấp thông tin cho cơ quan chức năng nhằm che giấu hành vi gian lận, trốn thuế hoặc các vi phạm khác.

Trong môi trường kinh doanh, hành vi này còn có thể biểu hiện qua việc lợi dụng quy định về bảo vệ dữ liệu để hạn chế cạnh tranh, gây khó khăn cho đối thủ hoặc người tiêu dùng, chẳng hạn như cố tình từ chối chia sẻ dữ liệu trong các trường hợp pháp luật cho phép hoặc yêu cầu. Thậm chí, có trường hợp các đối tượng xấu giả danh cơ quan, tổ chức bảo vệ dữ liệu để thu thập thông tin cá nhân trái phép, phục vụ cho mục đích lừa đảo, chiếm đoạt tài sản. Bản chất của hành vi này là sự “lạm dụng pháp luật”, làm sai lệch mục tiêu nhân văn của việc bảo vệ dữ liệu cá nhân, đồng thời gây mất niềm tin của xã hội đối với các cơ chế bảo vệ quyền riêng tư.

2.4. Xử lý dữ liệu trái quy định 

Xử lý dữ liệu trái quy định là nhóm hành vi phổ biến nhất mà các doanh nghiệp dễ mắc phải nếu không có quy trình quản trị chặt chẽ. Theo định nghĩa, xử lý dữ liệu bao gồm các hoạt động như thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, và tiêu hủy dữ liệu. Các vi phạm điển hình trong nhóm này bao gồm:

Thiếu sự đồng ý: Xử lý dữ liệu mà không được sự đồng ý của chủ thể dữ liệu, trừ những trường hợp đặc biệt do luật định. Sự đồng ý phải được thể hiện rõ ràng, cụ thể và dựa trên sự tự nguyện của chủ thể sau khi đã biết rõ loại dữ liệu, mục đích xử lý và các bên liên quan.

Xử lý sai mục đích: Thu thập dữ liệu cho một mục đích (ví dụ: thực hiện giao dịch mua bán) nhưng lại sử dụng cho mục đích khác (ví dụ: bán dữ liệu cho bên thứ ba để quảng cáo) mà không có sự thông báo và đồng ý bổ sung.

Vi phạm các quyền của chủ thể: Cản trở chủ thể dữ liệu thực hiện 11 quyền của mình, bao gồm quyền truy cập, chỉnh sửa, xóa dữ liệu hoặc rút lại sự đồng ý.

Thu thập trái phép từ nguồn công khai: Việc sử dụng các công cụ quét dữ liệu (crawling/scraping) tự động trên các website để thu thập hàng loạt thông tin cá nhân cho mục đích thương mại mà không có cơ sở pháp lý hợp lệ cũng bị coi là hành vi xử lý trái phép.

2.5. Sử dụng trái phép dữ liệu cá nhân của người khác

Nhóm hành vi này tập trung vào việc chiếm dụng danh tính hoặc sử dụng dữ liệu của người khác để thực hiện các hành vi trái quy định của pháp luật. Một khía cạnh mới của luật là nghiêm cấm cả hành vi cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái pháp luật.

Ví dụ, việc cho mượn thông tin Căn cước công dân để mở tài khoản ngân hàng ảo, tạo điều kiện cho các đường dây lừa đảo xuyên quốc gia rửa tiền là hành vi bị nghiêm cấm. Tương tự, việc sử dụng dữ liệu của người khác để đăng ký tài khoản mạng xã hội giả mạo nhằm bôi nhọ, xúc phạm danh dự của cá nhân khác cũng thuộc nhóm vi phạm này.

2.6. Mua, bán dữ liệu cá nhân 

Mua bán dữ liệu cá nhân là hành vi bị nghiêm cấm tuyệt đối nhằm ngăn chặn tình trạng hình thành các "chợ đen" dữ liệu. Đây là biện pháp then chốt để cắt đứt nguồn cung cho các đối tượng tội phạm thực hiện các kịch bản lừa đảo nhắm vào người dân.

Tuy nhiên, Luật 2025 cũng dự phòng các "ngoại lệ" để không cản trở các giao dịch hợp pháp trong nền kinh tế số. Cụm từ "trừ trường hợp luật có quy định khác" tại khoản 6 Điều 7 mở ra hành lang cho các hoạt động chuyển giao dữ liệu hợp pháp. Điều 17 của Luật quy định các trường hợp chuyển giao hợp pháp để phân biệt rõ với hành vi mua bán trái phép.

Để một hoạt động chuyển giao dữ liệu được coi là hợp pháp và không bị đánh đồng với mua bán trái phép, nó phải đáp ứng các tiêu chuẩn khắt khe:

• Phải dựa trên quyền kiểm soát và sự đồng ý của chủ thể dữ liệu về việc chia sẻ, chuyển giao thông tin.
• Phải có thỏa thuận bằng văn bản xác định rõ mục đích, phạm vi, thời gian sử dụng và không được phép tự ý chuyển giao cho bên thứ ba ngoài thỏa thuận.
• Mục đích chuyển giao phải phục vụ cho lợi ích của chủ thể dữ liệu hoặc thực hiện các nghĩa vụ hợp đồng mà chủ thể là một bên tham gia.

2.7. Chiếm đoạt, làm lộ, làm mất dữ liệu cá nhân do lỗi cố ý

Nhóm hành vi này nhắm vào các vi phạm có tính chất chiếm hữu bất hợp pháp hoặc sự thiếu trách nhiệm nghiêm trọng dẫn đến hậu quả lộ lọt dữ liệu. Chiếm đoạt dữ liệu thường gắn liền với các hành vi tấn công mạng, đánh cắp mật khẩu hoặc lợi dụng vị trí công tác để trích xuất dữ liệu trái phép.

Luật phân biệt rõ giữa việc cố ý làm lộ dữ liệu và các sự cố an ninh mạng ngoài ý muốn. Việc cố ý phát tán thông tin cá nhân của khách hàng lên không gian mạng để trả thù hoặc trục lợi là hành vi bị cấm và có thể bị truy cứu trách nhiệm hình sự. Ngược lại, việc làm mất dữ liệu do lỗi cố ý (ví dụ: nhân viên xóa dữ liệu để tiêu hủy chứng cứ vi phạm) cũng bị trừng phạt nghiêm khắc.

3. Phân biệt hành vi xử lý dữ liệu trái quy định và chiếm đoạt dữ liệu

Việc phân biệt rõ hai thuật ngữ này giúp các tổ chức xác định mức độ rủi ro và áp dụng các biện pháp phòng ngừa tương ứng.

3.1. Thế nào là xử lý dữ liệu cá nhân trái quy định của pháp luật?

Xử lý dữ liệu trái quy định thường mang tính chất vi phạm các quy trình hành chính và nguyên tắc vận hành dữ liệu. Bản chất của hành vi này xuất phát từ việc doanh nghiệp thiếu hệ thống tuân thủ hoặc cố tình "lách luật" để tối ưu hóa lợi nhuận kinh doanh mà không tôn trọng quyền của người dùng.

Ví dụ điển hình bao gồm việc không lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định, hoặc sử dụng dữ liệu khách hàng cũ để gửi tin nhắn rác quảng cáo cho các dịch vụ mới mà không xin phép lại. Tính chất của vi phạm này thường được xử lý ở mức độ hành chính và yêu cầu khắc phục hậu quả bằng cách điều chỉnh quy trình.

3.2. Chiếm đoạt dữ liệu cá nhân và tính chất bắc cầu

Chiếm đoạt dữ liệu mang tính chất chiếm hữu bất hợp pháp và thường gắn liền với yếu tố tội phạm. Đây là nhóm hành vi nghiêm trọng hơn, nơi đối tượng thực hiện hành vi có mục đích tước đoạt quyền kiểm soát dữ liệu của chủ thể hoặc của tổ chức quản lý hợp pháp. Tính chất "bắc cầu" của các vi phạm về dữ liệu thể hiện ở việc một lỗi nhỏ trong quy trình xử lý có thể dẫn đến hậu quả nghiêm trọng hơn :

Từ vi phạm quy trình sang vi phạm an ninh: Việc lưu trữ dữ liệu không an toàn (xử lý trái quy định) tạo điều kiện cho tin tặc tấn công (chiếm đoạt dữ liệu), từ đó dẫn đến việc rao bán trên thị trường đen.

Từ vi phạm cá nhân sang trách nhiệm tổ chức: Nếu một nhân viên bảo vệ dữ liệu (DPO) lợi dụng quyền hạn để trích xuất dữ liệu, doanh nghiệp không chỉ mất tài sản mà còn phải chịu trách nhiệm liên đới cao nhất về mặt pháp lý và bồi thường thiệt hại cho khách hàng.

Từ vi phạm hành chính sang hình sự: Hành vi thu thập trái phép ở quy mô lớn có thể bị coi là xâm phạm trật tự an toàn xã hội hoặc an ninh quốc gia, dẫn đến việc truy cứu trách nhiệm hình sự thay vì chỉ phạt tiền.

4. Hậu quả pháp lý khi thực hiện hành vi bị nghiêm cấm

Hệ thống pháp luật Việt Nam đã xây dựng một cơ chế đa tầng để xử lý các vi phạm về dữ liệu cá nhân, bao gồm trách nhiệm hành chính, hình sự và dân sự. Luật 2025 và các dự thảo nghị định xử phạt đề xuất những mức phạt mang tính răn đe cực cao, đặc biệt đối với các hành vi tái phạm hoặc vi phạm ở quy mô lớn.

Đối với hành vi mua bán dữ liệu cá nhân, mức phạt tiền có thể được áp dụng theo hai trường hợp:

• Nếu có khoản thu lợi từ hành vi vi phạm, mức phạt có thể lên tới 10 lần khoản thu đó.
• Nếu không xác định được khoản thu hoặc khoản thu thấp, mức phạt tối đa có thể lên tới 3 tỷ đồng đối với tổ chức.

Đối với các vi phạm nghiêm trọng khác như chuyển dữ liệu xuyên biên giới trái phép hoặc để lộ dữ liệu của trên 5 triệu công dân, mức phạt có thể lên tới 5% tổng doanh thu của năm tài chính liền trước tại Việt Nam.

Ngoài phạt tiền, các tổ chức vi phạm còn phải chịu các hình phạt bổ sung và biện pháp khắc phục hậu quả:

• Tước quyền sử dụng giấy phép kinh doanh từ 1-3 tháng.
• Đình chỉ hoạt động xử lý dữ liệu cá nhân.
• Tịch thu tang vật, phương tiện và tài khoản số vi phạm.
• Buộc gỡ bỏ, xóa dữ liệu không thể khôi phục, cải chính thông tin và công khai xin lỗi.

Các hành vi vi phạm nghiêm trọng sẽ bị truy cứu trách nhiệm hình sự theo Bộ luật Hình sự sửa đổi, bổ sung 2017. Các tội danh phổ biến bao gồm :

• Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông (Điều 288).
• Tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác (Điều 289).
• Các tội danh liên quan đến lừa đảo chiếm đoạt tài sản qua mạng xã hội và các nền tảng trực tuyến.

Bên cạnh các án phạt từ nhà nước, doanh nghiệp còn phải đối mặt với trách nhiệm bồi thường thiệt hại cho chủ thể dữ liệu. Thiệt hại có thể bao gồm tổn thất về vật chất (ví dụ: mất tiền trong tài khoản do lộ thông tin) và tổn thất về tinh thần (ví dụ: bị quấy rối, đe dọa do lộ thông tin cá nhân). Các vụ kiện tập thể từ người dùng có thể gây ra những rủi ro tài chính vượt xa cả các mức phạt hành chính.

Kết luận

Việc liệt kê và phân loại các hành vi bị nghiêm cấm trong bảo vệ dữ liệu cá nhân chính là "thanh bảo kiếm" để cơ quan quản lý nhà nước duy trì trật tự và công bằng trong một môi trường số đầy biến động. Từ việc cấm mua bán, chuyển nhượng dữ liệu trái phép đến việc nghiêm trị các hành vi lợi dụng dữ liệu để xâm phạm an ninh quốc gia hay lợi ích cộng đồng, pháp luật đã tạo ra một hành lang hành vi chuẩn mực, buộc các bên liên quan phải chuyển dịch từ tư duy "khai thác triệt để" sang tư duy "khai thác có trách nhiệm".

Trong tương lai, khi Luật Bảo vệ dữ liệu cá nhân chính thức được ban hành với những chế tài mạnh mẽ hơn, các hành vi vi phạm sẽ không chỉ dừng lại ở việc xử phạt hành chính mà còn có thể dẫn đến các hệ lụy hình sự và tổn hại không thể phục hồi về uy tín thương hiệu. Do đó, việc thấu hiểu và tuân thủ các điều cấm của luật định không nên được xem là một gánh nặng tuân thủ, mà phải được nhìn nhận là khoản đầu tư chiến lược cho sự phát triển bền vững. Chỉ khi những hành vi xâm phạm bị loại bỏ hoàn toàn bởi sức mạnh của pháp luật và sự tự giác của chủ thể xử lý, chúng ta mới có thể thực sự hiện thực hóa mục tiêu chuyển đổi số lấy con người làm trung tâm, nơi mà quyền riêng tư được tôn trọng và dữ liệu cá nhân được bảo vệ như một tài sản vô giá của mỗi cá nhân.

Trên đây là toàn bộ nội dung bài viết của Luật Minh Khuê liên quan đến vấn đề: Hành vi bị nghiêm cấm trong việc xử lý dữ liệu cá nhân được quy định như thế nào? Mọi thắc mắc chưa rõ hay có nhu cầu hỗ trợ vấn đề pháp lý khác, quý khách hàng vui lòng liên hệ với bộ phận tư vấn pháp luật trực tuyến qua số hotline: 1900.6162 hoặc gửi yêu cầu tư vấn qua email: lienhe@luatminhkhue.vn để được hỗ trợ và giải đáp kịp thời. Xin trân trọng cảm ơn quý khách hàng đã quan tâm theo dõi bài viết của Luật Minh Khuê.