1. Thế nào là hành vi làm lộ dữ liệu cá nhân khách hàng theo luật mới

Trong bối cảnh pháp lý năm 2026, việc xác định hành vi làm lộ dữ liệu cá nhân đòi hỏi sự hiểu biết tường tận về các khái niệm mới được chuẩn hóa. Dữ liệu cá nhân được định nghĩa là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Hành vi làm lộ dữ liệu cá nhân xảy ra khi thông tin này bị truy cập, sử dụng, tiết lộ, chuyển giao hoặc chia sẻ cho các bên không có thẩm quyền mà không được sự đồng ý của chủ thể dữ liệu hoặc không có căn cứ pháp lý rõ ràng.

 

1.1. Phân loại dữ liệu và phạm vi bảo vệ

Luật Bảo vệ dữ liệu cá nhân 2025 phân tách dữ liệu thành hai danh mục chính với các yêu cầu bảo mật khác biệt. Dữ liệu cá nhân cơ bản bao gồm những thông tin định danh thông thường như họ tên, ngày sinh, giới tính, địa chỉ, số điện thoại, và tài khoản số. Trong khi đó, dữ liệu cá nhân nhạy cảm là những thông tin khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của cá nhân, bao gồm dữ liệu sinh trắc học, tình trạng sức khỏe, quan điểm chính trị, tôn giáo, và đặc biệt là các thông tin tài chính, lịch sử giao dịch ngân hàng. Đáng chú ý, năm 2026 cũng ghi nhận việc đưa dữ liệu theo dõi hành vi, hoạt động của cá nhân trên không gian mạng và các dịch vụ viễn thông vào nhóm dữ liệu nhạy cảm, buộc doanh nghiệp phải áp dụng các biện pháp bảo mật chặt chẽ hơn.

 

1.2. Phân biệt lộ dữ liệu do lỗ hổng và mua bán dữ liệu trái phép

Pháp luật năm 2026 thiết lập ranh giới rõ rệt giữa hai hình thức vi phạm phổ biến để áp dụng các mức xử lý tương xứng. Lộ dữ liệu do lỗ hổng thường được coi là một sự cố an ninh mạng phát sinh từ lỗi kỹ thuật, sơ suất trong quản trị hệ thống hoặc sự tấn công từ các bên thứ ba tận dụng các điểm yếu của hạ tầng công nghệ. Trong trường hợp này, doanh nghiệp có thể được xem xét giảm nhẹ trách nhiệm nếu chứng minh được đã thực hiện đầy đủ các bước đánh giá tác động và triển khai biện pháp bảo mật theo tiêu chuẩn quy định.

Ngược lại, mua bán dữ liệu cá nhân là hành vi cố ý, mang tính trục lợi, trong đó dữ liệu được coi như một loại hàng hóa để trao đổi lấy lợi ích vật chất hoặc phi vật chất. Đây là hành vi bị nghiêm cấm hoàn toàn dưới mọi hình thức, trừ các trường hợp đặc biệt do luật định. Sự phân biệt này không chỉ dựa trên ý chí của người thực hiện mà còn dựa trên quy trình kiểm soát của doanh nghiệp; một doanh nghiệp không có quy trình bảo mật rõ ràng để nhân viên tự ý trích xuất dữ liệu bán ra ngoài sẽ bị coi là thiếu trách nhiệm nghiêm trọng.

 

1.3. Trách nhiệm của bên kiểm soát và bên xử lý dữ liệu

Hệ thống pháp luật mới xác định rõ ba vai trò chủ chốt trong chuỗi cung ứng dữ liệu để đảm bảo trách nhiệm không bị chồng chéo hoặc bỏ sót.

Bên Kiểm soát dữ liệu cá nhân là đơn vị quyết định mục đích và phương thức xử lý dữ liệu. Đây thường là các tổ chức trực tiếp thu thập thông tin khách hàng như ngân hàng, sàn thương mại điện tử hoặc các công ty cung cấp dịch vụ viễn thông. Trách nhiệm của họ là đảm bảo tính hợp pháp của toàn bộ vòng đời dữ liệu, từ lúc thu thập đến khi tiêu hủy.

Bên Xử lý dữ liệu cá nhân thực hiện các thao tác xử lý thay mặt cho bên kiểm soát thông qua một hợp đồng hoặc thỏa thuận ràng buộc. Họ có nghĩa vụ triển khai các biện pháp bảo mật kỹ thuật tương đương và phải thông báo ngay lập tức cho bên kiểm soát khi phát hiện có dấu hiệu rò rỉ.

Bên Kiểm soát và xử lý dữ liệu cá nhân là trường hợp doanh nghiệp tự mình thực hiện cả hai vai trò. Trong mô hình này, doanh nghiệp phải gánh vác toàn bộ nghĩa vụ pháp lý, bao gồm cả việc lập báo cáo đánh giá tác động xử lý dữ liệu (DPIA) và nộp cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an.

 

2. Mức phạt tiền đối với doanh nghiệp vi phạm năm 2026

Hệ thống chế tài năm 2026 được thiết kế với tính răn đe cực cao, chuyển dịch từ các mức phạt tiền cố định thấp sang các mức phạt dựa trên quy mô doanh thu và mức độ thiệt hại thực tế.

 

2.1. Khung hình phạt hành chính theo Nghị định hiện hành

Đối với các vi phạm chung về bảo vệ dữ liệu cá nhân, mức phạt hành chính tối đa đối với tổ chức được ấn định là 3 tỷ đồng. Đây là mức phạt dành cho các hành vi như không thực hiện các biện pháp bảo mật cần thiết dẫn đến rò rỉ dữ liệu, không thông báo vi phạm đúng thời hạn hoặc không thực hiện các yêu cầu xóa dữ liệu của chủ thể.

Loại hành vi vi phạm	Mức phạt đối với tổ chức	Ghi chú
Vi phạm quy định bảo vệ dữ liệu chung	Tối đa 3 tỷ đồng	Áp dụng cho các lỗi về quy trình, lưu trữ
Không thông báo vi phạm trong 72 giờ	100 triệu - 300 triệu đồng	Tính từ thời điểm phát hiện sự cố
Thu thập dữ liệu không có sự đồng ý	20 triệu - 40 triệu đồng	Có thể tăng lên 70 triệu nếu có tình tiết tăng nặng
Không thực hiện yêu cầu xóa dữ liệu	50 triệu - 200 triệu đồng	Trong vòng 20 ngày kể từ khi nhận yêu cầu

 

2.2. Các tình tiết tăng nặng trong xử lý vi phạm

Cơ quan chức năng sẽ xem xét các yếu tố cụ thể để quyết định mức phạt cuối cùng trong khung quy định. Các tình tiết tăng nặng bao gồm việc xử lý dữ liệu cá nhân nhạy cảm mà không có biện pháp bảo mật tăng cường, vi phạm liên quan đến số lượng lớn chủ thể dữ liệu (thường là từ hàng trăm ngàn đến hàng triệu người), và các trường hợp tái phạm sau khi đã bị nhắc nhở hoặc xử phạt trước đó. Ngoài ra, việc cố tình che giấu hành vi vi phạm hoặc cản trở quá trình điều tra của Cục An ninh mạng cũng sẽ khiến doanh nghiệp đối mặt với mức phạt kịch trần.

 

2.3. Mức phạt dựa trên doanh thu: Xu hướng pháp lý mới 2026

Một bước đột phá trong năm 2026 là việc áp dụng mức phạt dựa trên tổng doanh thu của doanh nghiệp, tương tự như các tiêu chuẩn toàn cầu như GDPR của Liên minh châu Âu. Theo đó, doanh nghiệp vi phạm nghiêm trọng các quy định về bảo vệ dữ liệu cá nhân có thể bị xử phạt từ 1% đến 5% tổng doanh thu của năm tài chính liền trước tại Việt Nam.

Mức phạt này thường được áp dụng trong hai trường hợp chính:

• Chuyển dữ liệu xuyên biên giới trái quy định: Doanh nghiệp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài mà không lập hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới (CTIA) hoặc không tuân thủ các điều kiện về bảo đảm an toàn dữ liệu tại quốc gia đích.
• Vi phạm của các nền tảng công nghệ lớn: Các tổ chức xử lý dữ liệu lớn (Big Data), sử dụng trí tuệ nhân tạo (AI) hoặc vận hành các mạng xã hội, vũ trụ ảo (Metaverse) nhưng không áp dụng các tiêu chuẩn bảo mật theo mặc định, dẫn đến các vụ rò rỉ có tác động sâu rộng đến an ninh quốc gia hoặc trật tự xã hội.

Đối với hành vi mua bán dữ liệu cá nhân trái phép, mức phạt còn có thể lên tới 10 lần khoản thu có được từ hành vi vi phạm. Công thức tính mức phạt này được biểu diễn như sau:

P = 10 × I_illegal

Trong đó:

• P là mức phạt mà doanh nghiệp phải nộp.
• I_illegal là khoản lợi nhuận bất hợp pháp thu được từ hành vi vi phạm.

Điều này có nghĩa là nếu xác định được số tiền thu lợi bất chính, doanh nghiệp có thể bị phạt gấp 10 lần số tiền đó. Ví dụ, nếu thu lợi trái phép 200 triệu đồng thì mức phạt có thể lên tới 2 tỷ đồng.

3. Doanh nghiệp có phải ngồi tù nếu làm lộ thông tin khách hàng

Trách nhiệm pháp lý năm 2026 không chỉ dừng lại ở các con số tài chính mà còn mở rộng sang các chế tài hình sự đối với cả cá nhân lãnh đạo và pháp nhân thương mại.

 

3.1. Truy cứu trách nhiệm hình sự theo Bộ luật Hình sự

Hành vi làm lộ dữ liệu cá nhân có thể bị truy cứu trách nhiệm hình sự theo các tội danh liên quan đến xâm phạm mạng máy tính, mạng viễn thông. Nếu hành vi làm lộ dữ liệu được thực hiện một cách cố ý, có tổ chức hoặc gây hậu quả đặc biệt nghiêm trọng (ví dụ dẫn đến thiệt hại về tài sản quy mô lớn hoặc ảnh hưởng đến tính mạng, sức khỏe của chủ thể dữ liệu), người vi phạm có thể đối mặt với mức án từ 1 đến 7 năm tù. Các tội danh phổ biến bao gồm "Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông" (Điều 288 Bộ luật Hình sự) và "Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác" (Điều 159 Bộ luật Hình sự).

 

3.2. Trách nhiệm của người đứng đầu doanh nghiệp

Người đứng đầu doanh nghiệp, bao gồm Chủ tịch Hội đồng quản trị, Tổng giám đốc hoặc người đại diện theo pháp luật, có trách nhiệm cao nhất trong việc thiết lập hệ thống bảo mật dữ liệu. Nếu xảy ra rò rỉ dữ liệu do thiếu trách nhiệm trong quản lý, không ban hành quy trình bảo mật hoặc không kiểm tra giám sát thường xuyên, người đứng đầu có thể bị truy cứu trách nhiệm hình sự về tội "Thiếu trách nhiệm gây hậu quả nghiêm trọng".

Đối với pháp nhân thương mại, Luật cũng quy định các hình phạt chính bao gồm phạt tiền, đình chỉ hoạt động có thời hạn từ 6 tháng đến 3 năm hoặc đình chỉ hoạt động vĩnh viễn nếu vi phạm gây ảnh hưởng đặc biệt xấu đến an ninh, trật tự xã hội. Hình phạt bổ sung có thể bao gồm cấm kinh doanh trong một số lĩnh vực nhất định hoặc cấm huy động vốn trong một thời hạn nhất định.

 

4. Nghĩa vụ bồi thường thiệt hại dân sự cho khách hàng

Bên cạnh trách nhiệm trước nhà nước, doanh nghiệp còn phải đối mặt với các yêu cầu bồi thường thiệt hại ngoài hợp đồng từ phía khách hàng.

 

4.1. Cách xác định thiệt hại khi dữ liệu bị rò rỉ

Việc xác định thiệt hại trong lĩnh vực dữ liệu cá nhân là một quy trình phức tạp, đòi hỏi chủ thể dữ liệu phải chứng minh được mối quan hệ nhân quả giữa vụ rò rỉ và tổn thất thực tế. Thiệt hại được chia làm hai loại:

• Thiệt hại vật chất: Bao gồm các khoản tiền bị mất trực tiếp từ tài khoản ngân hàng do lộ thông tin thẻ tín dụng, chi phí thay đổi các loại giấy tờ tùy thân, cài đặt lại hệ thống an ninh hoặc thu nhập thực tế bị mất do phải nghỉ việc để xử lý hậu quả. Các khoản chi phí này được tính toán dựa trên hóa đơn, chứng từ thực tế hoặc mức lương tối thiểu vùng tùy trường hợp.
• Thiệt hại về tinh thần: Đây là khoản tiền bù đắp cho sự lo lắng, phiền toái hoặc bị xúc phạm danh dự, nhân phẩm do thông tin riêng tư bị phát tán. Mức bồi thường này thường dựa trên sự thỏa thuận giữa doanh nghiệp và khách hàng hoặc do Tòa án quyết định dựa trên tính chất nghiêm trọng của vụ việc.

 

4.2. Quy trình xin lỗi và khắc phục hậu quả để giảm thiểu mức phạt

Một trong những tình tiết giảm nhẹ quan trọng khi cơ quan chức năng xem xét xử phạt là thái độ và hành động khắc phục của doanh nghiệp ngay sau khi sự cố xảy ra. Quy trình khắc phục chuẩn mực bao gồm:

• Gửi thư xin lỗi chân thành: Doanh nghiệp cần chủ động thông báo và xin lỗi khách hàng, bày tỏ sự đồng cảm và cam kết bảo vệ quyền lợi của họ mà không đổ lỗi cho bên thứ ba hoặc khách hàng.
• Cung cấp các biện pháp hỗ trợ: Tặng voucher, phiếu giảm giá hoặc các dịch vụ giám sát tín dụng miễn phí để bù đắp những bất tiện cho khách hàng.
• Khôi phục hiện trạng: Buộc xóa, tiêu hủy toàn bộ dữ liệu đã bị phát tán trái phép và gia cố hệ thống bảo mật để ngăn chặn tái diễn.
• Minh bạch thông tin: Hợp tác đầy đủ với cơ quan công an để điều tra nguồn gốc vụ rò rỉ và công khai các bước đã thực hiện để khắc phục sự cố.

 

5. Quy trình 72 giờ: Doanh nghiệp cần làm gì ngay khi phát hiện lộ dữ liệu

Thời gian là yếu tố sống còn trong quản trị sự cố dữ liệu. Nghị định 356/2025/NĐ-CP quy định mốc thời gian 72 giờ là thời hạn bắt buộc để doanh nghiệp thực hiện các nghĩa vụ thông báo.

 

5.1. Thông báo cho Cục An ninh mạng (Bộ Công an)

Chậm nhất là 72 giờ sau khi phát hiện hành vi vi phạm, doanh nghiệp phải gửi Thông báo vi phạm quy định bảo vệ dữ liệu cá nhân theo Mẫu số 08 đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05). Nếu gửi sau thời hạn này, doanh nghiệp phải có văn bản giải trình lý do chậm trễ. Nội dung thông báo bắt buộc phải bao gồm:

• Mô tả chi tiết tính chất của việc vi phạm: thời gian, địa điểm, hành vi và loại dữ liệu bị ảnh hưởng.
• Số lượng dữ liệu và số lượng chủ thể dữ liệu có liên quan.
• Thông tin liên lạc của nhân sự bảo vệ dữ liệu (DPO) chịu trách nhiệm giải quyết vụ việc.
• Đánh giá các hậu quả, thiệt hại tiềm tàng đối với khách hàng và xã hội.
• Các biện pháp kỹ thuật và tổ chức đã được triển khai để ngăn chặn sự cố lan rộng.

 

5.2. Thông báo cho chủ thể dữ liệu (Khách hàng)

Trong trường hợp rò rỉ dữ liệu cá nhân nhạy cảm (như thông tin ngân hàng, sinh trắc học, vị trí thực tế), doanh nghiệp có trách nhiệm thông báo trực tiếp cho khách hàng trong vòng 72 giờ. Thông báo này không chỉ mang tính cảnh báo mà còn phải đi kèm các hướng dẫn cụ thể để khách hàng tự bảo vệ mình, ví dụ như khuyến nghị đổi mật khẩu hoặc tạm khóa tài khoản thanh toán. Nếu không thể thông báo cho từng người do số lượng quá lớn, doanh nghiệp phải đăng tải thông báo công khai trên website chính thức và các phương tiện truyền thông đại chúng.

Giai đoạn thời gian	Hành động ưu tiên
Giờ 0 - 12	Kích hoạt đội ứng phó sự cố (CSIRT), cô lập hệ thống bị ảnh hưởng để ngăn chặn rò rỉ tiếp diễn.
Giờ 12 - 36	Đánh giá phạm vi dữ liệu bị mất, xác định đó là dữ liệu cơ bản hay nhạy cảm để quyết định quy trình thông báo.
Giờ 36 - 60	Soạn thảo hồ sơ thông báo theo Mẫu số 08 và chuẩn bị thông điệp gửi khách hàng.
Giờ 60 - 72	Gửi báo cáo chính thức đến Cục A05 và thực hiện các kênh thông báo cho khách hàng bị ảnh hưởng.

 

6. Các biện pháp phòng tránh rủi ro pháp lý về dữ liệu năm 2026

Để đảm bảo tuân thủ lâu dài, doanh nghiệp cần chuyển dịch từ mô hình ứng phó bị động sang quản trị dữ liệu chủ động dựa trên đánh giá rủi ro.

 

6.1. Thiết lập báo cáo đánh giá tác động xử lý dữ liệu (DPIA)

DPIA (Data Protection Impact Assessment) là hồ sơ bắt buộc mà doanh nghiệp phải lập và nộp cho Bộ Công an trong vòng 60 ngày kể từ khi bắt đầu hoạt động xử lý dữ liệu. Hồ sơ này bao gồm sơ đồ luồng dữ liệu chi tiết, các rủi ro bảo mật tiềm ẩn và các biện pháp giảm thiểu rủi ro đã được áp dụng. Doanh nghiệp phải thường xuyên cập nhật DPIA mỗi khi có sự thay đổi về mục đích xử lý hoặc thay đổi hệ thống công nghệ lưu trữ. Đối với các doanh nghiệp siêu nhỏ hoặc hộ kinh doanh, pháp luật cho phép lộ trình 5 năm để hoàn thiện báo cáo này, trừ khi hoạt động kinh doanh chính của họ là xử lý dữ liệu nhạy cảm hoặc xử lý dữ liệu quy mô lớn.

 

6.2. Chỉ định nhân sự bảo vệ dữ liệu (DPO)

Nghị định 356 quy định việc chỉ định nhân sự bảo vệ dữ liệu (DPO) hoặc bộ phận bảo vệ dữ liệu (DPD) là bắt buộc đối với các tổ chức xử lý dữ liệu cá nhân nhạy cảm. Nhân sự DPO năm 2026 phải đáp ứng các tiêu chuẩn chuyên môn nghiêm ngặt:

• Trình độ từ cao đẳng trở lên trong các lĩnh vực liên quan như luật, công nghệ thông tin, an ninh mạng hoặc quản trị rủi ro.
• Có ít nhất 2 năm kinh nghiệm (đối với nhân sự nội bộ) hoặc 3 năm kinh nghiệm (đối với dịch vụ thuê ngoài) trong lĩnh vực bảo vệ dữ liệu.
• Phải được đào tạo và bồi dưỡng chuyên sâu về pháp luật bảo vệ dữ liệu cá nhân của Việt Nam.

Việc chỉ định DPO phải được thực hiện bằng văn bản chính thức và thông báo cho cơ quan chuyên trách để phối hợp trong các trường hợp xảy ra sự cố.

 

6.3. Quản lý sự đồng ý và quyền của chủ thể dữ liệu

Doanh nghiệp phải xây dựng hệ thống quản lý sự đồng ý (Consent Management) đảm bảo tính tự nguyện, cụ thể và có thể kiểm chứng được. Năm 2026, các hình thức "đồng ý ngầm định" hoặc các ô checkbox đã được đánh dấu sẵn bị coi là bất hợp pháp. Doanh nghiệp cũng phải thiết lập quy trình để khách hàng thực hiện các quyền cốt lõi:

• Quyền được biết: Khách hàng phải được thông báo về mục đích, loại dữ liệu và bên thứ ba có quyền truy cập dữ liệu.
• Quyền xóa dữ liệu: Doanh nghiệp phải thực hiện việc xóa dữ liệu trong vòng 20 ngày kể từ khi nhận được yêu cầu hợp lệ của khách hàng.
• Quyền rút lại sự đồng ý: Phải được thực hiện dễ dàng như khi khách hàng đồng ý ban đầu, với thời hạn phản hồi không quá 2 ngày làm việc.

Bảo vệ dữ liệu cá nhân không chỉ là việc tránh những khoản phạt hàng tỷ đồng mà còn là cách để doanh nghiệp khẳng định uy tín và xây dựng mối quan hệ bền vững với khách hàng trong thế giới số đầy biến động.

Trên đây là toàn bộ tư vấn của chúng tôi, hy vọng rằng, những ý kiến tư vấn này, sẽ giúp làm sáng tỏ vấn đề mà Quý vị đang quan tâm. Để có thể làm rõ hơn và chi tiết từng vấn đề nêu trên cũng như các vấn đề pháp lý mà Quý vị đang cần tham khảo thêm ý kiến chuyên môn. Xin vui lòng liên hệ ngay cho chúng tôi theo địa chỉ email: luatsaosang@gmail.com hoặc qua Tổng đài tư vấn: 0936.65.3636 để nhận được sự tư vấn, giải đáp và hỗ trợ từ Luật Sao Sáng. Trân trọng cảm ơn!