Có được phép mua bán dữ liệu cá nhân không?

Có được phép mua bán dữ liệu cá nhân không là câu hỏi cấp bách của nhiều doanh nghiệp, khi pháp luật Việt Nam nghiêm cấm hành vi này với chế tài xử phạt nghiêm khắc. Để tuân thủ và tránh rủi ro, các tổ chức cần nắm vững quy định và tìm kiếm giải pháp chuyên nghiệp từ các đơn vị tư vấn uy tín như DPO.VN. Chuyển giao thông tin, quy định pháp lý, xử lý vi phạm.

Pháp luật Việt Nam có cho phép mua bán dữ liệu cá nhân không?

Không. Pháp luật Việt Nam hiện hành và sắp tới đều khẳng định mua, bán dữ liệu cá nhân dưới mọi hình thức là hành vi bị nghiêm cấm, trừ một số trường hợp đặc biệt do luật định.

Đây là một trong những quy định cốt lõi và quan trọng nhất mà mọi doanh nghiệp, tổ chức, cá nhân phải nắm rõ để tránh các rủi ro pháp lý nghiêm trọng. Cả hai văn bản pháp lý quan trọng nhất đều có chung quan điểm này:

• Nghị định 13/2023/NĐ-CP (Điều 3, Khoản 4): Quy định rõ trong nguyên tắc bảo vệ dữ liệu cá nhân rằng: Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (Điều 7, Khoản 6): Nâng tầm quy định này lên thành một hành vi bị nghiêm cấm một cách tuyệt đối: Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.

💡 DPO.VN nhấn mạnh: Việc pháp luật quy định rõ ràng hành vi này bị nghiêm cấm cho thấy mức độ quan trọng của việc bảo vệ quyền riêng tư và an toàn thông tin của mỗi cá nhân. Doanh nghiệp cần xem đây là lằn ranh đỏ không thể vượt qua trong mọi hoạt động kinh doanh liên quan đến dữ liệu.

Mức xử phạt đối với hành vi mua bán dữ liệu cá nhân trái phép là bao nhiêu?

Mức phạt tiền có thể lên đến 10 lần khoản thu bất hợp pháp, tối đa 03 tỷ đồng, hoặc 5% tổng doanh thu năm trước đối với một số vi phạm. Ngoài ra, tổ chức, cá nhân vi phạm còn có thể bị truy cứu trách nhiệm hình sự và phải bồi thường thiệt hại.

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã đưa ra những chế tài xử phạt rất nghiêm khắc tại Điều 8, thể hiện quyết tâm của nhà nước trong việc ngăn chặn các hoạt động xâm phạm dữ liệu cá nhân. Doanh nghiệp cần đặc biệt lưu ý các mức phạt tiền tối đa áp dụng đối với tổ chức:

Lưu ý rằng, mức phạt tiền đối với cá nhân thực hiện cùng hành vi vi phạm sẽ bằng một nửa mức phạt đối với tổ chức. Hơn nữa, ngoài xử phạt hành chính, các hành vi vi phạm nghiêm trọng có thể cấu thành tội phạm và bị xử lý theo Bộ luật Hình sự. Việc phải bồi thường thiệt hại cho chủ thể dữ liệu cũng là một gánh nặng tài chính không nhỏ.

Có trường hợp ngoại lệ nào cho phép mua bán hoặc chuyển giao dữ liệu cá nhân có thu phí không?

Pháp luật không có ngoại lệ cho hành vi mua bán, nhưng có quy định rõ các trường hợp ‘chuyển giao’ dữ liệu hợp pháp. Việc chuyển giao này có thể phát sinh chi phí nhưng không được định nghĩa là hành vi mua bán thương mại.

Đây là điểm khác biệt quan trọng mà các doanh nghiệp, đặc biệt là phòng pháp chế, cần nắm vững để thiết kế các luồng dữ liệu tuân thủ.

Pháp luật phân biệt mua bán và chuyển giao dữ liệu cá nhân như thế nào?

Mua bán là hành vi thương mại hóa dữ liệu như một loại hàng hóa, trong khi ‘chuyển giao’ là hoạt động chia sẻ dữ liệu có mục đích cụ thể, hợp pháp, và tuân thủ các quy định nghiêm ngặt.

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 tại Điều 17 đã làm rõ các trường hợp được phép chuyển giao dữ liệu cá nhân, bao gồm:

• Khi có sự đồng ý của chủ thể dữ liệu cá nhân.
• Chia sẻ giữa các bộ phận trong cùng một tổ chức để phục vụ mục đích đã xác lập.
• Chuyển giao trong quá trình tái cấu trúc doanh nghiệp (sáp nhập, chia tách).
• Bên Kiểm soát dữ liệu chuyển cho Bên Xử lý dữ liệu để thực hiện theo hợp đồng.
• Theo yêu cầu của cơ quan nhà nước có thẩm quyền.
• Trong các trường hợp khẩn cấp để bảo vệ tính mạng, sức khỏe.

Đặc biệt, Khoản 2 Điều 17 của Luật này nêu rõ: Việc chuyển giao dữ liệu cá nhân trong các trường hợp quy định tại khoản 1 Điều này có thu phí hoặc không thu phí thì không được xác định là mua, bán dữ liệu cá nhân.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Điều này mở ra một hành lang pháp lý an toàn cho các doanh nghiệp. Ví dụ, một công ty mẹ có thể chuyển dữ liệu nhân viên cho công ty con ở nước ngoài để quản lý nhân sự toàn cầu và có thể thu một khoản phí quản trị cho hoạt động này mà không bị coi là mua bán dữ liệu. Mấu chốt là mục đích của việc chuyển giao phải hợp pháp và minh bạch.

Làm thế nào để doanh nghiệp sử dụng dữ liệu cho kinh doanh mà không bị coi là mua bán trái phép?

Doanh nghiệp cần đảm bảo mọi hoạt động kinh doanh dựa trên dữ liệu như quảng cáo hay phân tích thị trường đều phải có sự đồng ý hợp lệ từ chủ thể dữ liệu, minh bạch về mục đích và không trao đổi dữ liệu thô như một loại hàng hóa.

Nhiều mô hình kinh doanh hiện đại phụ thuộc vào dữ liệu. Để hoạt động an toàn, doanh nghiệp cần làm rõ ranh giới giữa việc khai thác dữ liệu hợp pháp và hành vi mua bán bị cấm.

Hoạt động quảng cáo nhắm mục tiêu có phải là mua bán dữ liệu cá nhân không?

Không, nếu doanh nghiệp tuân thủ nghiêm ngặt các quy định về quảng cáo và bảo vệ dữ liệu, đặc biệt là phải có sự đồng ý rõ ràng của khách hàng cho mục đích quảng cáo.

Điều 28 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định rất chi tiết về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo. Doanh nghiệp cung cấp dịch vụ quảng cáo nhắm mục tiêu sẽ không bị xem là mua bán dữ liệu nếu:

• Chỉ sử dụng dữ liệu cá nhân được thu thập hợp pháp hoặc được chuyển giao theo thỏa thuận tuân thủ pháp luật.
• Có được sự đồng ý của khách hàng, trên cơ sở họ biết rõ nội dung, phương thức, hình thức và tần suất quảng cáo.
• Cung cấp cơ chế rõ ràng để khách hàng có thể từ chối nhận quảng cáo bất kỳ lúc nào.
• Không được thuê lại tổ chức khác thực hiện toàn bộ dịch vụ quảng cáo có sử dụng dữ liệu cá nhân.

Bán báo cáo phân tích thị trường dựa trên dữ liệu cá nhân có vi phạm không?

Không vi phạm nếu báo cáo đó chỉ chứa dữ liệu đã được tổng hợp và khử nhận dạng, tức là không thể xác định được danh tính của bất kỳ cá nhân cụ thể nào từ báo cáo.

Đây là một ứng dụng quan trọng của kỹ thuật khử nhận dạng dữ liệu cá nhân, được quy định tại Điều 14, Khoản 6 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Một khi dữ liệu cá nhân đã được khử nhận dạng (anonymized) và không thể truy ngược lại để xác định một con người cụ thể, nó không còn được coi là dữ liệu cá nhân nữa. Do đó, việc kinh doanh các sản phẩm (như báo cáo, thống kê) được tạo ra từ dữ liệu đã khử nhận dạng là hoàn toàn hợp pháp.

Người dân cần làm gì khi phát hiện dữ liệu cá nhân của mình bị mua bán trái phép?

Khi phát hiện vi phạm, cá nhân cần thu thập bằng chứng và gửi Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an để được xử lý.

Pháp luật trao quyền cho chủ thể dữ liệu để tự bảo vệ mình. Quy trình thông báo vi phạm được quy định rõ ràng trong thủ tục hành chính, giúp người dân có kênh chính thức để phản ánh và yêu cầu can thiệp. DPO.VN hướng dẫn các bước thực hiện như sau:

1. Bước 1: Thu thập bằng chứng: Chủ động lưu lại các bằng chứng liên quan đến hành vi mua bán dữ liệu như tin nhắn, email chào mời mua dữ liệu, các cuộc gọi ghi âm, hình ảnh chụp màn hình các hội nhóm rao bán dữ liệu có thông tin của mình.
2. Bước 2: Chuẩn bị hồ sơ thông báo: Tải và điền đầy đủ thông tin vào Mẫu số 03b – Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân (dành cho cá nhân), ban hành kèm theo Nghị định 13/2023/NĐ-CP. Trong mẫu, cần mô tả chi tiết thời gian, địa điểm, hành vi vi phạm, tổ chức/cá nhân nghi ngờ và các hậu quả đã xảy ra.
3. Bước 3: Gửi hồ sơ đến cơ quan có thẩm quyền: Nộp hồ sơ đã chuẩn bị cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an qua một trong các hình thức sau:
   • Trực tuyến: Qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khi được Bộ Công an chính thức công bố và đưa vào hoạt động).
   • Trực tiếp: Tại trụ sở Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
   • Bưu chính: Gửi bảo đảm tới địa chỉ của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
4. Bước 4: Theo dõi kết quả: Sau khi tiếp nhận, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao sẽ xác nhận và tiến hành các bước xác minh, xử lý theo quy định của pháp luật.

Các Câu Hỏi Thường Gặp Về Mua Bán Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Cổng Dịch vụ công Quốc gia.
• Cổng Thông tin điện tử Bộ Công an.