Các Hành Vi Bị Nghiêm Cấm Khi Xử Lý Dữ Liệu Cá Nhân

Các hành vi bị nghiêm cấm khi xử lý dữ liệu cá nhân là những ranh giới pháp lý mà mọi doanh nghiệp phải nắm vững để hoạt động hợp pháp và bền vững. Để hỗ trợ doanh nghiệp tuân thủ toàn diện, DPO.VN cung cấp giải pháp chuyên sâu giúp nhận diện và phòng tránh các hoạt động xử lý dữ liệu trái phép. Nắm vững những điều cấm trong bảo vệ dữ liệu, quy định xử lý dữ liệu nhạy cảm.

Tổng hợp 7 hành vi bị nghiêm cấm mà mọi doanh nghiệp cần tuyệt đối tránh là gì?

Doanh nghiệp tuyệt đối không được xử lý dữ liệu trái phép, mua bán, chiếm đoạt dữ liệu, sử dụng thông tin cá nhân để chống phá Nhà nước, cản trở cơ quan chức năng, hoặc lợi dụng hoạt động bảo vệ dữ liệu để vi phạm pháp luật.

Pháp luật Việt Nam đã thiết lập một hành lang pháp lý chặt chẽ để bảo vệ dữ liệu cá nhân, trong đó quy định rõ những hành vi bị nghiêm cấm. Việc tuân thủ không chỉ là nghĩa vụ mà còn là yếu tố then chốt bảo vệ uy tín và tài sản của doanh nghiệp. Hiện tại, Điều 8 Nghị định 13/2023/NĐ-CP và sắp tới là Điều 7 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (có hiệu lực từ 01/01/2026) là hai văn bản pháp lý cốt lõi mà mọi tổ chức, cá nhân phải nắm vững.

Dưới đây là bảng tổng hợp và so sánh các hành vi bị nghiêm cấm theo hai văn bản pháp luật quan trọng này, giúp doanh nghiệp có cái nhìn tổng quan và chuẩn bị kế hoạch tuân thủ hiệu quả.

Các hành vi cấm được áp dụng vào hoạt động kinh doanh hàng ngày như thế nào?

Các hành vi cấm áp dụng trực tiếp vào hoạt động hàng ngày như marketing, tuyển dụng, quản lý nhân sự và giao dịch khách hàng, yêu cầu doanh nghiệp phải có sự đồng ý rõ ràng, xử lý đúng mục đích và bảo mật thông tin.

Việc hiểu rõ các quy định cấm không chỉ dừng lại ở mặt lý thuyết pháp lý mà cần được soi chiếu vào các hoạt động vận hành cụ thể của doanh nghiệp. Nhận diện đúng các tình huống rủi ro trong thực tế là bước đầu tiên để xây dựng một hệ thống tuân thủ hiệu quả, tránh các vi phạm không đáng có.

Sử dụng dữ liệu khách hàng cũ cho mục đích mới có phải là hành vi bị cấm không?

Có, đây là hành vi bị cấm. Việc sử dụng dữ liệu cho một mục đích mới mà không có sự đồng ý của chủ thể dữ liệu là vi phạm nguyên tắc giới hạn mục đích và bị xem là xử lý dữ liệu cá nhân trái phép.

Đây là một trong những sai lầm phổ biến nhất trong hoạt động marketing và chăm sóc khách hàng. Theo nguyên tắc giới hạn mục đích tại Điều 3 Nghị định 13/2023/NĐ-CP và Điều 3 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được chủ thể dữ liệu đồng ý ban đầu.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một công ty thu thập email của khách hàng để gửi hóa đơn điện tử (mục đích ban đầu) không được tự động sử dụng danh sách email đó để gửi bản tin quảng cáo sản phẩm mới (mục đích mới). Để làm điều này hợp pháp, công ty phải có được một sự đồng ý riêng biệt, rõ ràng từ khách hàng cho mục đích marketing. Cách làm tốt nhất là tích hợp một ô tùy chọn (opt-in) không được đánh dấu sẵn trong quá trình đăng ký, hỏi khách hàng có muốn nhận thông tin quảng cáo hay không.

Ranh giới pháp lý của hành vi mua, bán dữ liệu cá nhân là gì?

Hành vi mua, bán dữ liệu cá nhân bị nghiêm cấm tuyệt đối, trừ trường hợp luật có quy định khác. Mua danh sách khách hàng tiềm năng mà không có sự đồng ý của từng cá nhân trong danh sách đó là hành vi bất hợp pháp.

Điều 7 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã chính thức đưa hành vi mua, bán dữ liệu cá nhân vào danh mục cấm. Điều này đặt ra một thách thức lớn cho các hoạt động marketing và bán hàng truyền thống vốn dựa nhiều vào việc mua bán danh sách dữ liệu.

Vậy ranh giới ở đâu? Việc chuyển giao dữ liệu có thu phí không phải lúc nào cũng là mua bán trái phép. Điều 17 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định các trường hợp chuyển giao dữ liệu hợp pháp (có hoặc không có thu phí) không bị xem là mua bán, ví dụ như chuyển giao khi có sự đồng ý của chủ thể dữ liệu hoặc chuyển giao giữa các bên trong một hợp đồng xử lý dữ liệu.

Ví dụ thực tế:

• Hành vi bị cấm: Công ty A mua một tệp Excel chứa 10.000 số điện thoại và tên của những người có thu nhập cao từ công ty B để telesales. Đây là hành vi mua bán dữ liệu cá nhân trái phép.
• Hành vi hợp pháp (có điều kiện): Công ty A (Bên kiểm soát) ký hợp đồng với công ty B (Bên xử lý) để thực hiện một chiến dịch marketing. Công ty A chuyển danh sách khách hàng đã đồng ý nhận quảng cáo cho công ty B. Việc thanh toán phí dịch vụ cho công ty B không bị coi là mua bán dữ liệu.

Doanh nghiệp cần làm gì để tránh các hành vi vi phạm liên quan đến an ninh quốc gia?

Doanh nghiệp phải đảm bảo mọi hoạt động xử lý dữ liệu không nhằm mục đích chống lại Nhà nước, gây phương hại đến an ninh, quốc phòng, trật tự xã hội và phải tuân thủ nghiêm ngặt các yêu cầu của Luật An ninh mạng.

Đây là một trong những điều cấm nghiêm trọng nhất, được quy định tại cả Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Các hành vi này không chỉ giới hạn ở việc trực tiếp tạo ra thông tin chống phá mà còn bao gồm cả việc xử lý dữ liệu một cách vô ý hoặc thiếu kiểm soát, dẫn đến hậu quả ảnh hưởng an ninh quốc gia.

DPO.VN khuyến nghị các doanh nghiệp, đặc biệt là các công ty công nghệ, nền tảng mạng xã hội và các doanh nghiệp có yếu tố nước ngoài, cần thực hiện các biện pháp sau:

1. Rà soát và phân loại dữ liệu: Xác định các loại dữ liệu có khả năng bị lạm dụng cho các mục đích nhạy cảm về chính trị, xã hội.
2. Xây dựng cơ chế kiểm duyệt nội dung: Đối với các nền tảng cho phép người dùng tạo nội dung, cần có chính sách và công cụ để phát hiện, ngăn chặn và gỡ bỏ các thông tin vi phạm pháp luật về an ninh mạng.
3. Tuân thủ quy định lưu trữ dữ liệu: Theo Điều 26 Luật An ninh mạng và Nghị định 53/2022/NĐ-CP, một số doanh nghiệp nước ngoài phải lưu trữ một số loại dữ liệu nhất định tại Việt Nam và đặt chi nhánh hoặc văn phòng đại diện.
4. Đào tạo nhân viên: Nâng cao nhận thức cho nhân viên về các rủi ro an ninh quốc gia liên quan đến dữ liệu cá nhân để họ có thể nhận diện và báo cáo các hoạt động đáng ngờ.

Thế nào là hành vi cản trở hoạt động của cơ quan có thẩm quyền?

Hành vi cản trở bao gồm việc không hợp tác, cung cấp thông tin không đầy đủ, sai sự thật, hoặc cố tình trì hoãn, xóa, hủy dữ liệu khi có yêu cầu kiểm tra, thanh tra từ cơ quan chức năng như Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.

Trách nhiệm hợp tác với cơ quan nhà nước là một nghĩa vụ bắt buộc. Hành vi cản trở không chỉ gây khó khăn cho công tác quản lý mà còn có thể bị xem là một hành vi vi phạm độc lập và bị xử lý nghiêm.

Các biểu hiện cụ thể của hành vi cản trở bao gồm:

• Từ chối cung cấp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi được yêu cầu kiểm tra.
• Cung cấp thông tin sai lệch, không chính xác về quy trình xử lý dữ liệu của công ty.
• Xóa hoặc thay đổi nhật ký hệ thống (logs) nhằm che giấu hành vi vi phạm.
• Không thực hiện các yêu cầu của cơ quan chức năng về việc gỡ bỏ thông tin vi phạm, đình chỉ hoạt động xử lý dữ liệu.

Để đảm bảo sự hợp tác hiệu quả, doanh nghiệp nên chỉ định một đầu mối liên lạc (ví dụ như nhân sự phụ trách bảo vệ dữ liệu) để làm việc trực tiếp với cơ quan chức năng, đồng thời xây dựng quy trình nội bộ rõ ràng về việc tiếp nhận và phản hồi các yêu cầu từ cơ quan nhà nước.

Doanh nghiệp phải đối mặt với những rủi ro pháp lý nào khi vi phạm?

Vi phạm các hành vi bị cấm có thể dẫn đến xử phạt hành chính lên tới 5% tổng doanh thu năm trước, truy cứu trách nhiệm hình sự, yêu cầu bồi thường thiệt hại cho chủ thể dữ liệu và tổn thất nặng nề về uy tín thương hiệu.

Việc vi phạm các quy định về bảo vệ dữ liệu cá nhân không chỉ là một rủi ro pháp lý mà còn là một rủi ro kinh doanh nghiêm trọng. Hậu quả có thể vượt xa những con số tài chính, ảnh hưởng trực tiếp đến sự tồn tại và phát triển của doanh nghiệp.

Mức xử phạt hành chính cụ thể ra sao?

Mức phạt tiền tối đa lên đến 3 tỷ đồng đối với các vi phạm thông thường, 10 lần khoản thu bất hợp pháp từ mua bán dữ liệu, và đặc biệt là 5% tổng doanh thu năm trước liền kề đối với vi phạm quy định chuyển dữ liệu xuyên biên giới.

Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã đưa ra một khung chế tài xử phạt rất nghiêm khắc, thể hiện quyết tâm của nhà nước trong việc bảo vệ quyền riêng tư của công dân. Các mức phạt được thiết kế để có tính răn đe cao, đặc biệt với các tổ chức lớn:

• Đối với hành vi chuyển dữ liệu cá nhân ra nước ngoài trái phép: Mức phạt lên tới 5% tổng doanh thu của năm trước liền kề. Đây là một con số khổng lồ có thể gây khủng hoảng tài chính cho bất kỳ doanh nghiệp nào.
• Đối với hành vi mua, bán dữ liệu cá nhân: Mức phạt có thể lên tới 10 lần khoản thu bất hợp pháp từ hành vi đó, nhằm triệt tiêu hoàn toàn động cơ kinh tế của vi phạm.
• Đối với các hành vi vi phạm khác: Mức phạt tiền tối đa đối với tổ chức là 03 tỷ đồng.

Ngoài ra, doanh nghiệp còn có thể bị áp dụng các hình phạt bổ sung như đình chỉ hoạt động, thu hồi giấy phép và buộc phải thực hiện các biện pháp khắc phục hậu quả.

Các Câu Hỏi Thường Gặp Về Hành Vi Bị Cấm

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
• Luật An ninh mạng 2018 số 24/2018/QH14
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15
• Báo Nhân Dân: Nâng cao hiệu quả bảo vệ dữ liệu cá nhân
• Tạp chí Cộng sản: Bảo vệ dữ liệu cá nhân trên không gian mạng ở Việt Nam hiện nay