Luật An ninh mạng 2025 được Quốc hội thông qua ngày 10/12 đã quy định rõ khái niệm “An ninh dữ liệu” cùng các nội dung để đảm bảo an ninh dữ liệu. Theo đó, an ninh dữ liệu là sự bảo đảm chất lượng dữ liệu và các hoạt động xử lý, sử dụng dữ liệu trên không gian mạng phục vụ phát triển kinh tế - xã hội, chuyển đổi số quốc gia, tránh bị truy cập, sử dụng, tiết lộ, sửa đổi trái phép, phá hoại hoặc hành vi khác đe dọa hoặc gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội. Bảo đảm an ninh dữ liệu là tổng thể các biện pháp kỹ thuật, tổ chức và pháp lý nhằm bảo vệ dữ liệu, phòng, chống xâm phạm an ninh dữ liệu.

Theo chuyên gia Hiệp hội An ninh mạng quốc gia, đây là lần đầu tiên, dữ liệu - yếu tố cốt lõi của chuyển đổi số được đặt vào một trong những vị trí trung tâm trong khung pháp lý về an ninh mạng. Việc luật hóa khái niệm “An ninh dữ liệu” là một bước tiến có ý nghĩa chiến lược trong bối cảnh dữ liệu đang trở thành mục tiêu tấn công chủ yếu trong nhiều năm qua.

Với mục đích thể chế hóa đầy đủ các quan điểm, chủ trương, đường lối của Đảng, Nhà nước về tạo lập dữ liệu phục vụ chuyển đổi số quốc gia, Bộ Công an đã xây dựng dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực dữ liệu.

W-xu phat vi pham hanh chinh ve du lieu 1 1.jpg
Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực dữ liệu được Bộ Công an bắt đầu lấy ý kiến của các cơ quan, tổ chức, cá nhân từ ngày 23/12/2025.

Dự thảo Nghị định này bắt đầu được Bộ Công an đăng tải công khai trên Cổng thông tin điện tử Chính phủ và Cổng thông tin điện tử Bộ Công an từ ngày 23/12/2025 để lấy ý kiến của cơ quan, tổ chức, cá nhân. Thời hạn để các cơ quan, tổ chức, cá nhân góp ý sẽ kết thúc vào ngày 2/1/2026.

Phân tích rõ cơ sở thực tiễn của Nghị định, cơ quan chủ trì soạn thảo cho hay, tình trạng mua bán dữ liệu (phần lớn là dữ liệu cá nhân) đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.

Nhiều dữ liệu nhạy cảm, quan trọng như sinh trắc học, tình trạng sức khỏe, tài chính, gia đình, thông tin về cơ quan, tổ chức… được đăng tải công khai, trở thành nguồn để các phần mềm thu thập dữ liệu. Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác...

Cũng theo cơ quan soạn thảo Nghị định, với sự phát triển ngày càng nhanh, mạnh của khoa học công nghệ, dữ liệu trở thành nguyên liệu chính cho các hoạt động của cơ quan nhà nước, tổ chức, doanh nghiệp, cá nhân. Tuy nhiên, công tác bảo vệ dữ liệu của cơ quan, tổ chức, doanh nghiệp, cá nhân vẫn còn buông lỏng, chưa có các biện pháp quản lý và kỹ thuật phù hợp để quản lý, bảo vệ các dữ liệu thu thập được, đặc biệt là các tổ chức, doanh nghiệp thu thập thông tin ở quy mô vừa và nhỏ, khả năng ứng phó trước mối đe dọa vẫn còn rất yếu kém...

Trong bối cảnh đó, Bộ Công an nhấn mạnh, việc ban hành Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực dữ liệu là cần thiết, nhằm góp phần giải quyết những vướng mắc, bất cập trong thực tiễn thi hành pháp luật về dữ liệu, nâng cao ý thức chấp hành pháp luật về dữ liệu trong xã hội; tăng tính răn đe, bảo đảm kỷ cương, hiệu lực của pháp luật, hiệu quả quản lý nhà nước về dữ liệu; bảo đảm vừa thắt chặt quản lý dữ liệu cá nhân và dữ liệu phi cá nhân, bảo đảm an ninh, an toàn thông tin.

Tại dự thảo Nghị định, Bộ Công an đề xuất các mức xử phạt cùng biện pháp khắc phục hậu quả của các hành vi vi phạm về: Thu thập, tạo lập dữ liệu; phân loại dữ liệu; lưu trữ dữ liệu; hạ tầng lưu trữ dữ liệu; quản trị, quản lý dữ liệu; truy cập, truy xuất dữ liệu; kết nối, chia sẻ, điều phối dữ liệu; phân tích, tổng hợp dữ liệu...

Đơn cử, mức phạt tiền từ 20 triệu đồng đến 40 triệu đồng được đề xuất áp dụng với một trong các hành vi: Cản trở hoặc ngăn chặn trái pháp luật quá trình xử lý dữ liệu, quản trị dữ liệu; tấn công, chiếm đoạt, phá hoại cơ sở dữ liệu, hệ thống thông tin phục vụ quản lý, xử lý, quản trị, bảo vệ dữ liệu; giả mạo, cố ý làm sai lệch, làm mất, làm hư hỏng dữ liệu trong cơ sở dữ liệu của cơ quan Đảng, Nhà nước, Ủy ban Mặt trận Tổ quốc Việt Nam và các tổ chức chính trị - xã hội; cố ý cung cấp dữ liệu sai lệch hoặc không cung cấp dữ liệu theo quy định của pháp luật; thu thập, tạo lập dữ liệu mà không được sự đồng ý của chủ thể dữ liệu, chủ sở hữu dữ liệu hoặc không có căn cứ pháp lý rõ ràng; sử dụng thủ đoạn gian dối, lừa đảo, che giấu thông tin để thu thập, tạo lập dữ liệu...

Mức phạt tiền từ 100 triệu đồng đến 200 triệu đồng được đề xuất áp dụng với các hành vi: Chuyển hoặc xử lý dữ liệu cốt lõi, dữ liệu quan trọng xuyên biên giới gây ảnh hưởng hoặc có nguy cơ gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, lợi ích quốc gia, lợi ích công cộng hoặc quyền, lợi ích hợp pháp của chủ thể dữ liệu; lợi dụng hoạt động chuyển hoặc xử lý dữ liệu xuyên biên giới để che giấu hoạt động chuyển trái phép dữ liệu, trốn tránh nghĩa vụ bảo vệ dữ liệu hoặc thực hiện hành vi trái quy định của pháp luật khác; không thông báo sự cố dữ liệu cốt lõi, dữ liệu quan trọng cho Bộ Công an hoặc Bộ Quốc phòng theo yêu cầu; không triển khai biện pháp giảm thiểu sau cảnh báo sớm rủi ro dẫn đến lộ lọt, rò rỉ, mất an toàn dữ liệu...