Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân 2026

Nghị định được soạn thảo trong bối cảnh các quy định về xử phạt vi phạm hành chính ("VPHC") trong hai lĩnh vực này còn chưa đầy đủ, được quy định rải rác trong các văn bản xử phạt VPHC thuộc các lĩnh vực khác (viễn thông, bảo vệ người tiêu dùng), hoặc được quy định trong Luật An ninh mạng và Luật Bảo vệ dữ liệu cá nhân nhưng chưa có chế tài xử phạt kèm theo. 

Đối tượng áp dụng bao gồm tổ chức, cá nhân Việt Nam và tổ chức, cá nhân nước ngoài có hành vi VPHC trong các lĩnh vực này tại Việt Nam. 

Các quy định chính 

1. Thời hiệu xử phạt vi phạm hành chính

Thời hiệu xử phạt VPHC trong cả hai lĩnh vực là 01 (một) năm kể từ thời điểm hành vi vi phạm chấm dứt. Thời điểm chấm dứt hành vi vi phạm được xác định như sau: đối với cá nhân, là ngày các bên hoàn thành nghĩa vụ; đối với tổ chức, là ngày tổ chức thực hiện xong nghĩa vụ theo quy định hoặc ngày hành vi vi phạm thực tế kết thúc trên không gian mạng được cơ quan có thẩm quyền xác nhận. Việc xác định hành vi vi phạm đã kết thúc hay đang thực hiện sẽ dựa trên hồ sơ, tình tiết của từng vụ việc và theo quy định tại Nghị định hướng dẫn Luật xử lý VPHC. 

2. Hình thức phạt và mức phạt tiền tối đa 

Mỗi hành vi VPHC đều chịu hình thức xử phạt chính là phạt tiền, và có thể bị áp dụng thêm một hoặc nhiều hình thức xử phạt bổ sung và biện pháp khắc phục hậu quả. 

Trong lĩnh vực an ninh mạng (ANM), mức phạt tiền tối đa là 100.000.000 đồng đối với cá nhân và 200.000.000 đồng đối với tổ chức. 

Trong lĩnh vực bảo vệ dữ liệu cá nhân (BVDLCN), mức phạt tiền tối đa được quy định như sau: 

• Các hành vi vi phạm thông thường: tối đa 1,5 tỷ đồng đối với cá nhân và 03 tỷ đồng đối với tổ chức 
• Hành vi mua, bán dữ liệu cá nhân: phạt tiền bằng 10 lần khoản thu có được từ hành vi vi phạm 
• Vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: 5% doanh thu của năm tài chính liền trước của tổ chức; trường hợp không có doanh thu hoặc mức phạt tính theo doanh thu thấp hơn mức tối đa thì áp dụng mức phạt 03 tỷ đồng 

Đối với các hành vi đặc biệt nghiêm trọng, mức phạt được nhân lên dựa trên số lượng công dân Việt Nam bị ảnh hưởng: 

• Từ 100.000 đến dưới 1.000.000 công dân: phạt tiền gấp 02 lần mức quy định 
• Từ 1.000.000 đến dưới 5.000.000 công dân: phạt tiền gấp 05 lần mức quy định 
• Từ 5.000.000 công dân trở lên: 5% tổng doanh thu năm tài chính liền trước 

Mức phạt nhân lên này áp dụng đối với hành vi để lộ, mất dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài. Ngoài ra, hành vi vi phạm quy định về BVDLCN trong kinh doanh dịch vụ quảng cáo và vi phạm quy định về thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân từ lần thứ 2 trở lên chịu mức phạt 5% tổng doanh thu năm tài chính liền trước. 

3. Thẩm quyền xử phạt vi phạm hành chính 

Thẩm quyền lập biên bản và xử phạt VPHC được phân công cho lực lượng Công an nhân dân và Ủy ban nhân dân các cấp. Mức phạt dao động từ 10.000.000 đồng (chiến sĩ đang thi hành công vụ) đến 100.000.000 đồng (Giám đốc Công an cấp tỉnh hoặc Cục trưởng / Chủ tịch UBND cấp tỉnh).  

Đáng chú ý, Cục trưởng có thể áp dụng mức phạt tăng nặng lên đến 5 lần mức phạt cơ bản, hoặc mức phạt theo tỷ lệ doanh thu (5%) đối với tổ chức vi phạm. Bộ đội Biên phòng và Cảnh sát biển Việt Nam cũng được trao thẩm quyền xử phạt đối với một số hành vi cụ thể trong phạm vi chức năng, nhiệm vụ của mình. 

4. Cập nhật hiện tại 

Hiện chưa có thông tin về thời điểm chính thức ban hành Nghị định. Forvis Mazars Việt Nam sẽ tiếp tục theo dõi và cập nhật trong các bản tin tiếp theo. 

---

Liên hệ đội ngũ tư vấn pháp lý của chúng tôi

Để được tư vấn về Dự thảo Nghị định hoặc khung tuân thủ pháp lý về an ninh mạng và bảo vệ dữ liệu cá nhân tại Việt Nam, vui lòng liên hệ đội ngũ tư vấn pháp lý của chúng tôi. 

📄 Tải xuống bản cập nhật pháp lý đầy đủ (PDF) bên dưới