Cracking Down on Data Breaches: Vietnam’s New Decree 24 Enforces Stricter Penalties for Consumer Information Safety (Vietnamese below)
The Vietnamese government has issued Decree 24/2025/NĐ-CP, imposing stricter penalties to enhance consumer protection, according to a report form the Thanh Nien newspaper.
Fines ranging from 30 to 40 million VND will be levied on entities that fail to implement measures ensuring the safety and security of consumer information during collection, storage, or usage, or that do not prevent violations of information safety regulations.
Unauthorized sharing of consumer data with third parties without consent will also incur similar fines. These penalties are significantly higher than those stipulated in the previous Decree 98, which ranged from 10 to 20 million VND for such violations.
Despite the introduction of these regulations, practical implementation remains a topic of debate. Lawyer Nguyễn Văn Hậu, Chairman of the Vietnam Lawyers Commercial Arbitration Center (VLCAC), noted that while Decree 24 increases fines for violations in consumer rights protection, they still do not match the severity of incidents frequently reported in the media.
Hậu highlighted that breaches of consumer information are often orchestrated by large organizations employing hundreds of individuals, leading to the illicit trading of vast amounts of data with third parties in a short time. He emphasized the need for the government and legislative bodies to consider escalating fines based on the severity and volume of compromised information to effectively deter such violations and restore a safe commercial and online environment for consumers.
Additionally, Decree 24 outlines that fines will be doubled if the compromised information includes sensitive personal data and quadrupled if the violation is committed by organizations operating large digital platforms.
Đối phó với vi phạm dữ liệu: Nghị định 24 của Việt Nam gần đây nghiêm khắc hơn trong việc bảo vệ thông tin người tiêu dùng
Nghị định 24/2025/NĐ-CP của chính phủ Việt Nam áp dụng các hình phạt nghiêm khắc hơn để tăng cường việc bảo vệ người tiêu dùng.
Các tổ chức sẽ bị phạt từ 30 đến 40 triệu đồng nếu không bảo vệ và bảo mật thông tin người tiêu dùng trong quá trình thu thập, lưu trữ hoặc sử dụng.
Ngoài ra, các tổ chức bị phạt nếu không ngăn chặn các vi phạm các quy định về an toàn thông tin.
Việc chia sẻ dữ liệu khách hàng với bên thứ ba mà không có sự đồng ý cũng sẽ bị phạt như vậy. Nghị định 98 trước đây yêu cầu các hình phạt từ 10 đến 20 triệu đồng cho các vi phạm tương tự, nhưng giờ hình phạt mớI này cao hơn nhiều.
Mặc dù các quy định trên đã được đưa ra vào sử dụng, việc thực hiện chúng trong thực tế vẫn là một chủ đề gây tranh cãi. Chủ tịch Trung tâm Trọng tài Thương mại Luật sư Việt Nam (VLCAC), Luật sư Nguyễn Văn Hậu, lưu ý, mặc dù Nghị định 24 tăng mức phạt đối với các vi phạm bảo vệ quyền lợi người tiêu dùng, nhưng các mức phạt này vẫn không tương xứng với mức độ nghiêm trọng của việc vi phạm.
Ông Hậu nhấn mạnh rằng các vụ vi phạm thông tin người tiêu dùng thường được thực hiện bởi các tổ chức lớn với hàng trăm nhân viên, dẫn đến việc buôn bán dữ liệu lớn với các bên thứ ba trong một thời gian ngắn. Theo ông, Chính phủ và các cơ quan lập pháp phải xem xét tăng mức phạt nặng hơn dựa trên mức độ nghiêm trọng và số lượng thông tin bị xâm phạm để ngăn chặn và bảo vệ người tiêu dùng khi mua hàng qua mạng.
Nghị định 24 cần có quy định mức phạt tăng gấp đôi đối với các vụ vi phạm thông tin bao gồm dữ liệu cá nhân nhạy cảm và gấp bốn lần đối với các vụ vi phạm do các tổ chức vận hành các nền tảng kỹ thuật số lớn thực hiện.
