Luật bảo vệ dữ liệu cá nhân
Dữ liệu cá nhân là vấn đề liên quan chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, chính phủ điện tử, chính phủ số, kinh tế số.Nhà nước đã ban hành nhiều văn bản chỉ đạo vấn đề này, theo hướng bảo đảm an ninh mạng lấy con người, trí tuệ con người làm trung tâm, là nhân tố quyết định, hoàn thiện hành lang pháp lý trong bảo vệ dữ liệu cá nhân. Trong đó Luật bảo vệ dữ liệu cá nhân từ ngày 1/1/2026, có hiệu lực
Luật Bảo vệ dữ liệu cá nhân gồm 5 chương, 39 điều, được ban hành nhằm cụ thể hóa các quy định của Hiến pháp về quyền con người, quyền riêng tư, đồng thời thiết lập khuôn khổ pháp lý thống nhất cho hoạt động thu thập, xử lý và bảo vệ dữ liệu cá nhân trong môi trường số. Còn đối với các cơ quan quản lý, việc luật định các nội dung, thẩm quyền quản lý nhà nước về bảo vệ dữ liệu cá nhân, đặc biệt là chế tài xử lý đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân sẽ góp phần ngăn chặn và xử lý kịp thời các hành vi xâm phạm dữ liệu cá nhân.
Luật Bảo vệ dữ liệu cá nhân không chỉ điều chỉnh đối với các tổ chức, cá nhân trong nước mà còn mở rộng phạm vi áp dụng đến các tổ chức, cá nhân nước ngoài khi có hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam hoặc người gốc Việt chưa xác định quốc tịch đang cư trú tại Việt Nam và đã được cấp giấy chứng nhận căn cước. Quy định này cho thấy sự tương đồng với các chuẩn mực bảo vệ dữ liệu quốc tế như GDPR của Liên minh châu Âu, đồng thời thể hiện vai trò chủ động và quyết tâm của Việt Nam trong việc bảo vệ thông tin cá nhân của người dùng trong bối cảnh toàn cầu hóa và hoạt động xuyên biên giới ngày càng gia tăng.
Bên cạnh đó, Luật Bảo vệ dữ liệu cá nhân quy định phân loại rõ ràng dữ liệu cá nhân thành dữ liệu cơ bản và dữ liệu nhạy cảm, cho phép Chính phủ linh hoạt hướng dẫn chi tiết theo từng lĩnh vực như lao động, tài chính, y tế, quảng cáo, công nghệ số…, giúp tổ chức tuân thủ đúng chuẩn và giảm rủi ro pháp lý; đồng thời cho phép xử lý dữ liệu không cần sự đồng ý trong một số trường hợp chính đáng như tình huống khẩn cấp, bảo vệ lợi ích công cộng, hoạt động quản lý nhà nước hoặc thực hiện thỏa thuận hợp pháp. Luật cũng yêu cầu bắt buộc đánh giá tác động khi chuyển dữ liệu cá nhân ra nước ngoài, áp dụng chế tài nghiêm khắc với mức phạt rất cao và trách nhiệm hình sự, dân sự đối với vi phạm nghiêm trọng, nhưng vẫn có cơ chế chuyển tiếp hợp lý khi cho phép doanh nghiệp nhỏ và startup được linh hoạt trong việc thực hiện đánh giá tác động trong 5 năm đầu, qua đó cân bằng giữa bảo vệ quyền riêng tư và khả năng tuân thủ thực tế của doanh nghiệp.
Những quy định đáng chú ý trong Luật Bảo vệ dữ liệu cá nhân 2025
1. Nghiêm cấm hành vi mua bán dữ liệu cá nhân
Theo Điều 7 Luật Bảo vệ dữ liệu cá nhân quy định thì có 07 hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân, gồm:
- Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
- Cản trở hoạt động bảo vệ dữ liệu cá nhân.
- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
- Xử lý dữ liệu cá nhân trái quy định của pháp luật.
- Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
- Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
- Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
2. Các hành vi phạt tài chính nghiêm khắc, dựa trên doanh thu
Theo khoản 4 Điều 8 của Luật quy định thì mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó.
Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều 8 thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều 8.
Điều 8 của Luật BVDLCN 2025 thiết lập một hệ thống hình phạt nhiều tầng, bao gồm phạt tiền lên đến 5% tổng doanh thu của năm trước liền kề đối với hành vi chuyển dữ liệu cá nhân xuyên biên giới trái pháp luật, lên đến 10 lần khoản thu có được từ việc mua, bán dữ liệu cá nhân trái phép, và tối đa 03 tỷ đồng cho các vi phạm khác. Đây là một sự thay đổi đáng kể so với Nghị Định 13/2023, vốn chỉ quy định chung về xử lý vi phạm mà không nêu rõ mức phạt tiền.
3. Doanh nghiệp phải xoá dữ liệu cá nhân người lao động sau khi chấm dứt hợp đồng
Khoản 2 Điều 25 quy định về trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong quản lý, sử dụng người lao động. Theo đó, doanh nghiệp sau khi chấm dứt hợp đồng phải có trách nhiệm:
- Tuân thủ quy định của Luật này, pháp luật về lao động, việc làm, pháp luật về dữ liệu và quy định khác của pháp luật có liên quan;
- Dữ liệu cá nhân của người lao động phải lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận;
- Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.
4. Mạng xã hội không được nghe lén, không được yêu cầu cung cấp hình ảnh, video chứa nội dung về giấy tờ tùy thân làm yếu tố xác thực
Theo Điều 29 thì tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến phải có trách nhiệm:
- Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng.
- Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.
- Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies).
- Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng.
- Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
- Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.
Luật Bảo vệ dữ liệu cá nhân 2025 đánh dấu một bước tiến quan trọng trong việc bảo đảm quyền riêng tư và quyền kiểm soát dữ liệu của người dân trong môi trường số, đồng thời đặt ra các nghĩa vụ pháp lý chặt chẽ hơn đối với tổ chức, doanh nghiệp; nâng cao nhận thức và trách nhiệm của các bên liên quan, đồng thời tạo nền tảng cho một môi trường số an toàn, ổn định và phát triển lâu dài.
Dữ liệu cá nhân gồm những loại gì?
Có 2 loại được quy định theo Luật, đó là:
Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
Ví dụ như: họ và tên, ngày tháng năm sinh, số điện thoại, dân tộc, giới tính…
Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành.
Ví dụ như: đặc điểm sinh trắc học, xu hướng tính dục, thông tin tài chính tín dụng, thông tin sức khỏe, dữ liệu vị trí…
Như vậy, sự khác biệt căn bản giữa dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm là tính chất phản ánh sự riêng tư và mức độ ảnh hưởng, hậu quả, thiệt hại có thể xảy ra khi dữ liệu cá nhân đó bị xâm phạm. Luật giao Chính phủ ban hành tại Nghị định hướng dẫn và Danh mục chi tiết hiện đang được Chính phủ giao cho Bộ Công an chủ trì xây dựng.
Bảo vệ dữ liệu cá nhân như thế nào?
Bảo vệ dữ liệu cá nhân là việc cơ quan, tổ chức, cá nhân sử dụng lực lượng, phương tiện, biện pháp để phòng, chống hoạt động xâm phạm dữ liệu cá nhân. Luật quy định 06 nguyên tắc bảo vệ dữ liệu cá nhân, trong đó có 03 nguyên tắc quan trọng trong quá trình xử lý dữ liệu cá nhân, đó là:
Thứ nhất, chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật.
Thứ hai, bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
Thứ ba, thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.
Ngoài ra là các nguyên tắc tuân thủ; phòng, chống vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân; bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
Nhận thức rõ về quyền và nghĩa vụ
Trong đó có 06 quyền của chủ thể dữ liệu cá nhân bao gồm:
(1) Được biết về hoạt động xử lý dữ liệu cá nhân;
(2) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;
(3) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;
(4) Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;
(5) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;
(6) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.
Song song đó, chủ thể dữ liệu cá nhân cần thực hiện tốt 04 nghĩa vụ sau:
(1) Tự bảo vệ dữ liệu cá nhân của mình;
(2) Tôn trọng, bảo vệ dữ liệu cá nhân của người khác;
(3) Cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình;
(4) Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
Với mục tiêu tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân trong nước tiếp cận trình độ quốc tế, khu vực. Mục tiêu đó chỉ có thể đạt được khi mỗi cá nhân có ý thức và nhận thức đầy đủ, phù hợp các quy định pháp luật để có thể tự bảo vệ dữ liệu của bản thân trước khi các cơ quan, tổ chức, đơn vị có liên quan sử dụng dữ liệu cá nhân của mình.
Công ty luật TNHH Đức An
VĂN PHÒNG GIAO DỊCH: Số 64b, phố Nguyễn Viết Xuân, phường Phương Liệt, Hà Nội
ĐT 090 220 1233
Web: www.luatducan.vn
Youtube: Luật sư Phạm Thị Bích Hảo
Email: luatsubichhao@gmail.com