Luật Bảo vệ dữ liệu cá nhân sẽ có hiệu lực từ ngày 1/1/2026. Được Quốc hội ban hành vào tháng 6/2025, đây là bước tiến mới trong việc hoàn thiện hành lang pháp lý về quyền riêng tư tại Việt Nam trong bối cảnh chuyển đổi số.
Gồm 5 chương và 39 điều, Luật Bảo vệ dữ liệu cá nhân được ban hành nhằm quy định rõ về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.
Thời điểm áp dụng luật cũng mở ra giai đoạn mới, buộc các cơ quan, tổ chức và doanh nghiệp điều chỉnh cách thu thập, xử lý thông tin theo hướng minh bạch, trao nhiều quyền cho người dùng.
Trách nhiệm của mạng xã hội với dữ liệu người dùng
Một trong những tác động lớn của luật với người dùng Internet nằm ở Điều 29, về bảo vệ dữ liệu cá nhân với các nền tảng mạng xã hội (MXH), dịch vụ truyền thông trực tuyến. Luật đặt ra những giới hạn, quy định cụ thể với hành động thu thập dữ liệu.
Theo đó, khoản 1 Điều 29 yêu cầu tổ chức, cá nhân cung cấp dịch vụ MXH, dịch vụ truyền thông trực tuyến có trách nhiệm thông báo rõ ràng nội dung dữ liệu sẽ thu thập khi người dùng cài đặt và sử dụng dịch vụ, không thu thập trái phép và ngoài phạm vi thỏa thuận.
Khoản 2 Điều 29 nghiêm cấm việc yêu cầu cung cấp ảnh, video chứa nội dung đầy đủ (hoặc một phần) giấy tờ tùy thân làm yếu tố xác thực tài khoản. Đây là thay đổi lớn khi nhiều nền tảng từng yêu cầu người dùng chụp ảnh CCCD, hộ chiếu... để mở khóa hay xác thực thông tin.
Người dùng có nhiều lựa chọn kiểm soát quyền riêng tư khi khoản 3-4 Điều 29 yêu cầu nền tảng cung cấp lựa chọn từ chối thu thập, chia sẻ cookies, cung cấp lựa chọn "không theo dõi" hoặc chỉ được theo dõi hoạt động sử dụng khi được đồng ý.
Quyền riêng tư khi sử dụng MXH cũng được bảo vệ nghiêm ngặt. "Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác", khoản 5 Điều 29 ghi rõ.
Cuối cùng, khoản 6 Điều 29 yêu cầu các nền tảng công khai chính sách bảo mật, giải thích rõ cách thu thập, sử dụng và chia sẻ dữ liệu cá nhân.
Đồng thời, nền tảng cần cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư với dữ liệu cá nhân. Báo cáo các vi phạm về bảo mật và quyền riêng tư, bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới. Xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu nhanh chóng, hiệu quả.
Im lặng không có nghĩa là đồng ý
Luật mới cũng định nghĩa sự đồng ý của người dùng về thu thập, xử lý dữ liệu. Theo đó, khoản 1 Điều 9 nêu rõ sự đồng ý là "việc chủ thể dữ liệu cá nhân cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác".
Khoản 2 Điều 9 quy định sự đồng ý chỉ có hiệu lực dựa trên tự nguyện và biết rõ các thông tin gồm: loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu; bên kiểm soát dữ liệu hoặc bên kiểm soát và xử lý dữ liệu; các quyền và nghĩa vụ của chủ thể dữ liệu cá nhân.
Sự đồng ý của người dùng phải đảm bảo 4 nguyên tắc theo khoản 4 Điều 9 gồm: thể hiện sự đồng ý với từng mục đích; không được kèm điều kiện bắt buộc đồng ý với mục đích khác nội dung thỏa thuận; sự đồng ý có hiệu lực đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý (hoặc theo quy định của pháp luật). Cuối cùng, im lặng hoặc không phản hồi không được coi là đồng ý.
Việc người dùng đồng ý xử lý dữ liệu không phải cam kết vĩnh viễn. Căn cứ khoản 1 Điều 10, chủ thể dữ liệu có quyền yêu cầu rút lại sự đồng ý, hạn chế xử lý dữ liệu khi có nghi ngờ về phạm vi, mục đích xử lý hoặc tính chính xác của dữ liệu, trừ trường hợp quy định tại Điều 19 hoặc pháp luật có quy định khác.
Khi người dùng yêu cầu ngừng xử lý dữ liệu, bên kiểm soát dữ liệu phải thực hiện ngay. Khoản 3 Điều 10 nêu rõ đơn vị phải "tiếp nhận, thực hiện và yêu cầu bên xử lý dữ liệu cá nhân thực hiện yêu cầu rút lại sự đồng ý, hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân trong thời gian theo quy định của pháp luật".
Khoản 1, Điều 19 của luật quy định một số trường hợp có thể xử lý dữ liệu mà không cần người dùng đồng ý, bao gồm xử lý để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác trong trường hợp cấp bách.
Những trường hợp khác như bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác hoặc lợi ích của Nhà nước, cơ quan tổ chức một cách cần thiết trước hành vi xâm phạm lợi ích nói trên, hoặc trường hợp giải quyết tình trạng khẩn cấp. Nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật...
Quy định xử lý dữ liệu trong quảng cáo
Luật cũng cụ thể hóa các quy định bảo vệ dữ liệu cá nhân trong một số hoạt động. Ví dụ, Điều 28 sẽ điều chỉnh việc thu thập dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo, các doanh nghiệp không thể tự do sử dụng dữ liệu nếu thiếu sự đồng ý của người dùng.
Theo khoản 3 Điều 28, việc xử lý dữ liệu cá nhân để kinh doanh dịch vụ quảng cáo phải có sự đồng ý của khách hàng. Khách hàng cần biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm, đồng thời có lựa chọn từ chối nhận tin quảng cáo.
Người dùng cũng có quyền yêu cầu ngừng nhận thông tin từ dịch vụ quảng cáo. Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo phải cung cấp cơ chế và ngừng nhận quảng cáo theo yêu cầu của chủ thể dữ liệu cá nhân, theo quy định tại khoản 5 Điều 28.
Với quảng cáo hướng đối tượng theo hành vi, mục tiêu hoặc cá nhân hóa cụ thể, khoản 8 Điều 28 quy định chỉ được thu thập dữ liệu thông qua theo dõi trang thông tin điện tử, cổng thông tin điện tử, ứng dụng khi có sự đồng ý.
Những hoạt động khác trong quy định bảo vệ dữ liệu cá nhân gồm bảo vệ dữ liệu trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự (Điều 24), trong tuyển dụng, quản lý, sử dụng người lao động (Điều 25), thông tin sức khỏe và hoạt động kinh doanh bảo hiểm (Điều 26), hoạt động tài chính, ngân hàng, thông tin tín dụng (Điều 27).
Điều 29 quy định việc bảo vệ dữ liệu với các nền tảng MXH, dịch vụ truyền thông trực tuyến, trong khi Điều 30 quy định bảo vệ dữ liệu trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây.
Điều 31 quy định bảo vệ dữ liệu vị trí cá nhân, dữ liệu sinh trắc học. Điều 32 gồm bảo vệ dữ liệu thu từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng.
Riêng điểm b khoản 8, Điều 28 nêu rõ phải có phương thức cho phép người dùng từ chối chia sẻ dữ liệu, đồng thời phải xóa hoặc hủy dữ liệu khi không còn cần thiết.
Việc yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu, gửi yêu cầu phản đối xử lý dữ liệu cá nhân cũng được ghi rõ trong điểm d khoản 1 Điều 4, về quyền và nghĩa vụ của người dùng. Bên cạnh đó, điểm đ cho biết người dùng có thể khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật.
Phạt nặng nếu mua, bán dữ liệu cá nhân
Hoạt động mua bán dữ liệu cá nhân cũng bị cấm, trừ trường hợp có quy định khác, theo khoản 6 Điều 7.
Điều 7 cũng nêu rõ các hành vi bị nghiêm cấm khác, gồm xử lý dữ liệu cá nhân nhằm chống lại Nhà nước, cản trở hoạt động bảo vệ dữ liệu cá nhân, lợi dụng hoạt động bảo vệ dữ liệu cho hành vi vi phạm pháp luật, xử lý dữ liệu trái quy định pháp luật.
Luật cũng nghiêm cấm sử dụng dữ liệu của người khác, hoặc cho người khác sử dụng dữ liệu của mình để thực hiện hành vi trái quy định pháp luật, bên cạnh việc chiếm đoạt, cố ý làm lộ, mất dữ liệu cá nhân.
Khung hình phạt nếu vi phạm quy định được nêu rõ trong Điều 8, bao gồm xử phạt hành chính hoặc truy cứu trách nhiệm hình sự, cũng như bồi thường nếu gây thiệt hại.
Cụ thể, khoản 3 Điều 8 quy định mức phạt tiền tối đa với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm. Trường hợp không có khoản thu từ hành vi trên, hoặc khoản thu thấp hơn mức phạt tối đa theo quy định thì sẽ áp dụng theo khoản 5.
Với các vi phạm về chuyển dữ liệu xuyên biên giới, khoản 4 Điều 8 áp dụng mức phạt tương đương 5% doanh thu năm liền kề trước đó của tổ chức vi phạm. Nếu không có doanh thu năm trước hoặc mức phạt thấp hơn mức phạt tối đa theo khoản 5 thì áp dụng tiền phạt theo khoản 5.
Để so sánh, các quy định quốc tế như GDPR cũng áp dụng phạt tiền hoặc dựa trên doanh thu năm, tùy tính chất và mức độ nghiêm trọng.
Khoản 5 Điều 8 quy định mức phạt tiền tối đa trong xử phạt hành chính với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu là 3 tỷ đồng (với tổ chức). Nếu vi phạm bởi cá nhân, khoản 6 Điều 8 quy định mức phạt tối đa bằng 1/2 mức phạt tổ chức.
Trách nhiệm của doanh nghiệp
Luật cũng đặt ra yêu cầu về trách nhiệm đánh giá, giải trình việc xử lý dữ liệu. Khoản 1 Điều 21 yêu cầu bên kiểm soát dữ liệu thành lập và lưu trữ hồ sơ đánh giá tác động. Hồ sơ này cần gửi cho cơ quan chuyên trách trong 60 ngày kể từ ngày đầu tiên xử lý dữ liệu.
Trong trường hợp xảy ra sự cố, khoản 1 Điều 23 yêu cầu bên kiểm soát dữ liệu thông báo vi phạm cho cơ quan chuyên trách chậm nhất trong 72 giờ từ khi phát hiện vi phạm. Các sự cố có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của chủ thể dữ liệu cá nhân.
Để hỗ trợ doanh nghiệp thích ứng, khoản 2 Điều 38 cho biết doanh nghiệp nhỏ, startup được quyền thực hiện hoặc không thực hiện các quy định đánh giá tác động, cập nhật hồ sơ đánh giá và lập biên bản xác nhận xảy ra hành vi vi phạm trong 5 năm đầu tiên từ ngày luật có hiệu lực.
Dù vậy, khoản 2 Điều 38 nêu rõ ngoại lệ này không áp dụng cho doanh nghiệp kinh doanh dịch vụ xử lý dữ liệu, trực tiếp xử lý dữ liệu nhạy cảm hoặc xử lý lượng lớn dữ liệu.
Khoản 3 Điều 38 cũng áp dụng cơ chế miễn trừ các nghĩa vụ tương tự cho hộ kinh doanh và doanh nghiệp siêu nhỏ, trừ các trường hợp kinh doanh dữ liệu hoặc xử lý dữ liệu nhạy cảm.
Các quy định chuyển tiếp tại Điều 39 cũng đảm bảo tính liên tục. Những hoạt động xử lý dữ liệu đã được đồng ý trước ngày luật có hiệu lực thì được tiếp tục thực hiện mà không phải xin đồng ý hoặc thỏa thuận lại, theo khoản 1 Điều 39.
