Luật Bảo vệ dữ liệu cá nhân – Tạo lập môi trường số an toàn, bảo vệ quyền lợi hợp pháp của người dân

Sự ra đời của Luật Bảo vệ dữ liệu cá nhân năm 2025 đã cụ thể hóa các chính sách, pháp luật của Đảng, Nhà nước về quyền con người, quyền công dân, quyền riêng tư, an ninh mạng, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, Chính phủ điện tử, Chính phủ số, kinh tế số, trực tiếp là Nghị quyết số 30-NQ/TW ngày 23/11/2022 của Bộ Chính trị về Chiến lược An ninh mạng quốc gia và Nghị quyết số 57-NQ/TW ngày 22/12/2024 của Bộ Chính trị về đột phá phát triển khoa học công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia.

Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân

Theo quy định tại Luật số 91/2025/QH15, chủ thể dữ liệu cá nhân có nhiều quyền, bao gồm quyền được biết về hoạt động xử lý dữ liệu, quyền đồng ý/rút lại sự đồng ý, quyền truy cập, xem, sửa đổi, yêu cầu xóa, hạn chế xử lý, cung cấp, phản đối xử lý dữ liệu, khiếu nại, khởi kiện, yêu cầu bồi thường... Nghĩa vụ chính của họ là tự bảo vệ dữ liệu cá nhân của mình, tôn trọng dữ liệu của người khác, cung cấp thông tin đầy đủ và chính xác, tuân thủ pháp luật về bảo vệ dữ liệu và tham gia tuyên truyền, phòng, chống hành vi xâm phạm dữ liệu. Cụ thể:

Tại Điều 4 của Luật số 91/2025/QH15 quy định;

“1. Quyền của chủ thể dữ liệu cá nhân bao gồm:

a) Được biết về hoạt động xử lý dữ liệu cá nhân;

b) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;

c) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;

d) Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;

đ) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;

e) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.

2. Nghĩa vụ của chủ thể dữ liệu cá nhân bao gồm:

a) Tự bảo vệ dữ liệu cá nhân của mình;

b) Tôn trọng, bảo vệ dữ liệu cá nhân của người khác;

c) Cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình;

d) Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.

3. Chủ thể dữ liệu cá nhân khi thực hiện quyền và nghĩa vụ của mình phải tuân thủ đầy đủ các nguyên tắc sau đây:

a) Thực hiện theo quy định của pháp luật; tuân thủ nghĩa vụ của chủ thể dữ liệu cá nhân theo hợp đồng. Việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân phải nhằm mục đích bảo vệ quyền, lợi ích hợp pháp của chính chủ thể dữ liệu cá nhân đó;

b) Không được gây khó khăn, cản trở việc thực hiện quyền, nghĩa vụ pháp lý của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân;

c) Không được xâm phạm đến quyền, lợi ích hợp pháp của Nhà nước, cơ quan, tổ chức, cá nhân khác.

4. Cơ quan, tổ chức, cá nhân có trách nhiệm tạo điều kiện thuận lợi, không được gây khó khăn, cản trở việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân theo quy định của pháp luật.

5. Khi nhận được yêu cầu của chủ thể dữ liệu cá nhân để thực hiện quyền của chủ thể dữ liệu cá nhân quy định tại khoản 1 Điều này, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải kịp thời thực hiện trong thời hạn theo quy định của pháp luật.

Chính phủ quy định chi tiết khoản này”.

Nghiêm cấm hành vi mua bán dữ liệu cá nhân

Theo Điều 7 Luật Bảo vệ dữ liệu cá nhân quy định thì có 7 hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân, gồm:

- Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

- Cản trở hoạt động bảo vệ dữ liệu cá nhân.

- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.

- Xử lý dữ liệu cá nhân trái quy định của pháp luật.

- Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.

- Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.

- Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Phạt tối đa đến 5% doanh thu năm liền kề đối với hành vi xâm phạm dữ liệu cá nhân

Theo khoản 4 Điều 8 của Luật quy định thì mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó.

Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều 8 thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều 8 (Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỷ đồng).

Thực hiện đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các tiêu chuẩn an toàn, bảo mật trong hoạt động tài chính, ngân hàng

Không sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng khi chưa có sự đồng ý của chủ thể dữ liệu

Theo Điều 27 của Luật quy định về bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng:

“1. Tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng có trách nhiệm sau đây:

a) Thực hiện đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các tiêu chuẩn an toàn, bảo mật trong hoạt động tài chính, ngân hàng theo quy định của pháp luật;

b) Không sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân;

c) Chỉ thu thập những dữ liệu cá nhân cần thiết phục vụ cho hoạt động thông tin tín dụng từ các nguồn phù hợp với quy định của Luật này và các quy định khác của pháp luật có liên quan;

d) Thông báo cho chủ thể dữ liệu cá nhân trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng.

2. Tổ chức, cá nhân thực hiện hoạt động thông tin tín dụng có trách nhiệm tuân thủ quy định của Luật này; áp dụng các biện pháp phòng, chống truy cập, sử dụng, tiết lộ, chỉnh sửa trái phép dữ liệu cá nhân của khách hàng; có giải pháp khôi phục dữ liệu cá nhân của khách hàng trong trường hợp bị mất; bảo mật trong quá trình thu thập, cung cấp, xử lý dữ liệu cá nhân của khách hàng phục vụ đánh giá thông tin tín dụng.

3. Chính phủ quy định chi tiết Điều này”.

Mạng xã hội không được yêu cầu cung cấp hình ảnh, video chứa nội dung về giấy tờ tùy thân làm yếu tố xác thực

Theo Điều 29 thì tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến phải có trách nhiệm:

- Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng.

- Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.

- Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies).

- Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng.

- Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.

- Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.

Kế hoạch triển khai thi hành Luật số 91/2025/QH15

Để triển khai thi hành kịp thời, đồng bộ, thống nhất, hiệu lực, hiệu quả, Thủ tướng Chính phủ ban hành Kế hoạch triển khai thi hành Luật Bảo vệ dữ liệu cá nhân tại Quyết định số 2623/QĐ-TTg ngày 29/11/2025 (Kế hoạch).

Kế hoạch nhằm: xác định cụ thể nội dung công việc, thời hạn, tiến độ hoàn thành và trách nhiệm của các cơ quan, tổ chức có liên quan trong việc triển khai thi hành Luật; xác định trách nhiệm và cơ chế phối hợp giữa các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương trong việc tiến hành các hoạt động triển khai thi hành Luật trên phạm vi cả nước; nâng cao nhận thức về Luật và trách nhiệm của các cấp, các ngành và địa phương trong việc thi hành Luật.

Một trong những nội dung của Kế hoạch là trong năm 2026 - 2027, Bộ Công an thực hiện xây dựng Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân cung cấp thông tin tuyên truyền chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước về bảo vệ dữ liệu cá nhân; hỗ trợ hướng dẫn, nâng cao nhận thức, kỹ năng bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân; tiếp nhận và xử lý phản ánh, kiến nghị từ cơ quan, tổ chức, cá nhân có liên quan; thực hiện hoạt động khác theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.