Trong kỷ nguyên dữ liệu là vàng, Việt Nam đã chính thức có “tấm khiên pháp lý” đầu tiên bảo vệ quyền riêng tư của người dân. Ngày 26/06/2025, Quốc hội chính thức thông qua Luật Bảo vệ Dữ liệu Cá nhân (Personal Data Protection Law – PDP Law), có hiệu lực từ ngày 01/01/2026.
Đây được xem là một trong những đạo luật quan trọng nhất trong lĩnh vực chuyển đổi số, nhằm bảo đảm quyền riêng tư của cá nhân và tăng cường trách nhiệm bảo mật dữ liệu của tổ chức, doanh nghiệp.
Trong bối cảnh các vụ rò rỉ thông tin cá nhân, lừa đảo trực tuyến và thu thập dữ liệu tràn lan, sự ra đời của luật này được xem là “lá chắn pháp lý” cần thiết để bảo vệ người dân trong kỷ nguyên số.
Sự ra đời của Luật Bảo vệ dữ liệu cá nhân 2025 đánh dấu một bước ngoặt lịch sử trong hệ thống pháp luật Việt Nam. Đây là lần đầu tiên, một đạo luật chuyên ngành được ban hành để điều chỉnh một cách toàn diện và thống nhất mọi hoạt động liên quan đến dữ liệu cá nhân, thay thế cho các quy định còn phân mảnh trước đây, tiêu biểu là Nghị định 13/2023/NĐ-CP.
Vì sao cần Luật Bảo vệ dữ liệu cá nhân?
Trong thời đại chuyển đổi số mạnh mẽ, dữ liệu cá nhân trở thành tài sản số vô giá. Từ hoạt động thương mại điện tử, y tế số, đến hành chính công… đều sử dụng dữ liệu cá nhân như một phần thiết yếu. Tuy nhiên, nguy cơ rò rỉ thông tin, lạm dụng, đánh cắp danh tính, giả mạo… ngày càng phổ biến và tinh vi.
Luật ra đời nhằm: Đảm bảo quyền riêng tư của người dân được tôn trọng; tạo nền tảng pháp lý cho các tổ chức xử lý dữ liệu một cách minh bạch, có trách nhiệm; gia tăng niềm tin xã hội trong quá trình chuyển đổi số; hội nhập quốc tế, đáp ứng tiêu chuẩn toàn cầu về bảo vệ dữ liệu…
Phạm vi điều chỉnh và đối tượng áp dụng
Luật áp dụng đối với:
– Cơ quan, tổ chức, cá nhân Việt Nam;
– Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
– Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước – tương tự như quy định trong GDPR của Liên minh châu Âu.
Những điểm mới và nội dung nổi bật của Luật Bảo vệ dữ liệu cá nhân
- Khái niệm rõ ràng về dữ liệu cá nhân
Theo Luật bảo vệ dữ liệu cá nhân – Luật PDP (Personal Data Protection), dữ liệu cá nhân gồm:
– Dữ liệu cá nhân cơ bản: họ tên, ngày sinh, giới tính, địa chỉ, số CCCD, hình ảnh, số điện thoại, email…Thường dùng trong giao dịch và quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
– Dữ liệu cá nhân nhạy cảm: thông tin sức khỏe, tài chính, quan điểm chính trị, tôn giáo, vị trí địa lý, dữ liệu sinh trắc học, thông tin di truyền, dữ liệu định danh điện tử…Khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền lợi cá nhân hoặc tổ chức, cũng thuộc danh mục do Chính phủ quy định.
2. Quyền của cá nhân được bảo đảm
Mỗi người dân có quyền:
– Biết, đồng ý hoặc từ chối việc xử lý dữ liệu;
– Yêu cầu truy cập, chỉnh sửa, xóa bỏ dữ liệu;
– Phản đối hoặc giới hạn việc xử lý dữ liệu;
– Khởi kiện, yêu cầu bồi thường nếu bị xâm phạm quyền.
- Trách nhiệm của tổ chức, doanh nghiệp
Các đơn vị xử lý dữ liệu phải:
– Xây dựng chính sách bảo vệ dữ liệu rõ ràng;
– Chỉ thu thập dữ liệu khi có mục đích hợp pháp và sự đồng ý của người dân;
– Áp dụng biện pháp kỹ thuật – tổ chức bảo mật thông tin;
– Bổ nhiệm người phụ trách bảo vệ dữ liệu (DPO);
– Báo cáo kịp thời nếu xảy ra rò rỉ dữ liệu.
- Nghiêm cấm các hành vi vi phạm dữ liệu
Theo Điều 7 Luật bảo vệ dữ liệu cá nhân quy định thì có 07 hành vi nghiêm cấm liên quan đến dữ liệu cá nhân, gồm:
– Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
– Cản trở hoạt động bảo vệ dữ liệu cá nhân.
– Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
– Xử lý dữ liệu cá nhân trái quy định của pháp luật.
– Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
– Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
– Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
- Chế tài mạnh mẽ
– Phạt tối đa đến 5% doanh thu năm trước của tổ chức, doanh nghiệp vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới;
– Mức xử phạt hành chính có thể lên tới 3 tỷ đồng;
– 10 lần doanh thu bất hợp pháp đối với mua, bán dữ liệu cá nhân;
– Doanh nghiệp có thể bị đình chỉ hoạt động;
– Trường hợp nghiêm trọng có thể bị truy cứu trách nhiệm hình sự.
- Các quy định đặc thù bảo vệ dữ liệu của các nhóm yếu thế
Các nhóm yếu thế, bao gồm có: trẻ em; người mất hoặc hạn chế năng lực hành vi dân sự; người có khó khăn trong nhận thức, làm chủ hành vi.
Đối với trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự hoặc người có khó khăn trong nhận thức, làm chủ hành vi thì người đại diện theo pháp luật thay mặt thực hiện các quyền của chủ thể dữ liệu cá nhân, trừ các trường hợp quy định tại khoản 1 Điều 19 của Luật này. Việc xử lý dữ liệu cá nhân của trẻ em nhằm công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em từ đủ 07 tuổi trở lên thì phải có sự đồng ý của trẻ em và người đại diện theo pháp luật.
Ngừng xử lý dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi trong trường hợp:
– Người đã đồng ý quy định tại khoản 2 Điều này rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi, trừ trường hợp pháp luật có quy định khác;
– Theo yêu cầu của cơ quan có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân có thể xâm phạm đến quyền, lợi ích hợp pháp của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi, trừ trường hợp pháp luật có quy định khác.
Quyền của cá nhân theo Luật Bảo vệ Dữ liệu Cá nhân
Người dân có 8 quyền cơ bản, bao gồm:
- Quyền được thông báo khi dữ liệu của mình bị thu thập hoặc sử dụng.
- Quyền đồng ý hoặc từ chối cho phép xử lý dữ liệu.
- Quyền truy cập và chỉnh sửa thông tin của bản thân.
- Quyền yêu cầu xóa dữ liệu khi không còn cần thiết.
- Quyền rút lại sự đồng ý bất cứ lúc nào.
- Quyền phản đối hoặc khiếu nại khi dữ liệu bị sử dụng trái phép.
- Quyền yêu cầu giới hạn phạm vi xử lý dữ liệu.
- Quyền được bồi thường nếu tổ chức, cá nhân vi phạm gây thiệt hại.
Đây là lần đầu tiên quyền riêng tư của người Việt Nam được cụ thể hóa thành quyền pháp lý rõ ràng, tương tự chuẩn mực quốc tế. Doanh nghiệp vi phạm có thể bị xử phạt hành chính, thu hồi giấy phép hoạt động hoặc truy cứu trách nhiệm hình sự tùy mức độ.
Doanh nghiệp cần làm gì từ bây giờ?
Luật sẽ chính thức có hiệu lực từ 01/01/2026, các tổ chức cần chuẩn bị ngay:
– Rà soát toàn bộ quy trình thu thập, lưu trữ dữ liệu khách hàng và lập bản đồ dữ liệu.
– Cập nhật chính sách bảo mật theo quy định mới.
– Đào tạo nhân viên về quyền riêng tư và bảo mật thông tin.
– Thiết lập một kênh và quy trình rõ ràng để tiếp nhận và xử lý các yêu cầu của chủ thể dữ liệu (yêu cầu truy cập, chỉnh sửa, xóa dữ liệu,….).
Việc chuẩn bị sớm không chỉ giúp tuân thủ luật, mà còn tạo niềm tin và uy tín cho doanh nghiệp trong mắt khách hàng, đối tác.
Kết luận
Luật Bảo vệ Dữ liệu Cá nhân là bước tiến quan trọng trong xây dựng Nhà nước pháp quyền và xã hội số an toàn. Người dân cần hiểu rõ quyền riêng tư của mình, trong khi doanh nghiệp phải thay đổi cách tiếp cận dữ liệu — từ “thu thập mọi thứ” sang “bảo vệ trước tiên”. Một xã hội số chỉ thật sự phát triển khi quyền riêng tư được tôn trọng và bảo vệ.
