Luật Bảo vệ dữ liệu cá nhân năm 2025: Hành lang pháp lý vững chắc để xây dựng môi trường số an toàn, bảo vệ quyền riêng tư của người dân

Trong bối cảnh cuộc cách mạng về chuyển đổi số đang phát triển và bùng nổ mạnh mẽ ở Việt Nam, dữ liệu cá nhân (DLCN) trở thành yếu tố then chốt trong phát triển kinh tế số và xã hội số cũng như là nền tảng quan trọng trong công cuộc xây dựng Chính phủ số để đáp ứng xu thế phát triển trên toàn thế giới. Tuy nhiên, điều này đặt ra những thách thức nhất định trong việc bảo vệ dữ liệu cá nhân trong bối cảnh hiện nay khi tình trạng thu thập, mua bán dữ liệu cá nhân trái phép để khai thác, sử dụng vào những mục đích bất hợp pháp, dễ nhận thấy nhất là tình trạng lừa đảo qua điện thoại, email, tin nhắn giả mạo,…ngày một gia tăng, gây ảnh hưởng nghiêm trọng đến quyền lợi của người dân và uy tín của Chính phủ. Do vậy, việc bảo vệ  DLCN không chỉ là trách nhiệm của một cá nhân, hay bất kỳ một cơ quan nào mà là trách nhiệm của toàn xã hội nhằm bảo vệ quyền lợi cá nhân cũng như cộng đồng và cao hơn là bảo vệ an ninh quốc gia.      

Tại Việt Nam, Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ DLCN, đã đánh dấu một bước tiến quan trọng trong việc xây dựng hành lang pháp lý nhằm bảo vệ quyền lợi của cá nhân trong môi trường số. Tuy nhiên, quá trình thực thi Nghị định này gặp nhiều thách thức do doanh nghiệp còn lúng túng trong việc tuân thủ quy định, đồng thời xuất hiện những khoảng trống pháp lý liên quan đến quyền kiểm soát dữ liệu, cơ chế chuyển dữ liệu xuyên biên giới, trách nhiệm của các bên liên quan. Trước thực trạng này, nhu cầu hoàn thiện khung pháp lý về bảo vệ DLCN trở nên cấp thiết, không chỉ để bảo vệ quyền riêng tư của công dân mà còn đảm bảo tính bền vững của nền kinh tế số. Ngày 26/6/2025, tại Kỳ họp thứ 9, Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân, với những quy định rõ ràng, toàn diện, đáp ứng yêu cầu thực tiễn trong kỷ nguyên số. Cụ thể những điểm nổi bật như sau:

Thứ nhất, phạm vi áp dụng rộng rãi, mở rộng ra toàn cầu: Luật không chỉ áp dụng đối với tổ chức, cá nhân trong nước, mà còn mở rộng phạm vi điều chỉnh tới các tổ chức, cá nhân nước ngoài có hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam hoặc người gốc Việt chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước. Đây là điểm tiệm cận với các tiêu chuẩn bảo vệ dữ liệu quốc tế như GDPR của châu Âu, khẳng định vai trò chủ động của Việt Nam trong bảo vệ dữ liệu cá nhân trong kỷ nguyên xuyên biên giới.

Thứ hai, Luật đưa ra khái niệm pháp lý rõ ràng về dữ liệu cá nhân và phân loại DLCN thành 2 loại: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Trong đó, DLCN cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội; DLCN nhạy cảm là dữ liệu cá nhân gắn với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

Thứ ba, Luật thiết lập 6 nguyên tắc bảo vệ DLCN, tạo hành lang pháp lý đồng bộ, vững chắc: (i) tuân thủ Hiến pháp, Luật này và quy định khác của pháp luật có liên quan; (ii) chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật; (iii) bảo đảm tính chính xác của DLCN và được chỉnh sửa, cập nhật, bổ sung khi cần thiết, được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý DLCN; (iv) thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ DLCN; (v) chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ DLCN; (vi) bảo vệ DLCN gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hoà giữa bảo vệ DLCN với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân. Những nguyên tắc này là kim chỉ nam, đảm bảo sự đồng bộ, thống nhất và hiệu quả của các quy định trong hệ thống pháp luật.

Thứ tư, Luật quy định rõ quyền và nghĩa vụ của chủ thể dữ liệu cá nhân, trao quyền kiểm soát thông tin và trách nhiệm tự bảo vệ. Chủ thể có quyền được biết, đồng ý hoặc rút lại sự đồng ý xem, chỉnh sửa, yêu cầu xoá, hạn chế xử lý dữ liệu, phản đối xử lý, khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại. Đồng thời chủ thể phải tự bảo vệ dữ liệu, tôn trọng dữ liệu của người khác, cung cấp thông tin chính xác và tuân thủ pháp luật,…

Thứ năm, Luật quy định 7 hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân, bao gồm: 1. Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hoà xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòngm an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; 2. Cản trở hoạt động bảo vệ DLCN; 3. Lợi dụng hoạt động bảo vệ DLCN để thực hiện hành vi vi phạm pháp luật; 4. Xử lý dữ liệu cá nhân trái quy định của pháp luật; 5. Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng DLCN của mình để thực hiện hành vi trái quy định của pháp luật; 6. Mua, bán DLCN, trừ trường hợp luật có quy định khác; 7. Chiếm đoạt, cố ý làm lộ, làm mất DLCN. Đồng thời với đó là những chế tài mạnh mẽ, xử lý nghiêm hành vi vi phạm. Theo đó, Luật đưa ra mức phạt rất cao nhằm răn đe những hành vi vi phạm: phạt hành chính lên đến 3 tỷ đồng hoặc 10 lần doanh thu bất hợp pháp; phạt tối đa 5% doanh thu năm nước trong trường hợp vi phạm chuyển DLCN ra nước ngoài; trường hợp nghiêm trọng có thể bị xử lý hình sự và yêu cầu bồi thường thiệt hại dân sự.

Thứ sáu, Luật đưa ra những quy định đặc thù để bảo vệ dữ liệu cá nhân của các nhóm yếu thế như trẻ em, người mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi và bảo vệ dữ liệu trong một số hoạt động đặc thù như kinh doanh bảo hiểm, hoạt động tài chính, ngân hàng, tín dụng, dịch vụ quảng cáo, truyền thông, xử lý dữ liệu lớn, trí tuệ nhân tạo,…bởi đây là những lĩnh vực hoạt động có thể tiếp cận, xử lý một khối lượng lớn dữ liệu cá nhân của khách hàng. Đặc biệt, Luật quy định liên quan đến trách nhiệm bảo vệ DLCN của cơ quan, tổ chức, cá nhân trong quản lý, sử dụng lao động. Theo đó, doanh nghiệp, sau khi chấm dứt hợp đồng lao động, phải có trách nhiệm xoá, huỷ dữ liệu cá nhân của người lao động.

Luật Bảo vệ dữ liệu cá nhân năm 2025, chính thức có hiệu lực từ ngày 01/01/2026, là bước tiến quan trọng của Việt Nam trong xây dựng môi trường pháp lý số minh bạch, tin cậy nhằm thu hút đầu tư vào các lĩnh vực như thương mại điện tử, fintech, dịch vụ số, góp phần phát triển kinh tế số; đồng thời đáp ứng yêu cầu hội nhập quốc tế, đặc biệt trong các hiệp định thương mại tự do, công ước quốc tế,…góp phần nâng cao vị thế của Việt Nam trong nền kinh tế số toàn cầu./. 

Phòng Pháp chế & Kiểm tra nội bộ