Ngày 26/6/2025, tại kỳ họp thứ 9 Quốc hội khóa XV, Luật Bảo vệ dữ liệu cá nhân 2025 chính thức được thông qua và sẽ có hiệu lực từ ngày 1/1/2026, đánh dấu bước quan trọng trong việc siết chặt bảo vệ thông tin cá nhân trên môi trường số.
Một điểm nổi bật trong luật là khoản 2 Điều 29, theo đó các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến không được yêu cầu người dùng cung cấp hình ảnh hoặc video ghi lại toàn bộ hay một phần giấy tờ tùy thân như CMND, CCCD, hộ chiếu để xác thực tài khoản. Quy định này nhằm hạn chế nguy cơ lộ lọt dữ liệu nhạy cảm và tăng cường trách nhiệm của doanh nghiệp trong việc xây dựng cơ chế xác thực an toàn hơn.
Luật cũng quy định rõ trách nhiệm của các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến:
-
Thông báo minh bạch về loại dữ liệu cá nhân thu thập, mục đích và phạm vi sử dụng khi người dùng đăng ký và sử dụng dịch vụ; không thu thập trái phép hoặc ngoài phạm vi thỏa thuận.
-
Cấm yêu cầu cung cấp hình ảnh, video chứa giấy tờ tùy thân để xác thực tài khoản.
-
Cung cấp quyền kiểm soát dữ liệu: người dùng có thể từ chối thu thập và chia sẻ dữ liệu cá nhân (cookies), lựa chọn “không theo dõi” hoạt động sử dụng dịch vụ.
-
Cam kết bảo mật: không nghe lén, ghi âm cuộc gọi hay đọc tin nhắn khi chưa được đồng ý, trừ trường hợp pháp luật quy định khác.
-
Công khai chính sách bảo mật, giải thích cách thu thập, sử dụng, chia sẻ dữ liệu cá nhân; cung cấp cơ chế truy cập, chỉnh sửa, xóa dữ liệu và báo cáo các vi phạm.
-
Bảo vệ dữ liệu xuyên biên giới và xây dựng quy trình xử lý vi phạm nhanh chóng, hiệu quả.
Luật cũng cấm bảy hành vi liên quan đến dữ liệu cá nhân:
-
Xử lý dữ liệu nhằm chống lại Nhà nước hoặc gây ảnh hưởng đến quốc phòng, an ninh, trật tự xã hội, quyền lợi hợp pháp của cơ quan, tổ chức, cá nhân.
-
Cản trở hoạt động bảo vệ dữ liệu cá nhân.
-
Lợi dụng hoạt động bảo vệ dữ liệu để vi phạm pháp luật.
-
Xử lý dữ liệu trái quy định pháp luật.
-
Sử dụng dữ liệu cá nhân trái phép của người khác hoặc cho người khác sử dụng dữ liệu của mình trái pháp luật.
-
Mua, bán dữ liệu cá nhân, trừ trường hợp luật quy định khác.
-
Chiếm đoạt, cố ý làm lộ hoặc làm mất dữ liệu cá nhân.
Các hành vi vi phạm sẽ chịu hậu quả pháp lý theo Điều 8 của Luật Bảo vệ dữ liệu cá nhân, tùy theo tính chất, mức độ và hậu quả: có thể xử phạt hành chính, truy cứu trách nhiệm hình sự và bồi thường thiệt hại.
Các hành vi mua bán dữ liệu cá nhân có thể bị xử phạt lên tới 10 lần khoản thu bất hợp pháp; việc chuyển dữ liệu cá nhân ra nước ngoài trái phép có mức phạt tối đa 5% doanh thu năm liền trước; các vi phạm khác có thể bị phạt tối đa 3 tỷ đồng đối với tổ chức, cá nhân, với mức phạt bằng một nửa cho những trường hợp nhẹ hơn.
Luật Bảo vệ dữ liệu cá nhân quy định từ ngày 1/1/2026, các nguyên tắc bảo vệ dữ liệu bao gồm: tuân thủ Hiến pháp và pháp luật; thu thập, xử lý dữ liệu đúng phạm vi và mục đích; đảm bảo tính chính xác, cho phép chỉnh sửa và lưu trữ phù hợp; áp dụng đồng bộ các biện pháp về cơ chế, kỹ thuật và con người; chủ động phòng ngừa, phát hiện, ngăn chặn và xử lý nghiêm minh các vi phạm; bảo vệ dữ liệu cá nhân gắn với lợi ích quốc gia, phát triển kinh tế - xã hội, đảm bảo quốc phòng, an ninh và đối ngoại.
Chủ thể dữ liệu cá nhân có quyền biết về việc xử lý dữ liệu, đồng ý hoặc rút lại sự đồng ý, xem, chỉnh sửa, xóa dữ liệu, phản đối xử lý dữ liệu, khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại. Đồng thời, chủ thể dữ liệu cần tự bảo vệ dữ liệu của mình, tôn trọng dữ liệu của người khác, cung cấp thông tin đầy đủ, chính xác theo quy định pháp luật, hợp đồng hoặc sự đồng ý, và chấp hành các quy định về bảo vệ dữ liệu.
Các cơ quan, tổ chức, cá nhân có trách nhiệm tạo điều kiện thuận lợi, không gây khó khăn cho chủ thể dữ liệu khi thực hiện quyền và nghĩa vụ, và phải phản hồi kịp thời các yêu cầu theo thời hạn luật định.
Việc Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực từ 1/1/2026 được đánh giá là bước tiến quan trọng trong bảo vệ quyền riêng tư của người dùng mạng xã hội, đồng thời thiết lập cơ sở pháp lý chặt chẽ để kiểm soát và xử lý vi phạm dữ liệu cá nhân, góp phần xây dựng môi trường số an toàn và minh bạch.
