Việt Nam thông qua Luật Bảo vệ dữ liệu cá nhân: Bước tiến mới trong bảo vệ quyền riêng tư

Ngày 26/6/2025, tại kỳ họp thứ 9, Quốc hội khóa XV của Việt Nam đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân (Luật BVDLCN), đánh dấu một cột mốc quan trọng trong việc xây dựng khung pháp lý bảo vệ dữ liệu cá nhân trong bối cảnh chuyển đổi số mạnh mẽ. Luật BVDLCN với 39 điều, có hiệu lực từ ngày 01/01/2026 được phân chia thành 5 chương, không chỉ đáp ứng nhu cầu nội tại về bảo vệ quyền lợi công dân mà còn phù hợp với xu hướng quốc tế về quản lý dữ liệu cá nhân.

 

 

1. Ý nghĩa của khung pháp lý mới về dữ liệu cá nhân

Trong bối cảnh công nghệ phát triển mạnh mẽ chưa từng có, dữ liệu cá nhân đã trở thành một nguồn tài nguyên quý giá nhưng cũng dễ bị sử dụng cho các mục đích sai trái. Các vụ việc vi phạm dữ liệu, từ rò rỉ thông tin cá nhân đến sử dụng trái phép cho mục đích thương mại, đã đặt ra yêu cầu cấp thiết về một khung pháp lý toàn diện tại Việt Nam. Trước khi Luật này được ban hành, Việt Nam đã có Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, nhưng văn bản này chỉ mang tính chất điều chỉnh tạm thời, thiếu tính bao quát, và thực thi hiệu quả. Luật Bảo vệ dữ liệu cá nhân 2025 ban hành nhằm khắc phục những hạn chế này, đồng thời đáp ứng các tiêu chuẩn quốc tế như Quy định Bảo vệ Dữ liệu Chung (GDPR) của Liên minh châu Âu và hài hòa với các hiệp định thương mại mà Việt Nam là thành viên.

Nền tảng để xây dựng Luật BVDLCN là các quy định rải rác ở nhiều văn bản khác nhau từ Bộ luật Dân sự 2015, Luật An ninh mạng 2018, Nghị định 13/2023/NĐ-CP đến các văn bản hướng dẫn thi hành.

2. Các quy định chính của Luật BVDLCN

2.1. Phạm vi điều chỉnh và đối tượng áp dụng (Điều 1)

Điểm đáng chú ý là Luật BVDLCN áp dụng cho cả các tổ chức, cá nhân trong nước và nước ngoài có hoạt động xử lý dữ liệu cá nhân liên quan đến công dân Việt Nam, thể hiện sự mở rộng phạm vi điều chỉnh trong bối cảnh toàn cầu hóa.

Luật quy định về việc xử lý dữ liệu cá nhân, bao gồm thu thập, phân tích, mã hóa, chỉnh sửa, xóa, cung cấp, công khai, chuyển giao và các hoạt động khác liên quan. Đối tượng áp dụng bao gồm:

• Cơ quan, tổ chức, cá nhân Việt Nam.
• Cơ quan, tổ chức, cá nhân nước ngoài hoạt động tại Việt Nam hoặc xử lý dữ liệu cá nhân của công dân Việt Nam, đặc biệt trong các lĩnh vực như thương mại điện tử, quảng cáo trực tuyến và mạng xã hội.

Điều này đảm bảo rằng các nền tảng quốc tế như Google, Facebook hay TikTok khi hoạt động kinh doanh tại Việt Nam bất kể có đăng ký với cơ quan có thẩm quyền của Việt Nam hay không cũng buộc phải tuân thủ các quy định nghiêm ngặt về bảo vệ dữ liệu cá nhân.

2.2. Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân (Điều 4)

Luật trao cho chủ thể dữ liệu cá nhân (người được dữ liệu phản ánh) nhiều quyền kiểm soát mạnh mẽ, bao gồm:

• Quyền được biết. Chủ thể dữ liệu cá nhân được thông báo về cách dữ liệu của mình được xử lý.
• Quyền đồng ý hoặc từ chối. Chủ thể dữ liệu cá nhân có thể chấp thuận, rút lại sự đồng ý hoặc yêu cầu hạn chế xử lý dữ liệu.
• Quyền chỉnh sửa và xóa. Chủ thể dữ liệu có quyền yêu cầu chỉnh sửa, cung cấp hoặc xóa dữ liệu cá nhân.
• Quyền khiếu nại. Một quyền quan trọng khác của chủ thể dữ liệu cá nhân là quyền khởi kiện, yêu cầu bên vi phạm bồi thường thiệt hại nếu dữ liệu bị xâm phạm.
• Quyền yêu cầu bảo vệ. Chủ thể dữ liệu cá nhân có quyền yêu cầu cơ quan, tổ chức áp dụng biện pháp bảo vệ dữ liệu.

Bên cạnh đó, chủ thể dữ liệu cũng có nghĩa vụ tự bảo vệ dữ liệu của mình, tôn trọng dữ liệu của người khác, cung cấp thông tin chính xác và tuân thủ pháp luật. Các quyền và nghĩa vụ này phải được thực hiện dựa trên nguyên tắc không gây cản trở cho các bên liên quan và không xâm phạm lợi ích hợp pháp của Nhà nước hoặc của cá nhân khác.

2.3. Các hành vi bị nghiêm cấm (Điều 7)

Luật BVDLCN 2025 liệt kê một loạt hành vi bị cấm nhằm ngăn chặn lạm dụng dữ liệu cá nhân như (1) Cản trở hoạt động bảo vệ dữ liệu; (2) Lợi dụng bảo vệ dữ liệu để thực hiện hành vi trái pháp luật; (3) Xử lý, mua bán, làm lộ hoặc chiếm đoạt dữ liệu cá nhân trái phép.

Trường hợp cá nhân, tổ chức vi phạm các hành vi bị nghiêm cấm này phải chịu hậu quả vi phạm rất nghiêm khắc từ các chế tài được quy định bởi Luật này cũng như các văn bản hướng dẫn thi hành và pháp luật có liên quan. Các chế tài mà bên vi phạm điều khoản này có thể phải chịu:

Chế tài hành chính. Bên vi phạm phải chịu mức phạt vi phạm hành chính tối đa lên đến 3 tỷ đồng hoặc 10 lần khoản thu từ hành vi mua bán dữ liệu. Đối với vi phạm chuyển dữ liệu xuyên biên giới, mức phạt có thể lên đến 5% doanh thu của năm trước.

Chế tài hình sự. Bên vi phạm các hành vi bị nghiêm cấm tại Luật BVDLCN có thể bị truy cứu trách nhiệm hình sự đối với các hành vi nghiêm trọng.

Chế tài bồi thường thiệt hại. Ngoài các chế tài trên đây, bên vi phạm còn phải chịu trách nhiệm bồi thường nếu gây thiệt hại cho chủ thể dữ liệu cá nhân.

2.4. Quy định về sự đồng ý và rút lại sự đồng ý (Điều 9, 10)

Sự đồng ý của chủ thể dữ liệu là yếu tố cốt lõi trong xử lý dữ liệu cá nhân. Luật yêu cầu sự đồng ý phải:

• Tự nguyện và rõ ràng, kèm theo thông tin đầy đủ về loại dữ liệu, mục đích xử lý và quyền của chủ thể;
• Được thể hiện bằng văn bản hoặc định dạng điện tử có thể kiểm chứng;
• Không coi sự im lặng hoặc không phản hồi là đồng ý.

Chủ thể có quyền rút lại sự đồng ý hoặc yêu cầu hạn chế xử lý dữ liệu, trừ một số trường hợp đặc biệt (ví dụ như theo yêu cầu của cơ quan nhà nước). Các yêu cầu này phải được gửi bằng văn bản và xử lý kịp thời theo quy định pháp luật.

 

Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại, Thượng tướng Lê Tấn Tới trình bày Báo cáo tóm tắt Giải trình, tiếp thu, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân. Nguồn: Quốc hội

 

2.5. Xóa, hủy và khử nhận dạng dữ liệu (Điều 14)

Dữ liệu cá nhân phải được xóa hoặc hủy trong các trường hợp:

1. Chủ thể yêu cầu và chấp nhận rủi ro, thiệt hại có thể xảy ra với mình.
2. Hoàn thành mục đích xử lý hoặc hết thời hạn lưu trữ.
3. Theo quyết định của cơ quan nhà nước hoặc thỏa thuận.

Việc khử nhận dạng dữ liệu được yêu cầu thực hiện chặt chẽ, với các biện pháp giám sát để ngăn truy cập trái phép. Không được tái nhận dạng dữ liệu đã khử, trừ khi pháp luật cho phép. Và dữ liễu cá nhân đã được khử nhận dạng thì không còn được xem là dữ liệu cá nhân theo quy định của Luật BVDLCN.

2.6. Chuyển dữ liệu xuyên biên giới (Điều 20)

Luật BVDLCN quy định chặt chẽ việc chuyển dữ liệu cá nhân ra nước ngoài và đây cũng được xem là một trong những quy định quan trọng nhất của Luật này. Theo yêu cầu của Luật BVDLCN thì trước khi chuyển dữ liệu cá nhân ra nước ngoài thì cá nhân, cơ quan, tổ chức buộc phải thực hiện đánh giá tác động trước khi chuyển. Trong một số trường hợp, cơ quan chuyên trách (Bộ Công an) có quyền kiểm tra định kỳ hoặc đột xuất, yêu cầu ngừng chuyển dữ liệu nếu phát hiện nguy cơ ảnh hưởng đến quốc phòng, an ninh quốc gia.

Ngoài ra, Luật cũng quy định một số trường hợp được miễn đánh giá, như chuyển dữ liệu bởi cơ quan nhà nước hoặc do chính chủ thể thực hiện. Một quy định đáng lưu ý trong ngoại lệ này đó là cơ quan, tổ chức không phải thực hiện đánh giá tác động do hành vi chuyển dữ liệu cá nhân ra nước ngoài khi cơ quan, tổ chức lưu trữ dữ liệu của người lao động của mình trên dịch vụ điện toán đám mây. Quy định này sẽ giải được bài toán mà nhiều doanh nghiệp đa quốc gia rất lo lắng trong việc lưu trữ dữ liệu trên các nền tảng điện toán đám mây phổ biến hiện nay như Microsoft, Google, Amazon,…

2.7. Bảo vệ dữ liệu trong các lĩnh vực và đối tượng đặc thù

Luật BVDLCN đưa ra các quy định cụ thể cho một số đối tượng và lĩnh vực đặc thù, phản ánh sự đa dạng trong bảo vệ dữ liệu cá nhân. Các lĩnh vực, đối tượng đặc thù đáng chú ý mà Luật BVDLCN có đề cập đến như:

Thứ nhất, đối tượng trẻ em và người hạn chế năng lực hành vi

Người đại diện pháp luật thay mặt đối tượng này thực hiện quyền của chủ thể dữ liệu. Việc tiết lộ các thông tin của trẻ em về đời sống riêng tư, bí mật cá nhân cần sự đồng ý của trẻ từ 7 tuổi trở lên. Trong một số trường hợp cần thiết, bên xử lý dữ liệu cá nhân của các đối tượng này cần phải dừng lại theo yêu cầu của người đại diện theo pháp luật, trẻ em từ 7 tuổi hoặc cơ quan có thẩm quyền.

Thứ hai, tuyển dụng và quản lý lao động

Chỉ thu thập, lưu trữ dữ liệu người lao động trong một thời hạn theo quy định của pháp luật hoặc theo thỏa thuận giữa các bên. Người lao động phải xóa dữ liệu sau khi chấm dứt hợp đồng, trừ khi có thỏa thuận khác. Việc sử dụng các biện pháp công nghệ để thu thập, xử lý dữ liệu cá nhân của người lao động thì người lao động phải được biết.

Đối với việc tuyển dụng lao động, dữ liệu cá nhân của người dự tuyển phải được xóa, hủy trong trường hợp không tuyển dụng, trừ khi giữa các bên có thỏa thuận khác.

Thứ ba, trong lĩnh vực tài chính, ngân hàng, thông tin tín dụng

Các cá nhân, tổ chức hoạt động trong lĩnh vực tài chính, ngân hàng, thông tin tín dụng không sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân. Đồng thời khi sử dụng dữ liệu cá nhân thì các tổ chức, cá nhân trong các lĩnh vực này phải thông báo tới chủ thể dữ liệu cá nhân khi dữ liệu bị lộ. Đây là những điểm hết sức đáng chú ý đối với lĩnh vực sử dụng rất nhiều thông tin cá nhân nhạy cảm trong quá trình hoạt động.

Thứ tư, lĩnh vực quảng cáo

Điểm đáng chú ý nhất trong lĩnh vực quảng cáo trong Luật BVDLCN là việc yêu cầu tổ chức, cá nhân kinh doanh dịch vụ quảng cáo không được thuê lại hoặc thỏa thuận để tổ chức, cá nhân khác thay mặt mình thực hiện toàn bộ dịch vụ quảng cáo có sử dụng dữ liệu cá nhân. Việc này sẽ hạn chế rất nhiều đến hoạt động của các công ty quảng cáo trong thời gian tới, đặc biệt là đối với các công ty quảng cáo sử dụng KOL để tiến hành hoạt động quảng cáo cho khách hàng “booking” (đặt hàng) dịch vụ của công ty quảng cáo.

Thứ năm, đối với các nền tảng mạng xã hội và truyền thông trực tuyến

Luật BVDLCN yêu cầu các nền tảng mạng xã hội, truyền thông trực tuyến không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân. Đây có thể một quy định có thể sẽ “được lòng” rất nhiều cá nhân sử dụng các trang mạng xã hội tại Việt Nam. Tuy nhiên, thời gian tới sẽ là một phép thử cho thấy quy định này sẽ thực thi trên thực tế có hiệu quả hay không. Vì không dễ để chứng minh một cách rõ ràng rằng người dùng bị các nền tảng này, theo dõi, nghe lén. Những thuật toán phức tạp của mạng xã hội sẽ là một cản trở lớn cho hoạt động quản lý của cơ quan có thẩm quyền.

Thứ sáu, đối với lĩnh vực dữ liệu lớn, AI, blockchain, đám mây

Đây là một quy định hợp thời với xu hướng phát triển các loại hình công nghệ của Việt Nam trong thời gian tới. Tuy nhiên, cần phải có những hướng dẫn chi tiết từ chính phủ để bảo vệ dữ liệu của các cá nhân khi tham gia một lĩnh vực khó nhằn và chuyên biệt như thế này.

Luật BVDLCN buộc các doanh nghiệp trong lĩnh vực này không sử dụng dữ liệu cá nhân để gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của người khác. Đây là những tổn hại mà bất kỳ quốc gia nào cũng hết sức quan ngại.

Thứ bảy, đối với dữ liệu vị trí và sinh trắc học

Dữ liệu sinh trắc học là dữ liệu về thuộc tính vật lý, đặc điểm sinh học cá biệt và ổn định của một người để xác định người đó. Đây có thể nói là một dữ liệu đặc thù nhất của một con người. Do đó, quy định của Luật BVDLCN chỉ thu thập dữ liệu cá nhân này khi có sự đồng ý hoặc theo yêu cầu cơ quan thẩm quyền. Trong quá trình thu thập, lưu trữ, xử lý các tổ chức phải áp dụng bảo mật nghiêm ngặt dữ liệu. Ngoài ra, đối với dữ liệu vị trí các các nhân, tổ chức không được phép áp dụng việc theo dõi định vị qua thẻ nhận dạng tần số vô tuyến và các công nghệ khác trừ một số trường hợp đặc biệt.

Cuối cùng, đối với việc ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng

Luật BVDLCN cho phép cá nhân, tổ chức được ghi âm, ghi hình tại nơi công cộng và các hoạt động công cộng mà không cần xin phép chủ thể dữ liệu cá nhân nhưng không được làm tổn hại đến danh dự, nhân phẩm và uy tín của chủ thể dữ liệu cá nhân.

Bên cạnh đó, Luật cũng quy định dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng chỉ được lưu trữ trong khoảng thời gian cần thiết để phục vụ mục đích thu thập, trừ trường hợp pháp luật có quy định khác. Khi hết thời hạn lưu trữ, dữ liệu cá nhân phải được xóa, hủy.

Chúng tôi cho rằng, với không gian công cộng, việc đưa ra các quy định mang tính mở nhưng cũng đủ không gian và cơ sở để vừa bảo vệ quyền của chủ thể dữ liệu cá nhân. Đồng thời, quy định này cũng tạo ra sự thuận lợi cho các hoạt động sáng tạo, giải trí đang trên đà phát triển của Việt Nam.

 

Toàn cảnh buổi dự thảo Luật Bảo vệ dữ liệu cá nhân. Nguồn: Quốc hội

 

3. Tác động của Luật BVDLCN

3.1. Đối với cá nhân là chủ sở hữu dữ liệu cá nhân

Luật trao quyền kiểm soát mạnh mẽ hơn cho mỗi người dân, giúp cho mỗi cá nhân chủ động bảo vệ thông tin của mình trong các giao dịch trực tuyến, dịch vụ tài chính, quảng cáo và mạng xã hội. Quy định về sự đồng ý và quyền rút lại sự đồng ý đảm bảo rằng người dân có tiếng nói trong cách dữ liệu của mình được sử dụng và xử lý sau khi đã sử dụng xong mà. Đây có thể là điều khác biệt lớn nhất trước khi Luật BVDLCN được ban hành, mà đúng hơn là trước khi Nghị định 13/2023/NĐ-CP làm thay đổi nhận thức của các cá nhân và tổ chức tại Việt Nam. Ngoài ra, các chế tài nghiêm khắc đối với hành vi vi phạm sẽ tạo môi trường an toàn hơn, giảm thiểu rủi ro rò rỉ hoặc lạm dụng dữ liệu.

3.2. Đối với doanh nghiệp, tổ chức, cá nhân bị tác động

Các doanh nghiệp, đặc biệt là những doanh nghiệp hoạt động trong lĩnh vực công nghệ, tài chính, quảng cáo và mạng xã hội, sẽ phải đầu tư mạnh mẽ vào hệ thống bảo mật và tuân thủ pháp luật. Hơn nữa, quy định về đánh giá tác động và chuyển dữ liệu xuyên biên giới có thể làm tăng chi phí vận hành, nhưng đồng thời cũng tạo ra môi trường cạnh tranh công bằng và nâng cao uy tín của doanh nghiệp tuân thủ tốt. Đối với doanh nghiệp nhỏ và khởi nghiệp, quy định hoãn thi hành trong 5 năm là một hỗ trợ đáng kể, giúp giảm áp lực tài chính trong giai đoạn đầu. Nhìn chung, các tổ chức, cụ thể hơn là doanh nghiệp sẽ gặp nhiều “áp lực” hơn trong việc bảo vệ dữ liệu cá nhân trong thời gian tới khi kinh doanh tại Việt Nam. Nhưng dù như thế nào đây là một chính sách không thể đảo ngược trong bối cảnh hiện nay của Việt Nam và thế giới.

3.3. Đối với quản lý nhà nước

Luật củng cố vai trò của Bộ Công an trong quản lý dữ liệu cá nhân, đồng thời thúc đẩy hợp tác quốc tế trong việc bảo vệ dữ liệu và phòng chống vi phạm xuyên biên giới. Các cơ quan nhà nước sẽ cần xây dựng cơ chế kiểm tra, giám sát và xử phạt hiệu quả, đồng thời nâng cao năng lực nhân sự và công nghệ để đáp ứng yêu cầu của khung pháp lý mới về bảo vệ dữ liệu cá nhân. Việc thực thi Luật BVDLCN trong giai đoạn đầu có thể sẽ là một thách thức không nhỏ. Nhưng với sự chủ động và linh hoạt của cơ quan quản lý, Bộ Công an chúng tôi mong rằng việc thực thi các quy định này sẽ sớm đi vào ổn định và cho thấy hiệu quả trong thực tiễn triển khai.

 

Luật Bảo vệ dữ liệu cá nhân 2025 là một bước tiến quan trọng trong hành trình xây dựng không gian số an toàn và minh bạch tại Việt Nam. Với các quy định khá tiến bộ về quyền của chủ thể dữ liệu, trách nhiệm của các bên liên quan và chế tài xử phạt, Luật không chỉ bảo vệ quyền lợi công dân mà còn thúc đẩy trách nhiệm của doanh nghiệp và cơ quan nhà nước trong hoạt động mới mẻ, này. Trong bối cảnh chuyển đổi số toàn cầu, đây là một minh chứng cho cam kết của Việt Nam trong việc bảo vệ quyền riêng tư và hội nhập với các tiêu chuẩn quốc tế. Việc triển khai hiệu quả Luật này sẽ là chìa khóa để Việt Nam xây dựng một nền kinh tế số bền vững và đáng tin cậy.

Luật sư Nguyễn Văn Phúc

Công ty Luật TNHH HM&P