Ngày 26/6/2025, tại Kỳ họp thứ 9, Quốc hội khóa XV đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân 2025 (Luật số 91/2025/QH15). Văn bản pháp lý này đánh dấu một bước tiến lớn trong công tác bảo vệ quyền riêng tư và dữ liệu số tại Việt Nam, chính thức có hiệu lực thi hành từ ngày 01/01/2026. Dưới đây là những điểm nổi bật mà các tổ chức, doanh nghiệp và cá nhân cần đặc biệt lưu ý.
1. Cấm tuyệt đối hành vi mua bán dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân 2025 thiết lập hành lang pháp lý chặt chẽ hơn bao giờ hết với việc quy định 07 hành vi bị nghiêm cấm. Điểm đáng chú ý nhất là việc cấm tuyệt đối hành vi mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
Các hành vi khác cũng bị nghiêm cấm bao gồm:
- Xử lý dữ liệu cá nhân nhằm mục đích chống phá Nhà nước, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự an toàn xã hội.
- Cản trở hoạt động bảo vệ dữ liệu cá nhân hoặc lợi dụng hoạt động này để thực hiện hành vi vi phạm pháp luật.
- Xử lý dữ liệu cá nhân trái quy định pháp luật.
- Sử dụng dữ liệu của người khác hoặc cho người khác sử dụng dữ liệu của mình vào mục đích trái pháp luật.
- Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
2. Chế tài mạnh tay: Phạt tới 5% doanh thu đối với vi phạm xuyên biên giới
Một trong những điểm mới mang tính răn đe cao là quy định về xử phạt vi phạm hành chính đối với tổ chức. Cụ thể, đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa có thể lên tới 5% doanh thu của năm trước liền kề.
Trong trường hợp tổ chức không có doanh thu của năm trước liền kề hoặc mức phạt tính theo tỷ lệ doanh thu thấp hơn mức phạt tối đa được quy định tại khoản 5 Điều 8 của Luật, cơ quan chức năng sẽ áp dụng mức phạt tiền theo khung cố định được quy định cụ thể tại điều luật. Quy định này cho thấy quyết tâm của Nhà nước trong việc kiểm soát dòng dữ liệu cá nhân của công dân Việt Nam khi lưu chuyển ra ngoài lãnh thổ.
3. Quy định mới về dữ liệu cá nhân của người lao động
Đối với mối quan hệ giữa doanh nghiệp và người lao động, Luật Bảo vệ dữ liệu cá nhân 2025 bổ sung trách nhiệm quan trọng sau khi chấm dứt hợp đồng lao động:
- Doanh nghiệp phải tuân thủ nghiêm ngặt các quy định của Luật này cũng như pháp luật về lao động, việc làm và các văn bản liên quan.
- Dữ liệu cá nhân của người lao động chỉ được lưu trữ trong thời hạn nhất định theo quy định pháp luật hoặc theo thỏa thuận.
- Doanh nghiệp bắt buộc phải xóa, hủy dữ liệu cá nhân của người lao động sau khi chấm dứt hợp đồng, trừ khi có thỏa thuận khác hoặc pháp luật có quy định khác.
4. Thay đổi lớn trong quản trị mạng xã hội và dịch vụ trực tuyến
Điều 29 Luật Bảo vệ dữ liệu cá nhân 2025 đưa ra những quy định khắt khe đối với các đơn vị cung cấp dịch vụ mạng xã hội và truyền thông trực tuyến. Các nền tảng này phải tuân thủ hàng loạt nghĩa vụ mới để bảo vệ người dùng:
- Không được yêu cầu xác thực bằng giấy tờ tùy thân: Các nền tảng mạng xã hội không được phép yêu cầu người dùng cung cấp hình ảnh, video chứa nội dung giấy tờ tùy thân (như CCCD, CMND, hộ chiếu) làm yếu tố xác thực tài khoản.
- Quyền kiểm soát cookie và theo dõi: Nền tảng phải cung cấp lựa chọn để người dùng từ chối thu thập cookies và tùy chọn “không theo dõi” hoạt động của mình.
- Bảo vệ quyền riêng tư cuộc gọi/tin nhắn: Nghiêm cấm hành vi nghe lén, nghe trộm, ghi âm cuộc gọi hoặc đọc tin nhắn văn bản khi chưa có sự đồng ý của chủ thể, trừ trường hợp pháp luật có quy định khác.
- Minh bạch trong thu thập dữ liệu: Các nền tảng phải thông báo rõ ràng về loại dữ liệu thu thập, công khai chính sách bảo mật, giải thích cách thức sử dụng dữ liệu và cung cấp cơ chế để người dùng truy cập, chỉnh sửa, xóa dữ liệu của chính mình.
Việc áp dụng các quy định này kể từ ngày 01/01/2026 sẽ tạo ra một cú hích lớn đối với cách các nền tảng mạng xã hội thu thập và xử lý thông tin tại Việt Nam. Người dùng sẽ có quyền tự chủ cao hơn đối với thông tin cá nhân của mình, trong khi các doanh nghiệp buộc phải minh bạch hóa quy trình hoạt động để tránh các rủi ro pháp lý nặng nề.
Câu hỏi thường gặp (FAQs)
Luật Bảo vệ dữ liệu cá nhân 2025 bắt đầu có hiệu lực khi nào?
Luật có hiệu lực thi hành từ ngày 01/01/2026.
Mức phạt tối đa đối với vi phạm chuyển dữ liệu xuyên biên giới là bao nhiêu?
Mức phạt tối đa có thể lên tới 5% doanh thu của năm trước liền kề của tổ chức đó.
Doanh nghiệp có được phép giữ dữ liệu người lao động sau khi nghỉ việc không?
Sau khi chấm dứt hợp đồng, doanh nghiệp phải xóa hoặc hủy dữ liệu của người lao động, trừ trường hợp pháp luật hoặc thỏa thuận có quy định khác.
Mạng xã hội có được dùng ảnh CCCD để xác thực tài khoản không?
Không, Luật nghiêm cấm các nền tảng mạng xã hội yêu cầu cung cấp hình ảnh/video giấy tờ tùy thân để làm yếu tố xác thực tài khoản.
Tôi có thể yêu cầu mạng xã hội không theo dõi hoạt động của mình không?
Có, nền tảng bắt buộc phải cung cấp tùy chọn “không theo dõi” và cho phép người dùng từ chối thu thập cookies.