Ngày 26/6/2025, tại kỳ họp thứ 9 Quốc hội khóa XV, Luật Bảo vệ dữ liệu cá nhân 2025 đã được thông qua. Luật sẽ có hiệu lực từ ngày 1/1/2026, đánh dấu bước siết chặt quan trọng trong bảo vệ thông tin người dùng trên môi trường số.
Một trong những điểm đáng chú ý là quy định tại khoản 2 Điều 29: các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến không được yêu cầu người dùng cung cấp hình ảnh hoặc video ghi lại toàn bộ hay một phần giấy tờ tùy thân như CMND, CCCD, hộ chiếu để xác thực tài khoản.
Quy định này được xem là biện pháp nhằm hạn chế nguy cơ lộ lọt dữ liệu nhạy cảm và tăng cường trách nhiệm của các doanh nghiệp trong việc xây dựng cơ chế xác thực an toàn hơn.
Chú thích ảnh
Ngoài ra, Luật đặt ra trách nhiệm cụ thể đối với các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến:
- Thông báo rõ ràng loại dữ liệu cá nhân thu thập, mục đích và phạm vi sử dụng khi người dùng đăng ký và sử dụng dịch vụ; không thu thập trái phép hoặc ngoài phạm vi thỏa thuận.
- Không được yêu cầu cung cấp hình ảnh, video chứa giấy tờ tùy thân làm yếu tố xác thực tài khoản.
- Cung cấp quyền từ chối thu thập và chia sẻ dữ liệu cá nhân (cookies) và cho phép người dùng lựa chọn “không theo dõi” hoạt động sử dụng dịch vụ.
- Cam kết không nghe lén, ghi âm cuộc gọi hay đọc tin nhắn khi chưa được đồng ý, trừ trường hợp pháp luật có quy định khác.
- Công khai chính sách bảo mật, giải thích cách thức thu thập, sử dụng, chia sẻ dữ liệu cá nhân; cung cấp cơ chế truy cập, chỉnh sửa, xóa dữ liệu, thiết lập quyền riêng tư và báo cáo các vi phạm về bảo mật.
- Bảo vệ dữ liệu cá nhân khi chuyển dữ liệu xuyên biên giới và xây dựng quy trình xử lý vi phạm nhanh chóng, hiệu quả.
Luật Bảo vệ dữ liệu cá nhân cấm bảy hành vi, gồm:
- Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
- Cản trở hoạt động bảo vệ dữ liệu cá nhân.
- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
- Xử lý dữ liệu cá nhân trái quy định pháp luật.
- Sử dụng dữ liệu cá nhân của người khác hoặc cho người khác sử dụng dữ liệu cá nhân của mình trái pháp luật.
- Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
- Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Hậu quả pháp lý của vi phạm được quy định tại Điều 8 Luật Bảo vệ dữ liệu cá nhân, tùy theo tính chất, mức độ và hậu quả: có thể bị xử phạt hành chính, truy cứu trách nhiệm hình sự, bồi thường thiệt hại.
Đối với hành vi mua bán dữ liệu cá nhân, mức phạt có thể lên đến 10 lần khoản thu bất hợp pháp; vi phạm chuyển dữ liệu cá nhân xuyên biên giới, phạt tối đa 5% doanh thu năm liền trước; các hành vi vi phạm khác, mức phạt tối đa 3 tỷ đồng đối với tổ chức, cá nhân vi phạm bị phạt bằng 1/2.
Luật cũng quy định nguyên tắc bảo vệ dữ liệu cá nhân từ ngày 1/1/2026: Tuân thủ Hiến pháp và pháp luật; thu thập, xử lý dữ liệu đúng phạm vi, mục đích; đảm bảo tính chính xác, được chỉnh sửa và lưu trữ phù hợp; áp dụng đồng bộ các biện pháp về thể chế, kỹ thuật và con người; chủ động phòng ngừa, phát hiện, ngăn chặn, xử lý nghiêm minh các vi phạm; bảo vệ dữ liệu cá nhân gắn với lợi ích quốc gia, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh và đối ngoại.
Chủ thể dữ liệu cá nhân có quyền được biết về hoạt động xử lý dữ liệu, đồng ý hoặc rút lại sự đồng ý, xem, chỉnh sửa, xóa dữ liệu, phản đối xử lý dữ liệu, khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại. Đồng thời, chủ thể dữ liệu cá nhân phải tự bảo vệ dữ liệu của mình, tôn trọng dữ liệu của người khác, cung cấp đầy đủ, chính xác thông tin theo quy định pháp luật, hợp đồng hoặc sự đồng ý, và chấp hành pháp luật về bảo vệ dữ liệu.
Các cơ quan, tổ chức, cá nhân có trách nhiệm tạo điều kiện thuận lợi, không gây khó khăn cho chủ thể dữ liệu cá nhân khi thực hiện quyền và nghĩa vụ. Khi nhận được yêu cầu, bên kiểm soát dữ liệu phải phản hồi kịp thời theo thời hạn luật định.
Việc Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ 1/1/2026 được đánh giá là bước tiến quan trọng trong việc bảo vệ quyền riêng tư của người dùng trên mạng xã hội, đồng thời thiết lập cơ sở pháp lý chặt chẽ để kiểm soát, xử lý các vi phạm về dữ liệu cá nhân, góp phần tạo môi trường số an toàn và minh bạch.
