Luật Bảo vệ dữ liệu cá nhân năm 2025 đã thể chế hóa quan điểm, chỉ đạo của Đảng về bảo vệ quyền con người, quyền công dân, quyền và lợi ích hợp pháp của cá nhân; tạo sự đồng bộ, thống nhất, xuyên suốt của hệ thống pháp luật; phục vụ cuộc cách mạng đột phá phát triển khoa học công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia theo tinh thần Nghị quyết số 57-NQ/TW ngày 22/12/2024 của Bộ Chính trị về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia; góp phần bảo đảm an ninh con người, chủ quyền dữ liệu trong kỷ nguyên mới của dân tộc.
Luật Bảo vệ dữ liệu cá nhân được xây dựng nhằm hoàn thiện, thống nhất hệ thống pháp luật về bảo vệ dữ liệu cá nhân; tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân; nâng cao năng lực bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân trong nước tiếp cận với trình độ quốc tế, khu vực; đẩy mạnh việc sử dụng dữ liệu cá nhân đúng pháp luật phục vụ phát triển kinh tế - xã hội.
Luật gồm 05 chương, 39 điều, quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan; trong đó: (i) Chương I gồm 08 điều, quy định các vấn đề chung, như: Phạm vi điều chỉnh, đối tượng áp dụng, nguyên tắc bảo vệ dữ liệu cá nhân, quyền và nghĩa vụ của chủ thể dữ liệu cá nhân, hành vi bị nghiêm cấm, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân. (ii) Chương II gồm 24 điều, quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu và bảo vệ dữ liệu cá nhân trong một số hoạt động, lĩnh vực cụ thể. (iii) Chương III gồm 03 điều, quy định về lực lượng bảo vệ dữ liệu cá nhân, điều bảo đảm bảo vệ dữ liệu cá nhân. (iv) Chương IV gồm 02 điều, quy định trách nhiệm của cơ quan, tổ chức, cá nhân về bảo vệ dữ liệu cá nhân. (v) Chương V gồm 02 điều, quy định hiệu lực thi hành, điều khoản chuyển tiếp.
Luật Bảo vệ dữ liệu cá nhân áp dụng đối với: (i) Cơ quan, tổ chức, cá nhân Việt Nam; (ii) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; (iii) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.
Thống nhất khái niệm và nguyên tắc bảo vệ dữ liệu cá nhân
Luật đã xây dựng và thống nhất một số khái niệm quan trọng trong lĩnh vực bảo vệ dữ liệu cá nhân, như: Khái niệm dữ liệu cá nhân bao trùm cả môi trường truyền thống và môi trường số; bảo vệ dữ liệu cá nhân; xử lý dữ liệu cá nhân; khử nhận dạng dữ liệu cá nhân; làm rõ khái niệm và nội hàm của dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm; chủ thể dữ liệu cá nhân và các bên liên quan trong quá trình xử lý dữ liệu cá nhân.
Luật cũng xác định 06 nguyên tắc bảo vệ dữ liệu cá nhân: (i) Tuân thủ quy định của Hiến pháp, quy định của Luật này và quy định khác của pháp luật có liên quan; (ii) Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật; (iii) Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác; (iv) Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân; (v) Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân; (vi) Bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân. Trong đó, nổi bật là việc chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng và phải bảo đảm tính chính xác của dữ liệu. Đặc biệt, việc bảo vệ dữ liệu cá nhân phải gắn với bảo vệ lợi ích quốc gia, dân tộc, thể hiện sự cân bằng giữa quyền lợi cá nhân và lợi ích công cộng.
Xác lập các quyền của chủ thể dữ liệu cá nhân, trách nhiệm, nghĩa vụ của các bên liên quan, lực lượng bảo vệ dữ liệu cá nhân
Chủ thể dữ liệu cá nhân có 06 quyền đối với dữ liệu cá nhân, trong đó, các quyền quan trọng trong xác lập căn cứ hợp pháp cho hoạt động xử lý dữ liệu cá nhân của các tổ chức, cá nhân có liên quan, như: Quyền được biết, quyền đồng ý hoặc không đồng ý, quyền rút lại sự đồng ý... Cùng với đó là quyền xem, chỉnh sửa hoặc yêu cầu chỉnh sửa, yêu cầu cung cấp, xóa, hạn chế xử lý, hay phản đối xử lý dữ liệu cá nhân. Khi quyền lợi bị xâm phạm, chủ thể dữ liệu cá nhân có quyền khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại.
06 quyền đối với dữ liệu cá nhân cụ thể: (i) Được biết về hoạt động xử lý dữ liệu cá nhân; (ii) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân; (iii) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân; (iv) Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân; (v) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật; (vi) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật. Trong đó, các quyền quan trọng trong xác lập căn cứ hợp pháp cho hoạt động xử lý dữ liệu cá nhân của các tổ chức, cá nhân có liên quan, như: Quyền được biết, quyền đồng ý hoặc không đồng ý, quyền rút lại sự đồng ý... Cùng với đó là quyền xem, chỉnh sửa hoặc yêu cầu chỉnh sửa, yêu cầu cung cấp, xóa, hạn chế xử lý, hay phản đối xử lý dữ liệu cá nhân. Khi quyền lợi bị xâm phạm, chủ thể dữ liệu cá nhân có quyền khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại.
Ngoài ra, Luật cũng quy định chủ thể dữ liệu cá nhân khi thực hiện quyền và nghĩa vụ của mình phải tuân thủ đầy đủ các nguyên tắc: (i) Thực hiện theo quy định của pháp luật; tuân thủ nghĩa vụ của chủ thể dữ liệu cá nhân theo hợp đồng. Việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân phải nhằm mục đích bảo vệ quyền, lợi ích hợp pháp của chính chủ thể dữ liệu cá nhân đó; (ii) Không được gây khó khăn, cản trở việc thực hiện quyền, nghĩa vụ pháp lý của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân; (iii) Không được xâm phạm đến quyền, lợi ích hợp pháp của Nhà nước, cơ quan, tổ chức, cá nhân khác.
Bên cạnh đó, Luật quy định rõ trách nhiệm của các bên liên quan trong quá trình xử lý dữ liệu cá nhân, bao gồm: Bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân; trách nhiệm quản lý nhà nước về bảo vệ dữ liệu cá nhân, trong đó Chính phủ thống nhất quản lý nhà nước, Bộ Công an là cơ quan đầu mối chính, Bộ Quốc phòng, các bộ, ngành và Ủy ban nhân dân cấp tỉnh cũng có trách nhiệm quản lý trong phạm vi chức năng, nhiệm vụ của mình. Điều này tạo nên một cơ chế quản lý đa tầng, bảo đảm sự giám sát chặt chẽ đối với hoạt động xử lý dữ liệu cá nhân trên toàn quốc.
Đối với lực lượng bảo vệ dữ liệu cá nhân, ngoài cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an và tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân, Luật quy định cơ quan, tổ chức không thuộc trường hợp được miễn trừ, có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện, năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân. Luật quy định Chính phủ quy định về điều kiện, nhiệm vụ của bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức và tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.
Quy định các hành vi bị nghiêm cấm và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân
Để bảo đảm khả thi và ngăn chặn hiệu quả các hành vi vi phạm pháp luật, Luật Bảo vệ dữ liệu cá nhân năm 2025 đã quy định các hành vi bị nghiêm cấm bám sát thực tiễn, bảo đảm tính bao quát, tập trung vào những hành vi phổ biến, nghiêm trọng: (i) Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; (ii) Cản trở hoạt động bảo vệ dữ liệu cá nhân; (iii) Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; (iv) Xử lý dữ liệu cá nhân trái quy định của pháp luật; (v) Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; (vi) Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác; (vii) Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân. Những quy định này sẽ tạo hành lang pháp lý để đấu tranh với tội phạm coi dữ liệu cá nhân như hàng hóa thông thường để mua, bán, xâm phạm nghiêm trọng đến quyền con người, quyền lợi hợp pháp của cá nhân, tổ chức.
Luật Bảo vệ dữ liệu cá nhân năm 2025 cũng quy định xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo hình thức xử phạt hành chính hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật dựa trên tính chất, mức độ, hậu quả của hành vi vi phạm. Đối với hình thức xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân, áp dụng:
(i) Đối với hành vi mua, bán dữ liệu cá nhân: Mức phạt tiền tối đa là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền tối đa là 03 tỷ đồng. Chính phủ sẽ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
(ii) Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: Mức phạt tiền tối đa là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền tối đa là 03 tỷ đồng.
(iii) Đối với các hành vi vi phạm khác: Mức phạt tiền tối đa là 03 tỷ đồng với tổ chức. Mức phạt áp dụng với cá nhân bằng một phần hai mức phạt đối với tổ chức theo từng hành vi.
Quy định riêng chặt chẽ đối với dữ liệu cá nhân của trẻ em, người mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi
Để bảo vệ dữ liệu cá nhân trong các lĩnh vực đặc thù, quan trọng, Luật Bảo vệ dữ liệu cá nhân năm 2025 đã quy định các điều khoản cụ thể để điều chỉnh hoạt động bảo vệ dữ liệu cá nhân trong quá trình xử lý, như: Trong tuyển dụng, quản lý, sử dụng người lao động; kinh doanh dịch vụ quảng cáo; nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến; xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây; hoạt động tài chính, ngân hàng, thông tin tín dụng; hoạt động kinh doanh bảo hiểm; hoạt động ghi âm, ghi hình tại nơi công cộng. Luật cũng công nhận ngành, nghề kinh doanh có điều kiện là kinh doanh dịch vụ xử lý dữ liệu cá nhân và giao Chính phủ quy định chi tiết nhằm quản lý chặt chẽ ngành nghề có quy mô xử lý dữ liệu cá nhân lớn và nhạy cảm.
Đối với dữ liệu cá nhân của trẻ em, người mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi, Luật cũng có quy định riêng chặt chẽ để bảo vệ dữ liệu cá nhân của nhóm đối tượng yếu thế, dễ tổn thương này. Đối với trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự hoặc người có khó khăn trong nhận thức, làm chủ hành vi thì người đại diện theo pháp luật thay mặt thực hiện các quyền của chủ thể dữ liệu cá nhân, trừ các trường hợp quy định tại khoản 1 Điều 19 của Luật. Việc xử lý dữ liệu cá nhân của trẻ em nhằm công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em từ đủ 07 tuổi trở lên thì phải có sự đồng ý của trẻ em và người đại diện theo pháp luật.
Ngừng xử lý dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi trong trường hợp sau đây: (i) Người đã đồng ý quy định tại khoản 2 Điều này rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi, trừ trường hợp pháp luật có quy định khác; (ii) Theo yêu cầu của cơ quan có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân có thể xâm phạm đến quyền, lợi ích hợp pháp của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi, trừ trường hợp pháp luật có quy định khác.
Tổ chức, cá nhân cung cấp nền tảng ứng dụng di động phải thông báo cho người sử dụng về việc sử dụng dữ liệu vị trí cá nhân
Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định về bảo vệ dữ liệu cá nhân đối với vị trí cá nhân, yêu cầu sinh trắc học. Theo đó, việc bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân được quy định: (i) Không áp dụng việc theo dõi định vị qua thẻ nhận dạng tần số vô tuyến và các công nghệ khác, trừ trường hợp có sự đồng ý của chủ thể dữ liệu cá nhân hoặc trường hợp có yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật hoặc trường hợp pháp luật có quy định khác; (ii) Tổ chức, cá nhân cung cấp nền tảng ứng dụng di động phải thông báo cho người sử dụng về việc sử dụng dữ liệu vị trí cá nhân; có biện pháp ngăn chặn việc thu thập dữ liệu vị trí cá nhân của tổ chức, cá nhân không liên quan; cung cấp cho người sử dụng các tùy chọn theo dõi vị trí cá nhân.
Việc bảo vệ dữ liệu sinh trắc học quy định như sau: (i) Cơ quan, tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải dữ liệu sinh trắc học của mình; hạn chế quyền truy cập vào dữ liệu sinh trắc học; có hệ thống theo dõi để phòng ngừa, phát hiện hành vi xâm phạm dữ liệu sinh trắc học; tuân thủ quy định của pháp luật và tiêu chuẩn quốc tế có liên quan; (ii) Trường hợp xử lý dữ liệu sinh trắc học gây thiệt hại cho chủ thể dữ liệu cá nhân thì tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải thông báo cho chủ thể dữ liệu cá nhân đó theo quy định của Chính phủ.
Quy định đánh giá tác động hoạt động xử lý và chuyển dữ liệu cá nhân xuyên biên giới
Các trường hợp chuyển dữ liệu cá nhân xuyên biên giới bao gồm: (i) Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam; (ii) Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức, cá nhân ở nước ngoài; (iii) Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam.
Cơ quan, tổ chức, cá nhân chuyển dữ liệu cá nhân xuyên biên giới thực hiện các hoạt động quy định tại khoản 1 Điều này phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và gửi 01 bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời gian 60 ngày kể từ ngày đầu tiên chuyển dữ liệu cá nhân xuyên biên giới, trừ trường hợp quy định tại khoản 6 Điều này. Quy định này vừa giúp cơ quan chuyên trách quản lý hoạt động chuyển dữ liệu cá nhân của công dân Việt Nam xuyên biên giới, vừa tạo cơ chế linh hoạt cho doanh nghiệp, không quy định cấp phép kiểm duyệt trước khi chuyển dữ liệu cá nhân xuyên biên giới. Tương tự, tổ chức, cá nhân lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân để kiểm soát rủi ro trong quá trình xử lý dữ liệu cá nhân. Tuy nhiên, để tạo điều kiện thuận lợi cho các doanh nghiệp, Luật cũng có những quy định miễn trừ các nghĩa vụ này đối với doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp, hộ kinh doanh, doanh nghiệp siêu nhỏ, trừ khi họ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu nhạy cảm hoặc xử lý dữ liệu của số lượng lớn chủ thể.
Bên cạnh đó, Luật cũng quy định các trường hợp không phải thực hiện quy định về đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới bao gồm: (i) Việc chuyển dữ liệu cá nhân xuyên biên giới của cơ quan nhà nước có thẩm quyền; (ii) Cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây; (iii) Chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới; (iv) Các trường hợp khác theo quy định của Chính phủ.
