Ngày 26/6/2025, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân năm 2025, đánh dấu bước tiến quan trọng trong việc hoàn thiện hành lang pháp lý bảo vệ quyền riêng tư của người dân, doanh nghiệp, đặc biệt trong bối cảnh dữ liệu cá nhân ngày càng trở nên quan trọng và đang phải đối mặt với nhiều rủi ro bị đánh cắp, xâm phạm trên môi trường số.
Luật Bảo vệ dữ liệu cá nhân năm 2025 (Luật) gồm 05 chương với 39 điều được xây dựng theo hướng tinh gọn, dễ hiểu, dễ triển khai thực hiện trên thực tế, tương thích với các chuẩn mực quốc tế và có nhiều điểm nổi bật, cụ thể:
Một là, Luật đã xây dựng được những khái niệm quan trọng về dữ liệu cá nhân (bao gồm: Làm rõ khái niệm và nội hàm của dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm). Theo đó, (i) Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành; (ii) Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành. Như vậy, Luật chỉ đưa ra nguyên tắc xác định loại dữ liệu cá nhân và giao Chính phủ ban hành danh mục đối với từng loại dữ liệu cá nhân cụ thể.
Hai là, Luật đã xây dựng các nguyên tắc bảo vệ dữ liệu cá nhân, bao gồm: (i) Tuân thủ quy định của Hiến pháp, quy định của Luật và các quy định khác có liên quan; (ii) Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật; (iii) Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác; (iv) Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân; (v) Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân; (vi) Bảo vệ dữ liệu cá nhân gắn với lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân. Đây là những nguyên tắc được thể hiện xuyên suốt trong các quy định của Luật và là hành lang pháp lý quan trọng để bảo vệ thông tin, dữ liệu cá nhân, ngăn chặn các hành vi xâm phạm, ảnh hưởng đến quyền, lợi ích của cá nhân, tổ chức.
Ba là, Luật quy định rõ quyền và nghĩa vụ của chủ thể dữ liệu cá nhân. Việc quy định quyền của chủ thể dữ liệu cá nhân có ý nghĩa quan trọng, để mỗi cá nhân có thể biết, thể hiện quan điểm, đồng thời tự bảo vệ các dữ liệu thuộc về cá nhân mình. Theo đó, chủ thể dữ liệu cá nhân có quyền: Được biết về hoạt động xử lý dữ liệu cá nhân; đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân; xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân; yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân; khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật; yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.
Bên cạnh đó, để ngăn chặn tình trạng lạm dụng quyền, Luật cũng quy định chủ thể dữ liệu cá nhân phải ràng buộc bằng các nghĩa vụ tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình; chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
Bốn là, Luật quy định các hành vi bị nghiêm cấm với mức xử phạt cao. Theo đó, có 07 hành vi bị nghiêm cấm bao gồm: (i) Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; (ii) Cản trở hoạt động bảo vệ dữ liệu cá nhân; (iii) Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; (iv) Xử lý dữ liệu cá nhân trái quy định của pháp luật; (v) Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; (vi) Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác; (vii) Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân. Với 07 hành vi vi phạm này, Luật đã quy định các hình thức xử lý vi phạm tương ứng, mang tính răn đe mạnh mẽ, đặc biệt là đối với hành vi mua bán, chuyển nhượng hoặc xử lý dữ liệu cá nhân trái phép. Theo đó, hành vi mua bán dữ liệu cá nhân trái phép có thể bị phạt tới 10 lần khoản thu lợi bất hợp pháp. Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới đối với tổ chức, mức phạt tiền tối đa là 5% doanh thu của năm trước liền kề của tổ chức. Ngoài ra, mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng. Với quy định này, có thể thấy rõ quyết tâm của Quốc hội và Chính phủ trong việc siết chặt bảo vệ quyền dữ liệu cá nhân cho mỗi công dân và bảo đảm an toàn, an ninh cho các cá nhân, doanh nghiệp, tổ chức khi hoạt động trên môi trường số.
Năm là, Luật đã đưa ra các quy định riêng về bảo vệ dữ liệu cá nhân cho các đối tượng yếu thế và trong một số hoạt động cụ thể, như: (i) Bảo vệ dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi; (ii) Bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng người lao động; (iii) Bảo vệ dữ liệu cá nhân đối với thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm; (iv) Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng; (v) Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo; (vi) Bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến; (vi) Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây; (vii) Bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí, dữ liệu sinh trắc học; (viii) Bảo vệ dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng.
Bên cạnh những quy định nêu trên, Luật còn quy định cụ thể về lực lượng bảo vệ dữ liệu cá nhân; tiêu chuẩn, quy chuẩn kỹ thuật về bảo vệ dữ liệu cá nhân; trách nhiệm của của cơ quan quản lý nhà nước về bảo vệ dữ liệu cá nhân, cũng như trách nhiệm của bên kiểm soát, xử lý dữ liệu cá nhân…
Như vậy, với sự ra đời của Luật Bảo vệ dữ liệu cá nhân năm 2025 (có hiệu lực thi hành kể từ 01/01/2026) đã cụ thể hóa các chính sách, pháp luật của Đảng, Nhà nước về quyền con người, quyền công dân, quyền riêng tư, an ninh mạng, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, Chính phủ điện tử, Chính phủ số, kinh tế số, trực tiếp là Nghị quyết số 30-NQ/TW ngày 23/11/2022 của Bộ Chính trị về Chiến lược An ninh mạng quốc gia và Nghị quyết số 57-NQ/TW ngày 22/12/2024 của Bộ Chính trị về đột phá phát triển khoa học công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia./.
QV
Ảnh: Internet
