LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025: BƯỚC TIẾN MỚI TRONG QUẢN LÝ THU THẬP VÀ SỬ DỤNG THÔNG TIN CÁ NHÂN

Từ ngày 1.1.2026, luật Bảo vệ dữ liệu cá nhân sẽ chính thức có hiệu lực tại Việt Nam, đặt ra những quy định nghiêm ngặt hơn về quyền và nghĩa vụ trong việc thu thập, xử lý và chia sẻ dữ liệu cá nhân của người dùng. Luật nhấn mạnh nguyên tắc tuân thủ hiến pháp, pháp luật, đồng thời tăng cường quyền tự chủ của cá nhân trong việc kiểm soát thông tin riêng tư của mình.

DỮ LIỆU CÁ NHÂN ĐƯỢC ĐỊNH NGHĨA NHƯ THẾ NÀO?

Theo Điều 2, dữ liệu cá nhân gồm các thông tin hoặc dữ liệu số xác định hoặc giúp nhận diện một người cụ thể, trong đó chia thành hai loại chính: dữ liệu cá nhân cơ bản và dữ liệu nhạy cảm. Dữ liệu cá nhân cơ bản phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường dùng trong các giao dịch xã hội. Trong khi đó, dữ liệu nhạy cảm liên quan đến quyền riêng tư, gây ảnh hưởng trực tiếp đến lợi ích hợp pháp của cá nhân nếu bị xâm phạm, thuộc danh mục do Chính phủ quy định.

Chủ thể dữ liệu có quyền yêu cầu rút lại sự đồng ý hoặc từ chối xử lý dữ liệu cá nhân của mình, theo quy định tại Điều 4.

NGƯỜI DÙNG CÓ QUYỀN TỪ CHỐI VIỆC CHIA SẺ DỮ LIỆU TRÊN MẠNG XÃ HỘI

Luật mới quy định rõ ràng về cơ hội cho người dùng kiểm soát dữ liệu của chính mình trên các nền tảng mạng xã hội và dịch vụ trực tuyến. Các tổ chức, cá nhân cung cấp dịch vụ cần thực hiện các trách nhiệm như:

Thông báo rõ về nội dung dữ liệu thu thập khi người dùng bắt đầu sử dụng dịch vụ; không thu thập dữ liệu trái phép hoặc vượt ra ngoài phạm vi đã thỏa thuận.

Không được yêu cầu cung cấp hình ảnh, video hoặc giấy tờ tùy thân làm căn cứ xác thực tài khoản một cách đầy đủ hoặc trần trụi.

Cung cấp tùy chọn để người dùng từ chối hoặc kiểm soát việc thu thập, chia sẻ dữ liệu như cookies, “không theo dõi” hoặc theo dõi chỉ khi có sự đồng ý của người dùng.

Các hành vi như nghe lén, ghi âm cuộc gọi hoặc đọc tin nhắn khi không có sự đồng ý đều bị cấm trừ khi theo quy định của pháp luật. Đồng thời, chính sách bảo mật phải được công khai rõ ràng và minh bạch, cung cấp quyền truy cập, chỉnh sửa, xóa dữ liệu, cũng như thiết lập chế độ bảo vệ dữ liệu khi chuyển giao xuyên biên giới.

Các tổ chức vi phạm có thể bị xử phạt nặng nếu ép buộc người dùng cung cấp giấy tờ cá nhân hoặc thực hiện hành vi xâm phạm quyền riêng tư.

TRƯỜNG HỢP KHÔNG CẦN SỰ ĐỒNG Ý ĐỂ XỬ LÝ DỮ LIỆU

Luật quy định rõ những trường hợp đặc biệt có thể xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể, như:

Bảo vệ tính mạng, sức khỏe, danh dự hoặc quyền lợi hợp pháp của cá nhân hoặc người khác trong các tình huống cấp bách.

Giải quyết các vấn đề liên quan đến an ninh quốc gia, phòng chống tội phạm, khủng bố hoặc các trường hợp khẩn cấp khác.

Thực hiện hoạt động của cơ quan nhà nước hoặc theo quy định của pháp luật để quản lý, điều hành.

Thực hiện thỏa thuận giữa chủ thể với các tổ chức, cá nhân liên quan theo quy định của pháp luật.

Các trường hợp khác sẽ tiếp tục được pháp luật điều chỉnh rõ ràng nhằm đảm bảo cân bằng quyền lợi và trách nhiệm của các bên liên quan.