Bảo vệ dữ liệu cá nhân 2026: Luật mới, chế tài nặng và những điều người dùng cần biết

Theo Thạc sĩ Luật Lê Thanh Lâm - Hội Luật gia thành phố Hà Nội, sự ra đời của đạo luật này cho thấy Việt Nam đang tiến gần hơn tới chuẩn mực quản trị dữ liệu của châu Âu và nhiều quốc gia phát triển. Khung pháp lý mới không chỉ đặt ra nghĩa vụ rõ ràng cho các nền tảng mạng xã hội mà còn xác lập quyền mạnh mẽ hơn cho người dùng.

Siết chặt bảo mật thông tin cá nhân

Xác thực tài khoản

Một điểm đáng chú ý trong khoản 2 Điều 29 là các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến không được phép yêu cầu người dùng cung cấp hình ảnh hoặc video chụp giấy tờ tùy thân (CMND, CCCD, hộ chiếu) để xác thực tài khoản.

“Quy định này đóng vai trò quan trọng trong việc hạn chế nguy cơ rò rỉ dữ liệu nhạy cảm. Đây là nhóm dữ liệu thường bị khai thác để phục vụ các hoạt động lừa đảo tài chính, chiếm đoạt tài khoản hoặc thực hiện các hành vi vi phạm pháp luật khác”, ông Lâm cho biết.

Do vậy, các doanh nghiệp buộc phải đầu tư những cơ chế xác thực an toàn hơn, tránh lạm dụng thông tin cá nhân của người dùng.

Trách nhiệm của nền tảng cung cấp dịch vụ

Luật Bảo vệ dữ liệu cá nhân 2025 quy định loạt nghĩa vụ bắt buộc đối với các mạng xã hội và nền tảng cung cấp dịch vụ trực tuyến:

• Thông báo minh bạch về loại dữ liệu cá nhân thu thập, mục đích và phạm vi sử dụng khi người dùng đăng ký và sử dụng dịch vụ; không thu thập trái phép hoặc ngoài phạm vi thỏa thuận.

• Cấm yêu cầu cung cấp hình ảnh, video chứa giấy tờ tùy thân để xác thực tài khoản.

• Cung cấp quyền kiểm soát dữ liệu: người dùng có thể từ chối thu thập và chia sẻ dữ liệu cá nhân (cookies), lựa chọn “không theo dõi” hoạt động sử dụng dịch vụ.

• Cam kết bảo mật: không nghe lén, ghi âm cuộc gọi hay đọc tin nhắn khi chưa được đồng ý, trừ trường hợp pháp luật quy định khác.

• Công khai chính sách bảo mật, giải thích cách thu thập, sử dụng, chia sẻ dữ liệu cá nhân; cung cấp cơ chế truy cập, chỉnh sửa, xóa dữ liệu và báo cáo các vi phạm.

• Bảo vệ dữ liệu xuyên biên giới và xây dựng quy trình xử lý vi phạm nhanh chóng, hiệu quả.

ThS. Lê Thanh Lâm đánh giá: “Những quy định này đặt ra chuẩn mực trách nhiệm cao hơn cho doanh nghiệp công nghệ. Luật chuyển trọng tâm từ ‘thu thập trước - giải thích sau’ sang ‘minh bạch trước - xử lý có giới hạn’, phù hợp xu hướng toàn cầu về quyền riêng tư”.

7 hành vi bị cấm liên quan đến dữ liệu cá nhân

Luật Bảo vệ dữ liệu cá nhân 2025 nghiêm cấm các hành vi sau:

• Xử lý dữ liệu nhằm chống Nhà nước hoặc gây ảnh hưởng đến quốc phòng, an ninh, trật tự xã hội, quyền lợi hợp pháp của tổ chức, cá nhân.

• Cản trở hoạt động bảo vệ dữ liệu cá nhân.

• Lợi dụng việc bảo vệ dữ liệu để vi phạm pháp luật.

• Xử lý dữ liệu trái quy định.

• Sử dụng hoặc cho phép người khác sử dụng dữ liệu cá nhân trái phép.

• Mua bán dữ liệu cá nhân, trừ trường hợp pháp luật cho phép.

• Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu.

Theo ông Lâm, nhóm hành vi cấm này phản ánh chính sách “không khoan nhượng” đối với các vi phạm dữ liệu - lĩnh vực vốn dễ bị lợi dụng trong thời đại số. Các doanh nghiệp buộc phải xây dựng cơ chế kiểm soát nội bộ nghiêm ngặt nếu không muốn đối mặt với rủi ro pháp lý lớn.

Chế tài xử phạt nghiêm khắc chưa từng có

Điều 8 của luật Bảo vệ dữ liệu cá nhân 2025 quy định mức xử phạt cao, tùy theo tính chất và mức độ vi phạm:

• Mua bán dữ liệu cá nhân: phạt đến 10 lần khoản thu bất hợp pháp.

• Chuyển dữ liệu cá nhân ra nước ngoài trái phép: phạt đến 5% doanh thu của năm liền trước.

• Các vi phạm khác: phạt tối đa 3 tỷ đồng đối với tổ chức, cá nhân.

Theo phân tích của ThS. Lê Thanh Lâm, mức phạt dựa trên doanh thu là cơ chế thường thấy tại Liên minh châu Âu (GDPR). Việc Việt Nam áp dụng mô hình tương tự cho thấy sự cương quyết trong việc kiểm soát hoạt động của các nền tảng xuyên biên giới, đặc biệt những doanh nghiệp công nghệ lớn.

Quyền và nghĩa vụ mới của chủ thể dữ liệu

Người dùng mạng xã hội từ nay sẽ có các quyền quan trọng gồm:

• Quyền biết về hoạt động xử lý dữ liệu.

• Quyền đồng ý và rút lại sự đồng ý.

• Quyền xem, chỉnh sửa, xóa dữ liệu.

• Quyền phản đối việc xử lý dữ liệu.

• Quyền khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại.

Song song với quyền, người dùng cũng phải có trách nhiệm tự bảo vệ dữ liệu, tôn trọng dữ liệu của người khác và cung cấp thông tin trung thực theo quy định pháp luật hoặc theo thỏa thuận.

Ông Lâm nhận định: “Lần đầu tiên trong pháp luật Việt Nam, quyền riêng tư dữ liệu được đặt ở vị trí trung tâm. Quyền của người dùng được mở rộng và cụ thể hóa rõ ràng, giúp họ chủ động hơn trong môi trường số”.

Bên cạnh đó, luật Bảo vệ dữ liệu cá nhân 2025 cũng yêu cầu các tổ chức và cá nhân phải hỗ trợ người dùng khi họ thực hiện quyền liên quan đến dữ liệu cá nhân, đồng thời phải phản hồi trong thời hạn luật định. Đây là cơ chế bảo đảm để quyền của chủ thể dữ liệu không chỉ tồn tại trên giấy tờ.

“Luật Bảo vệ dữ liệu cá nhân 2025 chính thức áp dụng từ 01/01/2026 là nền tảng pháp lý mạnh mẽ nhằm bảo vệ quyền riêng tư, nâng cao trách nhiệm của doanh nghiệp công nghệ và xây dựng môi trường số an toàn, minh bạch.

Đạo luật này không chỉ bảo vệ người dân, mà còn góp phần củng cố niềm tin vào chuyển đổi số quốc gia. Một môi trường dữ liệu an toàn là điều kiện quan trọng để thúc đẩy kinh tế số, thương mại điện tử và các dịch vụ trực tuyến phát triển bền vững”, ThS. Lê Thanh Lâm nhận định thêm.