Giới thiệu Luật Bảo vệ dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân được Kỳ họp thứ 9 Quốc hội Khóa XV thông qua, có hiệu lực thi hành từ ngày 1 tháng 1 năm 2026. Dự thảo Luật đã trải qua quá trình chỉnh lý kỹ lưỡng để đảm bảo tính thực chất, rõ ràng, dễ hiểu và dễ thực hiện, đồng thời tương thích với các điều ước quốc tế mà Việt Nam là thành viên.
Bảo vệ dữ liệu cá nhân. Ảnh minh họa, nguồn Website: Báo Điện tử Chính phủ
1. Mục đích ban hành Luật Bảo vệ dữ liệu cá nhân
Thứ nhất, ngăn chặn tình trạng lộ lọt thông tin và bảo vệ người dân khỏi lừa đảo. Thực trạng hiện nay cho thấy các vụ án lừa đảo chiếm đoạt tài sản quy mô lớn thường có nguyên nhân chính từ việc lộ lọt, mua bán dữ liệu cá nhân, dẫn đến hình thành các "chợ đen" dữ liệu rất phức tạp.
Thứ hai, bảo vệ quyền riêng tư và thông tin cá nhân của người dân. Luật này là một bước ngoặt quan trọng nhằm tăng cường bảo vệ quyền riêng tư và thông tin cá nhân của người dân trong kỷ nguyên số. Dữ liệu cá nhân gắn liền với quyền nhân thân và quyền riêng tư của mỗi người, không phải là tài sản thông thường để giao dịch.
Thứ ba, thúc đẩy sự phát triển của kinh tế số và chuyển đổi số. Dữ liệu cá nhân được xác định là một trong những tư liệu sản xuất quan trọng trong quá trình chuyển đổi số và phát triển kinh tế số, xây dựng công dân số, xã hội số. Luật nhằm tạo cơ sở pháp lý minh bạch, công khai cho hoạt động khai thác, sử dụng dữ liệu một cách hiệu quả và hợp lý.
Thứ tư, hoàn thiện hành lang pháp lý toàn diện, chặt chẽ về bảo vệ dữ liệu cá nhân. Trước đây, các quy định về bảo vệ dữ liệu cá nhân còn nằm rải rác ở nhiều văn bản pháp luật khác nhau và chưa thống nhất về khái niệm, nội hàm. Luật này ra đời nhằm lấp đầy khoảng trống pháp lý, đảm bảo tính thống nhất, đồng bộ với hệ thống pháp luật hiện hành và tương thích với các điều ước quốc tế mà Việt Nam là thành viên.
Thứ năm, nâng cao ý thức và trách nhiệm của các cơ quan, tổ chức, cá nhân trong việc sử dụng dữ liệu cá nhân đúng pháp luật. Luật góp phần nâng cao nhận thức của tất cả các đối tượng về quyền, trách nhiệm, nghĩa vụ bảo vệ dữ liệu cá nhân.
Thứ sáu, thiết lập các chế tài xử phạt đủ mạnh mang tính răn đe để xử lý các hành vi vi phạm, đặc biệt là mua bán dữ liệu trái phép. Mức phạt cao là cần thiết để răn đe các doanh nghiệp lớn và xuyên biên giới, những đối tượng có thể sẵn sàng vi phạm để thu lợi lớn.
Thứ bảy, bảo vệ quyền con người và quyền công dân. Luật Bảo vệ dữ liệu cá nhân là cơ sở pháp lý ghi nhận các quyền của công dân đối với dữ liệu cá nhân, góp phần nâng cao nhận thức và hoàn thiện cơ chế thực thi bảo vệ các quyền công dân. Hiến pháp năm 2013 đã khẳng định quyền riêng tư cá nhân là bất khả xâm phạm, bao gồm quyền bảo vệ bí mật cá nhân và thông tin về đời sống riêng tư, bí mật gia đình.
Thứ tám, đảm bảo an ninh, an toàn dữ liệu, bảo mật chủ quyền quốc gia. Dữ liệu cá nhân gắn kết chặt chẽ với an ninh quốc gia.
Thứ chín, giảm thiểu thủ tục hành chính, điều kiện đầu tư kinh doanh. Luật đã cắt giảm đáng kể số dịch vụ là ngành, nghề đầu tư kinh doanh có điều kiện từ 5 xuống còn 1 (dịch vụ xử lý dữ liệu cá nhân), đồng thời bỏ các quy định về điều kiện kinh doanh dịch vụ bảo vệ dữ liệu cá nhân hay các thủ tục phức tạp khác. Điều này nhằm giảm chi phí tuân thủ và tạo thuận lợi cao nhất cho người dân và doanh nghiệp.
Thứ mười, bảo vệ các đối tượng yếu thế, bao gồm người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi, và trẻ em. Luật đã bổ sung cơ chế bảo vệ dữ liệu cá nhân phù hợp và toàn diện hơn cho các đối tượng này.
2. Một số nội dung chính trong Luật Bảo vệ dữ liệu cá nhân
Thứ nhất, về cơ cấu và phạm vi điều chỉnh. Luật được tinh gọn đáng kể, từ 7 chương và 68 điều trong dự thảo ban đầu của Chính phủ xuống còn 5 chương và 39 điều trong Luật được thông qua. Quá trình này bao gồm việc lược bỏ 19 điều, gộp nội dung 21 điều thành 9 điều và bổ sung 2 điều mới. Luật điều chỉnh việc bảo vệ dữ liệu cá nhân trên tất cả các môi trường, bao gồm môi trường truyền thống và môi trường mạng, nhằm đảm bảo tính bao quát và thống nhất.
Thứ hai, khái niệm Dữ liệu Cá nhân. Luật quy định rõ các khái niệm về dữ liệu cá nhân, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác có thể xác định hoặc giúp xác định một con người cụ thể. Dữ liệu sau khi khử nhận dạng sẽ không còn là dữ liệu cá nhân.
Thứ ba, các hành vi bị nghiêm cấm. Luật quy định rõ 7 hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân, gồm: (1) Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân. (2) Cản trở hoạt động bảo vệ dữ liệu cá nhân. (3) Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật. (4) Xử lý dữ liệu cá nhân trái quy định của pháp luật. (5) Sử dụng dữ liệu cá nhân của người khác hoặc cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái pháp luật. (6) Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác. Luật khẳng định dữ liệu cá nhân không phải là tài sản thông thường để giao dịch, vì nó gắn liền với quyền nhân thân và quyền riêng tư. (7) Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Thứ tư, chế tài xử phạt vi phạm. Tổ chức, cá nhân vi phạm có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự, và phải bồi thường thiệt hại. Mức phạt đối với hành vi mua, bán dữ liệu cá nhân có thể lên đến 10 lần khoản thu bất hợp pháp từ hành vi vi phạm. Mức phạt đối với hành vi chuyển dữ liệu cá nhân xuyên biên giới trái phép là tối đa 5% doanh thu của năm liền kề trước đó của tổ chức. Các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân có thể bị phạt tối đa 3 tỷ đồng. Mức phạt đối với cá nhân bằng một nửa mức phạt đối với tổ chức. Các mức phạt cao này nhằm đảm bảo tính răn đe, đặc biệt đối với các doanh nghiệp lớn và xuyên biên giới.
Thứ năm, về quyền và nghĩa vụ của chủ thể dữ liệu. Luật thiết kế lại rõ ràng hơn về quyền của chủ thể dữ liệu, phù hợp với thông lệ quốc tế. Các quyền chính bao gồm: được biết về hoạt động xử lý dữ liệu, đồng ý/rút lại sự đồng ý, xem/chỉnh sửa dữ liệu, yêu cầu cung cấp/xóa/hạn chế xử lý, phản đối xử lý, khiếu nại/tố cáo/khởi kiện/yêu cầu bồi thường, yêu cầu các biện pháp bảo vệ dữ liệu. Khi thực hiện quyền, chủ thể dữ liệu phải tuân thủ pháp luật, hợp đồng, nhằm bảo vệ quyền lợi hợp pháp của chính mình, không gây khó khăn hay xâm phạm quyền lợi của người khác hoặc Nhà nước. Nghĩa vụ của chủ thể dữ liệu bao gồm: tự bảo vệ dữ liệu của mình, tôn trọng/bảo vệ dữ liệu cá nhân của người khác, cung cấp dữ liệu đầy đủ/chính xác, chấp hành pháp luật và tham gia phòng chống xâm phạm dữ liệu.
Thứ sáu, giảm thiểu thủ tục hành chính. Luật đã cắt giảm triệt để, đơn giản hóa thủ tục hành chính, điều kiện đầu tư kinh doanh, giảm chi phí tuân thủ cho người dân và doanh nghiệp. Cụ thể, số dịch vụ là ngành, nghề đầu tư kinh doanh có điều kiện đã được cắt giảm từ 5 xuống còn 1 dịch vụ duy nhất là Dịch vụ xử lý dữ liệu cá nhân. Bỏ các quy định về điều kiện kinh doanh dịch vụ bảo vệ dữ liệu cá nhân, dịch vụ chuyên gia bảo vệ dữ liệu cá nhân, và các thủ tục phức tạp khác. Chính phủ sẽ quy định chi tiết các thủ tục hành chính.
Thứ bảy, cơ chế bảo vệ dữ liệu cá nhân đặc biệt. Luật bổ sung quy định bảo vệ dữ liệu cá nhân đối với người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi. Đối với hoạt động xử lý dữ liệu cá nhân trong các lĩnh vực đặc thù như tài chính, ngân hàng, y tế, thương mại điện tử, truyền thông, mạng xã hội, trí tuệ nhân tạo, internet, Luật quy định chi tiết các biện pháp bảo vệ. Các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến không được thu thập dữ liệu trái phép, yêu cầu cung cấp giấy tờ tùy thân để xác thực tài khoản, hay nghe lén/ghi âm cuộc gọi/đọc tin nhắn mà không có sự đồng ý.
Thứ tám, miễn trừ cho doanh nghiệp nhỏ và siêu nhỏ. Nhằm giảm gánh nặng tuân thủ pháp luật, Luật cho phép doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được quyền lựa chọn không thực hiện các quy định về lập hồ sơ đánh giá tác động và chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong 5 năm kể từ ngày Luật có hiệu lực. Các hộ kinh doanh và doanh nghiệp siêu nhỏ được miễn hoàn toàn việc thực hiện các quy định này.
Việc ban hành Luật Bảo vệ dữ liệu cá nhân thể hiện nỗ lực của Việt Nam trong việc xây dựng một hành lang pháp lý toàn diện, chặt chẽ để bảo vệ quyền riêng tư trong kỷ nguyên số, tạo ra một môi trường số an toàn hơn, đồng thời tạo điều kiện thuận lợi và minh bạch cho sự phát triển của kinh tế số và chuyển đổi số tại Việt Nam./.
