LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN NĂM 2025: HÀNH VI MUA BÁN DỮ LIỆU CÁ NHÂN CÓ THỂ BỊ XỬ PHẠT ĐẾN 10 LẦN KHOẢN THU BẤT CHÍNH VÀ KHÔNG THẤP HƠN 03 TỶ ĐỒNG

Ngày 26/6/2025, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, có hiệu lực từ ngày 01/01/2026 (“Luật Bảo vệ DLCN”), đánh dấu bước tiến quan trọng trong việc bảo vệ thông tin cá nhân và thúc đẩy kinh tế số. Quy định về bảo vệ dữ liệu cá nhân lần đầu tiên được nâng lên thành một đạo luật mới riêng biệt tại Việt Nam. So với Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân được Chính phủ ban hành ngày 17/04/2024 (“Nghị định 13”), Luật mới mang đến nhiều thay đổi đột phá, không chỉ nhằm bảo vệ quyền riêng tư của người dân mà còn đặt ra các yêu cầu chặt chẽ hơn đối với doanh nghiệp trong việc thu thập, xử lý và lưu trữ DLCN, đáp ứng yêu cầu trong thời kỳ công nghệ hiện đại.

Dưới đây, ATA đã cập nhật một số nội dung nổi bật của Luật Bảo vệ DLCN có tác động lớn đến các cá nhân và doanh nghiệp như sau:

1. Các nền tảng có nguồn gốc nước ngoài nhưng xử lý DLCN của công dân/người gốc Việt Nam đều là đối tượng điều chỉnh của Luật

So với Nghị định 13, Luật Bảo vệ DLCN mở rộng đối tượng áp dụng, đặc biệt hướng đến các tổ chức, cá nhân nước ngoài không có hiện diện tại Việt Nam nhưng xử lý DLCN của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch nhưng đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước. Theo đó, các nền tảng như Google, Facebook, Tiktok hay các nền tảng xuyên biên giới khác sẽ chịu sự điều chỉnh trực tiếp nếu các tổ chức này xử lý DLCN của công dân Việt Nam.

Điều này giúp Việt Nam kiểm soát chặt chẽ hơn DLCN trong bối cảnh toàn cầu hóa, đảm bảo được quyền lợi của công dân Việt Nam trên các nền tảng mạng xã hội quốc tế, tăng cường quản lý việc xử lý DLCN xuyên biên giới trong trực trạng các vụ việc lừa đảo qua mạng ngày càng gia tăng như hiện nay.

2. Mức xử phạt hành chính đối với hành vi mua, bán DLCN đến 10 lần khoản thu bất chính và không thấp hơn 03 tỷ đồng

Ngoài các hành vi bị cấm đối với việc xử lý DLCN được quy định tại Nghị định 13, Luật Bảo vệ DLCN bổ sung việc nghiêm cấm đối với 02 hành vi sau:

• Mua, bán DLCN, trừ trường hợp luật có quy định khác.
• Chiếm đoạt, cố ý làm lộ, làm mất DLCN.

Trước đây, các hành vi vi phạm vấn đề bảo vệ dữ liệu cá nhân chưa được quy định chế tài xử phạt vi phạm hành chính riêng mà được lồng ghép vào quy định của pháp luật về bảo vệ quyền lợi người tiêu dùng (Luật Bảo vệ quyền lợi người tiêu dùng và Nghị định 98/2020/NĐ-CP (sửa đổi, bổ sung bởi Nghị định 24/2025/NĐ-CP) với mức xử phạt từ 30 đến 160 triệu đồng tuỳ tính chất và quy mô vi phạm.

Nhằm tăng tính răn đe và hạn chế hành vi vi phạm trong lĩnh vực này, Luật bảo vệ DLCN quy định mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức lên tới 10 lần khoản thu có được từ hành vi mua, bán DLCN hoặc đến 5% doanh thu của năm trước liền kề đối với hành vi chuyển DLCN xuyên biên giới. Trong mọi trường hợp, mức phạt không thấp hơn 03 tỷ đồng, kể cả khi không có khoản thu hoặc không xác định được khoản thu bất chính. Đối với cá nhân thực hiện cùng hành vi vi phạm: mức phạt tiền tối đa bằng 1/2 mức phạt tiền đối với tổ chức.

3. Hệ thống dữ liệu Big Data, AI, Blockchain… phải khử nhận dạng cá nhân khi chủ thể DLCN có yêu cầu

- Luật Bảo vệ DLCN quy định cụ thể về các trường hợp bảo vệ dữ liệu trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo điện toán đám mây (Big Data, AI, Blockchain, Metaverse), cụ thể:

• DLCN phải được xử lý đúng mục đích và giới hạn trong phạm vi cần thiết, bảo đảm quyền, lợi ích hợp pháp của chủ thể DLCN.
• Hệ thống và dịch vụ sử dụng phải được tích hợp biện pháp bảo mật, xác thực, định danh phù hợp và phân quyền truy cập và phân loại rủi ro khi xử lý bằng AI.
• Phải tuân thủ pháp luật liên quan, phù hợp với chuẩn mức đạo đức, thuần phong mỹ tục của Việt Nam; không sử dụng, phát triển hệ thống xử lý có sử dụng DLCN để gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của người khác.

- Liên quan đến lĩnh vực công nghệ cao, nhằm đảm bảo tính bảo mật trên môi trường số, luật bảo vệ dữ liệu cá nhân mới cũng bổ sung thêm quy định về việc xoá, huỷ, khử nhận dạng dữ liệu cá nhân (thay đổi hoặc xóa thông tin để tạo ra dữ liệu mới không thể xác định hoặc không thể giúp xác định được một con người cụ thể) trong các trường hợp sau:

• Chủ thể DLCN có yêu cầu;
• Đã hoàn thành mục đích xử lý DLCN;
• Hết thời hạn lưu trữ theo quy định của pháp luật;
• Theo quyết định của cơ quan nhà nước có thẩm quyền;
• Theo thỏa thuận.

Cơ quan, tổ chức, cá nhân khử nhận dạng DLCN có trách nhiệm kiểm soát và giám sát chặt chẽ quá trình xoá, huỷ, khử nhận dạng DLCN; ngăn chặn việc truy cập trái phép, sao chép, chiếm đoạt, làm lộ, làm mất DLCN trong quá trình xoá, huỷ, khử nhận dạng; Không được tái nhận dạng DLCN sau khi đã được khử nhận dạng.

4. Các nền tảng mạng xã hội không được yêu cầu cung cấp ảnh/video chứa giấy tờ tuỳ thân làm yếu tố xác thực tài khoản

Liên quan đến các quy định về bảo vệ dữ liệu cá nhân trong tài chính, ngân hàng, tín dụng, thông tin tín dụng, kinh doanh bảo hiểm, quảng cáo và các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến.

* Đối với tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, truyền thông trực tuyến:

• Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.
• Không được nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể DLCN, trừ trường hợp pháp luật có quy định khác.
• Không được thu thập trái phép DLCN /thu thập vượt phạm vi thỏa thuận với người dùng.

* Đối với các nhà tuyển dụng nhân sự: tổ chức, cá nhân tuyển dụng chỉ được:

• Yêu cầu ứng viên cung cấp thông tin phục vụ trực tiếp cho mục đích tuyển dụng; Không được thu thập thông tin quá mức hoặc không liên quan;
• Chỉ được sử dụng dữ liệu đó cho tuyển dụng hoặc mục đích khác nếu được ứng viên đồng ý.
• Nếu không tiếp nhận ứng viên, nhà tuyển dụng phải xóa/hủy toàn bộ thông tin cá nhân đã thu thập, trừ khi hai bên có thỏa thuận khác.

* Đối với các doanh nghiệp sử dụng lao động:

• DLCN của người lao động chỉ được lưu giữ trong thời hạn theo quy định pháp luật/theo thỏa thuận hợp pháp giữa hai bên.
• Người sử dụng lao động phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác. Do đó, nếu không có lý do chính đáng (như yêu cầu lưu trữ hồ sơ bảo hiểm, thuế…), doanh nghiệp phải chấm dứt xử lý dữ liệu ngay khi kết thúc quan hệ lao động.
• Doanh nghiệp chỉ được áp dụng công nghệ, kỹ thuật (như GPS, camera, phần mềm chấm công…) khi người lao động biết rõ và đồng ý; Không được sử dụng dữ liệu thu thập được từ các công cụ này vào mục đích khác nếu không có sự đồng ý.

* Đối với ngân hàng, tổ chức tín dụng:

• Không sử dụng thông tin tín dụng của chủ thể DLCN để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể DLCN khi chưa có sự đồng ý của chủ thể DLCN. Điều này áp dụng cho cả ngân hàng, công ty tài chính, và các tổ chức thu thập, xử lý thông tin tín dụng.
• Chỉ được thu thập những dữ liệu cần thiết từ nguồn hợp pháp và phù hợp với quy định của Luật, không được thu thập tràn lan hay sử dụng dữ liệu từ nguồn không minh bạch.
• Phải thông báo cho chủ thể DLCN trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng.

* Đối với tổ chức quảng cáo:

• Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm….
• Tổ chức quảng cáo phải cung cấp cơ chế để khách hàng từ chối nhận thông tin quảng cáo và chỉ được sử dụng dữ liệu do bên kiểm soát dữ liệu chuyển giao theo đúng thỏa thuận; hoặc do chính mình thu thập từ khách hàng trong quá trình kinh doanh.
• Không được thuê lại/thỏa thuận để bên thứ ba thực hiện toàn bộ dịch vụ quảng cáo có sử dụng DLCN. Tổ chức quảng cáo phải trực tiếp thực hiện, đồng thời chịu trách nhiệm chứng minh nguồn dữ liệu và quá trình sử dụng dữ liệu đó.

* Đối với các doanh nghiệp bảo hiểm:

• Chỉ được tiếp cận dữ liệu sức khỏe khi có sự đồng ý rõ ràng từ khách hàng.
• Trường hợp doanh nghiệp bảo hiểm chuyển dữ liệu cho đối tác tái bảo hiểm/nhượng tái bảo hiểm, điều này phải được nêu rõ trong hợp đồng với khách hàng.

5. Miễn trừ một số nghĩa vụ về xử lý DLCN cho doanh nghiệp siêu nhỏ, nhỏ và hộ kinh doanh cá thể

• Trong thời hạn 05 năm từ ngày Luật có hiệu lực, doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện việc đánh giá tác động xử lý DLCN, cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ DLCN hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN (trừ doanh nghiệp kinh doanh dịch vụ xử lý DLCN, trực tiếp xử lý DLCN nhạy cảm hoặc xử lý DLCN của số lượng lớn chủ thể DLCN).
• Các hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện các nghĩa vụ nêu trên (trừ hộ kinh doanh, doanh nghiệp kinh doanh dịch vụ xử lý DLCN, trực tiếp xử lý DLCN nhạy cảm hoặc xử lý DLCN của số lượng lớn chủ thể DLCN).

Luật Bảo vệ DLCN có hiệu lực thi hành từ ngày 01/01/2026. Các hoạt động xử lý DLCN hoặc hồ sơ liên quan đến xử lý DLCN đã thực hiện theo Nghị định 13 và được xác lập hoặc tiếp nhận trước ngày 01/01/2026 thì tiếp tục được thực hiện, không cần làm lại.