Luật Bảo vệ dữ liệu cá nhân sẽ chính thức có hiệu lực từ ngày 1/1/2026, sau khi được Quốc hội thông qua vào tháng 6/2025. Đây được xem là bước tiến lớn trong việc hoàn thiện hành lang pháp lý liên quan đến quyền riêng tư và an toàn dữ liệu, trong bối cảnh hoạt động số hóa diễn ra ngày càng sâu rộng.
Luật gồm 5 chương, 39 điều, tập trung làm rõ khái niệm dữ liệu cá nhân, nguyên tắc bảo vệ dữ liệu, đồng thời xác định quyền - nghĩa vụ của các cơ quan, doanh nghiệp và người dùng. Việc triển khai bộ luật mới được kỳ vọng tạo ra môi trường minh bạch hơn trong hoạt động thu thập, xử lý thông tin, trao cho người dùng khả năng kiểm soát dữ liệu của chính mình thay vì hoàn toàn phụ thuộc vào nền tảng.
Theo Luật Bảo vệ dữ liệu cá nhân 2025, dữ liệu cá nhân được hiểu là dữ liệu số hoặc thông tin dưới dạng khác giúp xác định một cá nhân cụ thể. Luật chia dữ liệu thành hai nhóm:
- Dữ liệu cá nhân cơ bản: Là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
- Dữ liệu cá nhân nhạy cảm: Là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
Một trong những điểm đáng chú ý nằm ở Điều 29, quy định trách nhiệm của các mạng xã hội và nền tảng truyền thông trực tuyến. Các đơn vị cung cấp dịch vụ phải:
1. Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng;
2. Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản;
3. Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies);
4. Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;
5. Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác;
6. Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.
Khi chính thức thi hành, luật đặt ra yêu cầu các cơ quan, doanh nghiệp rà soát quy trình vận hành, điều chỉnh phương thức quản lý dữ liệu theo chuẩn mực mới, hướng tới việc bảo đảm an toàn thông tin và xây dựng niềm tin số cho người dân.
Huỳnh Duy
