Ngày 26/6/2025, Quốc hội chính thức thông qua Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15). Đây là bước tiến quan trọng trong việc lĩnh vực bảo vệ thông tin, quyền riêng tư của cá nhân tại Việt Nam.
Việc luật định các nội dung, thẩm quyền quản lý nhà nước về bảo vệ dữ liệu cá nhân, đặc biệt là chế tài xử lý đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân sẽ góp phần ngăn chặn và xử lý kịp thời các hành vi xâm phạm dữ liệu cá nhân.
Luật Bảo vệ dữ liệu cá nhân năm 2025 có một số điểm mới đáng chú ý
- Luật phân loại dữ liệu thành hai nhóm dữ liệu cơ bản là dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Tương ứng với mỗi loại dữ liệu, cho phép Chính phủ quy định chi tiết nhằm linh hoạt điều chỉnh theo từng giai đoạn và bối cảnh.
- Luật quy định rõ quyền và nghĩa vụ của chủ thể dữ liệu cá nhân. Việc quy định quyền của chủ thể dữ liệu cá nhân có ý nghĩa quan trọng, để mỗi cá nhân có thể biết, thể hiện quan điểm, đồng thời tự bảo vệ các dữ liệu thuộc về cá nhân mình. Bên cạnh đó, để ngăn chặn tình trạng lạm dụng quyền, Luật cũng quy định chủ thể dữ liệu cá nhân phải ràng buộc bằng các nghĩa vụ tự bảo vệ dữ liệu cá nhân của mình; tôn trọng, bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình; chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
- Luật Bảo vệ dữ liệu cá nhân bổ sung cơ sở pháp lý cho phép xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể trong một số trường hợp cụ thể vì quyền hoặc lợi ích chính đáng của bên xử lý. Điều này giúp cân bằng giữa bảo vệ quyền riêng tư và nhu cầu thực tế trong quản trị dữ liệu.
- Các doanh nghiêp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện đánh giá tác động xử lý dữ liệu cá nhân trong thời gian 5 năm kể từ ngày Luật này có hiệu lực thi hành, trừ doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu cá nhân. Quy định này giúp cân bằng giữa quy định bảo vệ và khả năng tuân thủ thực tế của các chủ thể kinh doanh.
- Luật yêu cầu tổ chức phải thực hiện đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong vòng 60 ngày kể từ khi bắt đầu xử lý hoặc chuyển giao. Các bản đánh giá này cần được cập nhật định kỳ, đặc biệt trong các tình huống có thay đổi công nghệ, quy trình.
- Luật cũng thiết lập cơ chế chế tài nghiêm khắc nhằm tăng tính răn đe đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân: Phạt hành chính lên tới 3 tỷ đồng hoặc 10 lần doanh thu bất hợp pháp; Phạt tối đa 5% doanh thu năm trước trong trường hợp vi phạm chuyển dữ liệu cá nhân ra nước ngoài; Trường hợp nghiêm trọng, tổ chức, cá nhân có thể bị xử lý hình sự và yêu cầu bồi thường thiệt hại dân sự.
Những đổi mới nêu trên cho Luật bảo vệ dữ liệu cá nhân 2025 không chỉ tập trung vào việc bảo đảm quyền và lợi ích hợp pháp của cá nhân, mà còn hướng tới việc tạo lập một khuôn khổ pháp lý minh bạch, ổn định. Việc thiết kế các quy định rõ ràng về trách nhiệm, quy trình và nghĩa vụ tuân thủ giúp cơ quan, tổ chức và doanh nghiệp chủ động hơn trong quản trị dữ liệu, giảm rủi ro pháp lý và nâng cao năng lực cạnh tranh.
Bên cạnh Luật Bảo vệ dữ liệu cá nhân năm 2025, ngày 31/12/2025 Chính phủ cũng đã ban hành Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân, góp phần hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam.
Công ty Cổ phần An ninh mạng Việt Nam (VNDS) đăng tải toàn văn Luật Bảo vệ dữ liệu cá nhân 2025.
