Luật Bảo vệ dữ liệu cá nhân gồm 05 chương, 39 điều, quy định rõ về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.
Việc Luật chính thức được áp dụng mở ra một giai đoạn pháp lý mới, đặt ra yêu cầu đối với các cơ quan nhà nước, tổ chức và doanh nghiệp trong việc điều chỉnh hoạt động thu thập, xử lý thông tin theo hướng minh bạch, trao nhiều quyền cho người dùng.
Dưới đây là những quan trọng người dùng và doanh nghiệp cần lưu ý khi Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành.

Khái niệm dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm

Dữ liệu cá nhân được hiểu là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể. Bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên được sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức và cá nhân, thuộc danh mục do Chính phủ ban hành.

Trách nhiệm của mạng xã hội và quyền của người dùng từ 1/1/2026

Tháng 12/2025, ứng dụng Zalo đã bất ngờ cập nhật điều khoản sử dụng, trong đó có quyền thu thập, sử dụng và chia sẻ dữ liệu cá nhân của người dùng, thu hút sự quan tâm và nhiều ý kiến trái chiều từ dư luận.
Đáng chú ý, trong các điều khoản này, Zalo không đưa ra cam kết bảo đảm về tính ổn định của dịch vụ cũng như mức độ an toàn, bảo mật thông tin, đồng thời yêu cầu người dùng phải chấp thuận toàn bộ điều khoản để tiếp tục sử dụng; trường hợp không đồng ý, tài khoản có thể bị xóa.
Câu chuyện này cũng đặt ra vấn đề dữ liệu cá nhân không thể thu thập, sử dụng tùy tiện, nhất là khi Luật Bảo vệ dữ liệu cá nhân sẽ có hiệu lực từ 1-1-2026.
Từ yêu cầu tăng cường bảo vệ quyền riêng tư của người dùng, Luật Bảo vệ dữ liệu cá nhân đã thiết lập những giới hạn cụ thể đối với hoạt động xác thực và thu thập dữ liệu trên nền tảng mạng xã hội.

Mạng xã hội không được yêu cầu cung cấp hình ảnh, video chứa nội dung về giấy tờ tùy thân làm yếu tố xác thực

Một trong những quy định đáng chú ý của luật Bảo vệ dữ liệu cá nhân 2025 là quy định rõ các đơn vị cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.
Đồng thời, các nền tảng mạng xã hội phải có trách nhiệm:

  • Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies);
  • Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;
  • Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác;
  • Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân;
  • Cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư;
  • Bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới;
  • Xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.

Bên cạnh đó, Luật Bảo vệ dữ liệu cá nhân cũng quy định hành vi mua bán dữ liệu cá nhân trái phép là một trong bảy hành vi bị nghiêm cấm. Các hành vi bị cấm khác bao gồm: lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; xử lý dữ liệu cá nhân trái quy định của pháp luật; sử dụng dữ liệu cá nhân của người khác hoặc cho người khác sử dụng dữ liệu cá nhân của mình nhằm thực hiện hành vi trái pháp luật, cùng các hành vi vi phạm khác theo quy định của luật.

Quyền của chủ thể dữ liệu cá nhân

Không chỉ đặt ra nghĩa vụ đối với các nền tảng mạng xã hội, Luật Bảo vệ dữ liệu cá nhân còn xác lập rõ ràng các quyền của chủ thể dữ liệu, trong đó có quyền kiểm soát và yêu cầu xóa dữ liệu cá nhân của mình.
Luật Bảo vệ dữ liệu cá nhân 2025 cũng định nghĩa cụ thể về sự đồng ý của chủ thể dữ liệu trong hoạt động thu thập và xử lý dữ liệu cá nhân. Theo khoản 1 Điều 9, sự đồng ý là "việc chủ thể dữ liệu cá nhân cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác".
Theo khoản 2 Điều 9, sự đồng ý chỉ có hiệu lực dựa trên tự nguyện và biết rõ các thông tin gồm: loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu; bên kiểm soát dữ liệu hoặc bên kiểm soát và xử lý dữ liệu; các quyền và nghĩa vụ của chủ thể dữ liệu cá nhân.
Đáng chú ý, khoản 4 Điều 9 đặt ra các nguyên tắc bắt buộc đối với sự đồng ý, theo đó: chủ thể dữ liệu phải thể hiện sự đồng ý với từng mục đích; không được kèm điều kiện bắt buộc đồng ý với mục đích khác nội dung thỏa thuận; sự đồng ý có hiệu lực đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý (hoặc theo quy định của pháp luật). Đồng thời, việc im lặng hoặc không phản hồi không được coi là sự đồng ý.
Việc đồng ý cho xử lý dữ liệu cá nhân không mang tính ràng buộc vĩnh viễn. Căn cứ khoản 1 Điều 10, chủ thể dữ liệu có quyền yêu cầu rút lại sự đồng ý, hạn chế xử lý dữ liệu khi có nghi ngờ về phạm vi, mục đích xử lý hoặc tính chính xác của dữ liệu, trừ trường hợp quy định tại Điều 19 hoặc pháp luật có quy định khác.
Khi người dùng yêu cầu ngừng xử lý dữ liệu, bên kiểm soát dữ liệu phải thực hiện ngay. Theo khoản 3 Điều 10, đơn vị phải "tiếp nhận, thực hiện và yêu cầu bên xử lý dữ liệu cá nhân thực hiện yêu cầu rút lại sự đồng ý, hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân trong thời gian theo quy định của pháp luật".
Tuy nhiên, Luật cũng quy định một số trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu. Cụ thể, dữ liệu cá nhân có thể được xử lý nhằm bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác trong trường hợp cấp bách; bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác hoặc lợi ích của Nhà nước, của cơ quan tổ chức một cách cần thiết trước hành vi xâm phạm lợi ích nói trên. Hoặc trong các trường hợp giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật...
Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực, việc hiểu đúng và tuân thủ đầy đủ các quy định pháp luật là yêu cầu bắt buộc đối với mọi cơ quan, tổ chức và doanh nghiệp.
Công ty Cổ phần An ninh Dữ liệu Việt Nam (VNDS) là đơn vị cung cấp dịch vụ và giải pháp tổng thể, toàn diện trong lĩnh vực bảo vệ dữ liệu cá nhân (BVDLCN) nói riêng và bảo vệ dữ liệu nói chung; đồng thời là thành viên tích cực, tin cậy của Hiệp hội An ninh mạng quốc gia.
VNDS sở hữu đội ngũ chuyên gia hàng đầu với hơn 20 năm kinh nghiệm trong các lĩnh vực an ninh mạng, an ninh dữ liệu, bảo vệ dữ liệu cá nhân, tư vấn pháp lý và đánh giá tuân thủ, đã và đang đồng hành cùng nhiều cơ quan, tổ chức, doanh nghiệp trong quá trình xây dựng và triển khai tuân thủ pháp luật về dữ liệu.
Chúng tôi cam kết mang đến các giải pháp phù hợp, khả thi và tuân thủ đúng quy định pháp luật, giúp tổ chức giảm thiểu rủi ro pháp lý, nâng cao năng lực quản trị dữ liệu và củng cố niềm tin của khách hàng, đối tác.
Liên hệ VNDS ngay hôm nay để được tư vấn chi tiết giải pháp phù hợp với mô hình hoạt động của đơn vị bạn!