Luật Bảo vệ dữ liệu cá nhân 2025: Siết chặt quyền riêng tư, cảnh báo doanh nghiệp và nền tảng số

Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) vừa được Quốc hội thông qua tại Kỳ họp thứ 9, sẽ chính thức có hiệu lực từ ngày 01/01/2026. Đây là văn bản pháp lý đầu tiên ở cấp luật quy định toàn diện về quyền riêng tư và nghĩa vụ bảo vệ dữ liệu cá nhân tại Việt Nam.

Luật đặt ra hàng loạt yêu cầu bắt buộc đối với doanh nghiệp, tổ chức và các nền tảng công nghệ, đặc biệt là trong hoạt động thu thập, xử lý, lưu trữ và chuyển giao dữ liệu người dùng.

Không được yêu cầu hình ảnh giấy tờ tùy thân để xác thực

Một trong những quy định đáng chú ý tại Điều 29 là việc cấm các mạng xã hội, dịch vụ trực tuyến tại Việt Nam yêu cầu người dùng cung cấp hình ảnh hoặc video có chứa thông tin giấy tờ tùy thân – dù đầy đủ hay một phần – làm yếu tố xác thực tài khoản.

Quy định này được xem là bước siết mạnh nhằm ngăn chặn tình trạng thu thập tùy tiện thông tin nhạy cảm, tránh nguy cơ rò rỉ, lạm dụng dữ liệu cá nhân trong môi trường số.

Doanh nghiệp phải xóa dữ liệu ứng viên không được tuyển dụng

Luật quy định rõ trách nhiệm của tổ chức, cá nhân trong tuyển dụng và sử dụng lao động đối với dữ liệu cá nhân. Chỉ được thu thập dữ liệu phục vụ đúng mục đích tuyển dụng, và phải xóa, hủy thông tin của ứng viên nếu không trúng tuyển, trừ khi có thỏa thuận khác.

Đối với người lao động, doanh nghiệp phải xóa dữ liệu cá nhân khi chấm dứt hợp đồng lao động, trừ trường hợp pháp luật có quy định khác hoặc có thỏa thuận riêng.

Ngoài ra, các biện pháp công nghệ được áp dụng để xử lý dữ liệu cá nhân của người lao động phải được người lao động biết rõ, không được dùng để theo dõi, xử lý trái pháp luật.

Siết chặt dữ liệu sinh trắc học

Đối với dữ liệu sinh trắc học – như dấu vân tay, nhận diện khuôn mặt, giọng nói – Luật yêu cầu tổ chức, cá nhân xử lý dữ liệu phải bảo mật vật lý thiết bị lưu trữ, hạn chế quyền truy cập và có hệ thống giám sát để phát hiện vi phạm.

Trong trường hợp dữ liệu sinh trắc học bị xâm phạm gây thiệt hại, bên xử lý dữ liệu phải thông báo cho chủ thể dữ liệu theo quy định của Chính phủ.

Quyền của người dùng được củng cố

Luật khẳng định rõ các quyền của chủ thể dữ liệu cá nhân, bao gồm:

• Quyền được thông báo khi dữ liệu bị thu thập, xử lý;
• Quyền truy cập, chỉnh sửa, xóa, hạn chế xử lý dữ liệu;
• Quyền phản đối, yêu cầu chấm dứt xử lý;
• Quyền được thông báo nếu dữ liệu bị rò rỉ, mất mát.

Các tổ chức, doanh nghiệp phải thiết lập cơ chế để người dùng thực hiện các quyền này, không được gây cản trở hoặc trì hoãn.

Cấm mua bán dữ liệu cá nhân, xử phạt tới 5% doanh thu

Luật cấm tuyệt đối hành vi mua bán dữ liệu cá nhân, trừ trường hợp pháp luật có quy định cụ thể. Đồng thời, quy định mức xử phạt tối đa lên tới 5% doanh thu của năm trước liền kề đối với tổ chức vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài.

Nếu không xác định được doanh thu hoặc doanh thu thấp hơn mức phạt tối đa, sẽ áp dụng mức xử phạt theo hướng dẫn của Chính phủ.

Nguyên tắc và cơ chế thanh tra

Theo Điều 3, việc bảo vệ dữ liệu cá nhân phải tuân thủ các nguyên tắc:

• Đúng mục đích, phạm vi, thời gian lưu trữ;
• Bảo đảm tính chính xác, có thể cập nhật, chỉnh sửa;
• Kết hợp biện pháp pháp lý, kỹ thuật và tổ chức;
• Gắn bảo vệ dữ liệu với bảo vệ quyền con người, an ninh quốc gia, lợi ích kinh tế.

Luật thiết lập cơ chế thanh tra, kiểm tra chuyên ngành. Các cơ quan nhà nước có thẩm quyền sẽ thanh tra định kỳ hoặc đột xuất đối với tổ chức, cá nhân xử lý dữ liệu cá nhân, nhằm phát hiện và xử lý kịp thời các hành vi vi phạm.

Doanh nghiệp có trách nhiệm công khai chính sách bảo mật, đào tạo nhân sự về bảo vệ dữ liệu, báo cáo kịp thời các sự cố và thiết lập cơ chế nội bộ để quản trị rủi ro dữ liệu.

PV (t/h)