Việt Nam đã chính thức nâng cao khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân từ cấp Nghị định lên thành Luật. Ngày 26/6/2025, Quốc hội đã thông qua Luật Bảo vệ Dữ liệu cá nhân, đánh dấu một bước tiến quan trọng trong việc bảo vệ quyền riêng tư của công dân trong kỷ nguyên số. Luật mới này sẽ có hiệu lực thi hành từ ngày 01/01/2026.
Cho đến khi Luật có hiệu lực, Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 01/7/2023, vẫn là văn bản pháp lý cốt lõi điều chỉnh mọi hoạt động liên quan đến xử lý dữ liệu cá nhân tại Việt Nam.
Phạm vi điều chỉnh và sự tiệm cận chuẩn mực quốc tế
Luật Bảo vệ Dữ liệu Cá nhân có nhiều điểm mới nổi bật. Trước hết, phạm vi điều chỉnh được mở rộng, áp dụng không chỉ đối với cá nhân, tổ chức trong nước mà còn cho các tổ chức, doanh nghiệp nước ngoài khi xử lý dữ liệu cá nhân tại Việt Nam. Việc quy định rõ ràng các khái niệm như “dữ liệu nhạy cảm”, “dữ liệu đã khử nhận dạng” thể hiện sự tiệm cận với chuẩn mực quốc tế, đặc biệt là mô hình GDPR (General Data Protection Regulation) của châu Âu.
Mở rộng quyền của chủ thể dữ liệu
Theo Nghị định 13/2023/NĐ‑CP, chủ thể dữ liệu được xác lập 11 quyền cơ bản trong Điều 9, gồm: quyền biết, đồng ý, truy cập, rút lại sự đồng ý, xóa dữ liệu, hạn chế xử lý, cung cấp dữ liệu, phản đối xử lý, khiếu nại/tố cáo/khởi kiện, yêu cầu bồi thường và tự bảo vệ theo Bộ luật Dân sự. Trong khi đó, trong Luật Bảo vệ Dữ liệu Cá nhân, số quyền này sẽ được mở rộng lên 13 quyền, bổ sung thêm: quyền từ chối xử lý dữ liệu tự động (khi gây ra hậu quả pháp lý) và quyền yêu cầu hạn chế xử lý vượt khung hiện hành.
Nguyên tắc xử lý và các nghĩa vụ bắt buộc
Một trong những điểm đáng chú ý là luật đã xác lập hệ thống nguyên tắc xử lý dữ liệu cá nhân, bảo đảm tính minh bạch, chính xác, đúng mục đích, đồng thời hạn chế tối đa việc lạm dụng. Quyền và nghĩa vụ của chủ thể dữ liệu cũng được quy định cụ thể hơn, với các quyền như được biết, được truy cập, chỉnh sửa hoặc yêu cầu xóa dữ liệu của mình. Đặc biệt, cơ chế xin sự đồng ý rõ ràng, tách rời được siết chặt, hạn chế tình trạng ép buộc người dùng phải chia sẻ dữ liệu không liên quan.
Bên cạnh đó, Luật cũng đưa ra quy định bắt buộc về đánh giá tác động xử lý dữ liệu cá nhân (DPIA), nhất là khi dữ liệu được chuyển ra nước ngoài. Hồ sơ đánh giá này sẽ là căn cứ pháp lý quan trọng để cơ quan quản lý tiến hành hậu kiểm.
Các hành vi bị nghiêm cấm và chế tài xử phạt
Về chế tài, Luật đã bổ sung 7 hành vi nghiêm khắc nhằm răn đe các hành vi vi phạm, trong đó có mua bán trái phép dữ liệu, cản trở cơ quan kiểm tra, lợi dụng dữ liệu để chống phá Nhà nước… Các hành vi trên đều bị nghiêm cấm và xử phạt nghiêm minh. Mức phạt có thể lên tới 1–5% doanh thu trước thuế hoặc gấp nhiều lần khoản lợi bất chính thu được từ hành vi vi phạm, đồng thời có thể truy cứu trách nhiệm hình sự nếu vi phạm nghiêm trọng.
Có thể thấy, với nhiều điểm mới quan trọng, Luật Bảo vệ Dữ liệu Cá nhân không chỉ thể hiện quyết tâm của Nhà nước trong việc bảo vệ quyền riêng tư của công dân, mà còn góp phần xây dựng một môi trường số an toàn, minh bạch, phục vụ phát triển kinh tế số.
CÔNG TY LUẬT TNHH INFINITY VIỆT NAM (INLaw Việt Nam)
MST: 0316783759
Nhà sáng lập kiêm Luật sư điều hành: ông Nguyễn Quốc Cường
Trụ sở chính INLaw Việt Nam - Quận 1, Tp. Hồ Chí Minh: P.303 Tòa nhà The Vital, số 16 Đặng Tất, phường Tân Định, TP. HCM
Điện Thoại: 0966 955 711
Email: customer@inlaw.com.vn
Chi Nhánh INLaw Việt Nam - Đồng Nai: J46 Khu phố 1, phường Trấn Biên, Tp. Biên Hòa, tỉnh Đồng Nai
Điện Thoại: 0903 909 229 (Ls. Nga)
Email: dongnai@inlaw.com
Chi nhánh INLaw Việt Nam- Khánh Hòa: 37 Võ Trứ, phường Nha Trang, tỉnh Khánh Hòa
Điện thoại: 02583 551 779 - 0913 417 666
