
Việt Nam đã chính thức nâng cao khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân từ cấp Nghị định lên thành Luật. Ngày 26/6/2025, Quốc hội đã thông qua Luật Bảo vệ Dữ liệu cá nhân, đánh dấu một bước tiến quan trọng trong việc bảo vệ quyền riêng tư của công dân trong kỷ nguyên số. Luật mới này sẽ có hiệu lực thi hành từ ngày 01/01/2026.
Cho đến khi Luật có hiệu lực, Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 01/7/2023, vẫn là văn bản pháp lý cốt lõi điều chỉnh mọi hoạt động liên quan đến xử lý dữ liệu cá nhân tại Việt Nam.
Phạm vi điều chỉnh và sự tiệm cận chuẩn mực quốc tế
Luật Bảo vệ Dữ liệu Cá nhân có nhiều điểm mới nổi bật. Trước hết, phạm vi điều chỉnh được mở rộng, áp dụng không chỉ đối với cá nhân, tổ chức trong nước mà còn cho các tổ chức, doanh nghiệp nước ngoài khi xử lý dữ liệu cá nhân tại Việt Nam. Việc quy định rõ ràng các khái niệm như “dữ liệu nhạy cảm”, “dữ liệu đã khử nhận dạng” thể hiện sự tiệm cận với chuẩn mực quốc tế, đặc biệt là mô hình GDPR (General Data Protection Regulation) của châu Âu.
Mở rộng quyền của chủ thể dữ liệu
Theo Nghị định 13/2023/NĐ‑CP, chủ thể dữ liệu được xác lập 11 quyền cơ bản trong Điều 9, gồm: quyền biết, đồng ý, truy cập, rút lại sự đồng ý, xóa dữ liệu, hạn chế xử lý, cung cấp dữ liệu, phản đối xử lý, khiếu nại/tố cáo/khởi kiện, yêu cầu bồi thường và tự bảo vệ theo Bộ luật Dân sự. Trong khi đó, trong Luật Bảo vệ Dữ liệu Cá nhân, số quyền này sẽ được mở rộng lên 13 quyền, bổ sung thêm: quyền từ chối xử lý dữ liệu tự động (khi gây ra hậu quả pháp lý) và quyền yêu cầu hạn chế xử lý vượt khung hiện hành.
Nguyên tắc xử lý và các nghĩa vụ bắt buộc
Một trong những điểm đáng chú ý là luật đã xác lập hệ thống nguyên tắc xử lý dữ liệu cá nhân, bảo đảm tính minh bạch, chính xác, đúng mục đích, đồng thời hạn chế tối đa việc lạm dụng. Quyền và nghĩa vụ của chủ thể dữ liệu cũng được quy định cụ thể hơn, với các quyền như được biết, được truy cập, chỉnh sửa hoặc yêu cầu xóa dữ liệu của mình. Đặc biệt, cơ chế xin sự đồng ý rõ ràng, tách rời được siết chặt, hạn chế tình trạng ép buộc người dùng phải chia sẻ dữ liệu không liên quan.
Bên cạnh đó, Luật cũng đưa ra quy định bắt buộc về đánh giá tác động xử lý dữ liệu cá nhân (DPIA), nhất là khi dữ liệu được chuyển ra nước ngoài. Hồ sơ đánh giá này sẽ là căn cứ pháp lý quan trọng để cơ quan quản lý tiến hành hậu kiểm.
Các hành vi bị nghiêm cấm và chế tài xử phạt
Về chế tài, Luật đã bổ sung 7 hành vi nghiêm khắc nhằm răn đe các hành vi vi phạm, trong đó có mua bán trái phép dữ liệu, cản trở cơ quan kiểm tra, lợi dụng dữ liệu để chống phá Nhà nước… Các hành vi trên đều bị nghiêm cấm và xử phạt nghiêm minh. Mức phạt có thể lên tới 1–5% doanh thu trước thuế hoặc gấp nhiều lần khoản lợi bất chính thu được từ hành vi vi phạm, đồng thời có thể truy cứu trách nhiệm hình sự nếu vi phạm nghiêm trọng.
Có thể thấy, với nhiều điểm mới quan trọng, Luật Bảo vệ Dữ liệu Cá nhân không chỉ thể hiện quyết tâm của Nhà nước trong việc bảo vệ quyền riêng tư của công dân, mà còn góp phần xây dựng một môi trường số an toàn, minh bạch, phục vụ phát triển kinh tế số.
Vietnam has officially upgraded its legal framework for personal data protection from a decree level to the level of a full-fledged Law. On June 26, 2025, the National Assembly passed the Personal Data Protection Law, marking an important milestone in safeguarding citizens’ privacy rights in the digital age. This new Law will take effect from January 1, 2026.
Until the Law comes into force, Decree No. 13/2023/ND-CP on Personal Data Protection, effective from July 1, 2023, remains the core legal document governing all activities related to the processing of personal data in Vietnam.
Expanded Scope and Alignment with International Standards
The Personal Data Protection Law introduces several notable new points. Firstly, its scope of application is broadened to cover not only domestic individuals and organizations but also foreign organizations and enterprises that process personal data within Vietnam. The clear definitions of terms such as “sensitive data” and “de-identified data” demonstrate alignment with international standards, particularly the European Union’s GDPR (General Data Protection Regulation) model.
Expansion of Data Subjects’ Rights
According to Decree No. 13/2023/ND-CP, data subjects are granted 11 basic rights under Article 9, including the right to be informed, the right to consent, the right to access, the right to withdraw consent, the right to delete data, the right to restrict processing, the right to data provision, the right to object to processing, the right to complain/denounce/file lawsuits, the right to claim compensation, and the right to self-protection under the Civil Code. Meanwhile, under the new Personal Data Protection Law, this list will be expanded to 13 rights, adding the right to refuse automated data processing (when it causes legal consequences) and the right to request additional restrictions on processing beyond the current framework.
Processing Principles and Mandatory Obligations
One remarkable highlight is that the Law establishes a system of principles for personal data processing, ensuring transparency, accuracy, and processing for the right purposes, while minimizing abuse. The rights and obligations of data subjects are more clearly defined, with rights such as being informed, accessing, amending, or requesting the deletion of their data. Notably, the mechanism for obtaining clear, separate consent is tightened to prevent situations where users are forced to share unrelated personal data.
In addition, the Law mandates the implementation of Data Protection Impact Assessments (DPIA), especially when data is transferred abroad. Such assessment reports will serve as important legal grounds for the competent authorities to conduct post-inspections.
Prohibited Acts and Strict Sanctions
Regarding sanctions, the Law adds seven strictly prohibited acts to deter violations, including the illegal buying and selling of data, obstructing inspections by authorities, or exploiting data to undermine state security, among others. These acts are strictly forbidden and will be punished severely. Fines may reach up to 1–5% of pre-tax revenue or be multiplied many times over the illicit gains obtained from violations. Furthermore, criminal prosecution may apply in cases of serious violations.
Conclusion
It can be seen that with many significant new provisions, the Personal Data Protection Law not only demonstrates the State’s determination to protect citizens’ privacy rights but also contributes to building a safe and transparent digital environment that supports the development of the digital economy.
INFINITY VIETNAM LAW FIRM (INLaw Vietnam)
Tax code: 0316783759
Founder and Managing Lawyer: Mr. Nguyen Quoc Cuong
INLaw Vietnam Head Office - Ho Chi Minh City: Unit 303, The Vital Building, 16 Dang Tat, Tan Dinh Ward, HCM City
Tel: 0966 955 711
Email: customer@inlaw.com.vn
INLaw Vietnam Branch - Dong Nai: J46 N3 Road, Tran Bien Ward, Dong Nai City
Tel: 0903 909 229
Email: dongnai@inlaw.com
INLaw Vietnam Branch - Khanh Hoa: 37 Vo Tru, Nha Trang Ward, Khanh Hoa
Tel: 02583551779 - 0913417666
Email: khanhhoa@inlaw.com
INLaw Vietnam Branch - Lam Dong: 48 Pham Ngu Lao, Xuan Huong Ward, Lam Dong
Tel: 0966 778 113
Email: lamdong@inlaw.com
INLaw Vietnam Branch - Long Thanh: 2nd Floor, No. 298 Truong Chinh Street (QL51B), Group 24, Phuoc Hai Area, Long Thanh Ward, Dong Nai City
Tel: 0966 955 711
Email: longthanh@inlaw.com