Những điểm nổi bật của Luật bảo vệ dữ liệu cá nhân 2025

Luật bảo vệ dữ liệu cá nhân 2025 chính thức được Quốc hội thông qua ngày 26/06/2025, có hiệu lực thi hành từ ngày 01/01/2026 (“Luật bảo vệ dữ liệu cá nhân”), đã đánh dấu một bước phát triển mới cho vấn đề bảo mật quyền riêng tư tại Việt Nam. Văn bản này đã xác lập một khuôn khổ pháp lý cụ thể và nghiêm ngặt cho việc thu thập, xử lý và bảo vệ dữ liệu cá nhân, đặt ra những bài toán mới cho các doanh nghiệp trong việc thay đổi cách quản lý dữ liệu, đồng thời nâng cao nhận thức của người dùng trong việc bảo vệ dữ liệu của mình. Bài viết dưới đây của TNTP sẽ phân tích một số điểm nổi bật của Luật bảo vệ dữ liệu cá nhân 2025.

1.Các hành vi bị cấm liên quan đến dữ liệu cá nhân

Điều 7 Luật bảo vệ dữ liệu cá nhân đã xác lập 7 nhóm hành vi bị nghiêm cấm nhằm ngăn chặn việc lạm dụng dữ liệu cá nhân trái phép, thiết lập ranh giới pháp lý rõ ràng cho hoạt động xử lý dữ liệu cá nhân. Theo đó, các hành vi bị cấm bao gồm:

• Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa Xã hội Chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân;
• Cản trở hoạt động bảo vệ dữ liệu cá nhân;
• Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật;
• Xử lý dữ liệu cá nhân trái quy định của pháp luật;
• Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật;
• Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác;
• Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Tùy theo tính chất, mức độ và hậu quả của hành vi vi phạm, các hành vi xâm phạm quy định về bảo vệ dữ liệu cá nhân có thể bị xử phạt vi phạm hành chính, truy cứu trách nhiệm hình sự và phải bồi thường thiệt hại theo quy định của pháp luật.

2.Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu cá nhân

Mặc dù nguyên tắc chung là việc xử lý dữ liệu cá nhân phải có sự đồng ý của chủ thể dữ liệu, tuy nhiên, nhằm bảo đảm hài hòa giữa lợi ích công cộng và quyền riêng tư, Luật Bảo vệ dữ liệu cá nhân cho phép xử lý dữ liệu trong một số trường hợp đặc biệt mà không cần sự đồng ý của chủ thể dữ liệu.

Căn cứ khoản 1 Điều 19 Luật bảo vệ dữ liệu cá nhân, các trường hợp này bao gồm:

• Để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác trong trường hợp cấp bách; bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác hoặc lợi ích của Nhà nước, của cơ quan, tổ chức một cách cần thiết trước hành vi xâm phạm lợi ích nói trên.

Bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba có trách nhiệm chứng minh trường hợp này.

• Để giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
• Phục vụ hoạt động của cơ quan nhà nước, hoạt động quản lý nhà nước theo quy định của pháp luật;
• Thực hiện thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật;
• Trường hợp khác theo quy định của pháp luật.

Trong các trường hợp này, bên kiểm soát dữ liệu vẫn phải thiết lập và thực thi cơ chế giám sát khi xử lý dữ liệu, và chịu trách nhiệm giải trình khi có các phản ánh, kiến nghị từ cơ quan, tổ chức, cá nhân có liên quan.

3.Doanh nghiệp phải xóa dữ liệu cá nhân người lao động sau chấm dứt hợp đồng 

Đây là một trong những điểm nổi bật của Luật bảo vệ dữ liệu cá nhân, dự báo là sẽ đem đến những tác động mạnh mẽ trong hoạt động quản trị nhân sự của doanh nghiệp.

Căn cứ khoản 2 Điều 25 Luật bảo vệ dữ liệu cá nhân quy định, doanh nghiệp có nghĩa vụ bảo mật thông tin và chỉ được lưu trữ dữ liệu trong thời hạn nhất định theo quy định pháp luật hoặc theo thỏa thuận. Sau khi chấm dứt hợp đồng lao động, doanh nghiệp phải xóa, hủy dữ liệu cá nhân người lao động.

Tuy nhiên, “xóa dữ liệu” không đồng nghĩa xóa toàn bộ, mà đòi hỏi doanh nghiệp phải phân loại, xóa triệt để phần không còn căn cứ xử lý, đồng thời lưu giữ các dữ liệu đúng phạm vi, mục đích và thời hạn luật định. Theo điểm c khoản 2 Điều 25 Luật bảo vệ dữ liệu cá nhân, doanh nghiệp được tiếp tục lưu trữ dữ liệu trong một số trường hợp ngoại lệ, bao gồm (i) có thỏa thuận với người lao động hoặc (ii) theo quy định của pháp luật chuyên ngành như hồ sơ liên quan đến BHXH, BHYT, BHTN; các chứng từ theo pháp luật kế toán, thuế, các trường hợp cần lưu trữ tài liệu, chứng cứ khi có tranh chấp lao động,…

Quy định này nhằm mục đích đảm bảo thông tin của các nhân viên không bị lưu giữ, lạm dụng hoặc sử dụng sai mục đích, đặc biệt là đối với các dữ liệu nhạy cảm (như hồ sơ y tế, dữ liệu sinh trắc học như dấu vân tay, khuôn mặt, sở thích cá nhân, hình ảnh, video, giọng nói…). Đồng thời, đặt yêu cầu cho các doanh nghiệp điều chỉnh và thay đổi thói quen lưu trữ dữ liệu, từ thu thập, sử dụng đến phân loại và hủy bỏ dữ liệu của người lao động.

4.Mạng xã hội không được yêu cầu hình ảnh giấy tờ tùy thân làm xác thực

Luật bảo vệ dữ liệu cá nhân đặt ra quy định đặc thù cho nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến, trong đó nổi bật là quy định về việc mạng xã hội không được yêu cầu người dùng xác thực danh tính, tài khoản bằng giấy tờ tùy thân.

Điều 29 Luật bảo vệ dữ liệu cá nhân quy định, các nền tảng không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân để xác thực tài khoản người dùng. Đồng thời, cấm tuyệt đối việc thu thập ảnh CMND, CCCD, hộ chiếu hoặc giấy tờ tùy thân khác dưới mọi hình thức làm yếu tố xác thực.

Quy định này nhằm ngăn chặn rủi ro rò rỉ các thông tin nhạy cảm. Trước đây, nhiều nền tảng yêu cầu người dùng chụp ảnh các giấy tờ tùy thân để xác minh danh tính, dẫn đến tình trạng lạm dụng, mua bán thông tin cá nhân, làm rò rỉ dữ liệu trên quy mô lớn, gây mất trật tự an toàn xã hội. Hiện nay, Luật bảo vệ dữ liệu cá nhân buộc các nền tảng phải áp dụng phương thức xác thực thay thế như mã OTP, sinh trắc học, eKYC mà không được phép yêu cầu cung cấp ảnh giấy tờ tùy thân gốc.

Bên cạnh đó, Luật bảo vệ dữ liệu cá nhân cấm các nền tảng mạng xã hội nghe lén, nghe trộm, ghi âm cuộc gọi hoặc đọc tin nhắn văn bản khi không có sự đồng ý của người dùng. Các nền tảng phải cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ cookies, từ chối chức năng theo dõi hoạt động trực tuyến; đồng thời công khai chính sách bảo mật, giải thích rõ ràng cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân.

5.Chuyển dữ liệu cá nhân xuyên biên giới

Điều 20 Luật bảo vệ dữ liệu cá nhân đã thắt chặt quy trình chuyển giao dữ liệu của công dân Việt Nam ra ngoài lãnh thổ quốc gia.

Theo đó, các trường hợp chuyển dữ liệu cá nhân xuyên biên giới bao gồm:

• Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam;
• Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức, cá nhân ở nước ngoài;
• Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam.

Để được phép chuyển dữ liệu cá nhân xuyên biên giới, cơ quan, cá nhân, tổ chức chuyển dữ liệu cá nhân xuyên biên giới phải xây dựng hồ sơ đánh giá tác động và báo cáo cơ quan chức năng trong thời gian 60 ngày kể từ ngày đầu tiên chuyển dữ liệu cá nhân xuyên biên giới.

Trường hợp chuyển dữ liệu cá nhân xuyên biên giới của cơ quan nhà nước có thẩm quyền; cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây hoặc chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới thì không cần thực hiện việc đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thực hiện kiểm tra việc chuyển dữ liệu cá nhân xuyên biên giới định kỳ tối đa 01 lần/năm hoặc kiểm tra đột xuất khi phát hiện vi phạm hoặc xảy ra sự cố lộ, mất dữ liệu; đồng thời có quyền yêu cầu ngừng chuyển dữ liệu nếu việc chuyển dữ liệu có nguy cơ gây tổn hại đến quốc phòng, an ninh quốc gia.

Trên đây là bài viết của TNTP về “Những điểm nổi bật của Luật bảo vệ dữ liệu cá nhân 2025”. Hi vọng bài viết sẽ có ích cho Quý độc giả. Trường hợp có vấn đề cần hỗ trợ, đừng ngần ngại liên hệ với TNTP.

Trân trọng,