Sự bùng nổ của kinh tế số và xã hội số mang lại những tiện ích vượt trội nhưng cũng đặt ra những thách thức về an toàn thông tin. Trước thực trạng dữ liệu cá nhân bị mua bán, xâm phạm nghiêm trọng, Luật Bảo vệ dữ liệu cá nhân 2025 ra đời đáp ứng yêu cầu cấp thiết về hoàn thiện hệ thống pháp luật, bảo vệ quyền con người và an ninh quốc gia trên không gian mạng.

Khi dữ liệu cá nhân được pháp luật bảo vệ, người dân an tâm tham gia thực hiện các thủ tục hành chính trên nền tảng trực tuyến.

Nghiêm cấm hành vi mua bán dữ liệu cá nhân

Điều 7, Luật Bảo vệ dữ liệu cá nhân quy định 7 hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân, gồm: xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa XHCN Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; cản trở hoạt động bảo vệ dữ liệu cá nhân; lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; xử lý dữ liệu cá nhân trái quy định của pháp luật; sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác; chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Mạng xã hội không được yêu cầu hình ảnh giấy tờ tùy thân làm xác thực

Theo Điều 29, tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến phải có trách nhiệm: thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng. Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản. Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies). Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng.

Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác. Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.

Doanh nghiệp phải xóa dữ liệu cá nhân người lao động sau khi chấm dứt hợp đồng

Theo khoản 2, Điều 25, dữ liệu cá nhân của người lao động chỉ được lưu giữ trong thời hạn theo quy định pháp luật hoặc theo thỏa thuận hợp pháp giữa hai bên. Ngoài ra, điểm c, khoản 2, Điều 25 quy định người sử dụng lao động phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.
Khoản 3, Điều 25 của Luật cũng nêu rõ, doanh nghiệp chỉ được áp dụng công nghệ, kỹ thuật (như GPS, camera, phần mềm chấm công…) khi người lao động biết rõ và đồng ý; không được sử dụng dữ liệu thu thập được từ các công cụ này vào mục đích khác nếu không có sự đồng ý.

Tổ chức quảng cáo chỉ được sử dụng dữ liệu cá nhân khi có sự đồng ý

Theo khoản 3, Điều 28, Luật Bảo vệ dữ liệu cá nhân 2025, “việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm…”. Ngoài ra, tổ chức quảng cáo phải cung cấp cơ chế để khách hàng từ chối nhận thông tin quảng cáo.

Khoản 1 và 2, Điều 28, Luật Bảo vệ dữ liệu cá nhân 2025 còn quy định tổ chức quảng cáo chỉ được sử dụng dữ liệu do bên kiểm soát dữ liệu chuyển giao theo đúng thỏa thuận; hoặc do chính mình thu thập từ khách hàng trong quá trình kinh doanh; bên kiểm soát dữ liệu chỉ được chuyển giao dữ liệu cho tổ chức quảng cáo nếu phù hợp quy định pháp luật.

Ngoài ra, theo khoản 6, Điều 28, tổ chức, cá nhân kinh doanh dịch vụ quảng cáo không được thuê lại hoặc thỏa thuận để bên thứ ba thực hiện toàn bộ dịch vụ quảng cáo có sử dụng dữ liệu cá nhân. Tổ chức quảng cáo phải trực tiếp thực hiện, đồng thời chịu trách nhiệm chứng minh nguồn dữ liệu và quá trình sử dụng dữ liệu đó (khoản 7 Điều 28).

Mua bán dữ liệu cá nhân có thể bị phạt đến 10 lần khoản thu từ hành vi vi phạm

Theo khoản 6, Điều 7 của Luật, mua, bán dữ liệu cá nhân, là hành vi bị nghiêm cấm, trừ trường hợp luật có quy định khác. Khoản 3, Điều 8 quy định rõ mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.

Trường hợp không xác định được khoản thu, hoặc khoản thu thấp hơn mức phạt cố định (theo khoản 5, Điều 8), thì áp dụng mức phạt cố định là: tối đa 3 tỉ đồng với tổ chức; tối đa 1,5 tỉ đồng với cá nhân (theo khoản 6, Điều 8).

Ngoài phạt tiền, theo khoản 1, Điều 8, mua bán dữ liệu cá nhân còn có thể bị truy cứu trách nhiệm hình sự nếu hành vi vi phạm gây hậu quả nghiêm trọng; buộc bồi thường thiệt hại cho chủ thể dữ liệu bị ảnh hưởng; xử phạt bổ sung hoặc khắc phục hậu quả, tùy theo tính chất và mức độ vi phạm.

Luật Bảo vệ dữ liệu cá nhân 2025 là bản lề quan trọng để mở cánh cửa xã hội số an toàn. Khi niềm tin số được xác lập dựa trên sự tôn trọng quyền riêng tư, quá trình chuyển đổi số quốc gia sẽ mạnh mẽ và bền vững hơn.

PHI YẾN (tổng hợp)