LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025 – NHỮNG ĐIỂM MỚI VÀ TÁC ĐỘNG THỰC TIỄN/ LAW ON PERSONAL DATA PROTECTION 2025 – KEY NEW PROVISIONS AND PRACTICAL IMPACTS

LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025 – NHỮNG ĐIỂM MỚI VÀ TÁC ĐỘNG THỰC TIỄN

Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, dữ liệu cá nhân ngày càng trở thành “tài sản đặc biệt” gắn liền với quyền riêng tư, quyền con người và an ninh quốc gia. Việc Quốc hội ban hành Luật Bảo vệ dữ liệu cá nhân (thông qua năm 2025, có hiệu lực từ 01/01/2026) đánh dấu bước chuyển quan trọng từ cơ chế quản lý bằng nghị định sang khung pháp lý ở cấp luật, với nhiều quy định nghiêm ngặt và chế tài mạnh.

Dưới đây là những nội dung nổi bật của Luật và những vấn đề doanh nghiệp, tổ chức và người dùng cần đặc biệt lưu ý.

1. Cấm tuyệt đối mua bán dữ liệu cá nhân

Một trong những điểm mang tính nguyên tắc của Luật Bảo vệ dữ liệu cá nhân 2025 là cấm tuyệt đối hành vi mua bán dữ liệu cá nhân dưới mọi hình thức, cũng như các hành vi khai thác, sử dụng dữ liệu trái pháp luật.

Quy định này nhằm chấm dứt tình trạng dữ liệu cá nhân bị thu thập, trao đổi tràn lan trên thị trường “ngầm”, gây ra hàng loạt hệ lụy như lừa đảo, xâm phạm đời sống riêng tư, chiếm đoạt tài sản. Theo đó:

· Dữ liệu cá nhân không còn được coi là “hàng hóa” để mua bán;

· Mọi hoạt động xử lý dữ liệu phải dựa trên căn cứ pháp lý hợp lệ, đặc biệt là sự đồng ý rõ ràng của chủ thể dữ liệu;

· Các tổ chức trung gian thu thập, khai thác dữ liệu trái phép sẽ phải chịu trách nhiệm pháp lý nghiêm khắc.

2. Phạt tối đa 5% doanh thu đối với vi phạm chuyển dữ liệu cá nhân xuyên biên giới

Luật 2025 áp dụng chế tài tài chính rất nặng, tiệm cận với các chuẩn mực quốc tế như GDPR của Liên minh châu Âu. Cụ thể, tổ chức vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới có thể bị phạt tối đa 5% doanh thu của năm tài chính liền kề trước đó.

Quy định này thể hiện rõ quan điểm quản lý chặt chẽ dòng chảy dữ liệu ra nước ngoài, đặc biệt trong bối cảnh:

· Nhiều doanh nghiệp sử dụng máy chủ, nền tảng và dịch vụ xử lý dữ liệu đặt ngoài lãnh thổ Việt Nam;

· Nguy cơ rò rỉ, lạm dụng dữ liệu cá nhân ngày càng gia tăng.

Doanh nghiệp cần rà soát toàn bộ hoạt động chuyển dữ liệu, đánh giá tác động, xây dựng cơ chế kiểm soát và tuân thủ đầy đủ điều kiện pháp luật trước khi thực hiện.

3. Nghĩa vụ xóa dữ liệu cá nhân của người lao động sau khi chấm dứt hợp đồng

Luật Bảo vệ dữ liệu cá nhân 2025 đặt ra yêu cầu mới đối với doanh nghiệp trong quan hệ lao động. Theo đó, doanh nghiệp phải xóa dữ liệu cá nhân của người lao động sau khi chấm dứt hợp đồng, trừ các trường hợp:

· Pháp luật chuyên ngành có quy định khác (ví dụ: lưu trữ hồ sơ lao động, hồ sơ bảo hiểm);

· Có thỏa thuận khác hợp pháp giữa doanh nghiệp và người lao động.

Quy định này nhằm hạn chế tình trạng doanh nghiệp lưu giữ, sử dụng thông tin cá nhân của người lao động cũ ngoài mục đích cần thiết, qua đó bảo vệ tốt hơn quyền riêng tư và quyền kiểm soát dữ liệu của cá nhân.

4. Siết chặt nghĩa vụ của mạng xã hội và nền tảng số

Luật 2025 đặt ra các giới hạn rõ ràng đối với hoạt động của mạng xã hội và các nền tảng cung cấp dịch vụ số. Cụ thể:

· Không được yêu cầu người dùng cung cấp giấy tờ tùy thân dưới dạng ảnh hoặc video để xác thực tài khoản, trừ trường hợp pháp luật có quy định;

· Không được nghe lén, đọc tin nhắn, ghi âm, ghi hình hoặc thu thập dữ liệu riêng tư khác khi chưa có sự đồng ý hợp pháp của người dùng.

Những quy định này nhằm tăng cường bảo vệ đời sống riêng tư trong môi trường số, đồng thời buộc các nền tảng công nghệ phải điều chỉnh mô hình kinh doanh theo hướng tôn trọng quyền dữ liệu cá nhân.

5. Tác động và khuyến nghị

Luật Bảo vệ dữ liệu cá nhân 2025 không chỉ là công cụ bảo vệ người dân mà còn tạo ra chuẩn mực tuân thủ mới cho doanh nghiệp. Trong thời gian tới, các tổ chức cần:

· Rà soát toàn bộ quy trình thu thập, xử lý và lưu trữ dữ liệu cá nhân;

· Cập nhật chính sách bảo mật, hợp đồng lao động, thỏa thuận với khách hàng;

· Đào tạo nhân sự và xây dựng bộ phận hoặc cơ chế quản trị dữ liệu cá nhân.

Việc tuân thủ sớm và đầy đủ không chỉ giúp doanh nghiệp tránh rủi ro pháp lý mà còn nâng cao uy tín, niềm tin của người dùng trong nền kinh tế số.

Kết luận: Luật Bảo vệ dữ liệu cá nhân 2025 đánh dấu bước tiến lớn trong bảo vệ quyền riêng tư tại Việt Nam, với các quy định chặt chẽ và chế tài mạnh. Đây vừa là thách thức, vừa là cơ hội để doanh nghiệp tái cấu trúc hoạt động theo hướng minh bạch, bền vững và phù hợp với chuẩn mực quốc tế.

_____________________________________________________________________

LAW ON PERSONAL DATA PROTECTION 2025 – KEY NEW PROVISIONS AND PRACTICAL IMPACTS

In the context of rapid digital transformation, personal data has increasingly become a “special asset” closely associated with privacy, human rights, and national security. The promulgation of the Law on Personal Data Protection (adopted in 2025 and effective from 1 January 2026) marks a significant shift from a regulatory framework governed by decrees to a comprehensive statutory regime, featuring stricter requirements and stronger enforcement mechanisms.

Below are the key highlights of the Law and the critical issues that enterprises, organizations, and individuals should pay close attention to.

1. Absolute Prohibition on the Trading of Personal Data

One of the fundamental principles of the Law on Personal Data Protection 2025 is the absolute prohibition of the buying and selling of personal data in any form, as well as any unlawful exploitation or use of such data.

This provision aims to put an end to the widespread underground market for personal data, which has resulted in numerous adverse consequences, including fraud, invasion of privacy, and asset misappropriation. Accordingly:

· Personal data is no longer treated as a “commodity” that may be traded;

· All data processing activities must be based on a valid legal ground, in particular the explicit and informed consent of the data subject;

· Intermediary entities that unlawfully collect or exploit personal data will be subject to strict legal liability.

2. Fines of up to 5% of Turnover for Violations Related to Cross-Border Data Transfers

The 2025 Law introduces severe financial sanctions, approaching international standards such as the EU General Data Protection Regulation (GDPR). Specifically, organizations that violate regulations on cross-border transfers of personal data may be subject to fines of up to 5% of their turnover in the immediately preceding fiscal year.

This reflects a strict regulatory stance on outbound data flows, particularly in light of:

· The widespread use by enterprises of servers, platforms, and data-processing services located outside the territory of Vietnam;

· The increasing risks of personal data leakage and misuse.

Enterprises are therefore required to comprehensively review their data transfer activities, conduct impact assessments, establish internal control mechanisms, and ensure full compliance with legal requirements prior to any cross-border data transfer.

3. Obligation to Delete Employees’ Personal Data upon Termination of Employment

The Law on Personal Data Protection 2025 imposes new obligations on employers in the context of employment relationships. Accordingly, enterprises must delete the personal data of employees after the termination of their employment contracts, except where:

· Specialized laws provide otherwise (e.g., requirements on retention of employment or social insurance records); or

· There is another lawful agreement between the enterprise and the employee.

This provision seeks to prevent enterprises from retaining or using former employees’ personal data beyond what is necessary, thereby enhancing privacy protection and reinforcing individuals’ control over their personal data.

4. Stricter Obligations for Social Networks and Digital Platforms

The 2025 Law establishes clear limits on the operations of social networks and digital service platforms, including:

· Prohibiting platforms from requiring users to provide images or videos of identity documents for account verification, unless otherwise required by law;

· Prohibiting any act of eavesdropping, reading messages, recording audio or video, or collecting other private data without the lawful consent of users.

These rules are intended to strengthen the protection of privacy in the digital environment and to compel technology platforms to adjust their business models in a manner that respects personal data rights.

5. Impacts and Recommendations

The Law on Personal Data Protection 2025 is not only a tool for protecting individuals but also establishes a new compliance benchmark for enterprises. In the coming period, organizations should:

· Review all processes relating to the collection, processing, and storage of personal data;

· Update privacy policies, employment contracts, and agreements with customers and partners;

· Train personnel and establish dedicated functions or governance mechanisms for personal data protection.

Early and comprehensive compliance will not only help enterprises mitigate legal risks but also enhance their reputation and build user trust in the digital economy.

Conclusion

The Law on Personal Data Protection 2025 represents a major advancement in the protection of privacy in Vietnam, featuring stringent requirements and robust sanctions. While it poses significant challenges, it also offers opportunities for enterprises to restructure their operations in a transparent, sustainable manner aligned with international standards.