Những điểm chính và điểm mới trong Luật Bảo vệ dữ liệu cá nhân năm 2025

Ngày 26 tháng 6 năm 2025, tại Kỳ họp thứ 9, Quốc hội khóa XV đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) – đạo luật chuyên ngành đầu tiên tại Việt Nam điều chỉnh toàn diện lĩnh vực bảo vệ dữ liệu cá nhân. Sự ra đời của đạo luật này thể hiện bước chuyển mạnh mẽ trong tư duy lập pháp, đáp ứng yêu cầu cấp thiết của thực tiễn chuyển đổi số, đồng thời khẳng định cam kết của Nhà nước trong việc bảo đảm quyền con người, quyền công dân trong môi trường số.

I. Những nội dung cơ bản của Luật

1. Phạm vi điều chỉnh và đối tượng áp dụng rộng rãi

Luật quy định chi tiết các nguyên tắc, quyền, nghĩa vụ và trách nhiệm pháp lý của các chủ thể trong hoạt động xử lý dữ liệu cá nhân, đồng thời mở rộng phạm vi điều chỉnh đến cả tổ chức, cá nhân nước ngoài có hành vi xử lý dữ liệu của công dân Việt Nam. Điều này khẳng định tính chủ quyền số và bảo vệ lợi ích quốc gia trong không gian mạng.

2. Phân loại rõ ràng dữ liệu cá nhân

Lần đầu tiên trong hệ thống pháp luật, Luật phân biệt giữa:

• Dữ liệu cá nhân cơ bản: thông tin định danh phổ thông.
• Dữ liệu cá nhân nhạy cảm: gắn liền với đời sống riêng tư, khi bị xâm phạm có thể gây tổn hại nghiêm trọng đến chủ thể dữ liệu.

3. Bảo vệ quyền của chủ thể dữ liệu cá nhân

Chủ thể dữ liệu được trao các quyền quan trọng như: quyền được biết, quyền đồng ý hoặc từ chối, quyền yêu cầu chỉnh sửa, xóa bỏ, hạn chế xử lý dữ liệu, quyền phản đối và quyền yêu cầu bồi thường khi bị xâm phạm dữ liệu. Đây là bước tiến lớn trong bảo vệ quyền riêng tư cá nhân phù hợp với các chuẩn mực quốc tế.

4. Quy định chặt chẽ trách nhiệm của các bên liên quan

Luật xác định rõ ràng trách nhiệm của:

• Bên kiểm soát dữ liệu cá nhân.
• Bên xử lý dữ liệu cá nhân.
• Bên kiểm soát và xử lý dữ liệu cá nhân.
• Bên thứ ba tham gia vào chuỗi xử lý.

Tất cả các bên đều phải tuân thủ nghiêm ngặt quy trình bảo vệ, lưu trữ, cung cấp, chuyển giao và hủy bỏ dữ liệu cá nhân theo đúng quy định pháp luật.

5. Cơ chế giám sát và chế tài nghiêm khắc

Luật quy định:

• Xử phạt hành chính lên đến 3 tỷ đồng hoặc 5% doanh thu đối với tổ chức vi phạm.
• Hành vi mua, bán dữ liệu cá nhân có thể bị phạt đến 10 lần khoản thu từ hành vi.
• Truy cứu trách nhiệm hình sự đối với hành vi nghiêm trọng.

II. Những điểm mới nổi bật trong tư duy lập pháp

1. Đổi mới tư duy lập pháp – luật ngắn gọn, thực chất, dễ thi hành

Luật được tinh gọn. Nội dung được xây dựng theo hướng:

• Rõ ràng, minh bạch, khả thi.
• Loại bỏ trùng lặp với luật khác.
• Giao Chính phủ quy định các nội dung về trình tự, thủ tục, điều kiện cụ thể.

2. Thiết lập nguyên tắc “cấm tuyệt đối” mua, bán dữ liệu cá nhân

Luật ghi nhận nguyên tắc nghiêm cấm mua bán dữ liệu cá nhân dưới mọi hình thức, kể cả không thu phí – trừ khi pháp luật chuyên ngành quy định khác. Quy định này thể hiện sự quyết liệt trong bảo vệ quyền riêng tư, triệt tiêu hành vi thương mại hóa dữ liệu trái phép.

3. Cơ chế “hậu kiểm” thay cho “tiền kiểm” đối với chuyển dữ liệu xuyên biên giới

Thay vì cơ chế xin phép trước, Luật quy định doanh nghiệp chỉ cần lập hồ sơ đánh giá tác động một lần và gửi cơ quan chức năng; Nhà nước sẽ kiểm tra khi cần thiết. Đây là giải pháp dung hòa giữa bảo vệ dữ liệu và tạo thuận lợi cho hoạt động kinh doanh, thúc đẩy chuyển đổi số.

4. Ưu đãi và miễn trừ nghĩa vụ đối với doanh nghiệp nhỏ và siêu nhỏ

• Hộ kinh doanh, doanh nghiệp siêu nhỏ được miễn thực hiện nghĩa vụ lập hồ sơ đánh giá tác động và chỉ định nhân sự bảo vệ dữ liệu cá nhân.
• Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các nghĩa vụ này trong thời hạn 05 năm kể từ ngày luật có hiệu lực.

5. Bổ sung cơ chế bảo vệ nhóm yếu thế

Lần đầu tiên, pháp luật Việt Nam có quy định cụ thể về bảo vệ dữ liệu cá nhân của:

• Trẻ em.
• Người mất hoặc hạn chế năng lực hành vi dân sự.
• Người có khó khăn trong nhận thức, làm chủ hành vi.

Người đại diện theo pháp luật sẽ thay mặt nhóm đối tượng này thực hiện quyền dữ liệu, bảo đảm tính nhân đạo và toàn diện của đạo luật.

6. Điều chỉnh phù hợp với xu thế công nghệ mới

Luật có các quy định riêng, chuyên biệt đối với:

• Trí tuệ nhân tạo, dữ liệu lớn, blockchain, điện toán đám mây, vũ trụ ảo.
• Dữ liệu sinh trắc học, dữ liệu vị trí cá nhân, dịch vụ quảng cáo cá nhân hóa.
• Mạng xã hội và dịch vụ truyền thông trực tuyến.

Các quy định này không chỉ bảo vệ dữ liệu cá nhân mà còn đảm bảo an ninh quốc gia, an toàn xã hội và thuần phong mỹ tục.

III. Ý nghĩa của Luật Bảo vệ dữ liệu cá nhân

Luật Bảo vệ dữ liệu cá nhân năm 2025 không chỉ là một đạo luật đơn thuần, mà còn là một tuyên ngôn pháp lý về quyền riêng tư trong kỷ nguyên số. Việc ban hành Luật khẳng định:

• Quyền dữ liệu cá nhân là quyền nhân thân thiêng liêng của mỗi cá nhân.
• Nhà nước cam kết bảo vệ dữ liệu như bảo vệ tài sản, tính mạng trong môi trường số.
• Tạo dựng môi trường pháp lý minh bạch, hiện đại, phù hợp với thông lệ quốc tế, góp phần nâng cao năng lực cạnh tranh quốc gia và hội nhập quốc tế sâu rộng.