Vào ngày 26/6/2025, Quốc hội chính thức thông qua Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (“Luật BVDLCN”) và sẽ có hiệu lực từ ngày 01/01/2026, đánh dấu bước tiến quan trọng trong việc bảo vệ thông tin cá nhân và an toàn thông tin trong thời đại số. Dựa trên nền tảng của Nghị định 13/2023/NĐ-CP, Luật BVDLCN đưa ra một khuôn khổ pháp lý thống nhất và toàn diện về bảo vệ dữ liệu cá nhân (“DLCN”) tại Việt Nam với nhiều thay đổi đột phá nhằm bảo vệ quyền riêng tư của người dân cũng như đặt ra các yêu cầu chặt chẽ hơn đối với doanh nghiệp trong việc thu thập, xử lý, lưu trữ và sử dụng DLCN trong thời kỳ công nghệ số.
1. Ngoại lệ khi chuyển giao DLCN không được xem là mua, bán DLCN
Luật BVDLCN nghiêm cấm hành vi mua, bán DLCN, tuy nhiên, việc chuyển giao DLCN của doanh nghiệp trong các trường hợp sau đây dù có thu phí hay không thu phí thì không được xem là mua, bán DLCN[1]: (i) chuyển giao khi có sự đồng ý của chủ thể DLCN; (ii) chia sẻ DLCN trong nội bộ doanh nghiệp; (iii) chuyển giao do tái cơ cấu doanh nghiệp (như chia, tách, sáp nhập hoặc tổ chức lại); (iv) chuyển giao cho bên xử lý DLCN, bên thứ ba để xử lý DLCN; (v) chuyển giao theo yêu cầu của cơ quan nhà nước có thẩm quyền; và (vi) chuyển giao mà không cần sự đồng ý của chủ thể dữ liệu trong một số trường hợp theo quy định pháp luật.
2. Đánh giá tác động của DLCN chuyển ra nước ngoài
- Các trường hợp phải đánh giá tác động: (i) chuyển DLCN đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ở nước ngoài; (ii) doanh nghiệp tại Việt Nam chuyển DLCN cho doanh nghiệp ở nước ngoài; và (iii) doanh nghiệp sử dụng nền tảng ở nước ngoài để xử lý DLCN được thu thập tại Việt Nam.[2]
- Trường hợp miễn trừ đánh giá tác động: doanh nghiệp lưu trữ DLCN của người lao động của doanh nghiệp mình trên dịch vụ điện toán đám mây[3].
- Thời gian đánh giá tác động: trước khi chuyển DLCN ra nước ngoài và thực hiện 01 lần cho suốt thời gian hoạt động của doanh nghiệp và được cập nhật định kỳ 06 tháng một lần khi có sự thay đổi về DLCN đã được xử lý hoặc cập nhật ngay trong một số trường hợp đặc biệt như chấm dứt hoạt động, giải thể, phá sản hoặc thay đổi thông tin về doanh nghiệp cung cấp dịch vụ bảo vệ DLCN,…[4]
3. Các trường hợp bắt buộc phải xóa, hủy DLCN
Doanh nghiệp phải xóa, hủy DLCN trong các trường hợp sau và không được cố ý khôi phục trái phép DLCN đã bị xóa, hủy: (i) đã hoàn thành mục đích xử lý DLCN; (ii) hết thời hạn lưu trữ; (iii) theo quyết định của cơ quan nhà nước có thẩm quyền; (iv) theo thỏa thuận; và (v) theo yêu cầu của chủ thể DLCN (trừ trường hợp việc yêu cầu xóa, hủy DLCN có thể gây cản trở hoặc xâm phạm đến quyền, lợi ích hợp pháp của Nhà nước, cơ quan, tổ chức, cá nhân khác; hoặc thuộc trường hợp xử lý DLCN không cần sự đồng ý của chủ thể DLCN).[5]
4. Thành lập bộ phận bảo vệ DLCN
Doanh nghiệp có trách nhiệm chỉ định bộ phận hoặc nhân sự đủ điều kiện năng lực để bảo vệ DLCN nội bộ; hoặc thuê dịch vụ bảo vệ DLCN hợp pháp bên ngoài để bảo vệ DLCN của doanh nghiệp[6]. (Trước đây, chỉ yêu cầu đối với DLCN nhạy cảm)
Trường hợp miễn trừ: doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp (được miễn trong thời hạn 05 năm kể từ ngày 01/01/2026), hộ kinh doanh và doanh nghiệp siêu nhỏ không kinh doanh dịch vụ xử lý DLCN, trực tiếp xử lý DLCN nhạy cảm hoặc xử lý DLCN của số lượng lớn chủ thể DLCN.[7]
5. Bảo vệ DLCN đối với người lao động[8]
- DLCN được thu thập trong quá trình tuyển dụng phải được xóa, hủy bỏ nếu ứng viên không được tuyển dụng, trừ khi có thỏa thuận cho phép lưu giữ.
- Dữ liệu phát sinh của người lao động trong suốt quá trình làm việc được lưu giữ trong khoảng thời gian được pháp luật quy định hoặc theo thỏa thuận. Sau khi hợp đồng lao động chấm dứt, doanh nghiệp phải xóa dữ liệu này, trừ trường hợp pháp luật hoặc thỏa thuận cho phép được tiếp tục lưu giữ.
- Việc thu thập và xử lý DLCN của người lao động thông qua các công cụ giám sát sử dụng công nghệ hoặc kỹ thuật hợp pháp chỉ được phép khi người lao động được thông báo trước về việc sử dụng các công cụ này.
6. Sử dụng DLCN của khách hàng để quảng cáo[9]
- DLCN được phép dùng để quảng cáo: (i) DLCN của khách hàng được Bên kiểm soát DLCN, Bên kiểm soát và xử lý DLCN chuyển giao theo thỏa thuận; hoặc (ii) dữ liệu thu thập được qua hoạt động kinh doanh của doanh nghiệp.
- DLCN được coi là thu thập hợp pháp: khi được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm, cũng như phương thức từ chối nhận các thông tin quảng cáo.
- Việc sử dụng DLCN để quảng cáo phải phù hợp với quy định của pháp luật về phòng, chống tin nhắn rác, thư điện tử rác, cuộc gọi rác và quy định của pháp luật về quảng cáo.
7. Thu thập DLCN của người dùng mạng xã hội, truyền thông trực tuyến
Việc thu thập DLCN thông qua tệp dữ liệu (cookie) hoặc các nền tảng công nghệ tương tự phải có sự đồng ý của người dùng. Các nền tảng bắt buộc phải công bố chính sách bảo mật, trong đó nêu rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu; cung cấp cơ chế truy cập, chỉnh sửa hoặc xóa dữ liệu; thiết lập quyền riêng tư và xử lý vi phạm kịp thời. Đặc biệt, doanh nghiệp cung cấp dịch vụ mạng xã hội, truyền thông trực tuyến không được phép yêu cầu ngươi dùng cung cấp hình ảnh, video chứa nội dung giấy tờ tùy thân để xác thực tài khoản.[10]
8. Xử lý dữ liệu lớn, trí tuệ nhân tạo (AI), chuỗi khối (blockchain), vũ trụ ảo, điện toán đám mây[11]
- DLCN trong môi trường này phải được xử lý đúng mục đích và giới hạn trong phạm vi cần thiết.
- Hệ thống và dịch vụ phải được tích hợp các biện pháp bảo mật DLCN phù hợp; sử dụng phương thức xác thực, định danh phù hợp và phân quyền truy cập để xử lý DLCN.
- Đặc biệt, việc xử lý DLCN bằng AI phải thực hiện phân loại theo mức độ rủi ro để có biện pháp bảo vệ DLCN phù hợp.
9. Xử lý dữ liệu sinh trắc học
Khi thu thập và xử lý dữ liệu sinh trắc học, doanh nghiệp phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải dữ liệu sinh trắc học của mình; hạn chế quyền truy cập vào dữ liệu sinh trắc học; đồng thời phải có hệ thống theo dõi để phòng ngừa, phát hiện hành vi xâm phạm dữ liệu sinh trắc học.[12]
10. Chế tài nặng khi vi phạm pháp luật bảo vệ DLCN
Tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm, doanh nghiệp có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định.[13]
Đối với mức phạt hành chính: (i) hành vi mua bán DLCN: phạt tiền gấp 10 lần khoản thu trái pháp luật; (ii) vi phạm về chuyển DLCN xuyên biên giới: phạt 5% doanh thu của năm trước liền kề; (iii) các hành vi vi phạm khác: phạt tối đa 3 tỷ đồng.[14]
Dù hoạt động với tư cách nào, để đảm bảo sự sẵn sàng trước ngày Luật BVDLCN có hiệu lực (tức ngày 01/01/2026), các doanh nghiệp cần chủ động: tiến hành rà soát toàn diện các loại DLCN đang thu thập và lưu trữ để phân loại và xây dựng biện pháp xử lý, bảo vệ phù hợp; cập nhật quy trình, hướng dẫn thực hiện xử lý DLCN phù hợp với quy định mới; thiết lập cơ chế quản trị, tuân thủ trong suốt quá trình hoạt động; đồng thời thành lập bộ phận bảo vệ DLCN của doanh nghiệp.
[1] Điều 7.6 và 17 của Luật BVDLCN
[2] Điều 20.1 của Luật BVDLCN
[3] Điều 20.6(b) của Luật BVDLCN
[4] Điều 20.3, và 22 của Luật BVDLCN
[5] Điều 14.1, 14.2 và 14.4 của Luật BVDLCN
[6] Điều 33.2 của Luật BVDLCN
[7] Điều 38 của Luật BVDLCN
[8] Điều 25 của Luật BVDLCN
[9] Điều 28 của Luật BVDLCN
[10] Điều 29 của Luật BVDLCN
[11] Điều 30 của Luật BVDLCN
[12] Điều 31.4(b) của Luật BVDLCN
[13] Điều 8.1 của Luật BVDLCN,
[14] Điều 8.3, 8.4 và 8.5 của Luật BVDLCN
