Luật Bảo vệ dữ liệu cá nhân: Không còn chia sẻ mặc định

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, có hiệu lực từ 1/1/2026, đánh dấu bước ngoặt lớn trong tư duy quản trị dữ liệu tại Việt Nam.

Ranh giới mong manh giữa kết nối và xâm phạm quyền riêng tư

Tại Việt Nam, ranh giới giữa sự kết nối thuận tiện và hành vi xâm phạm quyền riêng tư đang trở nên mong manh hơn bao giờ hết, đặc biệt trong bối cảnh dữ liệu cá nhân ngày càng bị “bình thường hóa” trong đời sống số.

Ông Nguyễn Quang Đồng, Viện trưởng Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPSAD), từng nêu một ví dụ rất đời thường nhưng giàu tính cảnh báo:

"Khi một đồng nghiệp hỏi xin số điện thoại của một người khác, phản xạ phổ biến của chúng ta là mở máy và gửi đi ngay. Nhưng khi hành lang pháp lý về bảo vệ dữ liệu cá nhân đã hình thành, hành động tưởng như vô hại ấy lại là một sự vi phạm nếu chưa có sự đồng ý của chủ thể dữ liệu".

Nhận định này phản ánh đúng thực trạng: Văn hóa bảo vệ dữ liệu cá nhân ở Việt Nam vẫn đang đi sau tốc độ số hóa xã hội.

Minh hoạ: ĐT

AI bùng nổ khiến dữ liệu cá nhân trở thành “nhiên liệu” xuyên biên giới

Hơn hai năm kể từ khi OpenAI công bố ChatGPT, trí tuệ nhân tạo đã nhanh chóng thâm nhập vào đời sống người Việt. Theo khảo sát do Sensor Tower công bố tháng 10/2025, tổng thời gian người Việt sử dụng các ứng dụng AI trong nửa đầu năm 2025 đạt 283 triệu giờ, tương đương gần 1,6 triệu giờ mỗi ngày, cao hơn mức trung bình toàn cầu.

Song song đó, 93% doanh nghiệp tại Việt Nam đã ứng dụng ít nhất một công cụ AI trong vận hành, đặc biệt trong giao tiếp và tiếp cận khách hàng, theo báo cáo của Trung tâm Dữ liệu và Điện toán đám mây Việt Nam (VCCDC) .

Tuy nhiên, sự hào hứng với công nghệ mới lại đi kèm rủi ro lớn về bảo mật. Không ít người sẵn sàng đưa toàn bộ hồ sơ bệnh án, triệu chứng sức khỏe, thông tin tài chính cá nhân vào các công cụ AI xuyên biên giới, mà không nhận thức đầy đủ rằng họ đang cung cấp dữ liệu cá nhân nhạy cảm - nhóm dữ liệu được bảo vệ ở mức cao nhất theo pháp luật.

Theo thống kê của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an), chỉ trong năm 2025, Việt Nam ghi nhận hơn 600.000 cuộc tấn công mạng, trong đó khoảng 10.000 hệ thống thông tin của cơ quan nhà nước và ngân hàng trở thành mục tiêu .

Đáng lo ngại hơn, tình trạng mua bán dữ liệu cá nhân diễn ra tràn lan, trở thành “nguyên liệu đầu vào” cho gần 30 hình thức lừa đảo trực tuyến khác nhau, từ giả danh ngân hàng, công an cho tới các chiêu trò chiếm đoạt tài sản tinh vi.

Luật Bảo vệ dữ liệu cá nhân 2025: Không còn “chia sẻ mặc định”

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, có hiệu lực từ 1/1/2026, đánh dấu bước ngoặt lớn trong tư duy quản trị dữ liệu tại Việt Nam.

Theo luật, không một tổ chức nào  từ bệnh viện, ngân hàng đến hãng taxi hay nền tảng số - được quyền mặc định chia sẻ dữ liệu người dùng cho bên thứ ba (bảo hiểm, quảng cáo, đối tác…) nếu chưa có sự đồng ý rõ ràng, cụ thể và có thể kiểm chứng của chủ thể dữ liệu .

Đặc biệt, luật đặt ra chế tài xử phạt ở mức rất cao, mang tính răn đe mạnh.

Thượng tá Đỗ Đình Thi (Bộ Công an) khẳng định: Ngay cả các doanh nghiệp xuyên biên giới không có pháp nhân tại Việt Nam nhưng xử lý dữ liệu công dân Việt Nam vẫn thuộc phạm vi điều chỉnh của luật, thông qua các cơ chế hợp tác quốc tế và kênh ngoại giao pháp lý .

Zalo “chạy nước rút” trước thời điểm luật có hiệu lực?

Với khoảng 79 triệu người dùng thường xuyên, Zalo không chỉ là một ứng dụng nhắn tin mà đã trở thành hạ tầng số thiết yếu của xã hội Việt Nam.

Tuy nhiên, việc Zalo triển khai chiến dịch yêu cầu người dùng cung cấp ảnh chụp căn cước công dân (CCCD) để định danh tài khoản, ngay sát thời điểm Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực, đã làm dấy lên nhiều tranh luận trong giới chuyên gia pháp lý và công nghệ.

Vấn đề không nằm ở bản thân hoạt động định danh, mà ở cách thức thực hiện: đặt người dùng vào lựa chọn “đồng ý hoặc bị khóa tài khoản”.

Theo Khoản 2 Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025:

Sự đồng ý của chủ thể dữ liệu chỉ có giá trị pháp lý khi được đưa ra trên cơ sở tự nguyện, có quyền lựa chọn thực sự, và không bị đe dọa hạn chế các quyền lợi cơ bản nếu từ chối .

Trong bối cảnh đó, câu hỏi đặt ra không chỉ dành cho Zalo, mà cho toàn bộ hệ sinh thái nền tảng số tại Việt Nam: Liệu quá trình “tuân thủ pháp luật” có đang vô tình đẩy rủi ro pháp lý sang phía người dùng?

Theo tinh thần Luật Bảo vệ dữ liệu cá nhân 2025, sự đồng ý chỉ có giá trị khi được đưa ra trên cơ sở tự nguyện và có quyền lựa chọn thực sự. Khi việc từ chối đồng nghĩa với mất quyền tiếp cận một hạ tầng số thiết yếu, sự "đồng ý" đó rất khó đáp ứng tiêu chí này.

Vấn đề vì thế không chỉ nằm ở việc Zalo có được thu thập dữ liệu hay không, mà ở câu hỏi cốt lõi hơn: Nền tảng có đang sử dụng lợi thế hạ tầng để "mặc định hóa" sự đồng ý của người dùng hay không?

Đây cũng chính là ranh giới mà các hệ thống pháp luật tiên tiến: từ GDPR của châu Âu đến các đạo luật bảo vệ dữ liệu tại Hàn Quốc, Nhật Bản đều đặc biệt cảnh giác.

Luật Bảo vệ dữ liệu cá nhân 2025 xác lập rõ nguyên tắc: Trách nhiệm tuân thủ thuộc về bên kiểm soát và xử lý dữ liệu, không phải chủ thể dữ liệu. Điều này đồng nghĩa với việc doanh nghiệp phải chứng minh tính cần thiết, tương xứng và hợp pháp của dữ liệu thu thập; không được "phòng ngừa rủi ro pháp lý" bằng cách buộc người dùng chấp nhận mọi điều kiện bất lợi; và không thể viện dẫn lý do "người dùng đã đồng ý" nếu sự đồng ý đó không đáp ứng đầy đủ tiêu chí của luật.

Cuối cùng, mức độ văn minh của một xã hội số không được đo bằng số lượng người dùng hay tốc độ triển khai công nghệ, mà bằng cách quyền riêng tư của cá nhân yếu thế nhất được tôn trọng đến đâu. Trong kỷ nguyên AI và dữ liệu lớn, việc tôn trọng quyền từ chối của người dùng chính là phép thử thực sự cho mức độ trưởng thành của hệ sinh thái số Việt Nam.