Một số quy định đáng chú ý trong Luật Bảo vệ dữ liệu cá nhân 2025

Ngày 26/6/2025, tại Kỳ họp thứ 9, Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15). Trong đó, có một số quy định đáng chú ý như nghiêm cấm mua bán dữ liệu cá nhân; doanh nghiệp phải xóa dữ liệu cá nhân người lao động sau khi chấm dứt hợp đồng; mạng xã hội không được yêu cầu cung cấp hình ảnh, video chứa nội dung về giấy tờ tùy thân làm yếu tố xác thực...

Nghiêm cấm hành vi mua bán dữ liệu cá nhân

Theo Điều 7 Luật Bảo vệ dữ liệu cá nhân quy định thì có 07 hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân, gồm:

- Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

- Cản trở hoạt động bảo vệ dữ liệu cá nhân.

- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.

- Xử lý dữ liệu cá nhân trái quy định của pháp luật.

- Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.

- Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.

- Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Ảnh minh hoạ.

Phạt tối đa đến 5% doanh thu năm liền kề đối với hành vi xâm phạm dữ liệu cá nhân

Theo khoản 4 Điều 8 của Luật quy định thì mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó.

Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều 8 thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều 8.

Doanh nghiệp phải xóa dữ liệu cá nhân người lao động sau khi chấm dứt hợp đồng

Khoản 2 Điều 25 quy định về trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong quản lý, sử dụng người lao động. Theo đó, doanh nghiệp sau khi chấm dứt hợp đồng phải có trách nhiệm:

- Tuân thủ quy định của Luật này, pháp luật về lao động, việc làm, pháp luật về dữ liệu và quy định khác của pháp luật có liên quan;

- Dữ liệu cá nhân của người lao động phải lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận;

- Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.

Mạng xã hội không được yêu cầu cung cấp hình ảnh, video chứa nội dung về giấy tờ tùy thân làm yếu tố xác thực

Theo Điều 29 thì tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến phải có trách nhiệm:

- Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng.

- Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.

- Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies).

- Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng.

- Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.

- Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho ngườidùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.

Luật Bảo vệ dữ liệu cá nhân sẽ có hiệu lực thi hành từ ngày 01/01/2026.