Luật Bảo vệ dữ liệu cá nhân và 7 hành vi bị nghiêm cấm từ 1/1/2026

Luật Bảo vệ dữ liệu cá nhân 2025, có hiệu lực từ ngày 1/1/2026, đánh dấu bước chuyển quan trọng trong tư duy quản lý dữ liệu cá nhân tại Việt Nam. Lần đầu tiên, quyền đối với dữ liệu cá nhân được luật hóa một cách toàn diện, đặt ra khuôn khổ pháp lý thống nhất, chặt chẽ đối với mọi hoạt động thu thập, xử lý, lưu trữ và chia sẻ dữ liệu cá nhân trong môi trường số.

Một trong những điểm mới mang tính nền tảng của Luật là xác lập rõ dữ liệu cá nhân gắn liền với quyền con người, quyền công dân. Cá nhân có quyền biết, quyền quyết định, quyền đồng ý hoặc không đồng ý đối với việc dữ liệu của mình được thu thập, sử dụng, chia sẻ; đồng thời có quyền yêu cầu chỉnh sửa, hạn chế xử lý hoặc xóa dữ liệu trong những trường hợp luật định.

Cách tiếp cận này cho thấy sự chuyển dịch từ mô hình “quản lý hành chính” sang “bảo vệ quyền”, đặt cá nhân vào vị trí trung tâm trong hệ sinh thái dữ liệu.

Luật quy định rõ nguyên tắc xử lý dữ liệu cá nhân phải có mục đích cụ thể, rõ ràng, hợp pháp và phù hợp với phạm vi đã thông báo cho chủ thể dữ liệu. Việc thu thập, xử lý dữ liệu chỉ được thực hiện khi có sự đồng ý rõ ràng của chủ thể, trừ một số trường hợp đặc biệt do luật quy định.

Đáng chú ý, Luật yêu cầu tổ chức, doanh nghiệp phải chứng minh được cơ sở pháp lý của việc xử lý dữ liệu, thay vì để người dân tự “chấp nhận rủi ro” như trước đây thông qua các điều khoản dài, phức tạp.

Bên cạnh đó, Luật Bảo vệ dữ liệu cá nhân 2025, quy định rõ 7 hành vi bị nghiêm cấm trong hoạt động liên quan đến dữ liệu cá nhân, bao gồm: xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây phương hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; cản trở hoạt động bảo vệ dữ liệu cá nhân; lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; xử lý dữ liệu cá nhân trái quy định của pháp luật; sử dụng dữ liệu cá nhân của người khác hoặc cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái pháp luật; mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác; chiếm đoạt, cố ý làm lộ hoặc làm mất dữ liệu cá nhân.

Tại khoản 2 Điều 29 Luật Bảo vệ dữ liệu cá nhân 2025 cũng quy định rõ trách nhiệm của tổ chức, cá nhân cung cấp dịch vụ mạng xã hội và dịch vụ truyền thông trực tuyến. Theo đó, các nền tảng này không được yêu cầu người dùng cung cấp hình ảnh, video có chứa toàn bộ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.

Đồng thời, các tổ chức, cá nhân cung cấp dịch vụ mạng xã hội và dịch vụ truyền thông trực tuyến có trách nhiệm thông báo rõ ràng, minh bạch về loại dữ liệu cá nhân được thu thập ngay từ thời điểm chủ thể dữ liệu cài đặt và sử dụng dịch vụ; không được thu thập dữ liệu cá nhân trái phép hoặc vượt quá phạm vi đã thỏa thuận với khách hàng, bảo đảm nguyên tắc thu thập và xử lý dữ liệu đúng mục đích, đúng quy định của pháp luật.

Với phạm vi điều chỉnh rộng, Luật Bảo vệ dữ liệu cá nhân 2025 không chỉ tác động đến cơ quan nhà nước mà còn ảnh hưởng trực tiếp đến doanh nghiệp, tổ chức xã hội và từng cá nhân tham gia môi trường số. Luật được kỳ vọng sẽ tạo hành lang pháp lý minh bạch, góp phần xây dựng niềm tin số, thúc đẩy phát triển kinh tế số song hành với bảo vệ quyền riêng tư.

Từ ngày 1/1/2026, việc tuân thủ quy định về bảo vệ dữ liệu cá nhân sẽ không còn là khuyến nghị, mà trở thành nghĩa vụ pháp lý bắt buộc đối với mọi chủ thể có liên quan.