Luật số 91/2025/QH15: Luật Bảo vệ dữ liệu cá nhân 2025
Luật Bảo vệ dữ liệu cá nhân 2025, Luật số 91/2025/QH15 quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan. Trong đó, dữ liệu cá nhân là bí mật nhà nước phải được mã hóa, giải mã theo quy định của pháp luật về bảo vệ bí mật nhà nước và pháp luật về cơ yếu, Cơ quan, tổ chức, cá nhân quyết định việc mã hóa, giải mã dữ liệu cá nhân phù hợp với hoạt động xử lý dữ liệu cá nhân.
Luật Bảo vệ dữ liệu cá nhân 2025, gồm 3 Chương với 39 điều quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhận, trong một số hoạt động cụ thể, quy định về lực lượng, điều kiện bảo đảm bảo vệ dữ liệu cá nhân và trách nhiệm của cơ quan, tổ chức, cá nhân về bảo vệ dữ liệu cá nhân.
Luật Bảo vệ dữ liệu cá nhân 2025 được áp dụng đối với: Cơ quan, tổ chức, cá nhân Việt Nam; Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.
Nguyên tắc bảo vệ dữ liệu cá nhân
Điều 3, Chương I của Luật nêu rõ các nguyên tắc bảo vệ dữ liệu cá nhân như sau:
- Tuân thủ quy định của Hiến pháp, quy định của Luật này và quy định khác của pháp luật có liên quan.
- Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật.
- Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
- Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.
- Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
- Bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
Hành vi bị nghiêm cấm trong bảo vệ dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân 2025 quy định hành vi bị nghiêm cấm trong bảo vệ dữ liệu cá nhân tại Điều 7, bao gồm:
- Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
- Cản trở hoạt động bảo vệ dữ liệu cá nhân.
- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
- Xử lý dữ liệu cá nhân trái quy định của pháp luật.
- Sử dụng dữ liệu cả nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
- Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
Bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liện cá nhân
Để bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân thì Luật đã quy định cụ thể về sự đồng ý của chủ thể dữ liệu cá nhân; yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân; Thu thập, phân tích, tổng hợp dữ liệu cá nhân; Chỉnh sử dữ liệu cá nhân; Xóa, hủy, khử nhận dạng dữ liệu cá nhân; Cung cấp dữ liệu cá nhân và Công khai, chuyển giao dữ liệu cá nhân.... Trong đó, việc mã hóa, giải mã dữ liệu cá nhân được quy định tại Điều 12, cụ thể như sau:
- Mã hóa dữ liệu cá nhân là việc chuyển đổi dữ liệu cá nhân sang dạng không nhận biết được dữ liệu cá nhân nếu không được giải mã; dữ liệu cá nhân sau khi được mã hóa vẫn là dữ liệu cá nhân.
- Dữ liệu cá nhân là bí mật nhà nước phải được mã hóa, giải mã theo quy định của pháp luật về bảo vệ bí mật nhà nước và pháp luật về cơ yếu.
- Cơ quan, tổ chức, cá nhân quyết định việc mã hóa, giải mã dữ liệu cá nhân phù hợp với hoạt động xử lý dữ liệu cá nhân.
Đối với việc chuyển dữ liệu cá nhân xuyên biên giới được quy định tại Điều 20, trong đó quy định về các trường hợp được chuyển dữ liệu cá nhân xuyên biên giới và thủ tục các cơ quan, tổ chức, cá nhân chuyenr dữ liệu cá nhân xuyên biên giưới cần thực hiện. Đặc biệt, khoản 4, 5 nêu rõ: Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định việc kiểm tra chuyển dữ liệu cá nhân xuyên biên giới định kỳ không quá 01 lần trong năm hoặc kiểm tra đột xuất khi phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân hoặc khi xảy ra sự cố lộ, mất dữ liệu cá nhân; Cơ quan chuyên trách bảo vệ dữ liệu cá nhân quyết định yêu cầu ngừng chuyển dữ liệu cá nhân xuyên biên giới của cơ quan, tổ chức, cá nhân khi phát hiện dữ liệu cá nhân được chuyển để sử dụng vào hoạt động có thể gây tổn hại đến quốc phòng, an ninh quốc gia.
Bảo vệ dữ liệu cá nhân trong một số hoạt động
Luật quy định công tác bảo vệ dữ liệu cá nhân trong một số hoạt động cụ thể như: Bảo vệ dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi; Bảo vệ dữ liệu cá nhân đối với thông tin sức khỏe va trong hoạt đọng kinh doanh bảo hiểm; Bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng người lao động; Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng... Trong đó, trách nhiệm của tổ chức, cá nhân hoạt động trong lĩnh vực tài chinh, ngân hàng, các dịch vụ mạng cũng như xử lý dữ liệu trong các ứng dụng công nghệ được Luật quy định như sau:
Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng
Điều 27, quy định các trách nhiêm cần tuân thủ đối với tổ chức cá nhân hoạt động động trong lĩnh vực tài chính, ngân hàng, hoạt đông thông tin tín dụng như sau:
1. Tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng có trách nhiệm sau đây:
- Thực hiện đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các tiêu chuẩn an toàn, bảo mật trong hoạt động tài chính, ngân hàng theo quy định của pháp luật;
- Không sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân;
- Chỉ thu thập những dữ liệu cá nhân cần thiết phục vụ cho hoạt động thông tin tín dụng từ các nguồn phù hợp với quy định của Luật này và các quy định khác của pháp luật có liên quan;
- Thông báo cho chủ thể dữ liệu cá nhân trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng.
2. Tổ chức, cá nhân thực hiện hoạt động thông tin tín dụng có trách nhiệm tuân thủ quy định của Luật này; áp dụng các biện pháp phòng, chống truy cập, sử dụng, tiết lộ, chỉnh sửa trái phép dữ liệu cá nhân của khách hàng; có giải pháp khôi phục dữ liệu cá nhân của khách hàng trong trường hợp bị mất; bảo mật trong quá trình thu thập, cung cấp, xử lý dữ liệu cá nhân của khách hàng phục vụ đánh giá thông tin tín dụng.
3. Chính phủ quy định chi tiết Điều này.
Bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến.
Điều 29, quy định các tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm sau đây để bảo vệ dữ liệu cá nhân:
- Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng;
- Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản;
- Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies);
- Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;
- Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác;
- Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.
Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây.
Điều 30, quy định việc bảo vệ dữ liệu cá nhân như sau:
- Dữ liệu cá nhân trong môi trường dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải được xử lý đúng mục đích và giới hạn trong phạm vi cần thiết, bảo đảm quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.
- Việc xử lý dữ liệu cá nhân trong môi trường dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải tuân thủ quy định của Luật này và quy định khác của pháp luật có liên quan; phù hợp với chuẩn mực đạo đức, thuần phong mỹ tục của Việt Nam.
- Hệ thống và dịch vụ sử dụng dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải được tích hợp các biện pháp bảo mật dữ liệu cá nhân phù hợp; phải sử dụng phương thức xác thực, định danh phù hợp và phân quyền truy cập để xử lý dữ liệu cá nhân.
- Việc xử lý dữ liệu cá nhân bằng trí tuệ nhân tạo phải thực hiện phân loại theo mức độ rủi ro để có biện pháp bảo vệ dữ liệu cá nhân phù hợp.
- Không sử dụng, phát triển hệ thống xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây có sử dụng dữ liệu cá nhân để gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của người khác.
- Chính phủ quy định chi tiết Điều này.
Lực lượng, điều kiện bảo đảm bảo vệ dữ liệu cá nhân
Lực lượng bảo vệ dữ liệu cá nhân bao gồm:
- Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an;
- Bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức;
- Tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;
- Tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân.
Trong đó: Cơ quan, tổ chức có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân. Chính phủ quy định về điều kiện, nhiệm vụ của bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân; dịch vụ xử lý dữ liệu cá nhân.
Trách nhiệm quản lý nhà nước về bảo vệ dữ liệu cá nhân
Trách nhiệm quản lý nhà nước về bảo vệ dữ liệu cá nhân được quy định tại Điều 36 của Luật như sau:
- Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
- Bộ Công an là cơ quan đầu mối chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân, trừ nội dung thuộc phạm vi quản lý của Bộ Quốc phòng.
- Bộ Quốc phòng chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân thuộc phạm vi quản lý.
- Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực thuộc phạm vi quản lý theo quy định của pháp luật và chức năng, nhiệm vụ được giao.
- Ủy ban nhân dân cấp tỉnh thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân theo quy định của pháp luật và chức năng, nhiệm vụ được giao.
Luật này có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026.
Tác giả: Nguyệt Thu
Nguồn tin: Tạp chí An toàn thông tin
Tin đọc nhiều nhất
-
24 ứng dụng AI tiên tiến năm 2024
-
Những tính năng mới trên phiên bản Windows 11 24H2
-
Một số kỹ thuật và công cụ phát hiện Deepfake
-
Đổi mới thể chế đưa Việt Nam trở thành quốc gia số
-
Chuyển đổi số tại Việt Nam - 4 năm nhìn lại và triển vọng
-
Những thách thức và giải pháp an toàn trong lĩnh vực thương mại điện tử hiện nay
-
Nền kinh tế dữ liệu: Mở ra tương lai của việc tạo ra giá trị dựa trên thông tin
