Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, dữ liệu cá nhân đã trở thành một loại “tài sản đặc biệt”, gắn liền với đời sống, danh dự, quyền và lợi ích hợp pháp của mỗi người dân. Việc thông tin cá nhân bị thu thập, mua bán, khai thác trái phép không chỉ gây phiền toái mà còn tiềm ẩn nguy cơ lừa đảo, xâm phạm quyền con người. Trước yêu cầu cấp thiết đó, Luật Bảo vệ dữ liệu cá nhân năm 2025 có hiệu lực từ 1/1/2026 sẽ tạo hành lang pháp lý bảo vệ người dân trong không gian số.

KHẲNG ĐỊNH QUYỀN LÀM CHỦ DỮ LIỆU CÁ NHÂN CỦA NGƯỜI DÂN

Điều 29 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến tại Việt Nam bị nghiêm cấm hành vi nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của người dùng, trừ trường hợp pháp luật có quy định khác.

Đặc biệt, luật nhấn mạnh nguyên tắc đồng ý: Mọi hoạt động thu thập, xử lý dữ liệu cá nhân chỉ được thực hiện khi có sự đồng ý rõ ràng của chủ thể dữ liệu, trừ một số trường hợp đặc biệt do pháp luật quy định. Người dân cũng có quyền rút lại sự đồng ý, yêu cầu chỉnh sửa, hạn chế xử lý hoặc xóa dữ liệu khi không còn cần thiết.

Quy định này giúp người dân chủ động kiểm soát thông tin cá nhân, thay vì ở thế bị động như trước đây.

Một điểm mới quan trọng của luật là việc phân loại dữ liệu cá nhân, trong đó dữ liệu nhạy cảm như thông tin sức khỏe, sinh trắc học, tài chính – ngân hàng, vị trí, đời sống riêng tư… được đặt dưới cơ chế bảo vệ chặt chẽ hơn.

Các tổ chức, doanh nghiệp khi xử lý dữ liệu nhạy cảm phải áp dụng biện pháp bảo mật nghiêm ngặt, hạn chế tối đa việc chia sẻ, chuyển giao; đồng thời chịu trách nhiệm cao hơn nếu để xảy ra lộ lọt, xâm phạm dữ liệu. Qua đó, người dân được bảo vệ tốt hơn trước các nguy cơ bị theo dõi, đánh cắp thông tin hay lợi dụng dữ liệu để trục lợi.

Các nền tảng mạng xã hội cũng cần phải thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi người dùng cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng.

Người dùng mạng xã hội phải được cung cấp lựa chọn để từ chối và chia sẻ tệp dữ liệu (gọi là cookies); cung cấp lựa chọn cho phép hoặc từ chối mạng xã hội theo dõi hoạt động của người dùng trên các nền tảng dịch vụ.

Luật Bảo vệ dữ liệu cũng yêu cầu các nền tảng mạng xã hội buộc phải công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân.

Mạng xã hội phải cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.

RÀNG BUỘC TRÁCH NHIỆM TỔ CHỨC, DOANH NGHIỆP

Theo Điều 14 Luật Bảo vệ dữ liệu cá nhân năm 2025, chủ thể dữ liệu cá nhân (người dùng) có quyền yêu cầu bên kiểm soát và xử lý dữ liệu cá nhân (mạng xã hội) xóa, hủy dữ liệu cá nhân của mình.

Việc xóa, hủy dữ liệu cá nhân phải được thực hiện bằng các biện pháp an toàn; ngăn chặn hoạt động xâm nhập và khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy; ngăn chặn sao chép, chiếm đoạt, làm lộ, làm mất dữ liệu cá nhân trong quá trình khử nhận dạng. Cơ quan, tổ chức, cá nhân không được cố ý khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy.

Trong trường hợp không thể xóa, hủy dữ liệu cá nhân vì lý do chính đáng sau khi nhận được yêu cầu của chủ thể dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải thông báo để chủ thể dữ liệu cá nhân biết.

Người dùng sau khi yêu cầu xóa toàn bộ dữ liệu cá nhân thì phải chấp nhận các rủi ro, thiệt hại có thể xảy ra đối với mình. Chẳng hạn người dùng sau khi xóa tài khoản mạng xã hội có thể yêu cầu xóa toàn bộ dữ liệu cá nhân của mình, đồng nghĩa với việc tài khoản sẽ không bao giờ được phục hồi như ban đầu.

Luật Bảo vệ dữ liệu cá nhân năm 2025 không chỉ bảo vệ quyền của người dân mà còn nâng cao trách nhiệm pháp lý của các cơ quan, tổ chức, doanh nghiệp. Các chủ thể xử lý dữ liệu phải công khai, minh bạch mục đích thu thập; chỉ sử dụng đúng phạm vi đã thông báo; bảo đảm an toàn dữ liệu trong suốt quá trình xử lý.

Đối với các hoạt động có nguy cơ cao, luật yêu cầu thực hiện đánh giá tác động bảo vệ dữ liệu cá nhân, nhằm phòng ngừa rủi ro và ngăn chặn vi phạm ngay từ đầu...

Có thể khẳng định, Luật Bảo vệ dữ liệu cá nhân năm 2025 chính là “lá chắn pháp lý” vững chắc, bảo vệ người dân trước những rủi ro trong kỷ nguyên số, đồng thời tạo nền tảng quan trọng cho phát triển kinh tế số, xã hội số bền vững, nhân văn.