Luật bảo vệ dữ liệu cá nhân 2025: Khi quyền riêng tư trở thành quyền năng số

Luật đầu tiên của Việt Nam điều chỉnh toàn diện bảo vệ dữ liệu cá nhân trong kỷ nguyên số

Ngày 1/1/2026 đánh dấu một thời điểm đặc biệt trong tiến trình pháp lý của Việt Nam trên không gian số: Luật Bảo vệ dữ liệu cá nhân 2025 chính thức có hiệu lực. Từ đây, quyền riêng tư, vốn lâu nay tồn tại như một khái niệm đạo đức, một chuẩn mực xã hội hay một điều khoản rải rác trong nhiều luật khác nhau, lần đầu tiên được xác lập đầy đủ, rõ ràng và có tính cưỡng chế cao trong một đạo luật riêng.

Không còn là câu chuyện “ai thu thập thì người đó quyết định”, dữ liệu cá nhân bước vào một giai đoạn mới: giai đoạn mà chủ thể dữ liệu, tức mỗi công dân, được trao quyền kiểm soát thực sự đối với thông tin của chính mình. Đây không chỉ là một thay đổi kỹ thuật trong quản lý dữ liệu, mà là sự dịch chuyển căn bản về tư duy lập pháp, phản ánh bước trưởng thành của Nhà nước pháp quyền trong kỷ nguyên số.

Hiến pháp năm 2013 ghi nhận quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân, bí mật gia đình. Một số luật chuyên ngành như: Luật Dân sự, Luật An ninh mạng, Luật Viễn thông, Luật Công nghệ thông tin… cũng đề cập đến bảo vệ thông tin cá nhân. Tuy nhiên, các quy định này phân tán, chưa theo kịp thực tiễn phát triển nhanh chóng của công nghệ số.

Kể từ ngày 1/1/2026, việc cho số điện thoại, email hay bất kỳ thông tin cá nhân nào của người khác mà không có sự đồng ý của chủ thể dữ liệu sẽ chính thức bị coi là hành vi vi phạm pháp luật. Một thói quen tưởng như rất nhỏ trong đời sống hằng ngày, “cho số giúp”, “đăng ký hộ”, “chia sẻ tiện tay”, nay đã được đặt trong khuôn khổ pháp lý nghiêm ngặt. Đó là một trong những thay đổi rõ nét cho tinh thần của Luật Bảo vệ dữ liệu cá nhân 2025, luật đầu tiên của Việt Nam điều chỉnh toàn diện lĩnh vực bảo vệ dữ liệu cá nhân trong kỷ nguyên số.

Sự ra đời và có hiệu lực của luật không chỉ nhằm xử lý những hành vi vi phạm cụ thể, mà quan trọng hơn, đánh dấu bước ngoặt lớn trong tư duy pháp lý: quyền riêng tư không còn là quyền “phái sinh”, mà đã trở thành một quyền độc lập, quyền năng số của mỗi công dân.

Trong bối cảnh chuyển đổi số diễn ra sâu rộng, dữ liệu cá nhân đã vượt ra ngoài khái niệm thông tin riêng tư thuần túy để trở thành nguồn tài nguyên chiến lược của nền kinh tế số. Mỗi cú click, mỗi lần đăng nhập, mỗi giao dịch trực tuyến đều để lại dấu vết dữ liệu, góp phần tạo nên “chân dung số” của từng cá nhân.

Đại tá Nguyễn Hồng Quân.

Tại Tọa đàm “Bảo vệ dữ liệu cá nhân - quyền và trách nhiệm” do Hiệp hội An ninh mạng Quốc gia tổ chức ngay trước thời điểm luật có hiệu lực, Đại tá Nguyễn Hồng Quân, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Cục A05, Bộ Công an) nhấn mạnh rằng mỗi người hôm nay đều đang sống song song trong hai thế giới: đời sống thực và đời sống số. Trong đời sống số ấy, dữ liệu cá nhân được hình thành, lưu chuyển và khai thác liên tục, nhiều khi vượt ra ngoài sự nhận thức của chính chủ thể dữ liệu.

Thượng tá Đỗ Đình Thi, Phó Trưởng phòng Tham mưu Cục A05 ví von dữ liệu cá nhân như “dầu mỏ mới”, thậm chí là “máu” trong hệ tuần hoàn của nền kinh tế số. Với hơn 80 triệu người dùng Internet, xếp thứ 12 thế giới, mỗi người Việt dành trung bình trên 6 giờ mỗi ngày để kết nối, Việt Nam đang đứng trước cơ hội lớn để khai thác dữ liệu phục vụ phát triển kinh tế - xã hội. Tuy nhiên, đi cùng cơ hội là những rủi ro ngày càng hiện hữu.

Chỉ trong một năm, Cục A05 ghi nhận hơn 600.000 cuộc tấn công mạng nhằm vào Việt Nam, trong đó khoảng 10.000 hệ thống thông tin của cơ quan nhà nước và ngân hàng trở thành mục tiêu. Hoạt động mua bán dữ liệu cá nhân diễn ra công khai trên không gian mạng, tiếp tay cho gần 30 hình thức lừa đảo trực tuyến khác nhau, từ mạo danh cơ quan công quyền đến chiếm đoạt tài sản, thao túng tâm lý nạn nhân.

Siết chặt trách nhiệm của mạng xã hội và nền tảng số

Được Quốc hội thông qua vào tháng 6/2025, Luật Bảo vệ dữ liệu cá nhân gồm 5 chương, 39 điều, chính thức có hiệu lực từ ngày 1/1/2026. Điểm cốt lõi của đạo luật này là thiết lập lại cán cân quyền lực giữa người dùng và các tổ chức, doanh nghiệp công nghệ, những chủ thể lâu nay nắm ưu thế trong việc thu thập, xử lý và khai thác dữ liệu.

Luật trao cho người dùng hàng loạt quyền quan trọng: quyền được biết dữ liệu của mình được thu thập và sử dụng ra sao; quyền đồng ý hoặc không đồng ý; quyền rút lại sự đồng ý; quyền truy cập, chỉnh sửa, xóa dữ liệu; quyền phản đối xử lý dữ liệu; và quyền khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại khi quyền dữ liệu bị xâm phạm.

Thượng tá Nguyễn Đình Đỗ Thi.

Từ thời điểm luật có hiệu lực, các doanh nghiệp công nghệ không còn được tự ý quyết định việc xử lý dữ liệu cá nhân dựa trên những “điều khoản mẫu” dài hàng chục trang hay sự “đồng ý ngầm” của người dùng. Mọi hoạt động xử lý dữ liệu đều phải dựa trên sự đồng ý rõ ràng, minh bạch và có thể kiểm chứng của chủ thể dữ liệu.

Song hành với luật, Nghị định 356/2025/NĐ-CP có hiệu lực từ 1/1/2026, là văn bản hướng dẫn chi tiết thi hành Luật Bảo vệ dữ liệu cá nhân 2025, quy định các yêu cầu nghiêm ngặt hơn về bảo vệ dữ liệu cá nhân, đặc biệt trong lĩnh vực tài chính - ngân hàng, bổ sung dữ liệu nhạy cảm (lịch sử giao dịch, VNeID, hình ảnh CCCD) và quy định chi tiết nhân sự bảo vệ dữ liệu, yêu cầu xác thực mạnh và trách nhiệm thông báo khi có sự cố, nhằm nâng cao an toàn thông tin cá nhân.

Một trong những điểm mới đáng chú ý là mở rộng khái niệm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Theo quy định mới, dữ liệu cá nhân cơ bản đã bổ sung thông tin về vợ/chồng, phản ánh đầy đủ hơn các mối quan hệ gia đình. Trong khi đó, danh mục dữ liệu cá nhân nhạy cảm được làm rõ và mở rộng, bao gồm dữ liệu theo dõi hành vi sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến.

Trong lĩnh vực tài chính - ngân hàng, các thông tin như tên đăng nhập, mật khẩu tài khoản, dữ liệu thẻ ngân hàng, lịch sử giao dịch, thông tin tín dụng, chứng khoán, bảo hiểm đều được xếp vào nhóm dữ liệu cá nhân nhạy cảm và chịu chế độ bảo vệ nghiêm ngặt nhất.

Nghị định cũng quy định cụ thể thời hạn thực hiện các quyền của chủ thể dữ liệu, buộc các tổ chức, doanh nghiệp phải phản hồi nhanh chóng, không được trì hoãn hay né tránh trách nhiệm.

Điều 29 của luật được đánh giá là một trong những điều khoản tác động mạnh mẽ nhất tới người dùng Internet. Theo đó, các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến phải thông báo rõ ràng loại dữ liệu sẽ thu thập ngay từ khi người dùng cài đặt và sử dụng dịch vụ, không được thu thập ngoài phạm vi đã thỏa thuận.

Luật nghiêm cấm việc yêu cầu người dùng cung cấp ảnh, video chứa giấy tờ tùy thân (CCCD, hộ chiếu…) để xác thực tài khoản, một thực tế từng gây nhiều lo ngại về rủi ro lộ lọt dữ liệu.

Các nền tảng cũng phải cung cấp lựa chọn từ chối cookies, tùy chọn “không theo dõi”, không được nghe lén, ghi âm cuộc gọi hay đọc tin nhắn khi chưa có sự đồng ý. Đồng thời, phải công khai chính sách bảo mật, cung cấp cơ chế cho người dùng truy cập, chỉnh sửa, xóa dữ liệu và báo cáo vi phạm, đặc biệt trong trường hợp chuyển dữ liệu xuyên biên giới.

Cùng đó, trước sự phát triển nhanh chóng của công nghệ, Nghị định 356/2025 đã bổ sung các quy định riêng cho trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data), chuỗi khối (Blockchain), vũ trụ ảo (Metaverse) và điện toán đám mây.

Với các hệ thống AI và Metaverse, tổ chức xử lý dữ liệu phải thông báo việc xử lý tự động, giải thích nguyên tắc hoạt động của thuật toán và cho phép người dùng lựa chọn không tham gia. Với Blockchain, dữ liệu cá nhân không được lưu trữ trực tiếp trên chuỗi, mà chỉ được lưu dưới dạng giá trị băm hoặc dữ liệu đã được khử định danh.

Thiệt hại hàng nghìn tỷ đồng và lời cảnh tỉnh từ thực tiễn

Theo thống kê của Bộ Công an, trong 11 tháng đầu năm 2025, thiệt hại do tội phạm lừa đảo trực tuyến gây ra vẫn ở mức rất lớn, ước tính trên 6.000 tỷ đồng. Báo cáo khảo sát an ninh mạng năm 2025 của Hiệp hội An ninh mạng Quốc gia, với hơn 60.300 người tham gia, cho thấy dù tỷ lệ nạn nhân lừa đảo đã giảm so với năm 2024, song mức độ tinh vi của các chiêu trò ngày càng tăng.

Hình thức mạo danh công an nổi lên là phổ biến nhất năm 2025, với các kịch bản dựng sẵn, sử dụng video call, trụ sở giả để thao túng tâm lý nạn nhân. Đáng lo ngại, chỉ 32,12% nạn nhân cho biết đã trình báo với cơ quan chức năng, khiến công tác điều tra và cảnh báo cộng đồng gặp nhiều khó khăn.

Luật Bảo vệ dữ liệu cá nhân 2025 không chỉ là một văn bản quản lý, mà là sự khẳng định pháp lý về quyền riêng tư trong kỷ nguyên số. Khi dữ liệu được ví như “máu” của nền kinh tế số, bảo vệ dữ liệu chính là bảo vệ niềm tin xã hội - nền tảng cho phát triển bền vững.

Ngày 1/1/2026 không chỉ là thời điểm một đạo luật có hiệu lực, mà là cột mốc mở ra chương mới: lần đầu tiên, người dùng Việt Nam thực sự nắm quyền kiểm soát dữ liệu của chính mình trên không gian mạng. Luật pháp là bước khởi đầu, nhưng để quyền năng số trở thành hiện thực, cần sự vào cuộc đồng bộ của Nhà nước, doanh nghiệp và từng cá nhân, những chủ thể vừa là người tạo ra dữ liệu, vừa là người thụ hưởng và cũng là người chịu rủi ro lớn nhất nếu dữ liệu không được bảo vệ đúng cách.

Dữ liệu cá nhân, từ chỗ là thông tin nhận dạng đơn thuần, đã trở thành nguồn nguyên liệu đầu vào của nền kinh tế số, được khai thác để phân tích hành vi, dự báo xu hướng, cá nhân hóa dịch vụ, thậm chí tác động đến quyết định và cảm xúc của con người. Khi dữ liệu bị lạm dụng, bị mua bán, bị xâm phạm, hậu quả không chỉ dừng lại ở sự phiền toái, mà có thể dẫn tới mất tài sản, tổn thương tinh thần, thậm chí đe dọa an ninh cá nhân và trật tự xã hội. Trong bối cảnh đó, Luật Bảo vệ dữ liệu cá nhân 2025 ra đời như một tất yếu lịch sử.

Nguyệt Thương