Sáng 26/6/2025, với 433/435 đại biểu tham gia biểu quyết tán thành, bằng 90,59% tổng số đại biểu Quốc hội, Quốc hội khóa XV, kỳ họp thứ 9 đã thông qua Luật Bảo vệ dữ liệu cá nhân. Luật này có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026.
Decuongtuyentruyen.com biên soạn, giới thiệu tới bạn đọc Đề cương tuyên truyền Luật Bảo vệ dữ liệu cá nhân năm 2025 gồm 02 phần:
Phần 1. Sự cần thiết ban hành Luật Bảo vệ dữ liệu cá nhân năm 2025
Phần 2. Những điểm mới của Luật Bảo vệ dữ liệu cá nhân năm 2025
I. SỰ CẦN THIẾT BAN HÀNH LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN NĂM 2025
1. Về cơ sở chính trị
Dữ liệu cá nhân là vấn đề liên quan tới chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, chính phủ điện tử, chính phủ số, kinh tế số. Thời gian gần đây, Đảng và Nhà nước đã ban hành nhiều văn bản chỉ đạo vấn đề này, theo hướng bảo đảm an ninh mạnglấy con người, trí tuệ con người làm trung tâm, là nhân tố quyết định, hoàn thiện hành lang pháp lý trong bảo vệ dữ liệu cá nhân. Bảo vệ dữ liệu cá nhân được tiến hành song song, đồng thời với sự phát triển kinh tế, xã hội, đi liền với tất cả các khâu, quá trình nhưng phải đảm bảo không hạn chế sự phát triển, đổi mới và sáng tạo.
Nghị quyết số 27-NQ/TW ngày 09/11/2022 của Hội nghị lần thứ sáu Ban Chấp hành Trung ương Đảng khóa XIII về tiếp tục xây dựng và hoàn thiện Nhà nước pháp quyền xã hội chủ nghĩa Việt Nam trong giai đoạn mới đã khẳng định quan điểm “…lấy con người là trung tâm, mục tiêu, chủ thể và động lực phát triển đất nước; Nhà nước tôn trọng, bảo đảm, bảo vệ quyền con người, quyền công dân” với mục tiêu “Hoàn thiện cơ bản các cơ chế bảo đảm quyền làm chủ của Nhân dân, bảo đảm và bảo vệ quyền con người, quyền công dân. Hệ thống pháp luật dân chủ, công bằng, nhân đạo, đầy đủ, đồng bộ, thống nhất, kịp thời, khả thi, công khai, minh bạch, ổn định, dễ tiếp cận, mở đường cho đổi mới sáng tạo, phát triển bền vững và cơ chế tổ chức thực hiện pháp luật nghiêm minh, nhất quán”.Đề cương tuyên truyền Luật Bảo vệ dữ liệu cá nhân năm 2025
Nghị quyết số 57-NQ/TW ngày 22/12/2024 của Bộ Chính trị về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia đã nêu quan điểm chỉ đạo “3. Thể chế, nhân lực, hạ tầng, dữ liệu và công nghệ chiến lược là những nội dung trọng tâm, cốt lõi, trong đó thể chế là điều kiện tiên quyết, cần hoàn thiện và đi trước một bước. Đổi mới tư duy xây dựng pháp luật bảo đảm yêu cầu quản lý và khuyến khích đổi mới sáng tạo, loại bỏ tư duy “không quản được thì cấm””.
2. Về cơ sở pháp lý
Ngày 02/10/2024, Chính phủ ban hành Nghị quyết số 174/NQ-CP về phiên họp chuyên đề về xây dựng pháp luật tháng 9 năm 2024, trong đó Chính phủ “thống nhất về sự cần thiết xây dựng Luật và giao Bộ Công an chủ trì, phối hợp với Bộ Tư pháp, Văn phòng Chính phủ và các cơ quan liên quan hoàn thiện hồ sơ Đề nghị xây dựng Luật gửi Bộ Tư pháp tổng hợp để trình Ủy ban Thường vụ Quốc hội bổ sung dự án Luật này vào Chương trình xây dựng luật, pháp lệnh năm 2025 của Quốc hội. Ngày 11/12/2024, Ủy ban Thường vụ Quốc hội ban hành Nghị quyết số 59/2024/UBTVQH15 điều chỉnh Chương trình xây dựng luật, pháp lệnh năm 2025, trong đó, bổ sung dự án Luật Bảo vệ dữ liệu cá nhân vào Chương trình xây dựng luật, pháp lệnh năm 2025, trình Quốc hội cho ý kiến tại Kỳ họp thứ 9 (tháng 5/2025) và thông qua tại Kỳ họp thứ 10 (tháng 10/2025).
3. Về cơ sở thực tiễn
3.1. Hạn chế, bất cập của quy định pháp luật hiện hành về bảo vệ dữ liệu cá nhân
Theo thống kê của Bộ Công an, có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 04 Bộ luật; 39 Luật, 01 Pháp lệnh; 19 Nghị định; 04 Thông tư/Thông tư liên tịch; 01 Quyết định của Bộ trưởng. Tuy nhiên, dù có tới 69 văn bản nhưng tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân, chỉ có Nghị định số 13/2023/NĐ-CP ngày 17/4/2024 của Chính phủ về bảo vệ dữ liệu cá nhân (Nghị định số 13/2023/NĐ-CP) đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Tuy nhiên, đây mới chỉ là văn bản Nghị định, chưa phải văn bản Luật nên cần thống nhất thực hiện trong thực tiễn, cần có văn bản Luật làm “luật gốc”, mang tính nguyên tắc, góp phần tiếp tục thể chế hóa quy định của Hiến pháp và pháp luật về quyền bảo vệ bí mật cá nhân, quyền con người, quyền công dân, an ninh mạng bảo đảm sự đồng bộ, thống nhất trong hệ thống pháp luật.Hiến pháp năm 2013
Hiến pháp năm 2013 đã kế thừa các quy định của các bản Hiến pháp trước đây, khẳng định quyền riêng tư của cá nhân là bất khả xâm phạm, đồng thời phát triển mở rộng phạm vi quyền riêng tư không chỉ là quyền bất khả xâm phạm về thân thể, nhà ở, thư tín mà còn bao gồm quyền bảo vệ bí mật cá nhân, trong đó có thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình (Điều 21). Hiện nay, trong hệ thống pháp luật Việt Nam chỉ có 01 văn bản là Nghị định số 13/2023/NĐ-CP đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân, chưa có văn bản Luật nào quy định về vấn đề này. Tuy nhiên, phạm vi điều chỉnh của Nghị định chưa bao quát hết các lĩnh vực, quan hệ của đời sống, xã hội, chưa tương thích với các quy định về quyền bí mật đời sống riêng tư, bí mật cá nhân, bí mật gia đình được nêu trong Hiến pháp năm 2013, cùng các quy định liên quan tới “thông tin cá nhân”, “thông tin riêng”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin bí mật đời tư” được nêu trong một số văn bản Luật hiện hành.
Đối với việc bảo vệ dữ liệu cá nhân trên môi trường truyền thống, qua rà soát pháp luật cho thấy việc bảo vệ dữ liệu cá nhân trên môi trường truyền thống, bao gồm dữ liệu cá nhân trong các tài liệu, hồ sơ, bệnh án ở trên giấy đang chưa được quy định cụ thể trong bất kỳ văn bản pháp luật hiện hành nào, đặc biệt là thiếu vắng các quy định chi tiết và chỉ rõ các biện pháp bảo vệ quyền của chủ thể dữ liệu. Các quy định pháp luật hiện đang có hiệu lực, sau khi đã loại trừ các văn bản tập trung vào đối tượng là dữ liệu cá nhân trên môi trường mạng, mới chỉ có quy định chung về bảo vệ bí mật cá nhân, bí mật gia đình, thông tin về đời sống riêng tư không kể hình thức chứa đựng thông tin là trên các phương tiện điện tử hay hồ sơ giấy. Gần đây nhất, Luật Lưu trữ năm 2024, mặc dù đã quy định những nguyên tắc lưu trữ và quyền, nghĩa vụ của các chủ thể có liên quan, cũng không đề cập đến việc bảo vệ dữ liệu cá nhân. Một trong các nguyên tắc lưu trữ mà các bên phải tuân thủ là “Bảo đảm quyền tiếp cận thông tin của công dân đối với tài liệu lưu trữ theo quy định của Hiến pháp và pháp luật”, dẫn sang khoản 2, 3 Điều 7 Luật Tiếp cận thông tin năm 2016, nội dung của quy định này chỉ đề cập đến quyền đồng ý của chủ thể dữ liệu.
Theo quy định của Hiến pháp năm 2013, chỉ có văn bản luật được quyền quy định các nội dung liên quan tới hạn chế quyền con người, quyền công dân. Dự thảo Luật Bảo vệ dữ liệu cá nhân dự kiến quy định một số trường hợp liên quan tới tiết lộ, xử lý dữ liệu cá nhân khi chưa được sự đồng ý của chủ thể dữ liệu, có khả năng ảnh hưởng tới quyền con người. Mặc dù đã được Ủy ban Thường vụ Quốc hội đồng ý, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP quy định một số trường hợp tại Điều 17. Tuy nhiên, về mặt pháp lý và để bảo đảm quy phạm đầy đủ các trường hợp khác trong thực tiễn, cần ban hành Luật Bảo vệ dữ liệu cá nhân để quy định các nội dung nêu trên.
Pháp luật bảo vệ dữ liệu cá nhân nước ta đã có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân, chưa có quy định chế tài để bảo vệ dữ liệu cá nhân gắn cụ thể với các quyền của chủ thể dữ liệu, cụ thể:
– Về chế tài hình sự: Chưa có chế tài hình sự điều chỉnh vi phạm về bảo vệ dữ liệu cá nhân, mua, bán dữ liệu cá nhân. Hiện vi phạm các quy định về thông tin cá nhân có thể bị xử phạt hình sự theo 02 tội danh tại Điều 159 và Điều 288, với án tù giam cao nhất là 07 năm theo quy định của Bộ Luật Hình sự 2015 (sửa đổi, bổ sung năm 2017). Hầu hết các vụ việc buôn bán dữ liệu cá nhân đang được hoàn thiện theo hướng chứng minh 02 tội danh này. Tuy nhiên, do chưa quy định cụ thể về các yếu tố cấu thành trong hoạt động mua, bán dữ liệu cá nhân, nhất là hoạt động có sự trung gian qua nhiều cá nhân, tổ chức nên khó chứng minh tội phạm.
– Về chế tài dân sự: Quyền bảo vệ thông tin cá nhân xét dưới góc độ dân sự khi bị xâm phạm đều có thể thực hiện phương thức tự bảo vệ hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các hoạt động theo quy định tại Bộ luật Dân sự năm 2015 như công nhận, tôn trọng, bảo vệ và bảo đảm quyền dân sự của mình; buộc chấm dứt hành vi xâm phạm; buộc xin lỗi, cải chính công khai; buộc thực hiện nghĩa vụ hoặc buộc bồi thường thiệt hại; hủy quyết định cá biệt trái pháp luật của cơ quan, tổ chức, người có thẩm quyền. Bên cạnh đó, một số văn bản pháp luật chuyên ngành cũng có quy định về bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân (Luật công nghệ thông tin năm 2006), làm lộ bí mật thông tin trong đơn đăng ký sáng chế, đơn đăng ký kiểu dáng công nghiệp (Luật sở hữu trí tuệ năm 2005). Tuy nhiên, xét dưới góc độ dữ liệu cá nhân gắn với các quyền của chủ thể dữ liệu theo thông lệ quốc tế hiện chưa có các chế tài dân sự điều chỉnh trực tiếp, thống nhất.
– Về chế tài hành chính: Chưa có chế tài xử phạt vi phạm hành chính về dữ liệu cá nhân. Các hành vi vi phạm, xâm hại đến thông tin cá nhân đã có nhưng nằm rải rác ở nhiều văn bản khác nhau.
Luật Bảo vệ dữ liệu cá nhân sẽ quy phạm đầy đủ các quyền của chủ thể dữ liệu, bảo vệ dữ liệu cá nhân, các hành vi vi phạm quy định sẽ được căn cứ vào Luật để đề xuất các hình thức, biện pháp xử lý phù hợp.
3.2. Những vấn đề mới phát sinh về bảo vệ dữ liệu cá nhân đặt ra yêu cầu giải quyết thông qua việc ban hành Luật
Qua thực tiễn triển khai công tác bảo vệ dữ liệu cá nhân theo Nghị định số 13/2023/NĐ-CP thấy, hiện có nhiều tổ chức, doanh nghiệp thu thập thừa dữ liệu cá nhân so với ngành nghề, sản phẩm, dịch vụ kinh doanh, thiếu cơ sở pháp lý khi thu thập dữ liệu cá nhân, không xác định được các luồng xử lý dữ liệu. Nhiều hoạt động thu thập, xử lý dữ liệu cá nhân mà chưa có sự đồng ý của chủ thể dữ liệu, không thể lấy ý kiến về sự đồng ý đối với những dữ liệu cá nhân đã thu thập. Điều đó cho thấy, các quyền cơ bản của công dân đối với dữ liệu cá nhân chưa được bảo đảm, công dân chưa biết cách tự bảo vệ, chưa biết cách khiếu kiện, phản đối, yêu cầu bồi thường thiệt hại khi có hành vi vi phạm pháp luật, xâm hại tới quyền và lợi ích hợp pháp của mình. Luật Bảo vệ dữ liệu cá nhân sẽ là cơ sở pháp lý ghi nhận các quyền của công dân đối với dữ liệu cá nhân, góp phần nâng cao nhận thức và hoàn thiện cơ chế thực thi bảo vệ các quyền công dân.Tình huống về bảo vệ trẻ em trên không giang mạng
Bên cạnh đó, việc thực hiện các nghĩa vụ trong quá trình xử lý dữ liệu cá nhân, như: xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, thông báo vi phạm về bảo vệ dữ liệu cá nhân vẫn còn nhiều lúng túng, chậm trễ; công tác đào tạo, tập huấn về bảo vệ dữ liệu cá nhân trong các tổ chức chưa được tiến hành thường xuyên. Việc thay đổi quy trình làm việc, chính sách hiện hành của tổ chức, doanh nghiệp phù hợp với quy định về bảo vệ dữ liệu cá nhân đã được quan tâm nhưng chưa được triển khai đúng mức; việc cung cấp các giải pháp kỹ thuật bảo vệ dữ liệu cá nhân còn hạn chế, thiếu tiêu chí đánh giá các giải pháp kỹ thuật đáp ứng được yêu cầu bảo vệ dữ liệu cá nhân. Những hạn chế, thiếu hiệu quả khi triển khai tuân thủ Nghị định số 13/2023/NĐ-CP sẽ được giải quyết thông qua việc bổ sung, chỉnh sửa các quy định trong Luật Bảo vệ dữ liệu cá nhân theo hướng đầy đủ, rõ ràng hơn và sẽ được cụ thể hóa trong các văn bản của Chính phủ hướng dẫn chi tiết thi hành Luật.
Trong bối cảnh chuyển đổi số diễn ra sâu rộng trên hầu hết các lĩnh vực, dữ liệu cá nhân được chuyển lên môi trường điện tử thường xuyên, liên tục dẫn đến tình trạng lộ, mất dữ liệu cá nhân diễn ra phổ biến trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai. Mặc dù Nghị định số 13/2023/NĐ-CP đã quy định dữ liệu cá nhân không được mua, bán dưới mọi hình thức, thực tế tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.
Hoạt động mua, bán dữ liệu cá nhân diễn ra dưới nhiều hình thức, như: (1) Doanh nghiệp không có thỏa thuận xử lý dữ liệu cá nhân chặt chẽ với đối tác, để đối tác chuyển giao, bán cho các đối tác khác; (2) Chủ động thu thập, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán; (3) Rao bán dữ liệu cá nhân số lượng lớn, có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua; (4) Lập doanh nghiệp vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; (5) Tấn công, xâm nhập hệ thống thông tin để chiếm đoạt dữ liệu cá nhân, tán phát mã độc thu thập dữ liệu cá nhân trên môi trường mạng. Bộ Công an phát hiện, đấu tranh, xử lý một số đường dây chiếm đoạt, mua bán dữ liệu cá nhân quy mô lớn tại Việt Nam (lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm). Trong năm 2023, phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên các nền tảng, diễn đàn (BreachedForums, Telegram, Facebook); cung cấp dịch vụ tra cứu dữ liệu dữ liệu cá nhân công dân Việt Nam (dữ liệu thời gian thực).
Thực trạng trên đặt ra yêu cầu cấp bách trong hoàn thiện pháp luật về bảo vệ dữ liệu cá nhân mang tính thống nhất, đồng bộ trong hệ thống pháp luật, nâng cao nhận thức, ý thức về hoạt xử lý dữ liệu cá nhân hiện nay song hành với công tác bảo vệ dữ liệu cá nhân và có các quy định rõ ràng về việc bảo đảm các quyền của chủ thể dữ liệu. Luật Bảo vệ dữ liệu cá nhân sẽ giúp nâng cao nhận thức của tất các cả đối tượng (cá nhân, cơ quan, tổ chức, doanh nghiệp) về quyền, trách nhiệm, nghĩa vụ bảo vệ dữ liệu cá nhân. Các chế tài được áp dụng sau khi ban hành Luật cũng mang tính răn đe, nâng cao ý thức thượng tôn pháp luật, tôn trọng và tuân thủ các quy định trong hoạt động xử lý dữ liệu cá nhân.
Trong nhiều lĩnh vực tại Việt Nam, hồ sơ giấy vẫn là phương tiện lưu trữ dữ liệu cá nhân phổ biến. Việc thiếu các quy định cụ thể về bảo vệ dữ liệu trên môi trường này đã dẫn đến nhiều trường hợp vi phạm và rủi ro tiềm tàng. Đặc biệt, trong bối cảnh chuyển đổi từ dữ liệu vật lý sang dữ liệu điện tử (số hóa), nếu không có quy định rõ ràng và thống nhất cho cả hai dạng dữ liệu, quá trình này có thể phát sinh nhiều rủi ro, bao gồm suy giảm chất lượng dữ liệu, mất mát thông tin và vi phạm bảo mật. Thực tế, nhiều tổ chức, doanh nghiệp vẫn duy trì hệ thống lưu trữ song song giữa dữ liệu trên môi trường mạng và dữ liệu vật lý. Việc pháp luật hiện hành chủ yếu tập trung vào bảo vệ dữ liệu cá nhân trên môi trường điện tử, trong khi chưa có quy định chặt chẽ cho dữ liệu vật lý, đã dẫn đến sự bất đồng trong việc áp dụng các biện pháp bảo vệ đồng bộ. Những quy định này không chỉ gây khó khăn cho việc quản lý và chuyển đổi dữ liệu giữa các hệ thống mà còn tạo ra lỗ hổng pháp lý dễ bị lợi dụng. Đặc biệt, khi quy định bảo vệ dữ liệu chỉ tập trung vào môi trường điện tử, người quản lý dữ liệu có thể lợi dụng kẽ hở này để hủy dữ liệu trên hệ thống mạng nhưng vẫn giữ lại bản giấy nhằm tránh bị giám sát chặt chẽ, từ đó làm gia tăng rủi ro về bảo mật thông tin và xâm phạm quyền riêng tư của chủ thể dữ liệu.
Điển hình như trong ngành y tế, hồ sơ bệnh án của bệnh nhân chứa nhiều thông tin nhạy cảm như tiền sử bệnh, thông tin cá nhân và gia đình. Tuy nhiên, việc lưu trữ hồ sơ giấy tại các bệnh viện và phòng khám thường không được bảo vệ chặt chẽ, dẫn đến nguy cơ rò rỉ thông tin. Thực tế đã có nhiều trường hợp thông tin bệnh án bị lộ lọt và sử dụng cho mục đích thương mại, chẳng hạn như các công ty bảo hiểm tiếp cận thông tin sức khỏe của bệnh nhân để đánh giá mức phí bảo hiểm. Trong lĩnh vực lao động, các doanh nghiệp và cơ quan nhà nước thường lưu trữ hồ sơ nhân sự dưới dạng giấy, bao gồm thông tin cá nhân, lý lịch, hợp đồng lao động và thông tin tài chính. Tuy nhiên, không có quy định cụ thể về việc bảo vệ những hồ sơ này, dẫn đến nguy cơ truy cập trái phép và rò rỉ thông tin. Các trường học cũng lưu trữ hồ sơ học sinh, sinh viên bằng hồ sơ giấy, bao gồm thông tin cá nhân, kết quả học tập và các dữ liệu liên quan.
3.3. Hài hòa với thông lệ, quy định quốc tế về bảo vệ dữ liệu cá nhân
Bảo vệ dữ liệu cá nhân là vấn đề được các tổ chức và nhiều quốc gia trên thế giới quan tâm và đi trước nước ta trong thời gian khá dài, có nhiều kinh nghiệm pháp lý và thực tiễn triển khai thi hành để tiếp thu. Hiện nay, đã có hơn 130 quốc gia ban hành văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân, nhiều văn bản có quy định áp dụng đối với tổ chức, cá nhân Việt Nam. Do hệ thống pháp luật, trình độ nhận thức, kinh tế, xã hội khác nhau nên việc tiếp thu các quy định, tiền lệ về bảo vệ dữ liệu cá nhân cần bảo đảm yếu tố hài hòa, trên cơ sở phù hợp với thực tiễn của nước ta, nhưng cũng bảo đảm sự tương thích về mặt pháp lý cho doanh nghiệp trong và ngoài nước thuận lợi triển khai. Một số công ước, khuyến nghị và tiêu chuẩn khu vực về quyền riêng tư và bảo vệ thông tin và dữ liệu cá nhân mặc dù nước ta chưa phải thành viên nhưng có thể được nghiên cứu, tiếp thu có chọn lọc.Luật Ban hành văn bản quy phạm pháp luật 2025
Về cơ bản, quyền được bảo vệ dữ liệu cá nhân trong dự thảo Luật được tiếp cận và phát triển từ quyền riêng tư – với tư cách là quyền cơ bản của con người. Đây cũng là cách tiếp cận đã được pháp luật nhiều nước trên thế giới công nhận và có cơ chế bảo vệ trước sự xâm phạm từ phía nhà nước cũng như từ các chủ thể khác; thống nhất nguyên tắc dữ liệu cá nhân được bảo vệ và các chủ thể khác chỉ được sử dụng dữ liệu cá nhân khi được chủ thể dữ liệu cá nhân cho phép trừ các trường hợp luật định; các hành vi xâm phạm quyền đối với dữ liệu cá nhận bị xử lý hành chính, hình sự và chủ thể dữ liệu cá nhân bị xâm phạm có quyền yêu cầu bồi thường. Dự thảo Luật đảm bảo tương thích với các điều ước quốc tế về quyền con người như: (i) các điều ước về quyền con người như Tuyên ngôn quốc tế nhân quyền năm 1948 (Điều 12), Công ước quốc tế về các quyền dân sự và chính trị năm 1966 (ICCPR, Điều 17), Công ước của Liên hợp quốc về quyền trẻ em (Điều 16), Công ước về quyền của người khuyết tật (Điều 22). Bên cạnh đó, dự thảo Luật quy định quy định về lưu chuyển dữ liệu qua biên giới phù hợp với (ii) các hiệp định thương mại tự do thế hệ mới (FTAs) như Hiệp định thương mại tự do giữa Việt Nam và Liên minh châu Âu; Hiệp định Đối tác Toàn diện và Tiến bộ xuyên Thái Bình Dương…
3.4. Phát triển kinh tế xã hội, tạo nền tảng pháp lý cho hoạt động kinh doanh có liên quan tới dữ liệu cá nhân
Chuyển đổi số, phát triển kinh tế số, xây dựng xã hội số là xu thế của thời đại. Việt Nam đang đẩy mạnh quá trình này để làm chủ cuộc Cách mạng công nghiệp lần thứ tư. Dữ liệu cá nhân là một trong những nguyên liệu chính để thực hiện chuyển đổi số, phát triển kinh tế số, xây dựng xã hội số. Cơ sở hạ tầng không gian mạng phát triển nhanh và ngày càng hoàn thiện, tạo điều kiện thuận lợi cho các ngành, nghề, dịch vụ kinh doanh có liên quan tới dữ liệu cá nhân phát triển. Nước ta đang đẩy mạnh xây dựng Chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số với sự tham gia ngày càng sâu rộng của các lĩnh vực hành chính, y tế, hình sự, hộ tịch, quốc tịch, chứng thực, thương mại điện tử, giáo dục, tài chính, ngân hàng, thuế… Công nghệ thông tin, truyền thông, trí tuệ nhân tạo, internet vạn vật, điện toán đám mây, dữ liệu lớn, dữ liệu nhanh… được ứng dụng sâu rộng, tạo ra những giá trị to lớn xã hội. Dữ liệu cá nhân từ vị trí chưa thực sự quan trọng, trở thành nguyên liệu chính cho hoạt động của các ngành, nghề, dịch vụ nêu trên và ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân.
Sự phát triển một số công nghệ mới đặt ra yêu cầu phải bảo vệ dữ liệu cá nhân, như: xử lý dữ liệu lớn, trí tuệ nhân tạo, điện toán đám mây, blockchain, vũ trụ ảo. Blockchain đặt ra một số rủi ro mới với dữ liệu cá nhân, như: dữ liệu cá nhân không thể thay đổi hay xóa; Blockchain công khai cho phép mọi người truy cập tất cả dữ liệu dẫn đến khả năng lộ thông tin nhạy cảm; cơ chế bán ẩn danh vẫn có thể bị truy vết thông qua việc suy luận hành vi người dùng; tính phi tập trung khiến việc thực thi các quy định bảo vệ dữ liệu cá nhân trở nên khó khăn. AI tạo sinh có thể tạo ra những nội dung giả mạo độc hại, vô tình tiết lộ dữ liệu cá nhân trong khi huấn luyện AI, mất quyền kiểm soát của người dùng đối với việc sử dụng dữ liệu. Trong Vũ trụ ảo có lượng dữ liệu cá nhân khổng lồ, chi tiết và được thu thập trong quá trình trải nghiệm đa giác quan (bao gồm hành vi, cảm xúc, cuộc trò chuyện, thói quen), tổng hợp và tạo hồ sơ cá nhân chi tiết (bằng cách kết hợp với dữ liệu cá nhân hiện hữu), ranh giới mờ nhạt giữa danh tính trong môi trường thực ảo. Với quan điểm bảo vệ để phát triển, Luật Bảo vệ dữ liệu cá nhân sẽ quy định cụ thể các hoạt động kinh doanh liên quan tới dữ liệu cá nhân phục vụ phát triển kinh tế, xã hội.
Như vậy:
(1) Việc xây dựng dự án Luật Bảo vệ dữ liệu cá nhân là hết sức cần thiết nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân.
(2) Việc xây dựng dự án Luật Bảo vệ dữ liệu cá nhân là bước đi thận trọng, kỹ lưỡng, có quá trình và sự chuẩn bị công phu của Chính phủ, bắt đầu từ khi khảo sát xây dựng Nghị định bảo vệ dữ liệu cá nhân (năm 2019) đến khi Nghị định có hiệu lực và triển khai trên thực tiễn.
II. NHỮNG ĐIỂM MỚI CỦA LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN NĂM 2025
Luật Bảo vệ dữ liệu cá nhân năm 2025 gồm 05 chương và 39 điều. Luật quy định cấm mua, bán dữ liệu cá nhân (DLCN), trừ trường hợp luật có quy định khác và bổ sung Điều 17 quy định về chuyển giao DLCN. Theo đó, việc chuyển giao dữ liệu cá nhân được thực hiện trong các trường hợp sau đây:
a) Chuyển giao dữ liệu cá nhân khi có sự đồng ý của chủ thể dữ liệu cá nhân;
b) Chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập;
Bảo vệ dữ liệu cá nhân
c) Chuyển giao dữ liệu cá nhân để tiếp tục xử lý dữ liệu cá nhân trong trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước; chia, tách, sáp nhập, hợp nhất, kết thúc hoạt động đơn vị, tổ chức; đơn vị, tổ chức được thành lập trên cơ sở kết thúc hoạt động của đơn vị, tổ chức khác;
d) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao dữ liệu cá nhân cho bên xử lý dữ liệu cá nhân, bên thứ ba để xử lý dữ liệu cá nhân theo quy định;
đ) Chuyển giao dữ liệu cá nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền;
e) Chuyển giao dữ liệu cá nhân trong các trường hợp quy định tại khoản 1 Điều 19 của Luật này.
Việc chuyển giao dữ liệu cá nhân trong các trường hợp nêu trên có thu phí hoặc không thu phí thì không được xác định là mua, bán dữ liệu cá nhân.
Luật Bảo vệ dữ liệu cá nhân cấm 7 hành vi sau đây:
1. Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
2. Cản trở hoạt động bảo vệ dữ liệu cá nhân.
3. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
4. Xử lý dữ liệu cá nhân trái quy định của pháp luật.
5. Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
6. Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
7. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Luật quy định xử lý vi phạm pháp luật về bảo vệ DLCN (Điều 8) theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật. Cụ thể: đối với hành vi mua, bán DLCN, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm; đối với hành vi vi phạm quy định chuyển DLCN xuyên biên giới, mức phạt tiền tối đa 5% doanh thu năm liền trước; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 03 tỷ đồng; cá nhân vi phạm thì mức xử phạt bằng một phần hai đối với tổ chức.
Decuongtuyentruyen.com sẽ tiếp tục cập nhật những điểm mới của Luật Bảo vệ dữ liệu cá nhân để bạn đọc tham khảo.
Đề cương tuyên truyền pháp luật (trang web thành viên của https://trangtinphapluat.com): Nơi cung cấp các đề cương tuyên truyền, nghiệp vụ tuyên truyền pháp luật
Liên hệ: kesitinh355@gmail.com. Điện thoại, Zalo: 0935634572
BLog đề cương tuyên truyền pháp luật Đề cương tuyên truyền văn bản luật
