Làm thế nào để bảo vệ dữ liệu cá nhân?

Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực từ ngày 1-1-2026

Theo Ban tổ chức, trong những năm gần đây, dữ liệu cá nhân ngày càng trở thành yếu tố trọng yếu của Chính phủ số và nền kinh tế số. Tuy nhiên, tình trạng thu thập, mua bán và sử dụng trái phép dữ liệu cá nhân diễn ra ngày càng phổ biến, gắn với các hành vi giả danh ngân hàng, doanh nghiệp viễn thông, sàn thương mại điện tử và cơ quan công quyền để lừa đảo, chiếm đoạt tài sản. Theo thống kê của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, chỉ trong 6 tháng đầu năm 2025, lực lượng chức năng đã phát hiện và xử lý 56 vụ việc liên quan đến mua bán trái phép dữ liệu cá nhân, với quy mô hơn 110 triệu bản ghi dữ liệu bị thu thập và giao dịch trái phép. Tình trạng này xuất phát từ nhu cầu thu thập dữ liệu cá nhân để phục vụ hoạt động sản xuất, kinh doanh là có thật. Lợi dụng điều đó, nhiều tổ chức, cá nhân đã tiến hành thu thập trái phép dữ liệu để sử dụng cho mục đích riêng.

Thượng tá Nguyễn Đình Đỗ Thi, Phó trưởng phòng Tham mưu Cục A05 chia sẻ thông tin tại tọa đàm.

Luật Bảo vệ dữ liệu cá nhân được Quốc hội thông qua ngày 26-6-2025 và có hiệu lực thi hành từ ngày 1-1-2026 đã xác lập rõ các quyền dữ liệu cơ bản của công dân, bao gồm quyền được biết, quyền đồng ý, quyền truy cập, chỉnh sửa và yêu cầu xóa dữ liệu; đồng thời quy định trách nhiệm pháp lý của cơ quan nhà nước, tổ chức và doanh nghiệp trong toàn bộ vòng đời thu thập, xử lý, lưu trữ và chia sẻ dữ liệu. Việc luật chính thức có hiệu lực từ ngày 1-1-2026 được xem là bước ngoặt quan trọng trong bảo vệ quyền riêng tư, bảo đảm an ninh dữ liệu và củng cố niềm tin số tại Việt Nam.

Tại tọa đàm, Đại tá Nguyễn Hồng Quân, Phó cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) - Bộ Công an nhấn mạnh: Quyền được bảo vệ dữ liệu cá nhân - trước đây được hiểu là một phần của quyền riêng tư - nay đã trở thành một quyền độc lập, được pháp luật ghi nhận và bảo hộ. Hiện có khoảng 80% dân số thế giới đang sống trong các khu vực có quy định về bảo vệ dữ liệu cá nhân; Việt Nam cũng không nằm ngoài xu thế này. Việc ban hành Nghị định 13 và tiếp đó là Luật Bảo vệ dữ liệu cá nhân - có hiệu lực từ ngày mai, 1-1-2026 - là bước đi thể hiện cam kết mạnh mẽ của Nhà nước trong xây dựng một môi trường số an toàn, bảo đảm quyền con người trên không gian mạng”.

Ở góc độ triển khai bảo vệ dữ liệu và dữ liệu cá nhân tại Việt Nam, ông Ngô Tuấn Anh, Phó ban An ninh dữ liệu và bảo vệ dữ liệu cá nhân, Hiệp hội An ninh mạng quốc gia cho biết, trước tiên chúng ta phải luôn thượng tôn pháp luật. Đồng thời, để bảo vệ dữ liệu cá nhân, chúng ta cần triển khai đào tạo, tập huấn nâng cao nhận thức về các nghĩa vụ cần tuân thủ, đánh giá hiện trạng trước và sau khi triển khai, theo dõi liên tục việc tuân thủ...

Tọa đàm là diễn đàn nhằm thiết lập cách hiểu thống nhất về Luật Bảo vệ dữ liệu cá nhân, kết nối các chủ thể liên quan và làm rõ các nội dung cốt lõi của Luật; qua đó xác định rõ quyền và trách nhiệm của cơ quan nhà nước, tổ chức, doanh nghiệp và người dân. Đồng thời, tọa đàm tạo không gian đối thoại trực tiếp giữa cơ quan quản lý, chuyên gia và báo chí để định hướng thông tin chính xác, khoa học, dễ hiểu và có tính ứng dụng cao, góp phần chuẩn bị đầy đủ điều kiện để Luật được triển khai thực chất từ ngày 1-1-2026.

Cấm mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác

Luật Bảo vệ dữ liệu cá nhân (DLCN) quy định, doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các quy định về lập hồ sơ đánh giá tác động, chỉ định bộ phận, nhân sự bảo vệ DLCN trong thời hạn 5 năm kể từ ngày Luật này có hiệu lực thi hành và miễn thực hiện đối với các hộ kinh doanh, doanh nghiệp siêu nhỏ.

Theo đó, việc chuyển giao dữ liệu cá nhân được thực hiện trong các trường hợp sau đây: Chuyển giao dữ liệu cá nhân khi có sự đồng ý của chủ thể dữ liệu cá nhân; chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập; chuyển giao dữ liệu cá nhân để tiếp tục xử lý dữ liệu cá nhân trong trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước; chia, tách, sáp nhập, hợp nhất, kết thúc hoạt động đơn vị, tổ chức; đơn vị, tổ chức được thành lập trên cơ sở kết thúc hoạt động của đơn vị, tổ chức khác; bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao dữ liệu cá nhân cho bên xử lý dữ liệu cá nhân, bên thứ ba để xử lý dữ liệu cá nhân theo quy định; chuyển giao dữ liệu cá nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền; chuyển giao dữ liệu cá nhân trong các trường hợp quy định tại khoản 1 Điều 19 của Luật này.

Việc chuyển giao dữ liệu cá nhân trong các trường hợp nêu trên có thu phí hoặc không thu phí thì không được xác định là mua, bán dữ liệu cá nhân.

Luật Bảo vệ dữ liệu cá nhân cấm 7 hành vi sau đây: Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân. Cản trở hoạt động bảo vệ dữ liệu cá nhân. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật. Xử lý dữ liệu cá nhân trái quy định của pháp luật. Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật. Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Luật quy định xử lý vi phạm pháp luật về bảo vệ DLCN (Điều 8) theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật. Cụ thể: đối với hành vi mua, bán DLCN, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm; đối với hành vi vi phạm quy định chuyển DLCN xuyên biên giới, mức phạt tiền tối đa 5% doanh thu năm liền trước; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 3 tỷ đồng; cá nhân vi phạm thì mức xử phạt bằng một phần hai đối với tổ chức. 

Luật quy định chặt chẽ cơ chế thực hiện các quyền của chủ thể dữ liệu, các hoạt động xử lý DLCN cụ thể như thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao DLCN và hoạt động khác tác động đến DLCN, các trường hợp xử lý DLCN không cần sự đồng ý của chủ thể dữ liệu; thống nhất thuật ngữ “chuyển dữ liệu cá nhân xuyên biên giới” cho phù hợp với quy định của Luật Dữ liệu và áp dụng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới và chỉ kiểm tra khi cần thiết, thay vì yêu cầu xin phép trước trong đa số trường hợp, tạo thuận lợi cho doanh nghiệp.

Về đánh giá tác động khi xử lý DLCN và khi chuyển DLCN xuyên biên giới, Luật cơ bản kế thừa các nội dung do Chính phủ trình, theo đó cơ quan, tổ chức chỉ cần lập hồ sơ này một lần cho suốt quá trình hoạt động và cập nhật khi có thay đổi và cơ quan chức năng sẽ thực hiện kiểm tra hồ sơ khi xét thấy cần thiết. Đối với cả hai loại đánh giá tác động này, nếu đã thực hiện theo quy định của Luật này thì không phải thực hiện việc đánh giá rủi ro tương tự theo quy định của Luật Dữ liệu.

Luật bổ sung bảo vệ DLCN đối với các đối tượng là người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi để bảo đảm đầy đủ, bao quát.

Luật quy định lực lượng bảo vệ DLCN gồm: Cơ quan chuyên trách bảo vệ DLCN thuộc Bộ Công an; bộ phận, nhân sự bảo vệ DLCN trong cơ quan, tổ chức; tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN; tổ chức, cá nhân được huy động tham gia bảo vệ DLCN. 

Tọa đàm được kỳ vọng góp phần nâng cao nhận thức xã hội về bảo vệ dữ liệu cá nhân, thúc đẩy việc tuân thủ pháp luật trong môi trường số, từng bước hình thành chuẩn mực chung về quyền dữ liệu trong truyền thông đại chúng, hướng tới mục tiêu xây dựng môi trường số an toàn, minh bạch và đáng tin cậy, với mô hình phát triển.