Bảo đảm an ninh con người, chủ quyền dữ liệu trong kỷ nguyên mới
Chính thức có hiệu lực từ ngày 1/1/2026, Luật Bảo vệ dữ liệu cá nhân do Bộ Công an chủ trì soạn thảo đã thể chế hóa quan điểm chỉ đạo của Đảng về bảo vệ quyền con người, quyền công dân, quyền và lợi ích hợp pháp của cá nhân. Luật cũng đã tạo sự đồng bộ, thống nhất, xuyên suốt của hệ thống pháp luật, góp phần bảo đảm an ninh con người, chủ quyền dữ liệu trong kỷ nguyên mới của dân tộc.
Luật Bảo vệ dữ liệu cá nhân gồm 5 chương, 39 điều, quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan. Luật áp dụng đối vớ cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.
Theo đó, Luật Bảo vệ dữ liệu cá nhân đã thống nhất khái niệm và nguyên tắc bảo vệ dữ liệu cá nhân. Luật đã xây dựng và thống nhất một số khái niệm quan trọng trong lĩnh vực bảo vệ dữ liệu cá nhân, như: Khái niệm dữ liệu cá nhân bao trùm cả môi trường truyền thống và môi trường số; bảo vệ dữ liệu cá nhân; xử lý dữ liệu cá nhân; khử nhận dạng dữ liệu cá nhân; làm rõ khái niệm và nội hàm của dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm; chủ thể dữ liệu cá nhân và các bên liên quan trong quá trình xử lý dữ liệu cá nhân. Luật cũng xác định 6 nguyên tắc bảo vệ dữ liệu cá nhân, trong đó nổi bật là việc chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng và phải đảm bảo tính chính xác của dữ liệu. Đặc biệt, việc bảo vệ dữ liệu cá nhân phải gắn với bảo vệ lợi ích quốc gia, dân tộc, thể hiện sự cân bằng giữa quyền lợi cá nhân và lợi ích công cộng.
Luật đã xác lập các quyền của chủ thể dữ liệu cá nhân, trách nhiệm, nghĩa vụ của các bên liên quan, lực lượng bảo vệ dữ liệu cá nhân. Chủ thể dữ liệu cá nhân có 6 quyền đối với dữ liệu cá nhân của mình, trong đó có các quyền quan trọng trong xác lập căn cứ hợp pháp cho hoạt động xử lý dữ liệu cá nhân của các tổ chức, cá nhân có liên quan, như: Quyền được biết, quyền đồng ý hoặc không đồng ý, quyền rút lại sự đồng ý… Cùng với đó là quyền xem, chỉnh sửa hoặc yêu cầu chỉnh sửa, yêu cầu cung cấp, xóa, hạn chế xử lý, hay phản đối xử lý dữ liệu cá nhân. Khi quyền lợi bị xâm phạm, chủ thể dữ liệu cá nhân có quyền khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại.
Luật quy định rõ trách nhiệm của các bên liên quan trong quá trình xử lý dữ liệu cá nhân, bao gồm: Bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân; trách nhiệm quản lý nhà nước về bảo vệ dữ liệu cá nhân, trong đó Bộ Công an là cơ quan đầu mối chính, Bộ Quốc phòng, các bộ, ngành và UBND cấp tỉnh cũng có trách nhiệm quản lý trong phạm vi chức năng, nhiệm vụ của mình. Điều này tạo nên một cơ chế quản lý đa tầng, đảm bảo sự giám sát chặt chẽ đối với hoạt động xử lý dữ liệu cá nhân trên toàn quốc. Đối với lực lượng bảo vệ dữ liệu cá nhân, ngoài cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an và tổ chức, cá nhân được huy động tham gia bảo vệ dữ liệu cá nhân, luật quy định cơ quan, tổ chức không thuộc trường hợp được miễn trừ, có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân. Luật giao Chính phủ quy định về điều kiện, nhiệm vụ của bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức và tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.
Bên cạnh đó, luật quy định các hành vi bị nghiêm cấm và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân. Để đảm bảo khả thi và ngăn chặn hiệu quả các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân, luật đã quy định các hành vi bị nghiêm cấm bám sát thực tiễn, đảm bảo tính bao quát, tập trung vào những hành vi phổ biến, nghiêm trọng, như: Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước; lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân. Đặc biệt, hành vi mua, bán dữ liệu cá nhân bị nghiêm cấm, trừ trường hợp luật có quy định khác sẽ tạo hành lang pháp lý để đấu tranh với tội phạm coi dữ liệu cá nhân như hàng hóa thông thường để mua, bán, xâm phạm nghiêm trọng đến quyền con người, quyền lợi hợp pháp của cá nhân, tổ chức.
Về xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân, luật đã quy định xử lý theo hình thức xử phạt hành chính hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật dựa trên tính chất, mức độ, hậu quả của hành vi vi phạm. Đối với hình thức xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân, luật quy định như sau:
Đối với hành vi mua, bán dữ liệu cá nhân: Mức phạt tiền tối đa là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 3 tỷ đồng thì áp dụng mức phạt tiền tối đa là 3 tỷ đồng. Chính phủ sẽ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: Mức phạt tiền tối đa là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn 3 tỷ đồng thì áp dụng mức phạt tiền tối đa là 3 tỷ đồng.
Đối với các hành vi vi phạm khác: Mức phạt tiền tối đa là 3 tỷ đồng với tổ chức; mức phạt áp dụng với cá nhân bằng một phần hai mức phạt đối với tổ chức theo từng hành vi.
Luật cũng quy định bảo vệ dữ liệu cá nhân theo đối tượng, loại dữ liệu cá nhân và lĩnh vực đặc thù, quan trọng. Nhận thấy tầm quan trọng của bảo vệ dữ liệu cá nhân trong các lĩnh vực đặc thù, quan trọng, luật đã quy định các điều khoản cụ thể để điều chỉnh hoạt động bảo vệ dữ liệu cá nhân trong quá trình xử lý, như: trong tuyển dụng, quản lý, sử dụng người lao động; kinh doanh dịch vụ quảng cáo; nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến; xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây; hoạt động tài chính, ngân hàng, thông tin tín dụng; hoạt động kinh doanh bảo hiểm; hoạt động ghi âm, ghi hình tại nơi công cộng. Luật cũng công nhận ngành, nghề kinh doanh có điều kiện là kinh doanh dịch vụ xử lý dữ liệu cá nhân và giao Chính phủ quy định chi tiết nhằm quản lý chặt chẽ ngành nghề có quy mô xử lý dữ liệu cá nhân lớn và nhạy cảm này.
Đối với dữ liệu cá nhân của trẻ em, người mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi, Luật cũng có quy định riêng chặt chẽ để bảo vệ dữ liệu cá nhân của nhóm đối tượng yếu thế, dễ tổn thương này. Đối với dữ liệu vị trí, dữ liệu sinh trắc học, luật quy định yêu cầu biện pháp bảo mật nghiêm ngặt, hạn chế quyền truy cập và có cơ chế thông báo cho chủ thể dữ liệu nếu xảy ra thiệt hại.
Ngoài ra, luật quy định đánh giá tác động hoạt động xử lý và chuyển dữ liệu cá nhân xuyên biên giới. Tổ chức, cá nhân tiến hành chuyển dữ liệu cá nhân xuyên biên giới phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và gửi cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong vòng 60 ngày kể từ ngày chuyển. Quy định này vừa giúp cơ quan chuyên trách quản lý hoạt động chuyển dữ liệu cá nhân của công dân Việt Nam xuyên biên giới, vừa tạo cơ chế linh hoạt cho doanh nghiệp, không quy định cấp phép kiểm duyệt trước khi chuyển dữ liệu cá nhân xuyên biên giới. Tương tự, tổ chức, cá nhân lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân để kiểm soát rủi ro trong quá trình xử lý dữ liệu cá nhân. Tuy nhiên, để tạo điều kiện thuận lợi cho các doanh nghiệp, luật cũng có những quy định miễn trừ các nghĩa vụ này đối với doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp, hộ kinh doanh, doanh nghiệp siêu nhỏ, trừ khi họ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu nhạy cảm hoặc xử lý dữ liệu của số lượng lớn chủ thể.