Tin nhanh Pháp lý | Tháng 7 năm 2025 | Luật Bảo vệ dữ liệu cá nhân

Luật Bảo vệ dữ liệu cá nhân (Luật BVDLCN) mới đã được Quốc hội thông qua vào ngày 26 tháng 6 năm 2025 và sẽ có hiệu lực từ ngày 1 tháng 1 năm 2026. Đây là văn bản luật toàn diện đầu tiên trong hệ thống pháp luật Việt Nam điều chỉnh vấn đề bảo vệ dữ liệu cá nhân, đánh dấu một bước đột phá trong lịch sử bảo vệ dữ liệu tại Việt Nam. 

Một số điểm chính nổi bật trong Luật BVDLCN bao gồm: 

• Đối tượng điều chỉnh 
• Định nghĩa và phân loại dữ liệu cá nhân  
• Hiệu lực pháp lý của Luật BVDLCN so với các quy định pháp luật khác 
• Xử phạt vi phạm 
• Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu cá nhân 
• Nhân sự bảo vệ dữ liệu (DPO) hoặc bộ phận bảo vệ dữ liệu (DPD) 
• Chuyển dữ liệu cá nhân xuyên biên giới  
• Đánh giá tác động xử lý dữ liệu cá nhân (DPIA) 
• Thông báo vi phạm quy định về BVDLCN 
• Bảo vệ dữ liệu đối với các nhóm chủ thể dễ bị tổn thương 
• Bảo vệ dữ liệu trong lao động 
• Quy định đặc thù ngành 
• Trường hợp chuyển tiếp 

1. Đối tượng điều chỉnh 

Ngoài cơ quan, tổ chức, cá nhân Việt Nam, Luật BVDLCN còn có hiệu lực áp dụng ngoài lãnh thổ đối với một số cơ quan, tổ chức và cá nhân nước ngoài, trong các trường hợp giới hạn sau: 

• Các đối tượng trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam, và; 
• Các đối tượng trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước. 

2. Định nghĩa và phân loại dữ liệu cá nhân 

Mặc dù định nghĩa dữ liệu cá nhân vẫn được giữ nguyên là thông tin “giúp xác định một con người cụ thể”, Luật BVDLCN đã mở rộng “dữ liệu cá nhân” không chỉ bao gồm dữ liệu số mà còn bao gồm cả dữ liệu dưới dạng khác. 

Quy định mới này trong Luật BVDLCN có thể được diễn giải theo hướng mở rộng định nghĩa dữ liệu cá nhân bao gồm cả thông tin truyền thống trên giấy tờ và thông tin ở dạng điện tử. 

Về các loại dữ liệu cá nhân khác nhau, nếu như Nghị định 13 trước đây đưa ra danh sách chi tiết các dữ liệu cá nhân “cơ bản” và “nhạy cảm”, thì Luật BVDLCN chỉ đưa ra mô tả chung cho các nhóm dữ liệu này. Văn bản hướng dẫn chi tiết từ Chính phủ quy định danh mục dữ liệu cá nhân cơ bản và nhạy cảm được kỳ vọng sẽ được ban hành. 

3. Hiệu lực pháp lý của Luật BVDLCN so với các quy định pháp luật khác 

Áp dụng pháp luật về bảo vệ dữ liệu cá nhân

Trường hợp luật, nghị quyết của Quốc hội có quy định cụ thể về bảo vệ dữ liệu cá nhân thì sẽ xử lý như sau: 

• Luật, nghị quyết của Quốc hội ban hành trước ngày Luật BVDLCN có hiệu lực thi hành và có quy định không trái với nguyên tắc bảo vệ dữ liệu cá nhân quy định tại Luật BVDLCN: quy định đó sẽ được áp dụng. 
• Luật, nghị quyết của Quốc hội ban hành sau ngày Luật BVDLCN có hiệu lực thi hành và có quy định khác với quy định của Luật BVDLCN: phải quy định cụ thể nội dung thực hiện hoặc không thực hiện theo quy định của Luật BVDLCN; nội dung thực hiện theo quy định của luật, nghị quyết đó. 

Hoạt động xử lý dữ liệu cá nhân của doanh nghiệp có thể chịu sự điều chỉnh của nhiều văn bản pháp luật về bảo vệ dữ liệu cá nhân. Trong trường hợp này, doanh nghiệp nên tuân thủ các nguyên tắc nêu trên để áp dụng một cách phù hợp. 

Giải pháp cho các nghĩa vụ chồng chéo về đánh giá tác động

Điều 5.4 của Luật BVDLCN quy định cụ thể về việc xử lý sự chồng chéo giữa các nghĩa vụ đánh giá tác động theo Luật Dữ liệu và Luật BVDLCN. Đối với dữ liệu cá nhân đã được bao hàm trong đánh giá tác động xử lý dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân ra nước ngoài (DPIA và CTIA) theo Luật BVDLCN, thì sẽ không phải thực hiện đánh giá rủi ro, đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của Luật Dữ liệu. Nói cách khác, DPIA và CTIA theo Luật BVDLCN có thể thay thế nghĩa vụ đánh giá rủi ro và CTIA theo Luật Dữ liệu trong phạm vi liên quan đến xử lý dữ liệu cá nhân. 

Mối quan hệ giữa Nghị định 13 và Luật BVDLCN vẫn chưa được giải quyết. Vì hầu hết các nội dung trong Nghị định 13 đã được cập nhật trong Luật BVDLCN, nên từ đây trở đi, Nghị định 13 cần được đọc chung với Luật BVDLCN. 

4. Xử phạt vi phạm

Nếu như Nghị định 13 chỉ liệt kê các hình thức xử phạt chính mà một tổ chức có thể phải gánh chịu khi vi phạm, Luật BVDLCN đã cụ thể hóa mức xử phạt hành chính tối đa đối với tổ chức có hành vi vi phạm như sau: 

• Đối với hành vi mua, bán dữ liệu cá nhân: 10 lần khoản thu có được từ hành vi vi phạm hoặc 3 tỷ đồng, tùy thuộc mức phạt nào cao hơn.  
• Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: 5% doanh thu của năm trước liền kề của tổ chức vi phạm hoặc 3 tỷ đồng, tùy thuộc mức phạt nào cao hơn.  
• Đối với hành vi vi phạm khác: mức xử phạt tối đa là 3 tỷ đồng.

Hiện vẫn chưa rõ liệu khái niệm doanh thu chỉ áp dụng cho doanh thu phát sinh trong lãnh thổ Việt Nam hay áp dụng đối với cả doanh thu phát sinh ở nước ngoài. 

5. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu cá nhân

Luật BVDLCN đã quy định các trường hợp ngoại lệ mới cho phép xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu. 

Đối với ngoại lệ mới cho phép xử lý dữ liệu cá nhân để thực hiện “thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật”, cách diễn đạt mới theo Luật BVDLCN cho thấy hướng diễn giải rộng và linh hoạt hơn so với Nghị định 13. Theo đó, bất kỳ thỏa thuận từ bỏ việc lấy sự đồng ý nào giữa chủ thể dữ liệu với các bên có liên quan cũng có thể được coi là ngoại lệ đối với quy tắc đồng ý. Trong khi đó Nghị định 13 chỉ cho phép ngoại lệ trong trường hợp thực hiện “nghĩa vụ theo hợp đồng của chủ thể dữ liệu”. 

Bên cạnh đó, Luật BVDLCN cũng quy định các cơ quan, tổ chức và cá nhân có liên quan phải thiết lập cơ chế giám sát khi tiến hành xử lý dữ liệu cá nhân trong các trường hợp trên. 

6. Nhân sự bảo vệ dữ liệu hoặc bộ phận bảo vệ dữ liệu 

Theo Luật BVDLCN, doanh nghiệp có trách nhiệm (i) chỉ định bộ phận hoặc nhân sự bảo vệ dữ liệu cá nhân nội bộ; hoặc (ii) thuê tổ chức, cá nhân bên ngoài để cung cấp dịch vụ bảo vệ dữ liệu cá nhân. 

Nhân sự bảo vệ dữ liệu cá nhân phải có đủ điều kiện năng lực theo quy định của Chính phủ. 

Các doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp, hộ kinh doanh và doanh nghiệp siêu nhỏ sẽ không phải thực hiện yêu cầu về chỉ định DPO khi đáp ứng một số điều kiện nhất định. 

7. Chuyển dữ liệu cá nhân xuyên biên giới

Luật BVDLCN quy định cụ thể các trường hợp được doanh nghiệp được miễn đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (CTIA). Đáng chú ý có các trường hợp sau: 

• Cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây 
• Chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới 

Theo cách tiếp cận mới được áp dụng theo Luật BVDLCN, doanh nghiệp vẫn được coi là đã chuyển dữ liệu cá nhân xuyên biên giới khi sử dụng dịch vụ điện toán đám mây hoặc máy chủ dữ liệu đặt tại nước ngoài để lưu trữ hoặc xử lý dữ liệu. Tuy nhiên, trong trường hợp này, yêu cầu thực hiện CTIA sẽ được miễn đối với dữ liệu cá nhân của người lao động của doanh nghiệp. 

Chính phủ sẽ quy định thành phần hồ sơ, điều kiện, trình tự và thủ tục CTIA. 

8. Đánh giá tác động xử lý dữ liệu cá nhân 

Các cập nhật đáng chú ý trong Luật BVDLCN bao gồm: 

• Vai trò của bên xử lý dữ liệu: Bên xử lý dữ liệu cá nhân lập và lưu giữ DPIA được thực hiện thay mặt cho bên kiểm soát dữ liệu. 
• Miễn trừ liên quan đến yêu cầu thực hiện DPIA: Chỉ một số ít trường hợp các đối tượng được miễn trừ là các doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp, hộ kinh doanh và doanh nghiệp siêu nhỏ khi đáp ứng một số điều kiện nhất định. 
• Thời hạn thực hiện DPIA: DPIA được thực hiện một lần cho suốt thời gian hoạt động của tổ chức và được cập nhật định kỳ mỗi sáu tháng hoặc cập nhật ngay trong một số trường hợp đặc biệt. 

Quy định này đã công nhận về mặt pháp lý vai trò thực tiễn của bên xử lý dữ liệu trong việc quản lý luồng dữ liệu và công nghệ. Theo đó, mặc dù bên kiểm soát dữ liệu chịu trách nhiệm chính trong việc thực hiện DPIA, bên xử lý dữ liệu cũng phải lập và lưu giữ hồ sơ DPIA thay cho bên kiểm soát dữ liệu. Đối với bên kiểm soát và xử lý dữ liệu, hồ sơ DPIA phải thể hiện cả hai vai trò của bên kiểm soát dữ liệu và bên xử lý dữ liệu. 

9. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

Ngoài bên kiểm soát dữ liệu và bên kiểm soát và xử lý dữ liệu, bên thứ ba cũng có nghĩa vụ thông báo về các vi phạm bảo vệ dữ liệu cá nhân đến Bộ Công an.  

Đáng chú ý, các tổ chức chỉ phải thông báo khi vi phạm có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của chủ thể dữ liệu cá nhân. 

Về thời hạn thông báo, thời hạn 72 giờ để thông báo được tính từ thời điểm phát hiện hành vi vi phạm, thay vì từ thời điểm vi phạm xảy ra như quy định tại Nghị định 13, điều này cho phép các doanh nghiệp có khoảng thời gian hợp lý để xác minh vi phạm trước khi thực hiện thông báo. 

10. Bảo vệ dữ liệu đối với các nhóm chủ thể dễ bị tổn thương

Luật BVDLCN đã mở rộng các biện pháp bảo vệ đặc biệt cho ba nhóm chủ thể dữ liệu: (i) trẻ em, (ii) người bị mất hoặc hạn chế năng lực hành vi dân sự, và (iii) người có khó khăn trong nhận thức, làm chủ hành vi. Trong đó, nhóm (ii) và (iii) trước đây không được đề cập trong Nghị định 13. 

Điểm mới cần lưu ý là chỉ trưởng hợp xử lý dữ liệu cá nhân của trẻ em nhằm công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em từ đủ 7 tuổi trở lên mới yêu cầu sự đồng ý của cả trẻ em và người đại diện theo pháp luật. Cách tiếp cận này khác với Nghị định 13 là yêu cầu sự đồng ý của trẻ em và người đại diện theo pháp luật bất kể mục đích xử lý là gì. 

11. Bảo vệ dữ liệu trong lao động

Luật BVDLCN yêu cầu trong trường hợp không tuyển dụng người đã dự tuyển thì phải xóa, hủy thông tin đã cung cấp của người dự tuyển, trừ trường hợp có thỏa thuận khác với người đã dự tuyển. 

Đối với người lao động, khi chấm dứt hợp đồng thì phải xóa, hủy dữ liệu cá nhân của người lao động, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác. 

12. Quy định đặc thù ngành

Hoạt động xử lý dữ liệu trong các lĩnh vực sau sẽ phải tuân thủ các yêu cầu nghiêm ngặt hơn về bảo vệ dữ liệu: (i) sức khỏe và bảo hiểm; (ii) tài chính, ngân hàng, hoạt động thông tin tín dụng; (iii) quảng cáo; (iv) nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến; (v) dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây. 

Đối với dữ liệu vị trí, dữ liệu sinh trắc học: Luật BVDLCN đặt ra các yêu cầu nâng cao về biện pháp bảo mật, cơ chế thông báo phù hợp đối với dữ liệu sinh trắc học, cũng như yêu cầu về thông báo thu thập dữ liệu, tùy chọn từ chối đối với dữ liệu vị trí.  

Dữ liệu thu được từ hoạt động ghi âm/ghi hình tại nơi công cộng, hoạt động công cộng: Ngoài trường hợp đã được đề cập trong Nghị định 13, việc ghi âm, ghi âm, ghi hình và xử lý dữ liệu cá nhân (ghi âm/ghi hình) tại nơi công cộng, hoạt động công cộng có thể được thực hiện mà không cần sự đồng ý của chủ thể dữ liệu trong các trường hợp như hội nghị, hội thảo, hoạt động thi đấu thể thao, biểu diễn nghệ thuật và hoạt động công cộng khác mà không làm tổn hại đến danh dự, nhân phẩm, uy tín của chủ thể dữ liệu cá nhân. 

13. Trường hợp chuyển tiếp

Hoạt động xử lý dữ liệu cá nhân đã được chủ thể dữ liệu cá nhân đồng ý hoặc theo thỏa thuận theo quy định của Nghị định số 13 trước ngày Luật BVDLCN có hiệu lực thi hành thì tiếp tục thực hiện mà không phải xin đồng ý lại hoặc thỏa thuận lại. 

Hồ sơ DPIA và CTIA đã được A05 tiếp nhận theo Nghị định 13 trước ngày Luật BVDLCN có hiệu lực thi hành thì tiếp tục được sử dụng và không phải lập hồ sơ theo quy định của Luật BVDLCN. Tuy nhiên, việc cập nhật các hồ sơ đã lập nêu trên sau ngày Luật BVDLCN có hiệu lực thi hành thì phải thực hiện theo quy định của Luật BVDLCN.