Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 sẽ chính thức có hiệu lực từ ngày 01/01/2026. Đây là đạo luật có phạm vi điều chỉnh rộng, áp dụng đối với mọi cơ quan, tổ chức và cá nhân trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam. Đáng chú ý, Luật bổ sung và siết chặt trách nhiệm của các chủ thể xử lý dữ liệu trong một số hoạt động, lĩnh vực đặc thù như lao động, kinh doanh bảo hiểm, tín dụng, truyền thông và công nghệ thông tin. Do đó, người đọc cần đặc biệt lưu ý các nội dung được phân tích dưới đây, đồng thời chủ động nghiên cứu và nên có sự tham vấn pháp lý để đảm bảo tuân thủ đầy đủ quy định của Luật kể từ ngày 01/01/2026.

Thứ nhất, Luật Bảo vệ dữ liệu cá nhân tiếp tục ghi nhận hai nhóm dữ liệu cá nhân gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm tương tự như Nghị định số 13/2023/NĐ-CP. Tuy nhiên, Luật chỉ nêu khái niệm mang tính nguyên tắc đối với hai nhóm dữ liệu này, theo đó: (i) dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội; và (ii) dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, và (iii) danh mục cụ thể của hai loại dữ liệu này sẽ do Chính phủ ban hành. Cách quy định này là phù hợp, bảo đảm tính thống nhất và tránh xung đột với pháp luật hiện hành, trong bối cảnh Nghị định số 13/2023/NĐ-CP đang quy định cụ thể về các loại dữ liệu cá nhân. Mặc dù vậy, các tổ chức, cá nhân cần lưu ý thêm hai vấn đề sau:

- Hiện nay một dự thảo nghị định mới quy định chi tiết Luật Bảo vệ dữ liệu cá nhân đang được xây dựng và chưa ban hành chính thức. Dự thảo này đang quy định theo hướng mở rộng thêm phạm vi danh mục dữ liệu cá nhân nhạy cảm so với Nghị định số 13/2023/NĐ-CP khi bổ sung một số trường thông tin như: danh tính điện tử của cá nhân, dữ liệu về hoạt động, lịch sử hoạt động của thuê bao viễn thông; dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng; các thông tin hoạt động giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm. Các doanh nghiệp hoạt động trong các lĩnh vực nêu trên cần đặc biệt lưu ý có khả năng các quy định trên được ban hành chính thức trong thời gian tới.

- Luật Bảo vệ dữ liệu cá nhân có quy định riêng về dữ liệu vị trí cá nhân và dữ liệu sinh trắc học (dự thảo nghị định mới quy định chi tiết Luật Bảo vệ dữ liệu cá nhân nêu trên cũng đang xếp loại “dữ liệu vị trí cá nhân” và “dữ liệu sinh trắc học” thuộc danh mục dữ liệu cá nhân nhạy cảm). Dữ liệu vị trí cá nhân là dữ liệu được xác định thông qua công nghệ định vị để biết vị trí và giúp xác định con người cụ thể, còn dữ liệu sinh trắc học là dữ liệu về thuộc tính vật lý, đặc điểm sinh học cá biệt và ổn định của một người để xác định người đó. Trách nhiệm của tổ chức, cá nhân xử lý các loại dữ liệu này sẽ được siết chặt, cụ thể: tổ chức, cá nhân cung cấp nền tảng ứng dụng di động phải (i) thông báo cho người sử dụng về việc sử dụng dữ liệu vị trí cá nhân, (ii) có biện pháp ngăn chặn việc thu thập dữ liệu vị trí cá nhân của tổ chức, cá nhân không liên quan, (iii) cung cấp cho người sử dụng các tùy chọn theo dõi vị trí cá nhân. Trong khi đó, cơ quan, tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải (i) áp dụng biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải dữ liệu sinh trắc học, (ii) hạn chế quyền truy cập vào dữ liệu sinh trắc học, (iii) có hệ thống theo dõi nhằm phòng ngừa và phát hiện hành vi xâm phạm, (iv) thông báo cho chủ thể dữ liệu khi việc xử lý dữ liệu sinh trắc học gây thiệt hại cho họ.

Thứ hai, so với Nghị định số 13/2023/NĐ-CP, Luật Bảo vệ dữ liệu cá nhân bổ sung thêm một số hành vi bị nghiêm cấm, bao gồm (i) sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật, (ii) mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác và (iii) chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân. Việc vi phạm vào các hành vi bị nghiêm cấm hoặc vi phạm quy định khác về bảo vệ dữ liệu cá nhân, tùy tính chất, mức độ và hậu quả của hành vi vi phạm mà người vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự, bồi thường thiệt hại theo quy định của pháp luật. Liên quan đến các quy định mới về xử phạt vi phạm hành chính, các tổ chức và cá nhân cần lưu ý: hành vi mua, bán dữ liệu cá nhân trái phép có thể bị phạt tiền lên đến 10 lần khoản thu bất hợp pháp, hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới có thể bị xử phạt tối đa 5% doanh thu của năm trước liền kề của tổ chức vi phạm, các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân sẽ phải chịu mức phạt tối đa là 3 tỷ đồng. Việc quy định các chế tài nghiêm khắc này là cần thiết nhằm chấn chỉnh và ngăn chặn tình trạng nhiều vụ việc dữ liệu cá nhân bị chiếm đoạt, rao bán công khai trên không gian mạng diễn ra phổ biến mà chưa được xử lý dứt điểm.

Thứ ba, tương tự Nghị định số 13/2023/NĐ-CP, Luật Bảo vệ dữ liệu cá nhân quy định nguyên tắc chung là việc xử lý dữ liệu cá nhân phải có sự đồng ý của chủ thể dữ liệu, trừ một số trường hợp không cần có sự đồng ý, như xử lý dữ liệu cá nhân (i) để thực hiện thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật, (ii) phục vụ hoạt động của cơ quan nhà nước, hoạt động quản lý nhà nước theo quy định của pháp luật hoặc (iii) giải quyết tình trạng khẩn cấp, đe dọa an ninh quốc gia, phòng chống tội phạm, vi phạm pháp luật (ví dụ: thực hiện việc gửi đơn tố giác hoặc tin báo về tội phạm theo quy định của pháp luật về tố tụng hình sự) hoặc (iv) hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng (như hội nghị, hội thảo, thi đấu thể thao, biểu diễn nghệ thuật và hoạt động công cộng khác với điều kiện việc thu thập dữ liệu không làm tổn hại đến danh dự, nhân phẩm, uy tín của chủ thể dữ liệu cá nhân). Tuy nhiên, nhằm bảo đảm tính linh hoạt và tránh tạo gánh nặng thủ tục cho tổ chức, cá nhân trong giai đoạn chuyển tiếp khi Luật bắt đầu có hiệu lực, Luật Bảo vệ dữ liệu cá nhân quy định tổ chức, cá nhân đang xử lý dữ liệu cá nhân mà đã có sự đồng ý hoặc đã thỏa thuận với chủ thể dữ liệu theo Nghị định số 13/2023/NĐ-CP trước ngày 01/01/2026 thì được tiếp tục thực hiện mà không phải xin lại sự đồng ý hoặc thỏa thuận lại với chủ thể dữ liệu.

Thứ tư, Luật Bảo vệ dữ liệu cá nhân tiếp tục quy định về thủ tục đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới. Theo đó, tổ chức, cá nhân có trách nhiệm lập và gửi 01 bản chính hồ sơ đánh giá cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân (theo dự thảo nghị định là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an) trong thời hạn 60 ngày kể từ ngày đầu tiên xử lý dữ liệu cá nhân (đối với hồ sơ đánh giá tác động xử lý dữ liệu) hoặc ngày đầu tiên chuyển dữ liệu cá nhân xuyên biên giới (đối với hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới). Việc đánh giá tác động này chỉ thực hiện 01 lần cho toàn bộ quá trình hoạt động, tuy nhiên, tổ chức, cá nhân phải định kỳ thực hiện cập nhật hồ sơ 06 tháng một lần khi có thay đổi, hoặc cập nhật ngay trong trường hợp (i) tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật, (ii) thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân hoặc (iii) phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến hoạt động xử lý dữ liệu cá nhân đã nêu trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân hoặc hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới. Bên cạnh đó, nhằm giảm bớt khối lượng công việc phải thực hiện của tổ chức, cá nhân, Luật Bảo vệ dữ liệu cá nhân quy định:

- Trường hợp cơ quan, tổ chức, cá nhân đã thực hiện đánh giá tác động xử lý dữ liệu cá nhân hoặc đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo Luật này thì không phải thực hiện lại đánh giá rủi ro hoặc đánh giá tác động theo quy định pháp luật khác về dữ liệu. Quy định này được đặt ra trong bối cảnh một văn bản quy phạm pháp luật khác về dữ liệu là Luật Dữ liệu số 60/2024/QH15 có hiệu lực từ ngày 01/7/2025 vừa qua cũng quy định về trách nhiệm đánh giá tác động chuyển, xử lý dữ liệu xuyên biên giới đối với “dữ liệu cốt lõi, dữ liệu quan trọng” là dữ liệu cá nhân.

- Đối với các hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài đã được cơ quan chuyên trách tiếp nhận theo Nghị định số 13/2023/NĐ-CP trước ngày 01/01/2026, tổ chức, cá nhân được tiếp tục sử dụng và không phải lập lại theo quy định của Luật Bảo vệ dữ liệu cá nhân.

Thứ năm, hoạt động bảo vệ dữ liệu cá nhân của tổ chức, cá nhân trong một số hoạt động, lĩnh vực riêng khác được quy định như sau:

- Trong quan hệ lao động, người sử dụng lao động khi tuyển dụng phải xóa, hủy dữ liệu cá nhân của người dự tuyển trong trường hợp không tiếp tục tuyển dụng đồng thời phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng lao động, trừ trường hợp có thỏa thuận khác hoặc pháp luật có quy định khác. Như vậy, trách nhiệm bảo vệ dữ liệu cá nhân của người sử dụng lao động được mở rộng, không chỉ phát sinh trong giai đoạn tuyển dụng trước khi giao kết hợp đồng lao động mà còn tiếp tục đặt ra tại thời điểm chấm dứt quan hệ lao động.

- Trong lĩnh vực tín dụng ngân hàng, tổ chức, cá nhân hoạt động trong lĩnh vực không sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân. Quy định này phù hợp với nguyên tắc yêu cầu sự đồng ý trước khi xử lý dữ liệu và góp phần bảo vệ dữ liệu cá nhân của khách hàng vay vốn, đồng thời cũng đặt ra thách thức cho tổ chức tín dụng trong việc quản lý rủi ro và đánh giá khả năng tiếp tục cấp tín dụng đối với khách hàng hiện hữu.

- Đối với hoạt động trên môi trường mạng, tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến phải đảm bảo thực hiện nhiều trách nhiệm để bảo vệ dữ liệu cá nhân của chủ thể dữ liệu, trong đó bao gồm việc (i) không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản, (ii) không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác, (iii) phải cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu và cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng. Quy định này góp phần tăng cường mức độ an toàn và quyền kiểm soát dữ liệu cá nhân của người dùng trên môi trường mạng, vốn tiềm ẩn nguy cơ cao bị đánh cắp, truy cập hoặc sử dụng trái phép ngay cả khi người dùng đã áp dụng các biện pháp kỹ thuật bảo mật cần thiết.

- Ngoài ra, Luật Bảo vệ dữ liệu cá nhân cũng đặt ra yêu cầu kiểm soát chặt chẽ hơn đối với hoạt động xử lý dữ liệu cá nhân trong một số lĩnh vực đặc thù khác như kinh doanh dịch vụ quảng cáo, kinh doanh bảo hiểm, lĩnh vực công nghệ thông tin như xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây.

Luật Bảo vệ dữ liệu cá nhân được ban hành đã góp phần bảo đảm tốt hơn quyền của chủ thể dữ liệu cá nhân, có cơ chế ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức một cách hiệu quả hơn, nâng cao trách nhiệm của các cơ quan, tổ chức và cá nhân trong quá trình xử lý dữ liệu. Tuy nhiên, Luật cũng đồng thời đặt ra không ít thách thức khi yêu cầu các tổ chức và cá nhân phải tuân thủ nhiều nghĩa vụ và trách nhiệm chặt chẽ hơn trong quá trình xử lý dữ liệu cá nhân. Vì vậy, các doanh nghiệp, tổ chức, cá nhân cần chủ động nghiên cứu kỹ các quy định của Luật Bảo vệ dữ liệu cá nhân, cùng với dự thảo Nghị định hướng dẫn đang được hoàn thiện, để bảo đảm việc tuân thủ đầy đủ trong thời gian tới. Việc này sẽ giúp phòng ngừa nguy cơ vi phạm, tránh bị áp dụng các chế tài hành chính, dân sự hoặc hình sự theo quy định pháp luật.