Ngày 26/6/2025, Quốc hội khóa XV, kỳ họp thứ 9 đã thông qua Luật Bảo vệ dữ liệu cá nhân năm 2025. Việc Quốc hội thông qua đạo luật này được đánh giá là hết sức cần thiết nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; đồng thời nâng cao trách nhiệm của các cơ quan, tổ chức và cá nhân có liên quan.

Việc xây dựng và thông qua Luật Bảo vệ dữ liệu cá nhân năm 2025 đã được thực hiện một cách thận trọng, kỹ lưỡng, với quá trình chuẩn bị công phu của Chính phủ, bắt đầu từ khi tiến hành khảo sát, xây dựng Nghị định bảo vệ dữ liệu cá nhân (năm 2019) cho đến khi Nghị định có hiệu lực và được triển khai trên thực tiễn.

Luật Bảo vệ dữ liệu cá nhân năm 2025 bao gồm 5 Chương với 39 Điều; quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan. Đây là văn bản luật đầu tiên ở Việt Nam quy định chuyên biệt về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Do vậy, đây là công cụ pháp lý thiết yếu để các chủ thể pháp luật trong việc bảo vệ quyền riêng tư của mình trong bối cảnh chuyển đổi số. Còn đối với các cơ quan quản lý, việc luật định các nội dung, thẩm quyền quản lý nhà nước về bảo vệ dữ liệu cá nhân, đặc biệt là chế tài xử lý đối với các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân sẽ góp phần ngăn chặn và xử lý kịp thời các hành vi xâm phạm dữ liệu cá nhân. Luật Bảo vệ dữ liệu cá nhân năm 2025 có một số điểm mới đáng chú ý sau:

Một là, phạm vi áp dụng mở rộng ra toàn cầu

Luật không chỉ áp dụng với tổ chức, cá nhân trong nước, Luật còn mở rộng phạm vi điều chỉnh tới các tổ chức, cá nhân nước ngoài có hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam hoặc người gốc Việt chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước. Đây là điểm tiệm cận với các tiêu chuẩn bảo vệ dữ liệu quốc tế như GDPR của châu Âu, khẳng định vai trò chủ động của Việt Nam trong bảo vệ thông tin người dùng trong kỷ nguyên xuyên biên giới.

Hai là, phân loại dữ liệu rõ ràng, chính sách linh hoạt theo từng lĩnh vực

Luật phân loại dữ liệu thành hai nhóm dữ liệu cơ bản là dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Tương ứng với mỗi loại dữ liệu, cho phép Chính phủ quy định chi tiết nhằm linh hoạt điều chỉnh theo từng giai đoạn và bối cảnh. Đặc biệt, Luật đưa ra quy định riêng cho từng ngành nghề như: tuyển dụng, quản lý, sử dụng người lao động, tài chính – ngân hàng, y tế, quảng cáo, trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây… Qua đó, giúp các tổ chức triển khai đúng chuẩn bảo mật trong lĩnh vực hoạt động của mình, tránh rủi ro pháp lý.

Ba là, xử lý dữ liệu không cần sự đồng ý trong một số trường hợp chính đáng.

Luật Bảo vệ dữ liệu cá nhân là bổ sung cơ sở pháp lý cho phép xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể trong một số trường hợp cụ thể vì quyền hoặc lợi ích chính đáng của bên xử lý gồm các trường hợp: (1) để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác trong trường hợp cấp bách; bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác hoặc lợi ích của Nhà nước, của cơ quan tổ chức một cách cần thiết trước hành vi xâm phạm lợi ích nói trên; (2) để giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật; (3) Phục vụ hoạt động của cơ quan nhà nước, hoạt động quản lý nhà nước theo quy định của pháp luật; (4) Thực hiện thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật. Điều này giúp cân bằng giữa bảo vệ quyền riêng tư và nhu cầu thực tế trong quản trị dữ liệu.

Bốn là, bắt buộc đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài

Luật yêu cầu tổ chức phải thực hiện đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong vòng 60 ngày kể từ khi bắt đầu xử lý hoặc chuyển giao. Các bản đánh giá này cần được cập nhật định kỳ, đặc biệt trong các tình huống có thay đổi công nghệ, quy trình.

Năm là, chế tài mạnh mẽ, xử lý nghiêm hành vi vi phạm

Luật đưa ra mức phạt rất cao nhằm răn đe hành vi xâm phạm dữ liệu cá nhân: Phạt hành chính lên tới 3 tỷ đồng hoặc 10 lần doanh thu bất hợp pháp; Phạt tối đa 5% doanh thu năm trước trong trường hợp vi phạm chuyển dữ liệu cá nhân ra nước ngoài; Trường hợp nghiêm trọng, tổ chức, cá nhân có thể bị xử lý hình sự và yêu cầu bồi thường thiệt hại dân sự.

Sáu là, thời gian chuyển tiếp hợp lý, hỗ trợ doanh nghiệp vừa và nhỏ

Các doanh nghiêp nhỏ, doanh nghiệp khởi nghiệp (startup) được quyền lựa chọn thực hiện hoặc không thực hiện đánh giá tác động xử lý dữ liệu cá nhân trong thời gian 05 năm kể từ ngày Luật này có hiệu lực thi hành, trừ doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu cá nhân. Quy định này giúp cân bằng giữa quy định bảo vệ và khả năng tuân thủ thực tế của các chủ thể kinh doanh.

Luật Bảo vệ dữ liệu cá nhân năm 2025 là bước tiến quan trọng của Việt Nam trong xây dựng môi trường pháp lý số minh bạch, tin cậy và phù hợp thông lệ quốc tế. Các doanh nghiệp, tổ chức cần chủ động rà soát lại toàn bộ quy trình xử lý dữ liệu, cập nhật chính sách bảo mật, đào tạo nhân sự và xây dựng hệ thống tuân thủ để thích ứng kịp thời, bảo vệ người dùng và tránh rủi ro pháp lý./.

Khoa Luật.