Luật số 91/2025/QH15 gồm 05 Chương, 39 Điều, quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.
Luật đã xây dựng và thống nhất một số khái niệm quan trọng trong lĩnh vực bảo vệ dữ liệu cá nhân, như:
- Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
- Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
Ví dụ như: họ và tên, ngày tháng năm sinh, số điện thoại, dân tộc, giới tính…
- Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành.
Ví dụ như: đặc điểm sinh trắc học, xu hướng tính dục, thông tin tài chính tín dụng, thông tin sức khỏe, dữ liệu vị trí…
1. Nguyên tắc bảo vệ dữ liệu cá nhân(Điều 3)
Luật đưa ra 06 nguyên tắc bảo vệ dữ liệu cá nhân, trong đó có 03 nguyên tắc quan trọng trong quá trình xử lý dữ liệu cá nhân, đó là:
- Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật.
- Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
- Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.
Ngoài ra là các nguyên tắc tuân thủ; phòng, chống vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân; bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
2. Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân (Điều 4)
06 quyền của chủ thể dữ liệu cá nhân bao gồm:
(1) Được biết về hoạt động xử lý dữ liệu cá nhân;
(2) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;
(3) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;
(4) Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;
(5) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;
(6) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.
Bên cạnh quyền, Luật có quy định về các nghĩa vụ của chủ thể dữ liệu cá nhân, bao gồm:
a) Tự bảo vệ dữ liệu cá nhân của mình;
b) Tôn trọng, bảo vệ dữ liệu cá nhân của người khác;
c) Cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình;
d) Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
3. Hành vi bị nghiêm cấm và xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân (Điều 7, Điều 8)
Để đảm bảo khả thi và ngăn chặn hiệu quả các hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân, Luật đã quy định 07 hành vi bị nghiêm cấm bao gồm:
(1) Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
(2) Cản trở hoạt động bảo vệ dữ liệu cá nhân.
(3) Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
(4) Xử lý dữ liệu cá nhân trái quy định của pháp luật.
(5) Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
(6) Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
(7) Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Luật quy định xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân theo hình thức xử phạt hành chính hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật dựa trên tính chất, mức độ, hậu quả của hành vi vi phạm. Đối với hình thức xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân, áp dụng:
- Đối với hành vi mua, bán dữ liệu cá nhân: Mức phạt tiền tối đa là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền tối đa là 03 tỷ đồng. Chính phủ sẽ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
- Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: Mức phạt tiền tối đa là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền tối đa là 03 tỷ đồng.
- Đối với các hành vi vi phạm khác: Mức phạt tiền tối đa là 03 tỷ đồng với tổ chức. Mức phạt áp dụng với cá nhân bằng một phần hai mức phạt đối với tổ chức theo từng hành vi.
4. Công khai dữ liệu cá nhân (Điều 16)
- Điều kiện để công khai dữ liệu cá nhân: chỉ được công khai với mục đích cụ thể; phạm vi công khai, loại dữ liệu cá nhân được công khai phải phù hợp với mục đích công khai; không được xâm phạm đến quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.
- Các trường hợp được phép công khai dữ liệu cá nhân:
(1) Khi có sự đồng ý của chủ thể dữ liệu cá nhân;
(2) Thực hiện theo quy định của pháp luật;
(3) Trường hợp để giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
(4) Thực hiện nghĩa vụ theo hợp đồng.
- Chất lượng dữ liệu cá nhân công khai: phải bảo đảm phản ánh đúng dữ liệu cá nhân từ nguồn dữ liệu gốc và tạo thuận lợi cho cơ quan, tổ chức, cá nhân trong việc tiếp cận, khai thác, sử dụng.
- Hình thức công khai dữ liệu cá nhân, bao gồm: đăng tải dữ liệu trên trang thông tin điện tử, cổng thông tin điện tử, phương tiện thông tin đại chúng và các hình thức khác theo quy định của pháp luật.
- Trách nhiệm khi công khai dữ liệu cá nhân: Cơ quan, tổ chức, cá nhân công khai dữ liệu cá nhân phải kiểm soát và giám sát chặt chẽ việc công khai dữ liệu cá nhân để bảo đảm tuân thủ đúng mục đích, phạm vi và quy định của pháp luật; ngăn chặn việc truy cập, sử dụng, tiết lộ, sao chép, sửa đổi, xóa, hủy hoặc các hành vi xử lý trái phép khác đối với dữ liệu cá nhân đã công khai trong khả năng, điều kiện của mình.
5. Bảo vệ dữ liệu cá nhân trong một số hoạt động (Chương II, Mục 2)
Luật quy định 09 trường hợp bảo vệ dữ liệu cá nhân trong một số hoạt động, gồm:
(1) Bảo vệ dữ liệu cá nhân của trẻ em,người bị mất hoặc hạn chế năng lực hành vi dân sự hoặc người có khó khăn trong nhận thức, làm chủ hành vi
(2) Bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng người lao động
(3) Bảo vệ dữ liệu cá nhân đối với thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm
(4) Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng
(5) Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo
(6) Bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến
(7) Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây
(8) Bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân, dữ liệu sinh trắc học
(9) Bảo vệ dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng
Luật số 91/2025/QH15 thể chế hóa quan điểm chỉ đạo của Đảng về bảo vệ quyền con người, quyền công dân, quyền và lợi ích hợp pháp của cá nhân; tạo sự đồng bộ, thống nhất, xuyên suốt của hệ thống pháp luật, phục vụ cuộc cách mạng đột phá phát triển khoa học công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia theo tinh thần Nghị quyết 57-NQ/TW của Bộ Chính trị; góp phần bảo đảm an ninh con người, chủ quyền dữ liệu trong kỷ nguyên mới của dân tộc.
Ban Thanh tra biên soạn, tổng hợp từ https://pbgdpl.gov.vn/Pages/tai-lieu-de-cuong.aspx?ItemID=386&l=TLDCGioiThieu.