Không thu thập trái phép dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân được Quốc hội thông qua tại Kỳ họp thứ 9, có hiệu lực từ ngày 1/1/2026. Với 5 chương, 39 điều, luật được ban hành nhằm cụ thể hóa các quy định về quyền con người, quyền riêng tư, đồng thời thiết lập khuôn khổ pháp lý thống nhất cho hoạt động thu thập, xử lý và bảo vệ dữ liệu cá nhân trong môi trường số.
Luật được Quốc hội thông qua yêu cầu phải công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư.
Cùng với đó, cơ quan, tổ chức, cá nhân có trách nhiệm tạo điều kiện thuận lợi, không được gây khó khăn, cản trở việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân theo quy định của pháp luật.
Luật Bảo vệ dữ liệu cá nhân quy định cụ thể về việc bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội.
Cụ thể, từ đầu năm tới, các đơn vị cung cấp dịch vụ phải thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng.
Không được yêu cầu cung cấp giấy tờ tùy thân
Luật Bảo vệ dữ liệu cá nhân cũng quy định rõ về việc không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản. Điểm đáng lưu ý khác, mạng xã hội, dịch vụ truyền thông trực tuyến phải cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu.
Ngoài ra, nhà mạng phải cung cấp lựa chọn "không theo dõi" hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng.
Đặc biệt, mạng xã hội, dịch vụ truyền thông trực tuyến không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
Cùng với đó, luật cũng đề ra yêu cầu bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.
Ngoài ra, trong một số trường hợp, các tổ chức, doanh nghiệp được xử lý dữ liệu cá nhân mà không cần sự đồng ý của người dùng. Đó là những trường hợp được áp dụng để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác trong trường hợp cấp bách; hay các trường hợp về nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp…
Luật quy định 7 hành vi bị nghiêm cấm, gồm:
1. Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
2. Cản trở hoạt động bảo vệ dữ liệu cá nhân.
3. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
4. Xử lý dữ liệu cá nhân trái quy định của pháp luật.
5. Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
6. Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
7. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.