Những điểm mới trong Luật Bảo vệ dữ liệu cá nhân từ 1/1/2026

Luật Bảo vệ dữ liệu cá nhân (Personal Data Protection Law - PDPL) (Luật số 91/2025/QH15) được Quốc hội ban hành vào ngày 26/06/2025 sẽ chính thức có hiệu lực từ ngày 1/1/2026, đánh dấu bước ngoặt quan trọng trong việc thiết lập khung pháp lý bảo vệ quyền riêng tư và an toàn dữ liệu cá nhân tại Việt Nam.

Luật số 91/2025/QH15 không chỉ đặt ra các chuẩn mực mới cho việc thu thập, xử lý và sử dụng dữ liệu cá nhân, mà còn yêu cầu doanh nghiệp phải nâng cao năng lực quản trị dữ liệu và bảo mật thông tin trong bối cảnh nền kinh tế số phát triển nhanh chóng.

Theo chuyên gia bảo mật dữ liệu Hoàng Hà, CEO của Data Protectify, điểm nổi bật đầu tiên của Luật Bảo vệ dữ liệu cá nhân là việc chuyển từ “ghi nhận quyền” sang cơ chế thực thi quyền có trách nhiệm. Cụ thể, Luật quy định rõ thời hạn và quy trình tiếp nhận, xử lý các yêu cầu của chủ thể dữ liệu, như yêu cầu truy cập, chỉnh sửa hay xóa dữ liệu cá nhân, qua đó giúp người dùng chủ động kiểm soát toàn bộ vòng đời xử lý dữ liệu của mình.

“Đây không chỉ là một đạo luật mang tính kỹ thuật, mà là bước chuyển quan trọng trong tư duy quản trị dữ liệu tại Việt Nam từ phía doanh nghiệp và cá nhân”, ông Hoàng Hà nhận định.

MẠNG XÃ HỘI KHÔNG ĐƯỢC YÊU CẦU ẢNH VÀ GIẤY TỜ CÁ NHÂN ĐỂ XÁC THỰC TÀI KHOẢN

Đáng chú ý, PDPL lần đầu tiên đưa ra các quy định cụ thể đối với nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến.

Theo Điều 29.2 của Luật Bảo vệ Dữ liệu Cá nhân, nhằm bảo vệ thông tin cá nhân của người dùng, các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến "không được yêu cầu hình ảnh hoặc video chứa toàn bộ hoặc một phần giấy tờ tùy thân để xác thực tài khoản". Quy định này được đánh giá là bước tiến quan trọng nhằm hạn chế tình trạng thu thập dữ liệu nhạy cảm vượt quá nhu cầu cần thiết, vốn tiềm ẩn nhiều rủi ro rò rỉ và lạm dụng thông tin cá nhân.

Ở chiều ngược lại, PDPL cũng đặt ra các nguyên tắc khi thực hiện quyền của chủ thể dữ liệu, nhằm bảo đảm tính hợp lý và khả thi trong thực tiễn. Doanh nghiệp có cơ sở pháp lý rõ ràng để từ chối những yêu cầu không phù hợp, qua đó duy trì sự cân bằng giữa quyền riêng tư của người dùng và hoạt động vận hành.

Theo CEO Data Protectify, thay đổi lớn thứ hai của PDPL là việc thiết lập khung bảo vệ dữ liệu toàn diện, dựa trên ba trụ cột: thể chế, con người và công nghệ. Tuân thủ dữ liệu không còn dừng lại ở việc ban hành chính sách hay ký kết hợp đồng, mà đòi hỏi doanh nghiệp phải triển khai thực chất các quy trình nội bộ.

Cụ thể, doanh nghiệp cần xây dựng cơ chế tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu, quản lý rủi ro và ứng phó sự cố vi phạm dữ liệu, đồng thời áp dụng các giải pháp kỹ thuật phù hợp như các công nghệ tăng cường quyền riêng tư (PETs). Song song đó là yêu cầu xây dựng văn hóa bảo vệ dữ liệu và thiết lập bộ phận hoặc chức danh Giám đốc bảo vệ dữ liệu (DPO) có đủ năng lực, thẩm quyền và tính độc lập cần thiết.

VI PHẠM DỮ LIỆU PHẢI ĐƯỢC THÔNG BÁO TRONG VÒNG 72 GIỜ

Một điểm mới có tác động trực tiếp đến hoạt động của doanh nghiệp là quy định về nghĩa vụ thông báo vi phạm dữ liệu cá nhân. Theo Điều 23.1 của PDPL, trong trường hợp phát hiện hành vi vi phạm có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của chủ thể dữ liệu, bên kiểm soát dữ liệu, bên xử lý dữ liệu hoặc bên thứ ba phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất trong vòng 72 giờ kể từ thời điểm phát hiện vi phạm.

Theo ông Hoàng Hà, quy định này buộc doanh nghiệp phải xây dựng sẵn kịch bản ứng phó sự cố, hệ thống giám sát và cơ chế ra quyết định nhanh, thay vì xử lý bị động sau khi sự việc đã lan rộng. “Việc tuân thủ thời hạn 72 giờ sẽ là một thách thức lớn nếu doanh nghiệp không chuẩn bị nguồn lực và quy trình phù hợp ,” ông nhận định.

Ngoài ra, mỗi ngành nghề lại có những tiêu chuẩn riêng về bảo vệ dữ liệu, buộc doanh nghiệp phải tuân thủ đồng thời cả “chuẩn chung” và “chuẩn theo ngành”. Trong ngắn hạn, điều này có thể tạo áp lực về chi phí, nguồn lực và năng lực thiết kế một lộ trình tuân thủ thống nhất.

Trong bối cảnh đó, vai trò của DPO được xem là then chốt. “DPO cần chuyển hóa các yêu cầu mang tính định hướng của PDPL thành hành động cụ thể, phù hợp với mô hình kinh doanh và mức độ rủi ro của từng doanh nghiệp,” ông Hoàng Hà nhấn mạnh.

PDPL được kỳ vọng sẽ tạo ra những thay đổi rõ rệt trong hành vi của người tiêu dùng Việt Nam. Người dùng ngày càng cân nhắc kỹ lưỡng trước khi đồng ý cung cấp dữ liệu, chú ý hơn đến mục đích sử dụng và phạm vi xử lý thông tin cá nhân, đồng thời sẵn sàng thực hiện các quyền như phản đối xử lý hay yêu cầu xóa dữ liệu khi cảm thấy thiếu minh bạch.

Theo CEO Data Protectify, cách tiếp cận “privacy by design” – tích hợp bảo vệ dữ liệu ngay từ khâu thiết kế sản phẩm, dịch vụ sẽ trở thành yếu tố then chốt để doanh nghiệp xây dựng niềm tin bền vững. “Bảo vệ dữ liệu không chỉ là yêu cầu pháp lý, mà còn là nền tảng của văn hóa quản trị rủi ro và uy tín thương hiệu trong kỷ nguyên số,” ông Hoàng Hà kết luận.