Trong bối cảnh chuyển đổi số đang diễn ra mạnh mẽ hiện nay, dữ liệu cá nhân đã trở thành nguồn tài sản có giá trị đặc biệt đối với các doanh nghiệp, đồng thời cũng là đối tượng cần được bảo vệ trước những nguy cơ bị thu thập, sử dụng hoặc chia sẻ trái phép. Trước yêu cầu hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân, ngày 26/6/2025, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Đây là dấu mốc quan trọng, tạo cơ sở pháp lý thống nhất và chặt chẽ hơn so với các quy định trước đây tại Nghị định số 13/2023/NĐ-CP. Bài viết này sẽ điểm qua những quy định mới đáng chú ý của Luật, các hành vi bị nghiêm cấm và những chế tài xử phạt mà người dân, doanh nghiệp cần đặc biệt quan tâm để bảo đảm tuân thủ pháp luật.
1. Những điểm mới nổi bật của Luật Bảo vệ dữ liệu cá nhân 2025 so với Nghị định 13/2023/NĐ-CP
Điểm đáng chú ý đầu tiên của Luật Bảo vệ dữ liệu cá nhân năm 2025 là việc mở rộng phạm vi áp dụng so với Nghị định số 13/2023/NĐ-CP. Nếu trước đây các quy định chủ yếu điều chỉnh hoạt động xử lý dữ liệu cá nhân tại Việt Nam thì Luật mới đã mở rộng đối tượng áp dụng đối với cả cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước. Đồng thời, Điều 2 của Luật đã cải tiến định nghĩa về dữ liệu cá nhân, từ khái niệm “thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử” trong Nghị định 13 sang “dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể”.
Bên cạnh việc mở rộng phạm vi điều chỉnh, Luật Bảo vệ dữ liệu cá nhân năm 2025 còn bổ sung cơ chế quản trị đối với các công nghệ mới như trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data) và hoạt động xây dựng hồ sơ hành vi người dùng. Đặc biệt, thay đổi quan trọng nhất của Luật nằm ở cơ chế xử phạt vi phạm. Khác với Nghị định số 13/2023/NĐ-CP chủ yếu áp dụng các mức xử phạt hành chính cố định, Luật Bảo vệ dữ liệu cá nhân năm 2025 đã ghi nhận cơ chế xử phạt dựa trên doanh thu đối với một số hành vi vi phạm nghiêm trọng. Quy định này sẽ sẽ nâng cao tính răn đe, thúc đẩy doanh nghiệp chủ động đầu tư nguồn lực cho công tác bảo vệ dữ liệu cá nhân và tăng cường trách nhiệm tuân thủ pháp luật trong quá trình hoạt động.
2. Các hành vi bị nghiêm cấm theo Luật Bảo vệ dữ liệu cá nhân 2025.
Một điểm đáng chú ý của Luật Bảo vệ dữ liệu cá nhân năm 2025 là việc xác định rõ các hành vi bị nghiêm cấm trong quá trình xử lý dữ liệu cá nhân. Nếu các quy định về quyền và nghĩa vụ đặt ra khuôn khổ tuân thủ, thì các hành vi bị nghiêm cấm chính là “ranh giới đỏ” mà mọi tổ chức, cá nhân phải tuyệt đối tránh. Theo đó, Tại Điều 7 của Luật nghiêm cấm hành vi xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; Cản trở hoạt động bảo vệ dữ liệu cá nhân; Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; Xử lý dữ liệu cá nhân trái quy định của pháp luật; Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác và Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Trên thực tế, nhiều hành vi tưởng chừng là hoạt động kinh doanh thông thường lại có thể tiềm ẩn rủi ro vi phạm pháp luật. Việc thu thập thông tin khách hàng nhưng không có căn cứ hợp pháp, chia sẻ dữ liệu khách hàng cho đối tác quảng cáo, mua bán danh sách số điện thoại hoặc địa chỉ thư điện tử để phục vụ hoạt động tiếp thị là những ví dụ điển hình. Bên cạnh đó, các sự cố rò rỉ dữ liệu nhân sự, dữ liệu khách hàng hoặc dữ liệu người tiêu dùng do thiếu biện pháp bảo mật phù hợp cũng có thể khiến doanh nghiệp phải đối mặt với trách nhiệm pháp lý nghiêm trọng. Trong bối cảnh dữ liệu cá nhân ngày càng được coi là một tài sản có giá trị, việc quản lý và sử dụng dữ liệu không đúng quy định không chỉ làm phát sinh chế tài pháp lý mà còn ảnh hưởng trực tiếp đến uy tín và niềm tin của khách hàng đối với doanh nghiệp.
3. Mức xử phạt vi phạm
Cùng với việc xác định rõ các hành vi bị nghiêm cấm, Luật Bảo vệ dữ liệu cá nhân năm 2025 còn thiết lập một cơ chế xử phạt mạnh mẽ hơn, thể hiện quyết tâm nâng cao hiệu quả bảo vệ dữ liệu cá nhân trong thực tiễn và đây cũng là một trong những thay đổi quan trọng của Luật. Theo đó, đối với hành vi mua bán dữ liệu cá nhân, mức phạt tối đa có thể lên tới 10 lần khoản thu có được từ hành vi vi phạm. Đối với hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, tổ chức vi phạm có thể bị xử phạt với mức tối đa lên đến 5% doanh thu của năm trước liền kề. Ngoài ra, đối với các hành vi vi phạm khác, mức phạt tối đa có thể lên tới 3 tỷ đồng đối với tổ chức. Không chỉ dừng lại ở hình thức xử phạt bằng tiền, tổ chức, cá nhân vi phạm còn có thể bị buộc khắc phục hậu quả, bồi thường thiệt hại cho chủ thể dữ liệu và trong những trường hợp nghiêm trọng có thể bị truy cứu trách nhiệm hình sự nếu đủ yếu tố cấu thành tội phạm.
Luật Bảo vệ dữ liệu cá nhân năm 2025 không đơn thuần là sự thay thế cho Nghị định số 13/2023/NĐ-CP mà còn đánh dấu sự thay đổi trong cách tiếp cận đối với dữ liệu cá nhân tại Việt Nam. Nếu trước đây việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân chủ yếu được nhìn nhận dưới góc độ nghĩa vụ pháp lý, thì nay đây đã trở thành một yêu cầu bắt buộc đối với doanh nghiệp. Trong bối cảnh các chế tài xử phạt có thể lên tới hàng tỷ đồng hoặc được xác định dựa trên doanh thu, việc chậm thích ứng với các yêu cầu mới có thể kéo theo những rủi ro đáng kể về pháp lý, tài chính. Do đó, chủ động xây dựng cơ chế bảo vệ dữ liệu cá nhân không chỉ là giải pháp giảm thiểu rủi ro mà còn là bước chuẩn bị cần thiết để doanh nghiệp phát triển bền vững trong nền kinh tế số.
Tiếng Việt 
English