Sáng 26/6, tại Kỳ họp thứ 9, khóa XV, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân (DLCN) với 433/435 đại biểu biểu quyết tán thành. Luật có hiệu lực từ ngày 1/1/2026.
Luật Bảo vệ dữ liệu cá nhân gồm 5 chương, 39 điều, tập trung vào việc cụ thể hóa quyền và nghĩa vụ của chủ thể dữ liệu, cũng như trách nhiệm của các tổ chức, cá nhân xử lý dữ liệu.
Một trong những điểm nhấn quan trọng của Luật Bảo vệ dữ liệu cá nhân là quy định nghiêm khắc về xử lý vi phạm, đặc biệt là hành vi mua bán dữ liệu cá nhân trái phép.
Trong đó, hành vi mua, bán dữ liệu cá nhân trái phép bị xử phạt tối đa 10 lần khoản thu bất hợp pháp. Nếu không xác định được khoản thu, tổ chức vi phạm có thể bị phạt đến 3 tỷ đồng, cá nhân bị phạt đến 1,5 tỷ đồng.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó. Nếu không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa là 3 tỷ đồng.
Tổ chức, cá nhân vi phạm các quy định về bảo vệ dữ liệu cá nhân có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự tùy theo tính chất, mức độ và hậu quả của hành vi. Trường hợp gây thiệt hại, người vi phạm còn phải bồi thường theo quy định pháp luật.
Trong báo cáo tiếp thu, giải trình, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới khẳng định luật quy định chặt chẽ cơ chế thực hiện các quyền của chủ thể dữ liệu, các hoạt động xử lý dữ liệu cá nhân cụ thể như thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân, các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu.
"Luật quy định áp dụng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và chỉ kiểm tra khi cần thiết, thay vì yêu cầu xin phép trước trong đa số trường hợp, tạo thuận lợi cho doanh nghiệp", ông Lê Tấn Tới nói.
Luật Bảo vệ dữ liệu cá nhân vừa được thông qua quy định cụ thể về quyền và nghĩa vụ của các bên liên quan, cũng như các biện pháp xử lý vi phạm. Trong đó, luật phân loại và quy định về 2 loại dữ liệu là dữ liệu cá nhân cơ bản (tên, ngày sinh, số căn cước công dân, số điện thoại,...) và dữ liệu cá nhân nhạy cảm (thông tin y tế, đặc điểm sinh học, quan điểm chính trị, tôn giáo,...).
Về quyền của chủ thể dữ liệu, Luật quy định người dân có nhiều quyền quan trọng, bao gồm quyền được biết dữ liệu của mình được thu thập và sử dụng như thế nào, quyền đồng ý hoặc rút lại sự đồng ý, quyền yêu cầu xóa dữ liệu, quyền hạn chế xử lý dữ liệu, và quyền yêu cầu bồi thường thiệt hại khi dữ liệu bị xâm phạm. Việc này nhằm giúp người dân họ chủ động bảo vệ thông tin cá nhân.
Theo Luật, lực lượng bảo vệ dữ liệu cá nhân bao gồm: Cơ quan chuyên trách thuộc Bộ Công an; bộ phận, nhân sự bảo vệ dữ liệu trong các cơ quan, tổ chức; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân và tổ chức, cá nhân được huy động tham gia.
Ngoài ra, Luật đã lược bỏ các thủ tục hành chính không cần thiết như điều kiện kinh doanh dịch vụ bảo vệ dữ liệu, cấp chứng nhận xếp hạng tín nhiệm, nhằm tránh chồng chéo, tạo sự minh bạch, thông thoáng trong triển khai.
Luật cũng quy định các tổ chức, doanh nghiệp phải tuân thủ nguyên tắc minh bạch, chỉ thu thập dữ liệu cần thiết và phải có sự đồng ý rõ ràng từ chủ thể dữ liệu.
Luật Bảo vệ dữ liệu cá nhân được thông qua là một cột mốc quan trọng, đánh dấu bước tiến lớn trong việc xây dựng hành lang pháp lý nhằm bảo vệ quyền công dân, quyền riêng tư trong bối cảnh chuyển đổi số mạnh mẽ. Luật này không chỉ đáp ứng nhu cầu nội tại mà còn thể hiện cam kết hội nhập quốc tế, bảo đảm chủ quyền số quốc gia.
