Bảo vệ dữ liệu cá nhân trên mạng xã hội: Quy định mới có hiệu lực từ 2026
>>> Luật Bảo vệ dữ liệu cá nhân 2025 và những điểm đáng chú ý
Quy định mới về xử lý dữ liệu cá nhân trên mạng xã hội từ 2026
Điều 29 Luật Bảo vệ dữ liệu cá nhân 2025 quy định cụ thể về bảo vệ dữ liệu trên các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến. Theo đó, Tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm sau đây:
“1. Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng;
2. Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản;
3. Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies);
4. Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;
5. Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác;
6. Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.”
Khi người dùng cài đặt hoặc sử dụng mạng xã hội, nền tảng phải công khai chính xác loại dữ liệu cá nhân mình thu thập và chỉ thu thập trong phạm vi đã thông báo. Các mạng xã hội bị cấm yêu cầu người dùng cung cấp ảnh chụp hoặc sao chụp đầy đủ (hoặc một phần) giấy tờ tùy thân (CMND/CCCD, hộ chiếu…) để xác thực tài khoản. Nền tảng phải cung cấp cho người dùng tùy chọn từ chối việc thu thập và chia sẻ tệp dữ liệu theo dõi (cookie). Ngoài ra, các trang mạng xã hội và dịch vụ trực tuyến phải cung cấp chế độ Không theo dõi, cấm nghe trộm, đọc tin nhắn khi chưa cho phép, công khai chính sách bảo mật.
Những quy định này được bổ sung nhằm đảm bảo các mạng xã hội minh bạch hơn trong hoạt động xử lý dữ liệu cá nhân và tăng cường khả năng bảo vệ người dùng khi tham gia trực tuyến. Nhìn chung, Luật Bảo vệ dữ liệu cá nhân 2025 giao cho các mạng xã hội và tổ chức liên quan nhiệm vụ tuân thủ các quy định bảo mật, minh bạch trong sử dụng dữ liệu, đồng thời khuyến khích họ xây dựng cơ chế kiểm soát nội bộ chặt chẽ để ngăn ngừa vi phạm.
Quyền của người dùng mạng xã hội theo Luật Bảo vệ dữ liệu cá nhân 2025
Theo khoản 1 Điều 4 của Luật, chủ thể dữ liệu cá nhân (người dùng mạng xã hội) có nhiều quyền quan trọng khi dữ liệu của họ được xử lý. Các quyền chính bao gồm:
“a) Được biết về hoạt động xử lý dữ liệu cá nhân;
b) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;
c) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;
d) Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;
đ) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;
e) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.”
Như vậy theo quy định, người dùng có quyền được thông báo về hoạt động xử lý dữ liệu cá nhân của mình; có quyền đồng ý hoặc không đồng ý cho phép mạng xã hội xử lý dữ liệu cá nhân, và có thể rút lại sự đồng ý bất cứ lúc nào; người dùng có thể xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình; có thể yêu cầu bên kiểm soát (ví dụ nền tảng xã hội) cung cấp bản sao dữ liệu cá nhân họ đang lưu trữ, xóa dữ liệu khi không còn cần thiết; có quyền khiếu nại, tố cáo, khởi kiện nếu dữ liệu cá nhân bị xâm phạm trái pháp luật, cũng như yêu cầu bồi thường thiệt hại theo quy định; có quyền yêu cầu cơ quan chức năng hoặc tổ chức liên quan thực hiện các biện pháp bảo vệ dữ liệu cá nhân cho mình.
Như vậy, Luật bảo vệ dữ liệu cá nhân 2025 trao cho người dùng mạng xã hội những công cụ pháp lý mạnh mẽ để kiểm soát thông tin của mình, đồng thời bắt buộc các nền tảng phải tôn trọng các quyền này.
Xử phạt vi phạm, những hành vi nào sẽ bị xử lý?
Luật năm bảo vệ dữ liệu cá nhân 2025 liệt kê rõ các hành vi bị nghiêm cấm và mức xử phạt tương ứng. Theo Điều 7 và Điều 8 Luật bảo vệ dữ liệu cá nhân 2025, các hành vi vi phạm trong lĩnh vực dữ liệu cá nhân sẽ chịu chế tài nghiêm khắc:
Các hành vi bị cấm (theo Điều 7):
“1. Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
2. Cản trở hoạt động bảo vệ dữ liệu cá nhân.
3. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
4. Xử lý dữ liệu cá nhân trái quy định của pháp luật.
5. Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
6. Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
7. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.”
Những hành vi trên đều bị coi là vi phạm nghiêm trọng. Bất cứ tổ chức, cá nhân nào xâm phạm dữ liệu cá nhân đều có thể bị xử phạt. Nếu hành vi gây thiệt hại, người vi phạm sẽ phải bồi thường theo quy định của pháp luật và có thể bị truy cứu trách nhiệm hình sự nếu mức độ nghiêm trọng (ví dụ vi phạm quy định mua bán dữ liệu trộm cắp, làm lộ tin nhắn riêng tư).
Người nào chiếm đoạt cố ý làm lộ dữ liệu cá nhân có thể bị xử phạt theo pháp luật
Mức xử phạt (Theo Điều 8):
“1. Tổ chức, cá nhân có hành vi vi phạm quy định của Luật này và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
2. Việc xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân thực hiện theo quy định tại các khoản 3, 4, 5, 6 và 7 Điều này và pháp luật về xử lý vi phạm hành chính.
3. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
4. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
5. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.
6. Mức phạt tiền tối đa quy định tại các khoản 3, 4 và 5 Điều này được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
7. Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.”
Luật Bảo vệ dữ liệu cá nhân 2025 quy định các biện pháp xử lý nghiêm minh nhằm răn đe hành vi xâm hại dữ liệu cá nhân. Người dùng mạng xã hội cần nắm rõ những quyền và cơ chế bảo vệ này; đồng thời, các nền tảng trực tuyến cũng phải chủ động tuân thủ quy định để tránh bị xử phạt.
Đối với hành vi mua, bán dữ liệu cá nhân, mức phạt lên đến 10 lần lợi ích bất hợp pháp thu được từ hành vi đó. Trường hợp không thể xác định lợi ích hoặc mức phạt tính theo khoản thu dưới 03 tỷ đồng thì mức phạt tối đa sẽ được tính theo khoản 5 Điều này (mức phạt tối đa là 3 tỷ đồng).
Chuyển dữ liệu cá nhân xuyên biên giới, đối với việc chuyển dữ liệu cá nhân của người dùng Việt Nam ra nước ngoài mà vi phạm quy định thì mức phạt tiền tối đa là 5% doanh thu năm trước của tổ chức vi phạm. Trường hợp không thể xác định lợi ích, hoặc mức phạt tính theo doanh thu dưới 03 tỷ đồng thì mức phạt tối đa sẽ được tính theo khoản 5 Điều này (mức phạt tối đa là 3 tỷ đồng).
Đối với các vi phạm khác về bảo vệ dữ liệu cá nhân, mức phạt tiền tối đa là 3 tỷ đồng. Ví dụ: Nếu mạng xã hội để lộ thông tin cá nhân của người dùng mà không có hành vi mua bán trực tiếp, thì mạng xã hội này có thể bị phạt lên đến 3 tỷ.
Lưu ý: Các mức phạt nêu trên đang áp dụng cho tổ chức, cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
Kết Luận
Như vậy, Luật Bảo vệ dữ liệu cá nhân 2025 (có hiệu lực từ ngày 1/1/2026) đã đưa ra hàng loạt quy định mới nhằm tăng cường bảo vệ thông tin cá nhân trên môi trường mạng xã hội và kỹ thuật số. Luật này nghiêm cấm việc mua bán dữ liệu cá nhân, yêu cầu doanh nghiệp phải bảo vệ dữ liệu cá nhân, đồng thời buộc các nền tảng mạng xã hội phải minh bạch trong việc thu thập, sử dụng dữ liệu người dùng. Lần đầu tiên, người dùng cũng được trao quyền tự quyết đối với dữ liệu cá nhân của mình – tiêu biểu như quyền yêu cầu xóa dữ liệu cá nhân hoặc từ chối việc bị theo dõi trực tuyến (ví dụ: từ chối thu thập cookie).
Luật Bảo vệ dữ liệu cá nhân 2025 được đánh giá là một cột mốc pháp lý quan trọng, kỳ vọng sẽ góp phần tăng cường bảo vệ quyền riêng tư của người dân và định hình rõ trách nhiệm của các cơ quan, doanh nghiệp trong hoạt động thu thập, xử lý dữ liệu. Để những quy định mới thực sự phát huy hiệu quả, mỗi cá nhân cần nâng cao ý thức tự bảo vệ dữ liệu của mình và chủ động thực thi các quyền mà pháp luật cho phép. Song song đó, các doanh nghiệp cũng phải chủ động tuân thủ nghiêm ngặt luật mới, nhanh chóng cập nhật chính sách bảo mật, đào tạo nhân sự và đầu tư công nghệ để bảo vệ dữ liệu khách hàng. Chỉ khi cả người dùng lẫn doanh nghiệp cùng chung tay nỗ lực, môi trường mạng xã hội mới trở nên an toàn và lành mạnh hơn cho tất cả mọi người.
Nếu có bất kỳ thắc mắc hay cần tư vấn pháp luật vui lòng liên hệ chúng tôi qua các hình thức sau:
Hotline Luật sư tư vấn trực tiếp: 1900 2929 01
Nhập thông tin đăng ký tư vấn luật tại đây: https://luatsulh.com/dang-ky-tu-van.html
Liên hệ đặt lịch hẹn qua zalo số: 0903 796 830
Website: https://luatsulh.com/
Trụ sở: 12A Nguyễn Đình Chiểu, Phường Tân Định, Thành phố Hồ Chí Minh (Phường Đa Kao, Quận 1 cũ)
Chi nhánh Nha Trang: 144 Hoàng Hoa Thám, phường Nha Trang, tỉnh Khánh Hoà (Phường Lộc Thọ, Thành phố Nha Trang cũ)
Theo dõi Công ty Luật LH Legal tại:
Website: https://luatsulh.com/
Facebook: Luật sư LH Legal
Youtube: Luật sư LH Legal
Kênh Tiktok Luật sư Hoà: Luật sư Hoà (LH Legal)
Kênh Tiktok Công ty: Luật sư LH Legal
Kênh Tiktok Luật sư Hình sự: Luật sư Hình sự
|
|
|
- Ủy ban Cạnh tranh Quốc gia mời VNG làm việc về việc thu thập dữ liệu người dùng Zalo (30.12.2025)
- Từ ngày 01/01/2026: Mạng xã hội không được “nghe lén”, không được yêu cầu ảnh căn cước để xác thực tài khoản - Bước ngoặt pháp lý trong bảo vệ quyền dữ liệu cá nhân (29.12.2025)
- Zalo yêu cầu người dùng “đồng ý toàn bộ điều khoản” để tiếp tục sử dụng dịch vụ: Dưới góc nhìn pháp luật về bảo vệ dữ liệu cá nhân (29.12.2025)
- Hơn 900 chứng chỉ hành nghề y được cấp trái quy định tại Sóc Trăng (28.08.2025)
- Thủ tục và hồ sơ xin trở lại quốc tịch Việt Nam năm 2025 (22.08.2025)
- Chụp hình bệnh nhân trong chuyển đổi số y tế: Có cần thiết và được phép? (01.08.2025)
- Công chức có thể bị tạm đình chỉ công tác sau 4 ngày nếu gây bức xúc trong dư luận (24.07.2025)
- Bún đổi màu bất thường ở Đà Nẵng: Đã xác định được nguyên nhân (18.07.2025)
12A Nguyễn Đình Chiểu, Phường Tân Định, Thành phố Hồ Chí Minh (Phường Đa Kao, Quận 1 cũ)
Điện thoại: 1900 2929 01
144 Hoàng Hoa Thám, phường Nha Trang, tỉnh Khánh Hoà (Phường Lộc Thọ, Thành phố Nha Trang cũ)
Điện thoại: 1900 2929 01
