Nội dung cơ bản của luật bảo vệ dữ liệu cá nhân năm 2025

>>> Luật Bảo vệ dữ liệu cá nhân 2025 và những điểm đáng chú ý

>>> Quy định bảo vệ dữ liệu cá nhân người dùng trong hoạt động tài chính - ngân hàng và thông tin tín dụng

Phạm vi điều chỉnh và đối tượng áp dụng

Theo Điều 1 Luật Bảo vệ dữ liệu cá nhân 2025, Luật này được áp dụng đối với:

• Cơ quan, tổ chức, cá nhân Việt Nam;

• Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;

• Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.

Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan. Phạm vi điều chỉnh của luật cho thấy mức độ bao quát rộng, phù hợp với thực tiễn toàn cầu hóa và các dịch vụ số xuyên biên giới.

Khái niệm về dữ liệu cá nhân

Tại Điều 2 Luật Bảo vệ dữ liệu cá nhân năm 2025 đã nêu ra những khái niệm quan trọng về dữ liệu cá nhân, đặc biệt làm rõ khái niệm và nội hàm của dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, như sau:

Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: 

• Dữ liệu cá nhân cơ bản: là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành; và

• Dữ liệu cá nhân nhạy cảm: là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành.

Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.

Nguyên tắc bảo vệ dữ liệu cá nhân

Nhằm bảo đảm việc bảo vệ dữ liệu cá nhân được thực hiện thống nhất và hiệu quả, Điều 3 Luật Bảo vệ dữ liệu cá nhân năm 2025 đã xác lập 06 nguyên tắc quan trọng định hướng cho việc thu thập, xử lý và bảo vệ dữ liệu cá nhân, gồm:

(1) Tuân thủ pháp luật

Việc bảo vệ và xử lý dữ liệu cá nhân phải tuân thủ quy định của Hiến pháp, Luật Bảo vệ dữ liệu cá nhân và các quy định pháp luật liên quan.

(2) Đúng mục đích, đúng phạm vi

Chỉ được thu thập, sử dụng dữ liệu cá nhân trong phạm vi cần thiết, cho mục đích cụ thể, rõ ràng và bảo đảm tuân thủ quy định của pháp luật.

(3) Dữ liệu chính xác, lưu trữ hợp lý

Dữ liệu cá nhân phải bảo đảm tính chính xác, được cập nhật, chỉnh sửa, bổ sung khi cần và được lưu trữ trong thời gian phù hợp với mục đích sử dụng, trừ các trường hợp khác theo quy định pháp luật. 

(4) Áp dụng biện pháp bảo vệ phù hợp

Cần triển khai đồng bộ các biện pháp pháp lý, kỹ thuật và nhân sự để bảo vệ dữ liệu cá nhân hiệu quả.

(5) Chủ động phòng ngừa và xử lý vi phạm

Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh và xử lý kịp thời, nghiêm minh các hành vi vi phạm về bảo vệ dữ liệu cá nhân.

(6) Hài hòa lợi ích cá nhân và lợi ích chung

Việc bảo vệ dữ liệu cá nhân phải gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh, đối ngoại, đồng thời bảo đảm cân bằng hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân. 

Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân

Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025 quy định rõ quyền và nghĩa vụ của chủ thể dữ liệu cá nhân, theo đó, chủ thể dữ liệu cá nhân có 06 quyền và 04 nghĩa vụ cơ bản sau:

(1) Quyền:

• Được biết về hoạt động xử lý dữ liệu cá nhân;

• Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;

• Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;

• Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;

• Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;

• Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.

Việc thực hiện quyền của chủ thể dữ liệu cá nhân được hướng dẫn bởi Điều 5 Nghị định 356/2025/NĐ-CP có hiệu lực từ ngày 01/01/2026.

(2) Nghĩa vụ:

• Tự bảo vệ dữ liệu cá nhân của mình;

• Tôn trọng, bảo vệ dữ liệu cá nhân của người khác;

• Cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình;

• Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.

Khi thực hiện quyền và nghĩa vụ của mình, chủ thể dữ liệu cá nhân phải tuân thủ đầy đủ 03 nguyên tắc sau:

(i) Tuân thủ quy định pháp luật và hợp đồng: Chủ thể dữ liệu cá nhân phải thực hiện quyền, nghĩa vụ theo quy định của pháp luật và các nghĩa vụ đã cam kết trong hợp đồng. Việc này nhằm bảo vệ quyền, lợi ích hợp pháp của chính chủ thể dữ liệu cá nhân đó;

(ii) Không cản trở hoạt động xử lý dữ liệu hợp pháp: Chủ thể dữ liệu cá nhân không được gây khó khăn, cản trở việc thực hiện quyền và nghĩa vụ pháp lý của bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu, cũng như bên xử lý dữ liệu cá nhân;

(iii) Không xâm phạm quyền, lợi ích của chủ thể khác: bao gồm Nhà nước, cơ quan, tổ chức và cá nhân khác.

Cơ quan, tổ chức, cá nhân có trách nhiệm tạo điều kiện thuận lợi, không được gây khó khăn, cản trở việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân theo quy định của pháp luật.

Khi nhận được yêu cầu của chủ thể dữ liệu cá nhân để thực hiện quyền của chủ thể dữ liệu cá nhân quy định tại khoản 1 Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải kịp thời thực hiện trong thời hạn theo quy định của pháp luật.

Các hành vi bị nghiêm cấm

Nhằm bảo đảm việc bảo vệ dữ liệu cá nhân được thực thi hiệu quả trên thực tế, Điều 7  Luật Bảo vệ dữ liệu cá nhân 2025 quy định 07 hành vi bị nghiêm cấm cần đặc biệt lưu ý, gồm:

(1) Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

(2) Cản trở hoạt động bảo vệ dữ liệu cá nhân.

(3) Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.

(4) Xử lý dữ liệu cá nhân trái quy định của pháp luật.

(5) Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.

(6) Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.

(7) Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân

Nhằm bảo đảm tính nghiêm minh của pháp luật và hiệu quả bảo vệ dữ liệu cá nhân trên thực tế, Điều 8 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định về xử lý vi phạm pháp luật trong lĩnh vực này như sau:

• Trách nhiệm pháp lý: Tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân, tùy theo tính chất, mức độ và hậu quả, có thể bị xử phạt hành chính, truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

• Xử phạt vi phạm hành chính: Việc xử phạt trong lĩnh vực bảo vệ dữ liệu cá nhân được thực hiện theo quy định tại khoản 3, 4, 5, 6 và 7 Điều 8 Luật Bảo vệ dữ liệu cá nhân năm 2025 và pháp luật về xử lý vi phạm hành chính.

• Mức phạt tiền:

  • Đối với hành vi mua, bán dữ liệu cá nhân: Phạt tiền tối đa bằng 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền tối đa 03 tỷ đồng.

  • Đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: Phạt tiền tối đa bằng 5% doanh thu của năm tài chính liền kề trước đó của tổ chức đó; nếu không có doanh thu của năm tài chính liền kề trước đó hoặc mức phạt tính theo doanh thu thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền tối đa 03 tỷ đồng.

  • Đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân, mức phạt tiền tối đa là 03 tỷ đồng.

Mức phạt tiền tối đa nêu trên được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng 1/2 mức phạt tiền đối với tổ chức.

Bảo vệ dữ liệu cá nhân cho các đối tượng yếu thế và trong một số hoạt động cụ thể 

Tại Mục 2, Chương II Luật Bảo vệ Dữ liệu cá nhân 2025 đã đưa ra các quy định riêng về bảo vệ dữ liệu cá nhân cho các đối tượng yếu thế và trong một số hoạt động cụ thể, gồm:

1. Bảo vệ dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi (Điều 24);

2. Bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng người lao động (Điều 25);

3. Bảo vệ dữ liệu cá nhân đối với thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm (Điều 26);

4. Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng (Điều 27 được hướng dẫn bởi Điều 8 Nghị định 356/2025/NĐ-CP có hiệu lực từ ngày 01/01/2026);

5. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo (Điều 28);

6. Bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến (Điều 29);

7. Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây (Điều 30 được hướng dẫn bởi Điều 9 đến Điều 12 Nghị định 356/2025/NĐ-CP có hiệu lực từ ngày 01/01/2026);

8. Bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân, dữ liệu sinh trắc học (Điều 31);

9. Bảo vệ dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng (Điều 32).

Quản lý nhà nước và thực thi pháp luật về bảo vệ dữ liệu cá nhân

Trách nhiệm của cơ quan nhà nước có thẩm quyền

Nhằm bảo đảm hiệu lực thực thi và tính thống nhất trong quản lý nhà nước về bảo vệ dữ liệu cá nhân, tại  Điều 36 Luật Bảo vệ dữ liệu cá nhân năm 2025 đã quy định cụ thể trách nhiệm của cơ quan nhà nước có thẩm quyền. Quy định này đóng vai trò then chốt trong việc tăng cường giám sát, điều phối và bảo đảm quyền, lợi ích hợp pháp của chủ thể dữ liệu trong thực tiễn:

• Chính phủ thống nhất thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.

• Bộ Công an là cơ quan đầu mối chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân, trừ nội dung thuộc phạm vi quản lý của Bộ Quốc phòng.

• Bộ Quốc phòng chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân thuộc phạm vi quản lý.

• Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực thuộc phạm vi quản lý theo quy định của pháp luật và chức năng, nhiệm vụ được giao.

• Ủy ban nhân dân cấp tỉnh thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân theo quy định của pháp luật và chức năng, nhiệm vụ được giao.

Hợp tác quốc tế trong bảo vệ dữ liệu cá nhân

Hợp tác quốc tế trong bảo vệ dữ liệu cá nhân là yêu cầu tất yếu trong bối cảnh dữ liệu được thu thập, lưu trữ và xử lý xuyên biên giới. Việc phối hợp giữa các quốc gia giúp thu hẹp khoảng trống pháp lý và nâng cao hiệu quả bảo vệ quyền riêng tư của cá nhân.

Tại Điều 6 Luật Bảo vệ dữ liệu cá nhân 2025 đã quy định chi tiết về việc hợp tác quốc tế trong bảo vệ dữ liệu cá nhân như sau: 

(1) Tuân thủ pháp luật Việt Nam, điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên và thỏa thuận quốc tế về bảo vệ dữ liệu cá nhân trên cơ sở bình đẳng, cùng có lợi, tôn trọng độc lập, chủ quyền và toàn vẹn lãnh thổ.

(2) Nội dung hợp tác quốc tế về bảo vệ dữ liệu cá nhân bao gồm:

• Xây dựng cơ chế hợp tác quốc tế để tạo điều kiện cho việc thực thi có hiệu quả pháp luật về bảo vệ dữ liệu cá nhân;

• Tham gia tương trợ tư pháp về bảo vệ dữ liệu cá nhân của quốc gia khác;

• Phòng ngừa, đấu tranh với các hành vi xâm phạm dữ liệu cá nhân;

• Đào tạo nguồn nhân lực, nghiên cứu khoa học, ứng dụng khoa học và công nghệ trong bảo vệ dữ liệu cá nhân;

• Trao đổi kinh nghiệm xây dựng và thực hiện pháp luật về bảo vệ dữ liệu cá nhân;

• Chuyển giao công nghệ phục vụ bảo vệ dữ liệu cá nhân.

(3) Trách nhiệm thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân được quy định tại Điều 30 Nghị định 356/2025/NĐ-CP có hiệu lực từ ngày 01/01/2026:

• Cơ quan chuyên trách về bảo vệ dữ liệu cá nhân có trách nhiệm giúp Bộ Công an thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân.

• Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân đối với các ngành, lĩnh vực thuộc phạm vi quản lý theo quy định của pháp luật và chức năng, nhiệm vụ được giao.

• Ủy ban nhân dân cấp tỉnh thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân theo quy định của pháp luật và chức năng, nhiệm vụ được giao.

Luật Bảo vệ dữ liệu cá nhân năm 2025 đánh dấu bước chuyển quan trọng trong hệ thống pháp luật Việt Nam, đưa bảo vệ dữ liệu cá nhân từ mức điều chỉnh dưới luật lên thành một chế định pháp lý độc lập, toàn diện và tiệm cận chuẩn mực quốc tế. Việc hiểu đúng và triển khai hiệu quả Luật không chỉ là yêu cầu tuân thủ pháp lý, mà còn là yếu tố then chốt để xây dựng niềm tin, uy tín và phát triển bền vững trong nền kinh tế số.

Nếu có bất kỳ thắc mắc hay cần tư vấn pháp luật vui lòng liên hệ chúng tôi qua các hình thức sau:

Hotline Luật sư tư vấn trực tiếp: 1900 2929 01

Nhập thông tin đăng ký tư vấn luật tại đây: https://luatsulh.com/dang-ky-tu-van.html

Liên hệ đặt lịch hẹn qua zalo số: 0903 796 830

Website: https://luatsulh.com/

Trụ sở: 12A Nguyễn Đình Chiểu, Phường Tân Định, Thành phố Hồ Chí Minh (Phường Đa Kao, Quận 1 cũ)

Chi nhánh Nha Trang: 144 Hoàng Hoa Thám, phường Nha Trang, tỉnh Khánh Hoà (Phường Lộc Thọ, Thành phố Nha Trang cũ)

Theo dõi Công ty Luật LH Legal tại:

Website: https://luatsulh.com/

Facebook: Luật sư LH Legal

Youtube: Luật sư LH Legal

Kênh Tiktok Luật sư Hoà: Luật sư Hoà (LH Legal)

Kênh Tiktok Công ty: Luật sư LH Legal

Kênh Tiktok Luật sư Hình sự: Luật sư Hình sự

Kênh Zalo OA

Hồ sơ năng lực LH Legal