Từ ngày 01/01/2026: Mạng xã hội không được “nghe lén”, không được yêu cầu ảnh căn cước để xác thực tài khoản - Bước ngoặt pháp lý trong bảo vệ quyền dữ liệu cá nhân

Luật Bảo vệ dữ liệu cá nhân 2025 và thông điệp chính sách rõ ràng của Nhà nước

Luật Bảo vệ dữ liệu cá nhân 2025, được Quốc hội khóa XV thông qua tại Kỳ họp thứ 9 và có hiệu lực từ ngày 01/01/2026, đánh dấu sự thay đổi căn bản trong cách tiếp cận quyền riêng tư và dữ liệu cá nhân tại Việt Nam.

Lần đầu tiên, pháp luật Việt Nam thiết lập khung nghĩa vụ cụ thể, trực tiếp và có tính ràng buộc cao đối với các nền tảng số, đặc biệt là mạng xã hội và dịch vụ truyền thông trực tuyến – những chủ thể đang nắm giữ khối lượng dữ liệu khổng lồ của người dân.

Một trong những nội dung được dư luận quan tâm nhất là việc hạn chế triệt để tình trạng thu thập dữ liệu quá mức, xâm nhập sâu vào đời sống riêng tư của người dùng.

Mạng xã hội không được yêu cầu hình ảnh căn cước để xác thực tài khoản

Theo Luật Bảo vệ dữ liệu cá nhân 2025, các đơn vị cung cấp mạng xã hội và dịch vụ truyền thông trực tuyến có trách nhiệm:

• Thông báo rõ ràng, minh bạch các loại dữ liệu cá nhân được thu thập ngay từ thời điểm người dùng cài đặt và sử dụng dịch vụ.

• Chỉ được thu thập dữ liệu đúng mục đích, đúng phạm vi và theo thỏa thuận với người dùng.

• Không được yêu cầu cung cấp hình ảnh, video chứa toàn bộ hoặc một phần giấy tờ tùy thân (như căn cước công dân, hộ chiếu) làm yếu tố xác thực tài khoản.

Quy định này thể hiện quan điểm nhất quán của Nhà nước: giấy tờ định danh là dữ liệu cá nhân nhạy cảm, tiềm ẩn rủi ro rất lớn nếu bị lạm dụng, rò rỉ hoặc sử dụng sai mục đích. Việc yêu cầu người dùng cung cấp ảnh căn cước chỉ để xác thực tài khoản mạng xã hội bị coi là không tương xứng và không cần thiết trong đa số trường hợp.

Không “nghe lén”, không đọc tin nhắn, không ghi âm khi chưa có sự đồng ý

Luật cũng đặt ra ranh giới pháp lý rõ ràng đối với các hành vi xâm nhập sâu vào đời sống riêng tư của người dùng. Cụ thể, các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến:

• Không được nghe lén, nghe trộm hoặc ghi âm cuộc gọi.

• Không được đọc tin nhắn văn bản, nội dung trao đổi riêng tư của người dùng.

Trừ trường hợp có sự đồng ý rõ ràng của chủ thể dữ liệu hoặc pháp luật có quy định khác (ví dụ theo yêu cầu điều tra, tố tụng hợp pháp).

Quy định này nhằm chấm dứt những nghi ngại lâu nay của người dùng về việc nền tảng “âm thầm theo dõi” hành vi, nội dung trao đổi cá nhân để phục vụ mục đích thương mại hoặc phân tích dữ liệu.

Quyền từ chối cookies và quyền “không theo dõi”

Luật Bảo vệ dữ liệu cá nhân 2025 yêu cầu các nền tảng:

• Cung cấp lựa chọn cho phép người dùng từ chối việc thu thập và chia sẻ tệp dữ liệu (cookies).

• Cung cấp chế độ “không theo dõi”, hoặc chỉ được theo dõi hành vi sử dụng dịch vụ khi có sự đồng ý của người dùng.

Đây là bước tiến quan trọng, đưa pháp luật Việt Nam tiệm cận với các chuẩn mực quốc tế về quyền kiểm soát dữ liệu cá nhân, thay vì để người dùng bị động chấp nhận các cơ chế thu thập dữ liệu mặc định.

Nghĩa vụ minh bạch và trách nhiệm xử lý vi phạm

Luật cũng đặt ra hàng loạt nghĩa vụ bổ sung đối với mạng xã hội và dịch vụ truyền thông trực tuyến, bao gồm:

• Công khai chính sách bảo mật, giải thích rõ cách thức thu thập – sử dụng – chia sẻ dữ liệu cá nhân.

• Cung cấp cho người dùng quyền truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư.

• Thiết lập cơ chế tiếp nhận và xử lý khiếu nại, báo cáo vi phạm về bảo mật và quyền riêng tư.

• Có biện pháp bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới.

Điều này cho thấy Nhà nước không chỉ dừng ở việc cấm đoán, mà còn yêu cầu trách nhiệm giải trình và khắc phục hậu quả một cách thực chất.

Siết chặt bảo vệ dữ liệu cá nhân trong lĩnh vực tài chính – tín dụng

Không chỉ dừng lại ở mạng xã hội, Luật Bảo vệ dữ liệu cá nhân 2025 còn mở rộng phạm vi điều chỉnh sang lĩnh vực tài chính, ngân hàng và thông tin tín dụng – nơi dữ liệu cá nhân có mức độ nhạy cảm đặc biệt cao.

Theo đó:

• Không được sử dụng thông tin tín dụng để chấm điểm, xếp hạng, đánh giá mức độ tín nhiệm khi chưa có sự đồng ý của chủ thể dữ liệu.

• Chỉ được thu thập những dữ liệu thật sự cần thiết, từ các nguồn hợp pháp.

• Có nghĩa vụ thông báo kịp thời cho khách hàng khi xảy ra lộ, mất dữ liệu tài khoản, tài chính, tín dụng.

• Áp dụng các biện pháp kỹ thuật và tổ chức để ngăn chặn truy cập, sử dụng, chỉnh sửa, tiết lộ trái phép dữ liệu cá nhân.

Nhận định pháp lý

Có thể thấy, Luật Bảo vệ dữ liệu cá nhân 2025 không chỉ là một đạo luật mang tính kỹ thuật, mà là tuyên ngôn pháp lý khẳng định dữ liệu cá nhân là quyền của công dân, không phải là tài nguyên để doanh nghiệp tùy ý khai thác.

Từ ngày 01/01/2026, mô hình “thu thập càng nhiều càng tốt” hay “muốn dùng dịch vụ thì phải đánh đổi quyền riêng tư” sẽ không còn phù hợp với khuôn khổ pháp luật Việt Nam. Các nền tảng số buộc phải thay đổi cách tiếp cận, nếu không muốn đối mặt với rủi ro pháp lý, xử phạt và mất niềm tin của người dùng.

Nếu có bất kỳ thắc mắc hay cần tư vấn pháp luật vui lòng liên hệ chúng tôi qua các hình thức sau:

Hotline Luật sư tư vấn trực tiếp: 1900 2929 01

Nhập thông tin đăng ký tư vấn luật tại đây: https://luatsulh.com/dang-ky-tu-van.html

Liên hệ đặt lịch hẹn qua zalo số: 0903 796 830

Website: https://luatsulh.com/

Trụ sở: 12A Nguyễn Đình Chiểu, Phường Tân Định, Thành phố Hồ Chí Minh (Phường Đa Kao, Quận 1 cũ)

Chi nhánh Nha Trang: 144 Hoàng Hoa Thám, phường Nha Trang, tỉnh Khánh Hoà (Phường Lộc Thọ, Thành phố Nha Trang cũ)

Theo dõi Công ty Luật LH Legal tại:

Website: https://luatsulh.com/

Facebook: Luật sư LH Legal

Youtube: Luật sư LH Legal

Kênh Tiktok Luật sư Hoà: Luật sư Hoà (LH Legal)

Kênh Tiktok Công ty: Luật sư LH Legal

Kênh Tiktok Luật sư Hình sự: Luật sư Hình sự

Kênh Zalo OA

Hồ sơ năng lực LH Legal