Sáng ngày 26/6, Quốc hội đã biểu quyết thông qua Luật Bảo vệ dữ liệu cá nhân. Luật sẽ chính thức có hiệu lực từ ngày 1/1/2026, đánh dấu một bước tiến quan trọng trong việc hoàn thiện khung pháp lý bảo vệ quyền riêng tư của công dân trong môi trường số.

Cấm mua bán dữ liệu cá nhân, siết chặt quy định xử lý dữ liệu

Báo cáo giải trình, tiếp thu và chỉnh lý dự thảo luật do Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới trình bày đã ghi nhận nhiều ý kiến đóng góp liên quan đến các quyền của chủ thể dữ liệu, các hoạt động xử lý dữ liệu cá nhân, điều kiện chuyển dữ liệu ra nước ngoài, cũng như yêu cầu đánh giá tác động trong quá trình xử lý.

Theo đó, luật quy định rõ việc nghiêm cấm mua bán dữ liệu cá nhân, trừ trường hợp được pháp luật cho phép. Điều 17 của luật cũng đã được bổ sung để cụ thể hóa cơ chế chuyển giao dữ liệu cá nhân, cùng với hệ thống quy định chi tiết về các hoạt động xử lý như thu thập, phân tích, mã hóa, giải mã, chỉnh sửa, xóa, khử định danh, và công khai dữ liệu cá nhân.

Luật quy định rõ 7 hành vi bị nghiêm cấm gồm: Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; Cản trở hoạt động bảo vệ dữ liệu cá nhân; Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; Xử lý dữ liệu cá nhân trái quy định của pháp luật; Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác; Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Tổ chức, cá nhân có hành vi vi phạm quy định của Luật này và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

Luật cũng đưa ra định nghĩa thống nhất về “chuyển dữ liệu cá nhân xuyên biên giới” nhằm đồng bộ với các văn bản pháp lý liên quan, đồng thời thay thế cơ chế “xin phép trước” bằng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động, tạo điều kiện thuận lợi hơn cho doanh nghiệp trong quá trình tuân thủ.

Dự thảo luật quy định cơ quan, tổ chức chỉ cần lập hồ sơ đánh giá tác động một lần cho toàn bộ quá trình xử lý dữ liệu, với yêu cầu cập nhật khi có thay đổi đáng kể. Cơ quan chức năng chỉ thực hiện kiểm tra khi xét thấy cần thiết. Điều này nhằm giảm bớt gánh nặng hành chính trong khi vẫn đảm bảo được kiểm soát rủi ro một cách hiệu quả.

Đáng chú ý, nếu tổ chức đã thực hiện đầy đủ đánh giá tác động theo Luật Bảo vệ dữ liệu cá nhân thì không cần phải thực hiện các đánh giá tương tự theo quy định của các luật khác có liên quan đến dữ liệu.

Luật cũng bổ sung quy định bảo vệ dữ liệu cá nhân cho những nhóm người có nguy cơ cao bị xâm phạm quyền riêng tư, bao gồm người mất hoặc hạn chế năng lực hành vi dân sự, người gặp khó khăn trong nhận thức và làm chủ hành vi. Đây là một bước đi cần thiết nhằm đảm bảo tính toàn diện và công bằng trong việc bảo vệ dữ liệu cá nhân.

Về lực lượng bảo vệ dữ liệu, luật xác định rõ cơ quan chuyên trách thuộc Bộ Công an là đầu mối thực hiện chức năng quản lý nhà nước. Bên cạnh đó là các bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong từng cơ quan, tổ chức; các tổ chức cung cấp dịch vụ bảo vệ dữ liệu; và cá nhân, tổ chức được huy động tham gia công tác này.

Để giảm áp lực tuân thủ cho doanh nghiệp vừa và nhỏ, cũng như các đơn vị khởi nghiệp, luật cho phép họ lựa chọn thực hiện hoặc tạm hoãn việc lập hồ sơ đánh giá tác động và chỉ định nhân sự bảo vệ dữ liệu cá nhân trong thời hạn 5 năm kể từ ngày luật có hiệu lực. Riêng đối với hộ kinh doanh và doanh nghiệp siêu nhỏ, các quy định này sẽ được miễn áp dụng hoàn toàn.