Những nội dung đáng chú ý của Luật Bảo vệ dữ liệu cá nhân

Bản tin pháp luật

Những nội dung đáng chú ý của Luật Bảo vệ dữ liệu cá nhân

LexNovum Lawyers

LexNovum Lawyers

14/07/2025

Ngày 26/6/2025, Luật Bảo vệ dữ liệu cá nhân chính thức được Quốc hội thông qua và sẽ có hiệu lực từ ngày 01/01/2026. Đây là bước tiến quan trọng trong việc hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân (“DLCN”) tại Việt Nam.

Theo Bộ Công an, hiện có tới 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ DLCN tại Việt Nam. Song, các văn bản này vẫn thiếu tính thống nhất, đặc biệt về khái niệm, nội hàm của DLCN cũng như cơ chế bảo vệ. Trong số đó, Nghị định 13/2023/NĐ-CP ngày 17/4/2024 của Chính phủ về bảo vệ DLCN (“Nghị định 13”) là văn bản đầu tiên đưa ra định nghĩa về DLCN và cơ chế bảo vệ tương ứng. Dù vậy, với tính chất là văn bản dưới luật, Nghị định 13 vẫn còn nhiều hạn chế trong việc triển khai đồng bộ và hiệu quả trên thực tế.[1]

Luật Bảo vệ DLCN ra đời nhằm khắc phục các bất cập trong quá trình thực thi Nghị định 13, đồng thời thiết lập cơ chế bảo vệ thống nhất, toàn diện và có hiệu lực pháp lý cao hơn.

Để tìm hiểu chi tiết các nội dung thay đổi mới của quy định pháp luật về bảo vệ DLCN so với pháp luật hiện hành, Quý Khách hàng có thể tham khảo Bảng so sánh Nghị định 13 và Luật Bảo vệ DLCN tại đây.

Trong bài viết này, LexNovum Lawyers (“LNV”) sẽ điểm qua một số điều chỉnh nổi bật trong Luật Bảo vệ DLCN so với Nghị định 13, cụ thể như sau:

1. Bổ sung định nghĩa DLCN cơ bản và hướng phân loại theo danh mục của Chính phủ

Nghị định 13 hiện có định nghĩa về DLCN nhạy cảm nhưng lại không quy định về định nghĩa DLCN cơ bản, thay vào đó Nghị định 13 chỉ liệt kê các dữ liệu được xem là DLCN cơ bản. Để khắc phục nội dung này, tại khoản 2 Điều 2 Luật Bảo vệ DLCN đã bổ sung định nghĩa DLCN cơ bản. Theo đó, DLCN cơ bản là DLCN phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.

Đồng thời, Luật Bảo vệ DLCN không liệt kê chi tiết các loại DLCN cơ bản và DLCN nhạy cảm như Nghị định 13. Thay vào đó, DLCN cơ bản và DLCN nhạy cảm sẽ thuộc danh mục do Chính phủ ban hành. Theo Ủy ban Thường vụ Quốc hội, việc xây dựng danh mục DLCN là cần thiết, bảo đảm tính linh hoạt, thuận lợi khi sửa đổi, bổ sung danh mục cụ thể.[2]

Như vậy, việc xác định DLCN cơ bản hay nhạy cảm sẽ phụ thuộc vào danh mục được Chính phủ ban hành trong thời gian tới. Các tổ chức, cá nhân có liên quan cần chủ động theo dõi để đảm bảo nắm bắt và tuân thủ đầy đủ các quy định mới.

2. Bổ sung chế tài xử lý vi phạm pháp luật về bảo vệ DLCN

Một điểm mới quan trọng của Luật Bảo vệ DLCN là việc bổ sung quy định xử lý vi phạm pháp luật trong lĩnh vực bảo vệ DLCN. Điều này giúp khắc phục khoảng trống pháp lý hiện nay – chưa có quy định chế tài để bảo vệ DLCN. Theo đó, tại Điều 8 Luật Bảo vệ DLCN quy định:

  • Tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm, tổ chức, cá nhân có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
  • Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán DLCN10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền tối đa là 03 tỷ đồng.
  • Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền tối đa là 03 tỷ đồng.
  • Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.

Quý Khách hàng vui lòng lưu ý, mức phạt tiền tối đa nêu trên được áp dụng đối với tổ chức. Trường hợp cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng 1/2 (một phần hai) mức phạt tiền đối với tổ .

Trong thời gian tới, Chính phủ sẽ có quy định cụ thể về phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ DLCN.

3. Điều chỉnh nội dung về sự đồng ý của chủ thể DLCN

Một điểm thay đổi đáng chú ý trong Luật Bảo vệ DLCN so với Nghị định 13 là việc điều chỉnh điều kiện để sự đồng ý của chủ thể dữ liệu có hiệu lực.

Cụ thể, theo quy định tại khoản 2 Điều 11 Nghị định 13, sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:

a) Loại dữ liệu cá nhân được xử lý;

b) Mục đích xử lý dữ liệu cá nhân;

c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân;

d) Các quyền, nghĩa vụ của chủ thể dữ liệu”.

Theo quy định này, tại thời điểm thu thập sự đồng ý của chủ thể dữ liệu, doanh nghiệp cần phải cung cấp thông tin cho chủ thể dữ liệu về tổ chức, cá nhân được xử lý DLCN, bao gồm: bên kiểm soát DLCN, bên biểm soát và xử lý DLCN, bên xử lý DLCN, bên thứ ba.

Song, tại khoản 2 Điều 9 Luật Bảo vệ DLCN đã điều chỉnh quy định trên theo hướng “thu hẹp” phạm vi thông tin cần cung cấp cho chủ thể dữ liệu. Theo đó:

Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin sau đây:

a) Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân;

b) Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân;

c) Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân”.

Như vậy, Luật Bảo vệ DLCN đã tinh gọn yêu cầu về nội dung cần cung cấp khi thu thập sự đồng ý, chỉ tập trung vào những chủ thể quyết định mục đích và phương tiện xử lý DLCN – tức bên kiểm soát DLCN hoặc bên kiểm soát và xử lý DLCN.

4. Bổ sung quy định về bảo vệ DLCN của người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi

Một điểm mới của Luật Bảo vệ DLCN so với Nghị định 13 là bổ sung thêm nội dung về bảo vệ DLCN cho đối tượng là người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi. Theo Điều 24 Luật Bảo vệ DLCN, đối với người bị mất hoặc hạn chế năng lực hành vi dân sự hoặc người có khó khăn trong nhận thức, làm chủ hành vi thì người đại diện theo pháp luật thay mặt thực hiện các quyền của chủ thể DLCN, trừ các trường hợp quy định tại khoản 1 Điều 19 của Luật Bảo vệ DLCN. 

Theo đó, doanh nghiệp cần lưu ý việc thu thập sự đồng ý hoặc thực hiện các quyền liên quan đến DLCN của các chủ thể này phải được tiến hành thông qua người đại diện hợp pháp, đúng trình tự pháp luật.

5. Quy định rõ ràng về lực lượng bảo vệ DLCN

Kế thừa nội dung từ Nghị định 13, Luật Bảo vệ DLCN đã quy định rõ ràng hơn về lực lượng bảo vệ DLCN. Cụ thể, tại Điều 33 Luật Bảo vệ DLCN đã bổ sung “Tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân” là một trong những lực lượng bảo vệ DLCN.

Theo đó, cơ quan, tổ chức có thể lựa chọn:

  • Chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ DLCN; hoặc
  • Thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN.

Về điều kiện, nhiệm vụ của bộ phận, nhân sự bảo vệ DLCN trong cơ quan, tổ chức; tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN; dịch vụ xử lý DLCN sẽ do Chính phủ quy định chi tiết.

Như vậy, Luật Bảo vệ DLCN đã xây dựng quy định lực lượng bảo vệ DLCN theo hướng chỉ quy định chung và giao Chính phủ quy định chi tiết về điều kiện, nhiệm vụ của từng lực lượng để bảo đảm tính linh hoạt khi có sự điều chỉnh, sửa đổi.

Trên đây là bài viết về những nội dung đáng chú ý của Luật Bảo vệ DLCN – Phần 1. LNV sẽ tiếp tục theo dõi và cập nhật đến Quý Khách hàng khi pháp luật về bảo vệ DLCN có hướng dẫn chi tiết liên quan đến các nội dung nêu trên.

Trường hợp cần được tư vấn chi tiết và chuyên sâu hơn, Quý Khách hàng vui lòng liên hệ trực tiếp với LNV.

Người thực hiện: Luật sư Phan Nhi, Cộng sự Hoàng Vy

Lưu ý:

Bài viết này được thực hiện dựa trên quy định của Luật Bảo vệ DLCN (được Quốc hội thông qua ngày 26/6/2025) và Nghị định 13/2023/NĐ-CP. Quý khách vui lòng lưu ý, Luật Bảo vệ DLCN chưa chính thức có hiệu lực.

Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý khách vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.

—————————————-

[1] Tờ trình số 170/TTr-CP ngày 06/4/2025 của Chính phủ về Dự án Luật Bảo vệ dữ liệu cá nhân, tr.3.

[2] Báo cáo số 1344/BC-UBTVQH15 ngày 25/6/2025 của Ủy ban Thường vụ Quốc hội về Giải trình, tiếp thu, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân, tr.9

 
LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage