Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) đã được Quốc hội thông qua tại Kỳ họp thứ 9, ngày 26/6/2025. với nhiều quy định nổi bật nhằm bảo vệ quyền riêng tư. Đây được coi là "cột mốc" bảo vệ dữ liệu cá nhân mở ra kỷ nguyên số an toàn tại Việt Nam.
 |
| Ảnh minh họa. |
Thực trạng đáng báo động về rò rỉ dữ liệu cá nhân
Hiện nay, tình trạng dữ liệu cá nhân của người dân bị thu thập và rò rỉ tràn lan đang ở mức báo động nghiêm trọng. Nhiều người không hề hay biết thông tin của mình bị sử dụng vào các mục đích không mong muốn như nhận cuộc gọi, tin nhắn chào mời dịch vụ, hay thậm chí bị lợi dụng để mạo danh, lừa đảo, gây ra thiệt hại cả về tinh thần và tài sản.
Theo số liệu từ Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), chỉ trong 6 tháng đầu năm 2025 đã phát hiện 56 vụ mua bán dữ liệu cá nhân, với hơn 110 triệu bản ghi bị rao bán.
Luật sư Nguyễn Trung Thành, Giám đốc Công ty Luật TNHH Đông Tây, nhận định: “Tình trạng rò rỉ dữ liệu cá nhân hiện nay diễn ra phổ biến và đáng báo động, từ số điện thoại, địa chỉ, tài khoản ngân hàng đến dữ liệu từ ứng dụng di động, cơ sở y tế, trường học, thậm chí cả cơ quan nhà nước”.
Ông Thành cho rằng, đây là hệ quả của việc thiếu hành lang pháp lý đồng bộ, cùng với chế tài hiện hành còn lỏng lẻo, chưa đủ sức răn đe. Thực tế, hệ thống pháp luật Việt Nam vẫn chưa có một đạo luật riêng điều chỉnh toàn diện về dữ liệu cá nhân. Các quy định hiện tại còn rải rác trong nhiều văn bản.
Luật sư Nguyễn Trung Thành cũng nhấn mạnh: “Mặc dù Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã có hiệu lực từ ngày 1/7/2023 và được xem là bước đầu tạo dựng hành lang pháp lý quan trọng, nhưng văn bản này vẫn ở cấp dưới luật, nên hiệu lực và tính ràng buộc chưa đủ mạnh”.
Báo cáo từ Viettel Cyber Security cũng cảnh báo Việt Nam ghi nhận 14,5 triệu tài khoản bị rò rỉ trong năm 2024, chiếm 12% số vụ toàn cầu, kèm theo nhiều thông tin cá nhân và tài liệu doanh nghiệp bị phát tán công khai trên các nền tảng mạng.
Việc dữ liệu cá nhân bị rò rỉ không chỉ ảnh hưởng đến quyền riêng tư mà còn gây ra những hậu quả nghiêm trọng: nhiều người trở thành nạn nhân của lừa đảo, mạo danh, đòi nợ thuê, xâm phạm danh dự, nhân phẩm, thậm chí bị chiếm đoạt tài sản hoặc lợi dụng vào các hành vi vi phạm pháp luật.
Không chỉ vậy, việc dữ liệu bị khai thác sai mục đích còn tạo rủi ro lớn về an ninh mạng, trật tự an toàn xã hội và đe dọa các quyền cơ bản của công dân trong kỷ nguyên số.
 |
| Hình minh họa. Ảnh: Reuters |
Hành lang pháp lý mới và giải pháp tự bảo vệ
Luật Bảo vệ dữ liệu cá nhân ra đời là một cột mốc pháp lý quan trọng, mang đến một hành lang pháp lý mới, toàn diện nhằm tăng cường bảo vệ quyền riêng tư của người dân. Đạo luật này sẽ chính thức có hiệu lực thi hành từ ngày 01/01/2026.
Một trong những điểm nổi bật là nghiêm cấm các tổ chức, cá nhân cung cấp dịch vụ mạng xã hội thu thập trái phép dữ liệu người dùng. Cụ thể, Điều 29 của Luật quy định rõ, việc thu thập dữ liệu cá nhân phải dựa trên cơ sở minh bạch và có thông báo rõ ràng ngay từ thời điểm người dùng cài đặt và sử dụng dịch vụ.
Đối với hành vi "nghe lén, đọc tin nhắn" hay các hình thức xâm phạm thông tin liên lạc, Luật Bảo vệ dữ liệu cá nhân đã củng cố mạnh mẽ hơn quy định tại Điều 21 Hiến pháp 2013 về quyền được bảo đảm an toàn, an ninh thông tin cá nhân, quyền riêng tư về thư tín, điện thoại, điện tín và các hình thức thông tin điện tử khác.
Cụ thể, Điều 7 (Các hành vi bị nghiêm cấm) của Luật Bảo vệ dữ liệu cá nhân bao gồm các hành vi xử lý dữ liệu cá nhân trái quy định của pháp luật, chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân, cũng như mua bán dữ liệu cá nhân trái phép. Như vậy, bất kỳ hành vi nào cố ý truy nhập, thu thập, sử dụng các nội dung tin nhắn, cuộc gọi mà không có sự đồng ý của chủ thể dữ liệu đều được xem là vi phạm.
Luật cũng nghiêm cấm các nền tảng yêu cầu người dùng cung cấp hình ảnh hoặc video chứa đầy đủ hoặc một phần giấy tờ tùy thân để xác thực tài khoản. Ngoài ra, các nền tảng mạng xã hội phải cung cấp tùy chọn “không theo dõi”, và người dùng có quyền từ chối chia sẻ dữ liệu như cookie.
Bên cạnh đó, Luật cũng đặt ra nghĩa vụ cụ thể cho các nhà cung cấp dịch vụ trong việc công khai chính sách bảo mật, xây dựng cơ chế chỉnh sửa và xóa dữ liệu cá nhân, cũng như đảm bảo an toàn thông tin khi dữ liệu được chuyển ra nước ngoài.
Theo khuyến cáo của các chuyên gia, người dân tự bảo vệ thông tin cá nhân của mình theo Luật mới bằng các bước cần thiết như: Đọc kỹ chính sách quyền riêng tư khi đăng ký, sử dụng các dịch vụ trực tuyến; Chủ động thiết lập các tùy chọn bảo mật trên các ứng dụng, nền tảng; Sử dụng tùy chọn "không theo dõi" và từ chối các loại cookie không cần thiết; Thận trọng khi cung cấp thông tin cá nhân, đặc biệt là các giấy tờ tùy thân, hình ảnh cá nhân cho các nền tảng không rõ ràng; Nắm rõ quyền được yêu cầu chỉnh sửa, xóa dữ liệu cá nhân của mình khi cần thiết; Báo cáo ngay cho cơ quan chức năng (như Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) nếu phát hiện dữ liệu cá nhân bị rò rỉ, bị lạm dụng hoặc bị xâm phạm quyền riêng tư.
Luật sư Nguyễn Trung Thành nhìn nhận, việc Quốc hội thông qua Luật Bảo vệ Dữ liệu Cá nhân là “một cột mốc pháp lý quan trọng”, thể hiện “bước chuyển mình mạnh mẽ” trong việc bảo vệ quyền riêng tư và quyền con người trong bối cảnh chuyển đổi số quốc gia.
Ông Thành khẳng định:
“Luật mới không chỉ giúp nâng tầm pháp lý từ cấp nghị định lên thành một đạo luật độc lập, tạo cơ sở thống nhất, minh bạch cho toàn bộ hệ thống pháp luật về dữ liệu cá nhân, mà còn đặt ra các ràng buộc cụ thể đối với hành vi thu thập, phân tích và sử dụng thông tin cá nhân. Đây là bước tiến cần thiết để Việt Nam đáp ứng các tiêu chuẩn quốc tế, đồng thời củng cố lòng tin của người dân vào môi trường số an toàn, nhân văn”.
