Từ 1/1/2026, dữ liệu cá nhân của người Việt được bảo vệ "xuyên biên giới"

Chiều 31/12, trước thời điểm Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực từ ngày 1/1/2026, Hiệp hội An ninh mạng quốc gia tổ chức Tọa đàm “Bảo vệ dữ liệu cá nhân - quyền và trách nhiệm”.

Tọa đàm do Hiệp hội An ninh mạng quốc gia chủ trì, dưới sự chỉ đạo của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an (A05), với sự tham dự của đại diện cơ quan quản lý, chuyên gia pháp lý công nghệ, viện nghiên cứu, doanh nghiệp...

Dữ liệu cá nhân - từ quyền riêng tư thành quyền độc lập

Theo thống kê của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, chỉ trong 6 tháng đầu năm 2025, lực lượng chức năng đã phát hiện và xử lý 56 vụ việc liên quan đến mua bán trái phép dữ liệu cá nhân, với quy mô hơn 110 triệu bản ghi dữ liệu bị thu thập và giao dịch trái phép.

Tình trạng này xuất phát từ nhu cầu thu thập dữ liệu cá nhân để phục vụ hoạt động sản xuất, kinh doanh là có thật. Lợi dụng điều đó, nhiều tổ chức, cá nhân đã tiến hành thu thập trái phép dữ liệu để sử dụng cho mục đích riêng.

Luật Bảo vệ dữ liệu cá nhân được Quốc hội thông qua ngày 26/6 và có hiệu lực thi hành từ ngày 1/1/2026 đã xác lập rõ các quyền dữ liệu cơ bản của công dân, bao gồm quyền được biết, quyền đồng ý, quyền truy cập, chỉnh sửa và yêu cầu xóa dữ liệu; đồng thời quy định trách nhiệm pháp lý của cơ quan nhà nước, tổ chức và doanh nghiệp trong toàn bộ vòng đời thu thập, xử lý, lưu trữ và chia sẻ dữ liệu.

Đại tá Nguyễn Hồng Quân, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) - Bộ Công an nhấn mạnh: "Quyền được bảo vệ dữ liệu cá nhân - trước đây được hiểu là một phần của quyền riêng tư - nay đã trở thành một quyền độc lập, được pháp luật ghi nhận và bảo hộ".

"Hiện có khoảng 80% dân số thế giới đang sống trong các khu vực có quy định về bảo vệ dữ liệu cá nhân; Việt Nam cũng không nằm ngoài xu thế này", Đại tá Nguyễn Hồng Quân nói.

Theo Đại tá Quân, việc ban hành Nghị định 13 và tiếp đó là Luật Bảo vệ dữ liệu cá nhân - có hiệu lực từ ngày mai, 1/1/2026 - là bước đi thể hiện cam kết mạnh mẽ của Nhà nước trong xây dựng một môi trường số an toàn, bảo đảm quyền con người trên không gian mạng.

Phương án xử lý doanh nghiệp cung cấp dịch vụ xuyên biên giới khi vi phạm dữ liệu cá nhân

Còn theo Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng Tham mưu, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an, Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực vào 1/1/2026 là cơ sở pháp lý rất quan trọng về bảo vệ cá nhân.

Luật nhằm thống nhất nội hàm, định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân trong văn bản Luật làm “luật gốc”, mang tính nguyên tắc, góp phần tiếp tục thể chế hóa quy định của Hiến pháp và pháp luật về quyền bảo vệ bí mật cá nhân, quyền con người, quyền công dân, an ninh mạng bảo đảm sự đồng bộ, thống nhất trong hệ thống pháp luật.

Luật có hiệu lực nhằm tạo điều kiện thuận lợi các lực lượng chức năng triển khai các biện pháp hiệu quả và huy động mọi thành phần, nguồn lực cần thiết nhằm bảo vệ dữ liệu cá nhân.

Thượng tá Nguyễn Đình Đỗ Thi cho biết, xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân đối với tổ chức, cá nhân có hành vi vi phạm quy định của Luật này, mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.

Ngoài ra, tiền phạt tối đa trong xử phạt phạm vi hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỷ đồng. Điểm mới trong Luật này là chế tài để các chủ thể có trách nhiệm hơn để bảo đảm dữ liệu cá nhân cho người dùng.

Luật cũng tạo nền tảng pháp lý cho hoạt động kinh doanh có liên quan tới dữ liệu nhằm phục vụ phát triển kinh tế xã hội. "Như vậy, chúng ta đang hướng tới vừa bảo vệ nhưng cũng vừa phục vụ phát triển, nhằm tạo một hành lang pháp lý thuận lợi và tháo gỡ những điểm nghẽn để các chủ thể liên quan có thể khai thác sử dụng dữ liệu một cách hợp pháp phục vụ phát triển kinh tế xã hội", Thượng tá Nguyễn Đỗ Đình Thi nói.

Theo Thượng tá Thi, đối tượng điều chỉnh của Luật cũng khác hơn và rộng hơn so với luật thông thường, đó là ngoài các cơ quan tổ chức, cá nhân ở Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; còn có đối tượng thứ ba là những cơ quan tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến việc sử dụng dữ liệu cá nhân của công dân Việt Nam.

"Đây là đối tượng khá mới, nghĩa là có thể có những cái doanh nghiệp mặc dù không hiện diện pháp nhân thương mại tại Việt Nam, tức là họ không trực tiếp vào Việt Nam kinh doanh nhưng họ có thể cung cấp dịch vụ qua biên giới và khai thác sử dụng dữ liệu của người dùng Việt Nam thì cũng phải chấp hành những cái quy định của Luật này", Thượng tá Nguyễn Đình Đỗ Thi giải thích.

Với đối tượng là doanh nghiệp cung cấp dịch vụ xuyên biên giới, Thượng tá Nguyễn Đình Đỗ Thi cho biết, cơ quan chức năng sẽ có kênh liên lạc với đại diện pháp lý để xử lý vi phạm, hoặc có thể qua đại diện thương mại của Việt Nam tại quốc gia có công ty đó, nhằm bảo đảm cho các quy định về bảo vệ dữ liệu cá nhân đi vào cuộc sống.

Người Việt được cho là "dễ tính" về quyền riêng tư

Ông Nguyễn Quang Đồng, Viện trưởng Viện Nghiên cứu Chính sách và Phát triển Truyền thông (IPS) đánh giá, người dùng Việt Nam có xu hướng cởi mở với công nghệ nhưng dễ dãi trong chia sẻ dữ liệu, làm gia tăng rủi ro xâm phạm quyền riêng tư.

Khi so sánh với các nước Đông Nam Á như Thái Lan, Indonesia, người Việt được cho là "dễ tính" về vấn đề riêng tư, mức độ cởi mở công nghệ cao, ít quan tâm hơn và dễ tính trong cung cấp dữ liệu cá nhân. Chẳng hạn, 96% người Việt sẵn sàng chia sẻ quyền truy cập dữ liệu với các tác nhân trí tuệ nhân tạo (AI), và chỉ 42% số người lo ngại về quyền riêng tư và bảo mật dữ liệu liên quan đến AI.

Ông Nguyễn Quang Đồng cho rằng, do thiếu hiểu biết nên chúng ta bật nhiều chế độ mặc định, người dùng cần tắt bớt các tính năng như theo dõi vị trí, không nên để mặc định mà chỉ nên sử dụng 1 lần.

"Tất nhiên có sự đánh đổi giữa sự tiện lợi và quyền riêng tư, nếu bật chế độ mọi lúc mọi nơi thì đương nhiên chúng ta sẽ bị các công ty công nghệ thu thập dữ liệu", ông Đồng khuyến cáo.

Viện trưởng Viện Nghiên cứu Chính sách và phát triển truyền thông cho biết, "mánh lới" của các nền tàng, công ty công nghệ là đặt chế độ thu thập mặc định. Chúng ta có quyền rút lại các điều khoản đã cam kết, có những nút bấm để kiểm soát điều đó. Nếu không có sự cho phép từ người dùng thì các chủ thể sử dụng dữ liệu đều vi phạm.

Đại diện Viện Nghiên cứu Chính sách và Phát triển Truyền thông đề xuất cần hoàn thiện các thiết chế như hành động tập thể, vai trò của hiệp hội và cơ chế bảo vệ lợi ích số đông để tạo sự cân bằng giữa người dùng và các bên nắm giữ dữ liệu.

Để triển khai Luật một cách hiệu quả, ông Ngô Tuấn Anh, Phó Trưởng ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân, Hiệp hội An ninh mạng quốc gia đề nghị:

Thứ nhất, nâng cao nhận thức và năng lực con người. Không có một hệ thống bảo vệ dữ liệu cá nhân nào vận hành hiệu quả nếu thiếu con người hiểu luật, hiểu rủi ro và hiểu trách nhiệm của mình. Đào tạo, tập huấn không chỉ dành cho cán bộ kỹ thuật, mà còn cho lãnh đạo, bộ phận pháp chế, nhân sự và các đơn vị trực tiếp xử lý dữ liệu.

Thứ hai, chuẩn hóa hoạt động triển khai trong doanh nghiệp. Mỗi tổ chức cần rà soát toàn bộ vòng đời dữ liệu cá nhân - từ thu thập, lưu trữ, sử dụng, chia sẻ cho đến hủy bỏ - để xây dựng chương trình bảo vệ dữ liệu cá nhân phù hợp với quy mô và lĩnh vực hoạt động của mình. Đây không phải là một dự án ngắn hạn, mà là một quá trình liên tục, có đánh giá, có cải tiến và có kiểm soát.

Thứ ba, phát triển hệ sinh thái công nghệ bảo vệ dữ liệu cá nhân. Thực tiễn cho thấy, bảo vệ dữ liệu cá nhân không thể dựa vào một giải pháp đơn lẻ, mà cần sự kết hợp của nhiều lớp công nghệ - từ giám sát, phòng ngừa, kiểm soát truy cập cho đến quản trị rủi ro và quản lý vòng đời dữ liệu. Việc hình thành hệ sinh thái giải pháp phù hợp với điều kiện Việt Nam là yếu tố then chốt để giảm chi phí tuân thủ cho doanh nghiệp.