Một trong những điểm mới của Luật Bảo vệ dữ liệu cá nhân là mức chế tài áp dụng ở mức cao. Theo đó, mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.
Tiền phạt tối đa trong xử phạt phạm vi hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỷ đồng.
Thượng tá Nguyễn Đình Đỗ Thi, Phó trưởng phòng Tham mưu, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an cho biết: Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực vào 1/1/2026 nhằm thống nhất nội hàm, định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.
Thượng tá Nguyễn Đình Đỗ Thi giới thiệu những điểm mới của Luật Bảo vệ dữ liệu cá nhân.
Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân đối với tổ chức, cá nhân có hành vi vi phạm quy định của luật này, mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.
Thượng tá Nguyễn Đình Đỗ Thi nhận định đây là những điểm mới vào trong luật, là chế tài để các chủ thể có trách nhiệm hơn để bảo đảm dữ liệu cá nhân cho người dùng.
Một điểm đáng chú ý của Luật này, kể từ ngày 1/1/2026, các nền tảng mạng xã hội tại Việt Nam sẽ bị cấm nghe lén, nghe trộm hoặc ghi âm cuộc gọi, đọc tin nhắn văn bản, theo dõi hoạt động… nếu người dùng chưa cho phép.
Cụ thể, Điều 29 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến tại Việt Nam bị nghiêm cấm hành vi nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của người dùng, trừ trường hợp pháp luật có quy định khác.
Các nền tảng mạng xã hội cũng cần phải thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi người dùng cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng.
Người dùng mạng xã hội phải được cung cấp lựa chọn để từ chối và chia sẻ tệp dữ liệu (gọi là cookies); cung cấp lựa chọn cho phép hoặc từ chối mạng xã hội theo dõi hoạt động của người dùng trên các nền tảng dịch vụ.
Luật Bảo vệ dữ liệu cũng yêu cầu các nền tảng mạng xã hội buộc phải công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân.
Mạng xã hội phải cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.
Đáng chú ý, Luật Bảo vệ dữ liệu cấm các nền tảng mạng xã hội yêu cầu người dùng cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản, là điều mà nhiều nền tảng mạng xã hội tại Việt Nam đang thực hiện.
Theo Điều 14 Luật Bảo vệ dữ liệu cá nhân năm 2025, chủ thể dữ liệu cá nhân (người dùng) có quyền yêu cầu bên kiểm soát và xử lý dữ liệu cá nhân (mạng xã hội) xóa, hủy dữ liệu cá nhân của mình.
Việc xóa, hủy dữ liệu cá nhân phải được thực hiện bằng các biện pháp an toàn; ngăn chặn hoạt động xâm nhập và khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy; ngăn chặn sao chép, chiếm đoạt, làm lộ, làm mất dữ liệu cá nhân trong quá trình khử nhận dạng. Cơ quan, tổ chức, cá nhân không được cố ý khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy.
Trong trường hợp không thể xóa, hủy dữ liệu cá nhân vì lý do chính đáng sau khi nhận được yêu cầu của chủ thể dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải thông báo để chủ thể dữ liệu cá nhân biết.
Người dùng sau khi yêu cầu xóa toàn bộ dữ liệu cá nhân thì phải chấp nhận các rủi ro, thiệt hại có thể xảy ra đối với mình. Chẳng hạn người dùng sau khi xóa tài khoản mạng xã hội có thể yêu cầu xóa toàn bộ dữ liệu cá nhân của mình, đồng nghĩa với việc tài khoản sẽ không bao giờ được phục hồi như ban đầu.
Theo Luật Bảo vệ dữ liệu cá nhân năm 2025, dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Trong đó Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành.