Ngày 26/6/2025, Luật Bảo vệ dữ liệu cá nhân 2025 (Luật số 91/2025/QH15) được Quốc hội Việt Nam khóa XV, Kỳ họp thứ 9 thông qua và có hiệu lực thi hành từ ngày 01/01/2026.
Theo quy định tại Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025 về giải thích từ ngữ thì dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.
Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành.
Bảo vệ dữ liệu cá nhân là việc cơ quan, tổ chức, cá nhân sử dụng lực lượng, phương tiện, biện pháp để phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
Như vậy, dữ liệu cá nhân có thể được hiểu là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.
Còn bảo vệ dữ liệu cá nhân có thể được hiểu là việc cơ quan, tổ chức, cá nhân sử dụng lực lượng, phương tiện, biện pháp để phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
Ảnh minh họa. Nguồn: Internet.
Cũng tại Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025 thì những hành vi bị nghiêm cấm trong việc bảo vệ dữ liệu cá nhân sẽ bao gồm:
Thứ nhất, xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân;
Thứ hai, cản trở hoạt động bảo vệ dữ liệu cá nhân;
Thứ ba, lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật;
Thứ tư, xử lý dữ liệu cá nhân trái quy định của pháp luật;
Thứ năm, sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật;
Thứ sáu, mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác;
Thứ bảy, chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Luật Bảo vệ dữ liệu cá nhân 2025 sẽ chính thức có hiệu lực kể từ 01/01/2026.
Theo đó, Luật Bảo vệ dữ liệu cá nhân 2025 đã có sửa đổi, bổ sung thêm các hành vi bị nghiêm cấm so với quy định hiện hành tại Điều 8 Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Theo đó, Điều 8 Nghị định 13/2023/NĐ-CP quy định về 05 nhóm hành vi bị nghiêm cấm trong việc bảo vệ dữ liệu cá nhân, gồm:
- Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân;
- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;
- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác;
- Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền;
- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
