Từ 01/01/2026, Luật Bảo vệ dữ liệu cá nhân 2025 chính thức có hiệu lực. Trong đó, tại Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025 đã quy định các hành vi bị nghiêm cấm như: Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; Cản trở hoạt động bảo vệ dữ liệu cá nhân; Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; Xử lý dữ liệu cá nhân trái quy định của pháp luật; Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác; Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Ảnh minh họa. Nguồn: Internet.
Cũng theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 quy định về xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân thì tổ chức, cá nhân có hành vi vi phạm đến bảo vệ dữ liệu cá nhân, tùy theo tính chất, mức độ, hậu quả có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
Theo đó, mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.
Trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều 8 này (thấp hơn 03 tỉ đồng) thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều 8 này là 03 tỉ đồng.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó.
Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều 9 này (thấp hơn 03 tỉ đồng) thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều 8 này là 03 tỉ đồng.
Mức phạt tiền tối đa được áp dụng đối với tổ chức. Cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
Ngoài ra, Luật cũng quy định rõ các nguyên tắc bảo vệ dữ liệu cá nhân trong một số trường hợp. Cụ thể, tại Điều 29 siết chặt hành động thu thập, xử lý dữ liệu với các nền tảng mạng xã hội (MXH), dịch vụ truyền thông trực tuyến.
Các nền tảng phải thông báo rõ nội dung dữ liệu thu thập khi cài đặt và sử dụng dịch vụ, không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi thỏa thuận. Nền tảng cũng không được yêu cầu cung cấp hình ảnh, video chứa một phần hoặc đầy đủ giấy tờ tùy thân làm yếu tố xác thực tài khoản.
Nền tảng cần cung cấp lựa chọn cho phép từ chối thu thập và chia sẻ tệp dữ liệu (cookie), có lựa chọn "không theo dõi" hoặc chỉ theo dõi hoạt động sử dụng khi có sự đồng ý của người dùng.
Hành vi nghe lén, nghe trộm hoặc ghi âm cuộc gọi, đọc tin nhắn văn bản khi không có sự đồng ý của người dùng cũng bị nghiêm cấm, trừ trường hợp pháp luật có quy định khác.
Người dùng cũng có quyền chủ động kiểm soát dữ liệu khi "sự đồng ý" được định nghĩa rõ trong luật. Theo đó, sự đồng ý chỉ có hiệu lực khi người dùng tự nguyện và biết rõ các thông tin gồm: loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu; bên kiểm soát dữ liệu hoặc bên kiểm soát và xử lý dữ liệu; các quyền và nghĩa vụ của chủ thể dữ liệu cá nhân.
Sự đồng ý có hiệu lực đến khi người dùng thay đổi quyết định, và "im lặng hoặc không phản hồi" không được coi là đồng ý. Cá nhân cũng có quyền yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân, gửi yêu cầu phản đối xử lý dữ liệu cá nhân.
Luật cũng đưa ra các quy định cụ thể nhằm chấn chỉnh hoạt động quảng cáo. Các tổ chức kinh doanh dịch vụ quảng cáo chỉ được xử lý dữ liệu khi có sự đồng ý của khách hàng.
Việc sử dụng dữ liệu để quảng cáo phải phù hợp quy định của pháp luật về phòng, chống tin nhắn rác, email rác, cuộc gọi rác. Hành vi mua bán dữ liệu cá nhân cũng bị nghiêm cấm, trừ trường hợp luật có quy định khác.
