Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân: Siết chặt quản lý, giảm gánh nặng cho doanh nghiệp nhỏ
Sáng 26/6, với 433/435 đại biểu tán thành (chiếm 90,59% tổng số đại biểu Quốc hội), Quốc hội đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân. Đây là văn bản pháp luật đầu tiên điều chỉnh toàn diện về việc thu thập, xử lý và bảo vệ dữ liệu cá nhân (DLCN) tại Việt Nam. Luật có hiệu lực từ ngày 1/1/2026.
Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân với tỷ lệ tán thành 90,59%
Luật quy định rõ các nội dung về phân cấp quản lý nhà nước, trách nhiệm của các bên kiểm soát, xử lý dữ liệu, bên thứ ba cũng như lực lượng bảo vệ DLCN. Theo đó, chỉ còn một loại dịch vụ được quy định là Dịch vụ xử lý dữ liệu cá nhân, thay vì năm loại như đề xuất ban đầu. Nhiều quy định hành chính và điều kiện kinh doanh không cần thiết đã được cắt bỏ để đơn giản hóa thủ tục, nâng cao tính khả thi, đồng thời phù hợp với định hướng cải cách lập pháp theo Nghị quyết 27-NQ/TW.
Luật nghiêm cấm 7 hành vi liên quan đến dữ liệu cá nhân:
1. Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
2. Cản trở hoạt động bảo vệ dữ liệu cá nhân.
3. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
4. Xử lý dữ liệu cá nhân trái quy định của pháp luật.
5. Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
6. Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
7. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Về quy định xử lý vi phạm pháp luật về bảo vệ DLCN (Điều 8) theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật. Cụ thể: đối với hành vi mua, bán DLCN, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm; đối với hành vi vi phạm quy định chuyển DLCN xuyên biên giới, mức phạt tiền tối đa 5% doanh thu năm liền trước; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 03 tỷ đồng; cá nhân vi phạm thì mức xử phạt bằng một phần hai đối với tổ chức.
Thượng tướng Lê Tấn Tới - Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại.
Trước đó, trình bày Báo cáo tóm tắt Giải trình, tiếp thu, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại, Thượng tướng Lê Tấn Tới cho biết, Luật quy định chặt chẽ cơ chế thực hiện các quyền của chủ thể dữ liệu, các hoạt động xử lý DLCN cụ thể như thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao DLCN và hoạt động khác tác động đến DLCN, các trường hợp xử lý DLCN không cần sự đồng ý của chủ thể dữ liệu; thống nhất thuật ngữ “chuyển dữ liệu cá nhân xuyên biên giới” cho phù hợp với quy định của Luật Dữ liệu và áp dụng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới và chỉ kiểm tra khi cần thiết, thay vì yêu cầu xin phép trước trong đa số trường hợp, tạo thuận lợi cho doanh nghiệp.
Về đánh giá tác động khi xử lý DLCN và khi chuyển DLCN xuyên biên giới, Luật cơ bản kế thừa các nội dung do Chính phủ trình, theo đó cơ quan, tổ chức chỉ cần lập hồ sơ này một lần cho suốt quá trình hoạt động và cập nhật khi có thay đổi và cơ quan chức năng sẽ thực hiện kiểm tra hồ sơ khi xét thấy cần thiết. Đối với cả hai loại đánh giá tác động này, nếu đã thực hiện theo quy định của Luật này thì không phải thực hiện việc đánh giá rủi ro tương tự theo quy định của Luật Dữ liệu.
Luật bổ sung bảo vệ DLCN đối với các đối tượng là người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi để bảo đảm đầy đủ, bao quát.
Luật quy định lực lượng bảo vệ DLCN gồm: Cơ quan chuyên trách bảo vệ DLCN thuộc Bộ Công an; bộ phận, nhân sự bảo vệ DLCN trong cơ quan, tổ chức; tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN; tổ chức, cá nhân được huy động tham gia bảo vệ DLCN.
Đáng chú ý, Luật áp dụng cơ chế hậu kiểm trong xử lý và chuyển giao dữ liệu, tạo thuận lợi cho doanh nghiệp. Hồ sơ đánh giá tác động chỉ cần lập một lần và cập nhật khi có thay đổi, không cần xin phép trước trong đa số trường hợp.
Đặc biệt, doanh nghiệp nhỏ và khởi nghiệp được lựa chọn thực hiện hoặc không thực hiện các yêu cầu về lập hồ sơ đánh giá tác động, chỉ định bộ phận, nhân sự bảo vệ dữ liệu trong 5 năm kể từ khi Luật có hiệu lực; các hộ kinh doanh và doanh nghiệp siêu nhỏ được miễn hoàn toàn.
Với 5 chương và 39 điều, Luật Bảo vệ dữ liệu cá nhân được kỳ vọng sẽ thiết lập hành lang pháp lý chặt chẽ, minh bạch và phù hợp với thông lệ quốc tế, bảo vệ quyền riêng tư cá nhân trong bối cảnh kinh tế số phát triển mạnh mẽ.
