Từ hôm nay, sử dụng dữ liệu sai trái có thể bị phạt đến 3 tỷ

Các mạng xã hội không còn thoải mái thu thập dữ liệu người dùng như trước.

Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực từ hôm nay (1/1/2026). Điều này đồng nghĩa dữ liệu của người dùng được bảo vệ toàn diện trước pháp luật. Những đối tượng liên quan như chủ thể dữ liệu, bên kiểm soát, xử lý dữ liệu cá nhân hay bên thứ ba đều được quy định rõ ràng về quyền lợi, trách nhiệm, nghĩa vụ.

So với các luật khác, Luật Bảo vệ dữ liệu cá nhân không chỉ áp dụng cho cơ quan, tổ chức, cá nhân tại Việt Nam mà còn với cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia, hoặc có liên quan đến hoạt động xử lý dữ liệu của công dân Việt Nam, người gốc Việt chưa xác định quốc tịch đang sinh sống tại Việt Nam và được cấp giấy chứng nhận căn cước.

Luật quy định rõ các nguyên tắc bảo vệ dữ liệu cá nhân trong một số trường hợp. Ví dụ, Điều 29 siết chặt hành động thu thập, xử lý dữ liệu với các nền tảng mạng xã hội (MXH), dịch vụ truyền thông trực tuyến.

Các nền tảng phải thông báo rõ nội dung dữ liệu thu thập khi cài đặt và sử dụng dịch vụ, không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi thỏa thuận. Nền tảng cũng không được yêu cầu cung cấp hình ảnh, video chứa một phần hoặc đầy đủ giấy tờ tùy thân làm yếu tố xác thực tài khoản.

Nền tảng cần cung cấp lựa chọn cho phép từ chối thu thập và chia sẻ tệp dữ liệu (cookie), có lựa chọn "không theo dõi" hoặc chỉ theo dõi hoạt động sử dụng khi có sự đồng ý của người dùng.

Hành vi nghe lén, nghe trộm hoặc ghi âm cuộc gọi, đọc tin nhắn văn bản khi không có sự đồng ý của người dùng cũng bị nghiêm cấm, trừ trường hợp pháp luật có quy định khác.

Người dùng cũng có quyền chủ động kiểm soát dữ liệu khi "sự đồng ý" được định nghĩa rõ trong luật. Theo đó, sự đồng ý chỉ có hiệu lực khi người dùng tự nguyện và biết rõ các thông tin gồm: loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu; bên kiểm soát dữ liệu hoặc bên kiểm soát và xử lý dữ liệu; các quyền và nghĩa vụ của chủ thể dữ liệu cá nhân.

Sự đồng ý có hiệu lực đến khi người dùng thay đổi quyết định, và "im lặng hoặc không phản hồi" không được coi là đồng ý. Cá nhân cũng có quyền yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân, gửi yêu cầu phản đối xử lý dữ liệu cá nhân.

Luật cũng đưa ra các quy định cụ thể nhằm chấn chỉnh hoạt động quảng cáo. Các tổ chức kinh doanh dịch vụ quảng cáo chỉ được xử lý dữ liệu khi có sự đồng ý của khách hàng.

Việc sử dụng dữ liệu để quảng cáo phải phù hợp quy định của pháp luật về phòng, chống tin nhắn rác, email rác, cuộc gọi rác. Hành vi mua bán dữ liệu cá nhân cũng bị nghiêm cấm, trừ trường hợp luật có quy định khác.

Luật cũng đưa ra chế tài xử phạt. Với mua, bán dữ liệu cá nhân, mức phạt hành chính tối đa là 10 lần khoản thu có được từ hành vi vi phạm. Các vi phạm về chuyển dữ liệu cá nhân xuyên biên giới, tổ chức có thể bị phạt 5% doanh thu năm trước liền kề. Một số trường hợp không xác định doanh thu hoặc số tiền trục lợi cụ thể, mức phạt là 3 tỷ đồng.

Phúc Thịnh