1. Tổng quan về Luật bảo vệ dữ liệu cá nhân 2026
Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 là văn bản luật đầu tiên của Việt Nam quy định toàn diện về bảo vệ dữ liệu cá nhân. Luật được Quốc hội thông qua ngày 26 tháng 6 năm 2025 và chính thức có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026.
Luật đặt mục tiêu bảo đảm quyền bảo vệ dữ liệu cá nhân và an ninh mạng của mọi cơ quan, tổ chức và cá nhân. Văn bản này điều chỉnh hoạt động thu thập, sử dụng, lưu trữ, chia sẻ, chuyển giao và hủy dữ liệu cá nhân, áp dụng cho cả khu vực công và tư, trong và ngoài lãnh thổ Việt Nam khi liên quan đến công dân Việt Nam.
Gọi ngay
Sự ra đời của Luật Bảo vệ dữ liệu cá nhân 2025 giúp Việt Nam tiệm cận chuẩn mực quốc tế về bảo vệ quyền riêng tư kỹ thuật số, đồng thời tạo khung pháp lý rõ ràng cho kinh tế số và hợp tác xuyên biên giới trong lĩnh vực dữ liệu.
2. Luật bảo vệ dữ liệu cá nhân 2026 thay đổi gì so với Luật cũ?
Để phù hợp hơn với tình hình hiện nay cũng như giải quyết các bất cập tồn tại từ những quy định pháp luật tại Nghị định 13/2023/NĐ-CP (đã hết hiệu lực) quy định về bảo vệ dữ liệu cá nhân, Luật Bảo vệ dữ liệu cá nhân 2025 có nhiều thay đổi đáng chú ý sau:
2.1. Quy định rõ hơn về khái niệm dữ liệu cá nhân
So với khái niệm được giải thích tại khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP, Luật Bảo vệ dữ liệu cá nhân năm 2025 đã đưa ra giải thích cụ thể hơn về thuật ngữ “dữ liệu cá nhân”:
- Mở rộng khái niệm của dữ liệu cá nhân khi quy định “Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể” (khác so với quy định “là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể” tại Nghị định cũ).
- Đưa ra khẳng định dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.
Việc không liệt kê các dạng thông tin của dữ liệu cá nhân mà chỉ gói gọn lại là dữ liệu số sẽ phù hợp hơn với thực trạng môi trường công nghệ số thay đổi nhanh chóng, phức tạp với nhiều dạng thông tin mới.
>>>> Xem thêm: Lưu ý khi sửa đổi thông tin trên Giấy chứng nhận đăng ký nhãn hiệu
2.2. Khái quát hóa quy định về quyền và nghĩa vụ của chủ thể dữ liệu
So với Nghị định 13/2023/NĐ-CP quy định 11 quyền và 5 nghĩa vụ, Luật mới chỉ khái quát lại trong 6 quyền và 4 nghĩa vụ. Các quyền cơ bản bao gồm: quyền được biết, quyền đồng ý hoặc không đồng ý, quyền rút lại sự đồng ý, quyền truy cập, chỉnh sửa, xóa dữ liệu, quyền khiếu nại, bồi thường…
Trong đó, pháp luật đã tóm gọn các quyền của chủ thể dữ liệu và bỏ bớt nghĩa vụ mang tính áp đặt (nghĩa vụ tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân) để tăng sự phù hợp với thông lệ quốc tế.
Ví dụ: Khoản 2 (quyền đồng ý) và 4 (quyền rút lại sự đồng ý) Điều 9 Nghị định 13/2023/NĐ-CP giờ được quy định tại điểm b khoản 1 Điều 4 Luật Bảo vệ dữ liệu cá nhân năm 2025 (quyền đồng hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân).
2.3. Thêm hành vi bị nghiêm cấm
Ngoài 06 hành vi bị nghiêm cấm được quy định tại Nghị định 13/2023/NĐ-CP, Luật Bảo vệ dữ liệu cá nhân năm 2025 đã liệt kê thêm hành vi thứ bảy về chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
2.4. Quy định cụ thể về xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân năm 2025 đã quy định mức xử phạt nghiêm khắc đối với các hành vi vi phạm trong lĩnh vực này tại Điều 8 như sau:
- Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.
- Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó.
- Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.
Việc quy định rõ mức phạt tại luật nhằm hướng đến hạn chế tình trạng vi phạm pháp luật về bảo vệ dữ liệu nghiêm trọng ở Việt Nam.
>>>> Xem thêm: Hợp đồng dịch vụ: Bảo vệ quyền lợi và tránh rủi ro cho các bên
2.5. Quy định về bảo vệ dữ liệu cá nhân trong một số trường hợp cụ thể
Để khắc phục hạn chế của luật cũ cũng như giải quyết một phần những vấn đề pháp lý bỏ ngỏ lâu nay trong lĩnh vực bảo vệ dữ liệu cá nhân, Luật Bảo vệ dữ liệu cá nhân năm 2025 đã đưa ra hướng dẫn bảo vệ trong một số trường hợp như:
- Bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng người lao động (Điều 25).
- Bảo vệ dữ liệu cá nhân đối với thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm (Điều 26).
- Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng (Điều 27).
- Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây (Điều 30).
Đồng thời, Luật mới cũng quy định chi tiết hơn về cách bảo vệ dữ liệu trong một số trường hợp đã tồn tại từ Nghị định cũ (như bảo vệ dữ liệu cá nhân của trẻ em….).
3. Một số câu hỏi thường gặp
Để quý bạn đọc hiểu rõ hơn về các vấn đề liên quan tới Luật bảo vệ dữ liệu cá nhân năm 2025, Luật Ánh Ngọc đã tổng hợp và đưa ra giải đáp cho một số câu hỏi thường gặp dưới đây.
3.1. Thời điểm có hiệu lực của Luật bảo vệ dữ liệu cá nhân 2026
Theo khoản 1 Điều 38 Luật Bảo vệ dữ liệu cá nhân thì thời điểm có hiệu lực của luật này là từ ngày 01 tháng 01 năm 2026.
3.2. Thu thập email có cần được sự đồng ý của khách hàng không?
Có. Trường hợp email là dữ liệu số xác định hoặc giúp xác định một con người cụ thể thì có thể được xem là dữ liệu cá nhân. Và Điều 9 Luật Bảo vệ dữ liệu cá nhân đã quy định rõ về quyền đồng ý của chủ thể dữ liệu. Do vậy, khi doanh nghiệp thực hiện thu thập email thì cần được khách hàng đồng ý.
Qua những phân tích trên đây, Luật Ánh Ngọc đã giúp bạn đọc trả lời cho câu hỏi Luật bảo vệ dữ liệu cá nhân 2026 thay đổi gì so với Luật cũ. Việc xác định được những thay đổi mới nhất của quy định pháp luật sẽ giúp bạn đọc chủ động hơn trong việc bảo vệ quyền lợi của mình. Trường hợp có thắc mắc liên quan tới vấn đề này, quý khách hàng có thể liên hệ với Luật Ánh Ngọc để được giải đáp.