Logo
Luật bảo vệ dữ liệu cá nhân 2025 (luật số 91/2025/QH15): Toàn văn điểm mới và lộ trình tuân thủ

Luật bảo vệ dữ liệu cá nhân 2025 (luật số 91/2025/QH15): Toàn văn điểm mới và lộ trình tuân thủ

13/01/2026

Luật Bảo vệ dữ liệu cá nhân 2025 là văn bản luật chuyên ngành đầu tiên tại Việt Nam về lĩnh vực này, thiết lập khung pháp lý hiện đại với các quyền mạnh mẽ cho chủ thể dữ liệu và chế tài xử phạt nghiêm khắc dựa trên doanh thu đối với doanh nghiệp vi phạm.

Xem và tải file infographic

Dưới đây là chi tiết các nội dung trọng yếu được quy định trong Luật:

I. Phạm vi điều chỉnh và đối tượng áp dụng

1. Luật này quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.

2. Luật này áp dụng đối với:

a) Cơ quan, tổ chức, cá nhân Việt Nam;

b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;

c) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.

II. Các nội dung trọng yếu được quy định trong Luật

1. Phân loại dữ liệu cá nhân (căn cứ Điều 2)

Luật phân định rõ hai nhóm dữ liệu với mức độ bảo vệ khác nhau:

  • Dữ liệu cá nhân cơ bản (Điều 2, Khoản 2): Là dữ liệu phản ánh các yếu tố nhân thân, lai lịch phổ biến và thường xuyên sử dụng trong giao dịch xã hội (Ví dụ: Họ tên, ngày sinh, số điện thoại, giới tính, địa chỉ…).
  • Dữ liệu cá nhân nhạy cảm (Điều 2, Khoản 3): Là dữ liệu gắn liền với quyền riêng tư, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của cơ quan, tổ chức và cá nhân (Ví dụ: Dữ liệu sinh trắc học, thông tin sức khỏe, tài chính, vị trí, …).

2. Quyền của chủ thể dữ liệu (căn cứ Điều 4, 13, 14, 15)

Luật trao quyền kiểm soát mạnh mẽ cho chủ thể dữ liệu thông qua 06 quyền cơ bản quy định tại Điều 4, Khoản 1:

  • Quyền được biết: Được thông báo rõ về hoạt động xử lý, loại dữ liệu, mục đích và thời hạn lưu trữ.
  • Quyền đồng ý hoặc từ chối: Cho phép hoặc không cho phép xử lý dữ liệu, có quyền rút lại sự đồng ý bất kỳ lúc nào.
  • Quyền xem và chỉnh sửa (Điều 13): Yêu cầu xem và chỉnh sửa thông tin của chính mình.
  • Quyền truy cập, xóa, hạn chế (Điều 14, 15): Yêu cầu bên kiểm soát cung cấp dữ liệu, xóa bỏ hoặc hạn chế xử lý; phản đối việc xử lý dữ liệu.
  • Quyền khiếu nại và bồi thường: Khởi kiện và yêu cầu bồi thường thiệt hại khi quyền lợi bị xâm phạm.
  • Quyền yêu cầu bảo vệ: Yêu cầu cơ quan thẩm quyền thực hiện biện pháp bảo vệ.

Lưu ý: Theo Điều 4, Khoản 5, bên kiểm soát dữ liệu có trách nhiệm thực hiện kịp thời các yêu cầu này của chủ thể dữ liệu.

3. Bảy hành vi bị nghiêm cấm (căn cứ Điều 7)

Các hành vi sau đây bị cấm tuyệt đối theo quy định của Luật:

  1. Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
  2. Cản trở hoạt động bảo vệ dữ liệu cá nhân.
  3. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
  4. Xử lý dữ liệu cá nhân trái quy định của pháp luật.
  5. Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
  6. Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
  7. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

4. Chế tài xử phạt nghiêm khắc (căn cứ Điều 8)

Hệ thống xử phạt được thiết kế tương tự mô hình GDPR (General Data Protection Regulation – Quy định chung về Bảo vệ Dữ liệu) của Liên minh Châu Âu, dựa trên doanh thu để tăng tính răn đe:

  • Đối với hành vi mua bán dữ liệu (Điều 8, khoản 3): Phạt tối đa 10 lần khoản thu có được từ vi phạm. Nếu không xác định được khoản thu hoặc mức phạt thấp hơn 3 tỷ, áp dụng mức phạt 3 tỷ đồng.
  • Đối với chuyển dữ liệu xuyên biên giới trái phép (Điều 8, khoản 4): Phạt tối đa 5% doanh thu của năm tài chính liền kề trước đó. Nếu không có doanh thu hoặc mức phạt thấp hơn 3 tỷ, áp dụng mức 3 tỷ đồng.
  • Các vi phạm khác (Điều 8, khoản 5): Phạt tối đa 3 tỷ đồng với tổ chức (cá nhân chịu mức phạt bằng 1/2 tổ chức).
  • Bồi thường và Hình sự (Điều 8, khoản 1): Ngoài phạt tiền, bên vi phạm phải bồi thường toàn bộ thiệt hại và có thể bị truy cứu trách nhiệm hình sự nếu đủ yếu tố cấu thành tội phạm.

5. Quy định về công khai dữ liệu (căn cứ Điều 16)

Dữ liệu chỉ được công khai khi có mục đích cụ thể, phạm vi phù hợp và không xâm phạm quyền lợi của chủ thể (Khoản 1). Có 04 trường hợp được phép công khai (Khoản 2) bao gồm: (1) Có sự đồng ý, (2) Theo luật định, (3) Tình trạng khẩn cấp/phòng chống tội phạm, (4) Theo nghĩa vụ hợp đồng.

6. Bảo vệ đặc biệt trong các lĩnh vực cụ thể

Doanh nghiệp hoạt động trong các lĩnh vực sau cần lưu ý các điều khoản riêng biệt:

  1. Trẻ em (Điều 24): Trẻ từ 7 tuổi trở lên, việc công bố thông tin đời sống riêng tư cần sự đồng ý của cả trẻ em và người đại diện.
  2. Tuyển dụng & Lao động (Điều 25):
    1. Chỉ được yêu cầu thông tin phục vụ tuyển dụng; phải xóa/hủy thông tin ứng viên không đạt (trừ khi có thỏa thuận khác).
    2. Theo mục b, c, khoản 2, Điều 25 luật: Dữ liệu cá nhân phải được lưu trữ trong thời hạn theo quy định pháp luật hoặc theo thỏa thuận. Khi chấm dứt HĐLĐ phải xóa dữ liệu nhân viên trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.
    3. Giám sát công nghệ tại nơi làm việc phải để người lao động biết rõ.
  2. Y tế & Bảo hiểm (Điều 26): Cần sự đồng ý rõ ràng. Không cung cấp cho bên thứ ba (như công ty bảo hiểm) nếu không có yêu cầu bằng văn bản hoặc quy định luật.
  3. Tài chính – Ngân hàng (Điều 27): Không được dùng thông tin tín dụng để chấm điểm/xếp hạng tín dụng nếu chưa có sự đồng ý (Khoản 1, điểm b).
  4. Quảng cáo & Mạng xã hội (Điều 28, 29): Phải cung cấp tính năng từ chối theo dõi. Không ghi âm, ghi hình nếu chưa có sự đồng ý rõ ràng.

7. Chuyển dữ liệu xuyên biên giới (căn cứ Điều 20)

Các hoạt động như chuyển dữ liệu ra khỏi lãnh thổ, chuyển cho tổ chức nước ngoài, hoặc dùng nền tảng nước ngoài để xử lý dữ liệu thu thập tại Việt Nam đều được coi là chuyển xuyên biên giới (Khoản 1).

  • Nghĩa vụ: Phải lập hồ sơ Đánh giá tác động (DPIA) và gửi 01 bản chính cho cơ quan chuyên trách trong vòng 60 ngày kể từ lần chuyển đầu tiên (Khoản 2).
  • Tần suất: Thực hiện 01 lần duy nhất cho suốt thời gian hoạt động (Khoản 3).
  • Miễn trừ: Lưu trữ dữ liệu nhân viên trên đám mây (Cloud) hoặc chủ thể tự chuyển dữ liệu của mình không cần làm đánh giá này (Khoản 6).

8. Đánh giá tác động xử lý dữ liệu – DPIA (căn cứ Điều 21, 22)

  • Yêu cầu: Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân lập hồ sơ DPIA và gửi cơ quan chuyên trách trong 60 ngày kể từ ngày đầu xử lý dữ liệu.
  • Cập nhật: Hồ sơ được cập nhật định kỳ 6 tháng hoặc ngay lập tức khi có sự thay đổi về tổ chức, dịch vụ (Điều 22).

9. Thông báo vi phạm (căn cứ Điều 23)

Khi phát hiện vi phạm có khả năng gây tổn hại, doanh nghiệp phải thông báo cho cơ quan chuyên trách chậm nhất 72 giờ kể từ khi phát hiện (Khoản 1). Đồng thời phải lập biên bản và phối hợp khắc phục hậu quả.

10. Quy định chuyển tiếp (Điều 38, 39)

  • Sự đồng ý đã có trước 01/01/2026 (theo Nghị định 13) vẫn tiếp tục có hiệu lực.
  • Tuy nhiên, từ 01/01/2026, mọi hoạt động cập nhật, sửa đổi hoặc xử lý mới bắt buộc phải tuân thủ 100% quy định của Luật 2025.

Xem và tải Luật Bảo Vệ Dữ Liệu Cá Nhân 2025

III. Khuyến nghị thêm từ Crowe Vietnam

Cẩn trọng khi Truyền dữ liệu qua ứng dụng chat ở Việt Nam

Vào cuối tháng 12/2025, ngay trước khi Luật Bảo vệ dữ liệu cá nhân 2025 chính thức có hiệu lực (01/01/2026), một ứng dụng chat ở Việt Nam bất ngờ gửi thông báo yêu cầu người dùng cập nhật các điều khoản dịch vụ mới, trong đó mở rộng quyền thu thập và sử dụng dữ liệu người dùng.

Để đảm bảo an toàn cho dữ liệu tài chính, kế toán và nhân sự của Quý khách, Crowe Vietnam khuyến nghị Quý vị một số biện pháp sau để bảo vệ doanh nghiệp mình:

  • Không gửi dữ liệu nhạy cảm qua chat: không nên chụp ảnh hoặc gửi file chứa: Bảng lương, CCCD/Hộ chiếu nhân viên, Hợp đồng kinh tế, Số liệu tài chính chưa công bố qua ứng dụng chat này.
  • Chuyển đổi kênh: nên sử dụng Email doanh nghiệp để trao đổi và gửi các tài liệu quan trọng. Đây là các kênh có tính năng lưu vết (audit trail) và bảo mật cao hơn.
  • Xử lý dữ liệu đã gửi: rà soát lại các nhóm chat công việc trên ứng dụng chat này, thực hiện “Thu hồi” (Recall) các file dữ liệu cũ và lưu trữ chúng về máy chủ công ty theo quy định lưu trữ của pháp luật.
  • Thiết lập “Quy chế sử dụng mạng xã hội” trong nội bộ: để tránh việc nhân viên tự ý sử dụng ứng dụng chat cá nhân làm lộ dữ liệu công ty.
  • Tăng cường rào chắn kỹ thuật trên ứng dụng chat: yêu cầu nhân viên tắt chế độ tự động tải về (để tránh lưu file vào thiết bị cá nhân), sử dụng tin nhắn tự xóa cho thông tin quan trọng và bắt buộc kích hoạt xác thực 2 lớp để ngăn chặn tối đa nguy cơ lộ, lọt hoặc đánh cắp dữ liệu.
  • Chia sẻ bài viết trên:
Facebook
X
LinkedIn
  • Tác giả bài viết:
Picture of Crowe Vietnam Team

Crowe Vietnam Team

Nội dung được biên soạn bởi đội ngũ chuyên gia của Crowe Vietnam, nhằm mang đến những thông tin giá trị và thiết thực cho doanh nghiệp.

Bản tin liên quan

Ấn phẩm chuyên môn

Blog mới nhất

Lên đầu trang

Đăng ký tư vấn