Nhiều thói quen trên mạng xã hội bị cấm, hầu hết người dùng không biết

Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành từ ngày 1/1/2026. Đây là đạo luật có ý nghĩa đặc biệt trong bối cảnh dữ liệu cá nhân ngày càng trở thành tài sản quan trọng và đối mặt với nhiều rủi ro về lạm dụng, xâm phạm.

Bảo vệ dữ liệu cá nhân, theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.

Cố ý làm mất dữ liệu cá nhân

Một trong những điểm nổi bật của Luật là quy định rõ ràng, cụ thể các khái niệm về dữ liệu cá nhân, bao gồm “dữ liệu cá nhân cơ bản”, “dữ liệu cá nhân nhạy cảm”, “bảo vệ dữ liệu cá nhân” và “đánh giá tác động xử lý dữ liệu cá nhân”. Đồng thời, Luật cấm tuyệt đối hành vi mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.

Các trường hợp cấm khác như cản trở hoạt động bảo vệ dữ liệu cá nhân. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật. Xử lý dữ liệu cá nhân trái quy định của pháp luật. Việc sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật cũng bị nghiêm cấm. Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Tổ chức, cá nhân vi phạm liên quan bảo vệ dữ liệu cá nhân có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường.

Đặc biệt, mức xử phạt đối với hành vi mua, bán dữ liệu cá nhân có thể lên tới 10 lần khoản thu bất hợp pháp từ hành vi vi phạm. Với hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tối đa là 5% doanh thu của năm liền kề trước đó. Các hành vi vi phạm khác có thể bị phạt tới 3 tỷ đồng, cá nhân vi phạm bị phạt bằng một nửa mức phạt của tổ chức.

Trong đó đáng chú ý, Luật Bảo vệ dữ liệu cá nhân cấm 7 hành vi sau đây:

- Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

- Cản trở hoạt động bảo vệ dữ liệu cá nhân.

- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.

- Xử lý dữ liệu cá nhân trái quy định của pháp luật.

- Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.

- Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.

- Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Luật cũng quy định cụ thể các hoạt động xử lý dữ liệu cá nhân như thu thập, phân tích, tổng hợp, mã hóa, chỉnh sửa, xóa, hủy, khử nhận dạng, công khai, chuyển giao dữ liệu cá nhân… Trong đó, có những trường hợp xử lý dữ liệu không cần sự đồng ý của chủ thể nhưng phải đáp ứng các điều kiện chặt chẽ, minh bạch.

Đáng chú ý, đối tượng yếu thế như người bị mất hoặc hạn chế năng lực hành vi dân sự, người gặp khó khăn trong nhận thức, làm chủ hành vi cũng được bổ sung cơ chế bảo vệ dữ liệu cá nhân phù hợp, toàn diện hơn.

Luật yêu cầu bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu phải được sự đồng ý của chủ thể cho phép sử dụng dữ liệu. Chủ thể cũng có quyền rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân khi có nghi ngờ vi phạm.

Cấm nhiều thao tác mạng xã hội, quảng cáo

Cùng đó, dữ liệu cá nhân chỉ được công khai với các trường hợp cụ thể; được xử lý dữ liệu cá nhân mà không cần sự đồng ý với một số trường hợp liên quan đến bảo vệ sức khỏe, khẩn cấp, nguy cơ đe dọa an ninh quốc gia, quản lý nhà nước, thỏa thuận... với sự giám sát chặt chẽ.

Trong hoạt động quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm; cung cấp phương thức cho khách hàng để có thể từ chối nhận các thông tin quảng cáo.

Đối với các nền tảng mạng xã hội, quảng cáo trực tuyến không được thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận; Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.

Các mạng xã hội cũng không được cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng.

Cùng đó là quy định không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác; Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân.

Bên cạnh đó, nhằm giảm gánh nặng cho doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp, Luật cho phép nhóm doanh nghiệp này được lựa chọn thực hiện hoặc không thực hiện một số quy định như lập hồ sơ đánh giá tác động, chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong 5 năm kể từ khi Luật có hiệu lực. Các hộ kinh doanh, doanh nghiệp siêu nhỏ được miễn hoàn toàn quy định này.

Luật cũng quy định cụ thể các hoạt động xử lý dữ liệu cá nhân như thu thập, phân tích, tổng hợp, mã hóa, chỉnh sửa, xóa, hủy, khử nhận dạng, công khai, chuyển giao dữ liệu cá nhân… Trong đó, có những trường hợp xử lý dữ liệu không cần sự đồng ý của chủ thể nhưng phải đáp ứng các điều kiện chặt chẽ, minh bạch.

Đáng chú ý, đối tượng yếu thế như người bị mất hoặc hạn chế năng lực hành vi dân sự, người gặp khó khăn trong nhận thức, làm chủ hành vi cũng được bổ sung cơ chế bảo vệ dữ liệu cá nhân phù hợp, toàn diện hơn.

Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều 8. Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.

Điều 29. Bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến

Tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm sau đây:

1. Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng;

2. Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản;

3. Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies);

4. Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;

5. Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác;

6. Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho thông tin cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.

Điều 28. Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo

1. Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng được bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao theo thỏa thuận hoặc thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ quảng cáo. Việc thu thập, sử dụng, chuyển giao dữ liệu cá nhân phải bảo đảm quyền của chủ thể dữ liệu cá nhân quy định tại Điều 4 của Luật này.

2. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chỉ được chuyển dữ liệu cá nhân cho tổ chức, cá nhân kinh doanh dịch vụ quảng cáo theo quy định của pháp luật.

3. Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm; cung cấp phương thức cho khách hàng để có thể từ chối nhận các thông tin quảng cáo.

4. Việc sử dụng dữ liệu cá nhân để quảng cáo phải phù hợp với quy định của pháp luật về phòng, chống tin nhắn rác, thư điện tử rác, cuộc gọi rác và quy định của pháp luật về quảng cáo.

5. Chủ thể dữ liệu cá nhân có quyền yêu cầu ngừng nhận thông tin từ dịch vụ quảng cáo. Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo phải cung cấp cơ chế và ngừng quảng cáo theo yêu cầu của chủ thể dữ liệu cá nhân.

6. Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo không được thuê lại hoặc thỏa thuận để tổ chức, cá nhân khác thay mặt mình thực hiện toàn bộ dịch vụ quảng cáo có sử dụng dữ liệu cá nhân.

7. Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng để quảng cáo; tuân thủ quy định tại các khoản 1, 2, 3, 4 Điều này và quy định của pháp luật về quảng cáo.

8. Tổ chức, cá nhân khi sử dụng dữ liệu cá nhân để quảng cáo theo hành vi hoặc có mục tiêu cụ thể hoặc cá nhân hóa quảng cáo phải tuân thủ quy định tại Điều này và các quy định sau đây:

a) Chỉ được thu thập dữ liệu cá nhân thông qua việc theo dõi trang thông tin điện tử, ứng dụng khi có sự đồng ý của chủ thể dữ liệu cá nhân;

b) Phải thiết lập phương thức cho phép chủ thể dữ liệu cá nhân từ chối chia sẻ dữ liệu; xác định thời gian lưu trữ; xóa, hủy dữ liệu khi không còn cần thiết.