 |
| Luật Bảo vệ dữ liệu cá nhân 2025: Người dân lần đầu có quyền yêu cầu doanh nghiệp xóa dữ liệu |
Chỉ còn ít ngày nữa, Luật Bảo vệ dữ liệu cá nhân 2025 sẽ chính thức có hiệu lực từ 1/1/2026, đánh dấu một bước ngoặt quan trọng trong việc bảo vệ quyền riêng tư của người dân trong không gian số. Lần đầu tiên, người dùng được luật hóa đầy đủ các quyền liên quan đến dữ liệu cá nhân, trong đó có quyền yêu cầu doanh nghiệp xóa dữ liệu, rút lại sự đồng ý đã cấp trước đó và kiểm soát cách dữ liệu của mình được thu thập, sử dụng.
Người dùng có những quyền gì đối với dữ liệu cá nhân?
Theo quy định mới, chủ thể dữ liệu cá nhân, tức người dùng, được trao một hệ thống quyền khá toàn diện. Cụ thể, người dân có quyền được biết dữ liệu của mình đang được xử lý ra sao; có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu; được rút lại sự đồng ý bất cứ lúc nào; được xem, chỉnh sửa hoặc yêu cầu chỉnh sửa thông tin cá nhân.
Đáng chú ý, luật cho phép người dùng yêu cầu cung cấp, xóa hoặc hạn chế xử lý dữ liệu cá nhân, gửi yêu cầu phản đối việc xử lý dữ liệu, cũng như thực hiện các quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại nếu quyền lợi bị xâm phạm. Trong trường hợp cần thiết, người dân còn có quyền đề nghị cơ quan nhà nước hoặc các tổ chức liên quan áp dụng biện pháp bảo vệ dữ liệu cá nhân theo quy định pháp luật.
Song song với quyền của người dân, luật đặt ra nghĩa vụ rõ ràng đối với doanh nghiệp và tổ chức xử lý dữ liệu cá nhân. Theo đó, các đơn vị này phải xem xét, tiếp nhận và thực hiện yêu cầu xóa, gỡ bỏ dữ liệu cá nhân hoặc yêu cầu rút lại sự đồng ý của người dùng, trừ các trường hợp đặc biệt được pháp luật cho phép.
Một số ngoại lệ được quy định nhằm bảo đảm lợi ích chung, như trường hợp xử lý dữ liệu để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm và quyền lợi hợp pháp của cá nhân trong tình huống cấp bách; phục vụ việc bảo vệ lợi ích chính đáng của Nhà nước, tổ chức, cá nhân trước các hành vi xâm phạm; hoặc để xử lý tình trạng khẩn cấp, phòng chống tội phạm, khủng bố, bạo loạn, đe dọa an ninh quốc gia.
Mạng xã hội không được thu thập giấy tờ tùy thân làm xác thực
Một điểm mới đáng chú ý của Luật Bảo vệ dữ liệu cá nhân 2025 là siết chặt nghĩa vụ của các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến. Theo đó, các nền tảng này không được yêu cầu người dùng cung cấp hình ảnh hoặc video chứa toàn bộ hay một phần giấy tờ tùy thân (như căn cước công dân, hộ chiếu) làm yếu tố xác thực tài khoản.
Bên cạnh đó, mạng xã hội phải cung cấp cho người dùng quyền từ chối thu thập và chia sẻ cookies, có tùy chọn “không theo dõi” hoặc chỉ được theo dõi khi người dùng đã đồng ý rõ ràng. Việc nghe lén, ghi âm cuộc gọi, đọc tin nhắn văn bản khi chưa có sự chấp thuận của chủ thể dữ liệu cũng bị nghiêm cấm, trừ khi pháp luật có quy định khác.
Luật yêu cầu các nền tảng số phải công khai chính sách bảo mật, giải thích rõ ràng cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân. Người dùng cần được cung cấp cơ chế truy cập, chỉnh sửa, xóa dữ liệu; thiết lập quyền riêng tư; báo cáo vi phạm về bảo mật và quyền riêng tư.
Đối với hoạt động chuyển dữ liệu xuyên biên giới, các tổ chức phải có biện pháp bảo vệ dữ liệu cá nhân của công dân Việt Nam, đồng thời xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu một cách nhanh chóng, hiệu quả.
Đặc biệt, mua bán dữ liệu cá nhân trái phép được xác định là một trong bảy hành vi bị nghiêm cấm, cùng với các hành vi như xử lý dữ liệu trái quy định pháp luật, lợi dụng hoạt động bảo vệ dữ liệu để vi phạm pháp luật, hay sử dụng dữ liệu cá nhân của người khác phục vụ mục đích trái phép.
Luật cũng làm rõ khái niệm dữ liệu cá nhân, bao gồm dữ liệu số hoặc thông tin dưới dạng khác có khả năng xác định một con người cụ thể. Dữ liệu cá nhân được chia thành hai nhóm: dữ liệu cá nhân cơ bản (thông tin nhân thân, lai lịch thường dùng trong giao dịch, quan hệ xã hội) và dữ liệu cá nhân nhạy cảm, những thông tin gắn chặt với quyền riêng tư, nếu bị xâm phạm có thể gây ảnh hưởng nghiêm trọng đến quyền và lợi ích hợp pháp của cá nhân, tổ chức.
Việc luật hóa rõ ràng các quyền và nghĩa vụ liên quan đến dữ liệu cá nhân được kỳ vọng sẽ tạo ra hành lang pháp lý chặt chẽ hơn cho môi trường số, đồng thời buộc doanh nghiệp phải thay đổi cách tiếp cận, lấy quyền riêng tư của người dùng làm trung tâm.
