Luật bảo vệ dữ liệu cá nhân 2025 – Quyền dữ liệu và trách nhiệm doanh nghiệp

Luật bảo vệ dữ liệu cá nhân 2025 – quyền dữ liệu và trách nhiệm doanh nghiệp

Trong kỷ nguyên chuyển đổi số, dữ liệu cá nhân ngày càng trở thành tài sản quý giá nhưng cũng đầy rủi ro. Ở Việt Nam, Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) đã được Quốc hội thông qua ngày 26/6/2025, có hiệu lực từ 01/01/2026. Luật này thiết lập rõ các quyền cơ bản của người dùng và trách nhiệm của doanh nghiệp trong suốt vòng đời thu thập, xử lý và chia sẻ dữ liệu. Với việc 80% dân số toàn cầu hiện đã sống trong vùng có quy định bảo vệ dữ liệu, Việt Nam cũng đặt ra cam kết mạnh mẽ trong xây dựng môi trường số an toàn, tăng cường niềm tin số.

  • Xu hướng & rủi ro: Internet và dữ liệu số tăng vọt (mỗi người VN trung bình dành 6 giờ 38 phút/ngày online). Đồng thời, các cuộc tấn công mạng gia tăng (hơn 659.000 vụ trong năm 2024 nhắm vào Việt Nam, trong đó có >10.000 nhắm tới doanh nghiệp/nhà nước). Những vi phạm dữ liệu như sự cố của Vietnam Airlines (23 triệu bản ghi khách hàng bị lộ thông tin cá nhân) cho thấy hậu quả nghiêm trọng: uy tín suy giảm và khách hàng mất niềm tin.
  • Lợi ích tuân thủ: Đối ngược với rủi ro, việc tôn trọng quy định dữ liệu không chỉ giúp doanh nghiệp xây dựng uy tín và niềm tin mà còn tránh các chế tài nghiêm ngặt. Luật mới quy định phạt tới 5% doanh thu năm trước hoặc tối đa 3 tỉ đồng đối với hành vi xâm phạm dữ liệu cá nhân. Ngược lại, tuân thủ tốt sẽ củng cố hình ảnh thương hiệu, tạo lợi thế cạnh tranh – như một số ngân hàng tiên phong về đám mây đã chứng minh.

“Luật Bảo vệ dữ liệu cá nhân xác lập các quyền cơ bản của công dân, bao gồm quyền được biết, quyền đồng ý, quyền truy cập, chỉnh sửa và yêu cầu xóa dữ liệu…”.

Các quyền của chủ thể dữ liệu cá nhân

Luật bảo vệ dữ liệu cá nhân quy định những quyền chính của người dùng như sau:

  • Quyền được biết: Cá nhân có quyền được thông báo rõ ràng về việc thu thập và xử lý dữ liệu của mình – bao gồm mục đích, phạm vi và thời hạn lưu trữ. Doanh nghiệp phải minh bạch thông tin, trình bày trong chính sách bảo mật một cách dễ hiểu.
  • Quyền đồng ý (opt-in/opt-out): Cá nhân được toàn quyền quyết định có cho phép thu thập dữ liệu hay không. Họ có thể rút lại sự đồng ý bất cứ lúc nào, và doanh nghiệp phải tôn trọng yêu cầu này. Việc yêu cầu đồng ý phải rõ ràng, cụ thể (không mặc định chấp thuận).
  • Quyền truy cập và chỉnh sửa: Cá nhân có quyền xem và truy cập dữ liệu cá nhân mà doanh nghiệp lưu giữ về họ. Nếu phát hiện sai sót hoặc thay đổi, họ có quyền yêu cầu sửa đổi/bổ sung cho chính xác. Đây là biện pháp bảo vệ quyền kiểm soát thông tin cá nhân.
  • Quyền yêu cầu xóa/hạn chế xử lý: Khi dữ liệu không còn cần thiết hoặc việc xử lý trở nên bất hợp pháp, cá nhân có thể yêu cầu xóa, hủy hoặc hạn chế xử lý dữ liệu cá nhân của mình. Họ cũng có thể phản đối các hình thức xử lý nhất định (ví dụ: marketing) nếu thấy không phù hợp.
  • Quyền khiếu nại và bồi thường: Trong trường hợp quyền riêng tư bị xâm phạm, cá nhân có quyền khiếu nại hoặc khởi kiện để yêu cầu bồi thường thiệt hại theo quy định. Luật khẳng định đây là quyền độc lập, bảo vệ lợi ích của cá nhân trước tổn thất do vi phạm dữ liệu.
  • Quyền yêu cầu biện pháp bảo vệ: Cá nhân có thể yêu cầu cơ quan chức năng hoặc bên liên quan thực hiện biện pháp kịp thời để bảo vệ dữ liệu cá nhân của mình nếu có nguy cơ bị xâm phạm.

Việc nắm rõ các quyền trên giúp doanh nghiệp xây dựng quy trình xử lý dữ liệu tôn trọng quyền lợi người dùng, từ đó củng cố niềm tin của khách hàng. Vi phạm bất kỳ quyền nào trong số này sẽ dẫn đến hậu quả nặng nề về uy tín và pháp lý.

Trách nhiệm của doanh nghiệp trong bảo vệ dữ liệu

Doanh nghiệp khi thu thập và xử lý dữ liệu cá nhân phải tuân thủ nguyên tắc bảo vệ: chỉ thu thập khi cần thiết, dùng cho mục đích đã công bố, và bảo vệ bằng biện pháp kỹ thuật – tổ chức thích hợp. Cụ thể, doanh nghiệp cần lưu ý các nhiệm vụ và nghĩa vụ sau:

  • Minh bạch thông tin: Luôn công khai chính sách bảo mật và điều khoản xử lý dữ liệu với khách hàng. Theo quy định, khi cá nhân cài đặt hoặc sử dụng dịch vụ, doanh nghiệp phải thông báo rõ dữ liệu nào thu thập và để làm gì. Không được thu thập dữ liệu trái phép, ngoài phạm vi đã thỏa thuận. Ví dụ, nền tảng mạng xã hội phải ghi rõ nội dung thu thập, cho phép người dùng từ chối (opt-out) cookie và không yêu cầu tài liệu tùy thân một cách không hợp lý. Minh bạch giúp tạo dựng lòng tin và tránh kiện cáo sau này.
  • Hạn chế mục đích xử lý: Dữ liệu cá nhân chỉ được sử dụng trong phạm vi đã được đồng ý. Doanh nghiệp không được tùy tiện chia sẻ hay bán dữ liệu cho bên thứ ba nếu không có sự cho phép của người dùng. Mỗi hành động xử lý mới (như chuyển giao xuyên biên giới, phân tích nâng cao) đều phải thông báo và, khi cần, xin phép thêm từ chủ thể dữ liệu. Nếu chuyển dữ liệu nhạy cảm ra nước ngoài, doanh nghiệp phải thực hiện đánh giá rủi ro, xin phép cơ quan quản lý và ghi rõ nghĩa vụ bảo mật trong hợp đồng với đối tác nước ngoài.
  • Đảm bảo an ninh dữ liệu: Doanh nghiệp phải áp dụng các biện pháp bảo mật kỹ thuật (mã hóa, phân quyền truy cập, tường lửa…) và tổ chức (quy trình, đào tạo nhân sự…) để chống rò rỉ, mất mát dữ liệu. Luật yêu cầu tạo điều kiện “bảo vệ dữ liệu cá nhân của mình khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm…”. Ví dụ, hệ thống lưu trữ phải mã hóa dữ liệu cá nhân, nhật ký truy cập được theo dõi và cập nhật thường xuyên để phát hiện sớm vi phạm.
  • Thiết lập quy trình phản hồi yêu cầu: Doanh nghiệp phải có bộ phận hoặc đầu mối cụ thể để tiếp nhận và xử lý các yêu cầu của chủ thể dữ liệu. Khi nhận được yêu cầu truy cập, chỉnh sửa, rút lại đồng ý, xóa hoặc khiếu nại từ cá nhân, doanh nghiệp phải phản hồi kịp thời trong khung thời gian pháp luật quy định. Ví dụ, Nghị định 13/2023 về bảo vệ dữ liệu cá nhân quy định rõ thời hạn xử lý yêu cầu của cá nhân; doanh nghiệp cần nắm và thực hiện đúng.
  • Lưu trữ chứng cứ đồng ý: Khi thu thập sự đồng ý của cá nhân, doanh nghiệp phải lưu giữ bằng chứng (hồ sơ, hợp đồng, bản ghi log, email xác nhận…) để chứng minh có sự cho phép hợp lệ. Đây là căn cứ quan trọng khi cơ quan chức năng kiểm tra hoặc khi có tranh chấp về quyền riêng tư.
  • Báo cáo và hợp tác với cơ quan chức năng: Doanh nghiệp nên chuẩn bị báo cáo tuân thủ bảo vệ dữ liệu (như đánh giá tác động, thực hiện kiểm toán nội bộ). Trong trường hợp vi phạm nghiêm trọng, doanh nghiệp phải chủ động thông báo cho cơ quan quản lý về dữ liệu cá nhân.

Trên thực tế, nhiều doanh nghiệp lớn đã chủ động thích ứng với khung luật mới. Techcombank – ngân hàng tư nhân hàng đầu – theo đuổi chiến lược đám mây tiên phong (cloud-first), hiện đã chuyển 60% hạ tầng công nghệ lên đám mây, giúp mở rộng quy mô nhanh chóng mà không tăng mạnh chi phí vận hành. Họ xử lý hơn 8 tỷ điểm dữ liệu khách hàng mỗi ngày, xây dựng bộ hồ sơ khách hàng với khoảng 12.000 đặc tính chi tiết để cá nhân hóa dịch vụ. Chiến lược này giúp Techcombank tăng khách hàng gấp 2,5 lần trong 5 năm qua nhưng cũng đòi hỏi hệ thống phải tuân thủ nghiêm ngặt quy định bảo vệ dữ liệu.

Ví dụ thực tế và kết quả

  • Chuyển đổi số & dữ liệu cá nhân: Techcombank dẫn đầu ngành ngân hàng Việt Nam khi áp dụng mô hình “Cloud-First”: 60% hạ tầng công nghệ đã lên đám mây. Từ đó, ngân hàng xử lý tới 8 tỷ điểm dữ liệu khách hàng mỗi ngày, xây dựng hồ sơ cá nhân hóa tới ~12.000 đặc tính cho mỗi người dùng. Trường hợp của Techcombank cho thấy tận dụng công nghệ mới không chỉ đem lại lợi ích kinh doanh mà còn đặt ra yêu cầu tuân thủ dữ liệu nghiêm ngặt. Doanh nghiệp phải kết hợp hạ tầng hiện đại với chính sách bảo mật chặt chẽ để giữ uy tín thương hiệu.
  • Rủi ro vi phạm dữ liệu: Vào tháng 10/2025, Vietnam Airlines công bố có 23 triệu bản ghi khách hàng bị hacker đăng bán do sự cố trên nền tảng chăm sóc trực tuyến của đối tác. Các thông tin bị lộ gồm họ tên, email, số điện thoại, ngày sinh và số thẻ thành viên LotusMiles. May mắn là dữ liệu nhạy cảm như thông tin thanh toán, mật khẩu, hộ chiếu vẫn được bảo vệ, tuy nhiên hãng đã phải gấp rút khuyến cáo khách hàng đổi mật khẩu và tăng cường biện pháp an ninh. Sự kiện này minh chứng: Bất kỳ lỗi bảo mật nào cũng có thể dẫn đến thiệt hại lớn về uy tín và chi phí ứng phó, khiến doanh nghiệp nhận thức rõ hơn về trách nhiệm bảo vệ dữ liệu.

Những ví dụ trên cho thấy xu hướng chung: Doanh nghiệp Việt Nam đang số hóa mạnh mẽ và xử lý dữ liệu ở quy mô lớn, nhưng cũng phải đối mặt với các thách thức về quyền riêng tư và an ninh. Tuân thủ Luật bảo vệ dữ liệu cá nhân giúp doanh nghiệp tránh rủi ro phạt và gián đoạn kinh doanh. Đồng thời, chính sách bảo vệ dữ liệu chặt chẽ cũng nâng cao lòng tin của khách hàng, tạo lợi thế cạnh tranh lâu dài.

Lợi ích của tuân thủ và giải pháp công nghệ

Tôn trọng quyền riêng tư không chỉ là nghĩa vụ pháp lý mà còn là lợi thế chiến lược. Khi doanh nghiệp xây dựng quy trình minh bạch – cho phép khách hàng truy cập, chỉnh sửa và xóa dữ liệu của mình – thì khách hàng sẽ an tâm hơn khi cung cấp thông tin. Điều này giúp cải thiện chất lượng dữ liệu và hiệu quả chăm sóc khách hàng. Ngược lại, không ít người dùng hiện còn thờ ơ với điều khoản bảo mật của dịch vụ số, nhưng chính doanh nghiệp phải chủ động bảo vệ thông tin của họ để tránh “bẫy mìn” pháp lý.

Để đáp ứng các yêu cầu pháp luật trên, doanh nghiệp cần đầu tư vào công nghệ bảo mật dữ liệu. Chẳng hạn, 689Cloud cung cấp các giải pháp SecureMail (mã hóa và quản lý quyền email) và SecureDrive (IRM) giúp bảo vệ tài liệu trong lưu trữ và chia sẻ. Với công nghệ quản lý quyền thông tin (IRM), ngay cả khi tệp tin bị tải xuống, doanh nghiệp vẫn có thể gỡ quyền truy cập từ xa, chặn sao chép/chụp màn hình và thêm watermark động để ngăn hành vi vi phạm. Các biện pháp như mã hóa tập tin, phân quyền chi tiết và theo dõi lịch sử truy cập cung cấp lớp bảo vệ cuối cùng cho dữ liệu nhạy cảm.

Tóm lại, hãy coi bảo vệ dữ liệu là ưu tiên hàng đầu trong chiến lược CNTT. Những tổ chức sớm tuân thủ sẽ giảm thiểu rủi ro thiệt hại và đi trước một bước trong bối cảnh pháp lý khắt khe. Bằng uy tín và kinh nghiệm về các giải pháp hạ tầng đám mây – an ninh dữ liệu, 689Cloud sẵn sàng đồng hành cùng doanh nghiệp bạn trong hành trình hiện đại hóa hệ thống, vừa tận dụng lợi ích công nghệ số, vừa đảm bảo tuân thủ đầy đủ quy định bảo vệ quyền riêng tư. Liên hệ ngay để được tư vấn và bảo vệ luật dữ liệu cá nhân cũng như doanh nghiệp của bạn.

Câu hỏi thường gặp (FAQ)

  1. Luật Bảo vệ dữ liệu cá nhân 2025 áp dụng cho ai?
    Luật này áp dụng cho tất cả các tổ chức, cá nhân (trong và ngoài nước) thu thập, lưu trữ, xử lý dữ liệu cá nhân của cá nhân tại Việt Nam. Bao gồm cả cơ quan nhà nước, doanh nghiệp tư nhân, công ty đa quốc gia, nền tảng trực tuyến, mạng xã hội…
  2. Chủ thể dữ liệu có những quyền gì?
    Luật quy định rõ các quyền của cá nhân: được biết về việc xử lý dữ liệu của mình, quyết định cho phép hay từ chối thu thập (và rút lại đồng ý), truy cập và chỉnh sửa dữ liệu, yêu cầu xóa hoặc hạn chế xử lý, và khiếu nại/bồi thường khi bị vi phạm. Người dùng được phép tham gia quản lý thông tin của mình.
  3. Doanh nghiệp cần làm gì để tuân thủ?
    Doanh nghiệp phải thực hiện quy trình đầy đủ: xin phép người dùng trước khi thu thập dữ liệu, công khai chính sách bảo mật, chỉ xử lý dữ liệu trong phạm vi đã công bố, áp dụng biện pháp bảo mật kỹ thuật – tổ chức nghiêm ngặt, và đảm bảo có quy trình xử lý yêu cầu của cá nhân trong thời hạn luật định. Đồng thời, cần lưu giữ bằng chứng đồng ý và phân công rõ trách nhiệm nội bộ về bảo vệ dữ liệu (đầu mối xử lý khiếu nại, quy trình báo cáo sự cố…).
  4. Hình phạt nếu doanh nghiệp vi phạm thế nào?
    Luật mới quy định chế tài nghiêm khắc: phạt tiền tối đa lên đến 5% tổng doanh thu năm liền kề đối với hành vi vi phạm quy định chuyển giao dữ liệu cá nhân xuyên biên giới, và phạt tới 3 tỷ đồng đối với các vi phạm bảo vệ dữ liệu cá nhân khác. Hơn nữa, doanh nghiệp có thể bị truy cứu trách nhiệm hình sự nếu vi phạm nghiêm trọng. Vì vậy, việc tuân thủ là bắt buộc để tránh rủi ro nặng nề.
  5. Tại sao bảo vệ quyền riêng tư lại quan trọng với doanh nghiệp?
    Ngoài việc đáp ứng pháp luật, một doanh nghiệp tôn trọng quyền riêng tư sẽ xây dựng được niềm tin từ khách hàng và đối tác. Người dùng hiện rất nhạy cảm với vấn đề bảo mật thông tin. Khi họ tin tưởng doanh nghiệp giữ gìn kỹ lưỡng dữ liệu cá nhân, họ sẽ gắn bó lâu dài và sẵn sàng chia sẻ thông tin – tạo điều kiện cho các phân tích, dịch vụ giá trị gia tăng. Ngược lại, mất mát dữ liệu cá nhân có thể gây thiệt hại tài chính lẫn danh tiếng khôn lường. Tuân thủ Luật Bảo vệ dữ liệu cá nhân là cách tốt nhất để doanh nghiệp vừa phát triển bền vững, vừa tránh rủi ro pháp lý.