TL;DR: Từ ngày 1/1/2026, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 chính thức có hiệu lực - đây là lần đầu tiên Việt Nam có luật riêng cho việc bảo vệ dữ liệu cá nhân (thay thế Nghị định 13/2023). Doanh nghiệp vi phạm có thể bị phạt đến 5% doanh thu hoặc gấp 10 lần lợi nhuận từ hành vi vi phạm. Người dân cũng có nhiều quyền hơn với dữ liệu của mình.
Tại sao luật này quan trọng?
Trước đây, Việt Nam chỉ có Nghị định 13/2023 về bảo vệ dữ liệu cá nhân - đây là nghị định của Chính phủ, mức độ ràng buộc pháp lý chưa đủ mạnh. Luật 91/2025 là luật do Quốc hội ban hành, có hiệu lực cao hơn hẳn và áp dụng cho cả doanh nghiệp trong nước lẫn nước ngoài xử lý dữ liệu của người Việt Nam.
Luật này được ví như GDPR của châu Âu nhưng có điều chỉnh phù hợp với bối cảnh Việt Nam.
Dữ liệu cá nhân là gì theo luật mới?
Luật phân loại 2 nhóm:
Dữ liệu cá nhân cơ bản:
- Họ tên, ngày sinh, địa chỉ, số CCCD
- Số điện thoại, email
- Thông tin công việc, học vấn
Dữ liệu cá nhân nhạy cảm (bảo vệ nghiêm ngặt hơn):
- Thông tin sinh trắc học (khuôn mặt, vân tay)
- Hồ sơ y tế, sức khỏe
- Dữ liệu tài chính (tài khoản ngân hàng, thẻ tín dụng)
- Vị trí địa lý theo dõi liên tục
- Thông tin về chính trị, tôn giáo
- Dữ liệu trẻ em dưới 16 tuổi
Doanh nghiệp phải làm gì từ 2026?
1. Lấy sự đồng ý rõ ràng
Không được dùng ô tick sẵn, im lặng mặc nhiên là đồng ý. Phải có sự đồng ý rõ ràng cho từng mục đích sử dụng dữ liệu riêng biệt.
2. Đánh giá tác động bảo vệ dữ liệu (DPIA)
Bắt buộc khi:
- Xử lý dữ liệu nhạy cảm
- Chuyển dữ liệu ra nước ngoài
- Dùng nhận diện khuôn mặt hoặc các hoạt động rủi ro cao
3. Bổ nhiệm người phụ trách bảo vệ dữ liệu (DPO)
Các tổ chức xử lý dữ liệu nhạy cảm phải có người (hoặc nhóm) chuyên trách bảo vệ dữ liệu.
Lưu ý: Startup và doanh nghiệp nhỏ được miễn yêu cầu này trong 5 năm đầu. Hộ kinh doanh cá thể và doanh nghiệp siêu nhỏ được miễn vĩnh viễn.
4. Báo cáo vi phạm trong 72 giờ
Nếu có rò rỉ dữ liệu, phải báo cáo với Bộ Công an trong vòng 72 giờ và thực hiện biện pháp khắc phục ngay.
5. Đăng ký hoạt động xử lý dữ liệu nhạy cảm
Trước khi bắt đầu xử lý dữ liệu nhạy cảm, phải đăng ký với Bộ Công an.
Điều này ảnh hưởng gì đến bạn?
Nếu bạn là người dùng/người tiêu dùng:
- Bạn có quyền xem, sửa, xóa dữ liệu của mình mà doanh nghiệp đang lưu
- Bạn có thể rút lại sự đồng ý bất cứ lúc nào
- Bạn có quyền kiếu nại và khởi kiện nếu dữ liệu bị xử lý sai
Nếu bạn là chủ doanh nghiệp/quản lý:
- App, website, CRM của bạn có thu thập dữ liệu khách hàng không? Cần rà soát ngay
- Form đăng ký khách hàng có có ô đồng ý rõ ràng chưa?
- Bạn lưu dữ liệu ở đâu? Cloud nào? Server nước nào?
Ví dụ thực tế
Trường hợp 1 - App thương mại điện tử:
Một app bán hàng thu thập số điện thoại, địa chỉ và lịch sử mua hàng của khách. Từ 2026, app này phải có policy bảo mật rõ ràng, giải thích dữ liệu dùng vào việc gì, và cho khách quyền xóa tài khoản + dữ liệu hoàn toàn.
Trường hợp 2 - Spa dùng app đặt lịch:
Spa lưu thông tin sức khỏe khách hàng (loại da, tình trạng dị ứng) trong hệ thống. Đây là dữ liệu nhạy cảm - cần đăng ký với cơ quan nhà nước và bảo mật ở cấp độ cao hơn.
Trường hợp 3 - Công ty marketing:
Mua danh sách email từ bên thứ ba để gửi quảng cáo mà không có sự đồng ý của người dùng - vi phạm trực tiếp, có thể bị phạt lên đến 3 tỷ đồng.
Mức xử phạt
| Vi phạm | Mức phạt |
|---|---|
| Mua bán dữ liệu trái phép | Gấp 10 lần lợi nhuận từ hành vi vi phạm |
| Chuyển dữ liệu ra nước ngoài sai quy định | Đến 5% doanh thu năm trước |
| Các vi phạm khác | Đến 3 tỷ đồng |
| Vi phạm nghiêm trọng có chủ ý | Truy cứu trách nhiệm hình sự |
Checklist nhanh cho doanh nghiệp
- [ ] Rà soát tất cả điểm thu thập dữ liệu khách hàng (form, app, website)
- [ ] Cập nhật policy bảo mật/điều khoản sử dụng rõ ràng
- [ ] Thêm cơ chế đồng ý rõ ràng cho từng mục đích
- [ ] Kiểm tra dữ liệu lưu trữ ở đâu (server Việt Nam hay nước ngoài?)
- [ ] Bổ nhiệm người chịu trách nhiệm bảo vệ dữ liệu nội bộ
- [ ] Lập quy trình xử lý khi có sự cố rò rỉ dữ liệu