Luật Bảo vệ dữ liệu cá nhân đã được Quốc hội khóa XV thông qua và sẽ có hiệu lực thi hành từ ngày 1-1-2026, đánh dấu bước tiến quan trọng trong hành lang pháp lý về an toàn thông tin.
Luật bảo vệ quyền, lợi ích hợp pháp của cá nhân, tổ chức và phòng ngừa hành vi xâm phạm dữ liệu trên không gian mạng. Điểm trọng tâm của luật là trao quyền chủ động cho người dân. Theo đó, từ năm 2026, chủ thể dữ liệu có quyền yêu cầu bên kiểm soát, xử lý xóa dữ liệu cá nhân của mình, đồng thời được đảm bảo các quyền: được biết, đồng ý, truy cập, rút lại sự đồng ý, hạn chế và phản đối xử lý dữ liệu, khiếu nại, tố cáo và khởi kiện.
Luật Bảo vệ dữ liệu cá nhân 2025 sẽ có hiệu lực thi hành từ ngày 1-1-2026
Về quy định cụ thể, luật nêu rõ sự im lặng hoặc không phản hồi không được coi là sự đồng ý; sự đồng ý chỉ có hiệu lực khi được thể hiện tự nguyện và chủ thể đã được biết rõ thông tin.
Đối với trẻ em từ đủ 7 tuổi trở lên, việc xử lý dữ liệu cá nhân bắt buộc phải có sự đồng ý của cả trẻ và cha mẹ hoặc người giám hộ. Tuy nhiên, luật cũng quy định các trường hợp ngoại lệ được phép xử lý dữ liệu mà không cần sự đồng ý của chủ thể, bao gồm: bảo vệ tính mạng, sức khỏe trong tình huống khẩn cấp; phục vụ quốc phòng, an ninh quốc gia; tình trạng khẩn cấp về thiên tai, dịch bệnh; hoặc để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu.
Ngoài ra, luật phân định rõ giữa dữ liệu cá nhân cơ bản và dữ liệu nhạy cảm để áp dụng biện pháp bảo vệ tương xứng, đồng thời yêu cầu các bên kiểm soát dữ liệu phải tuân thủ nghiêm ngặt các quy định về bảo mật, đánh giá tác động và chuyển dữ liệu ra nước ngoài.
