Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP chính thức có hiệu lực đã thiết lập một “lá chắn pháp lý” toàn diện, trao cho người dân quyền kiểm soát thực chất đối với dữ liệu cá nhân trong môi trường số. Từ mạng xã hội, ngân hàng số đến sàn thương mại điện tử, mọi hoạt động thu thập, xử lý dữ liệu đều phải minh bạch, có sự đồng ý rõ ràng. Dưới đây là 10 quyền và nguyên tắc cốt lõi mà mỗi công dân cần nắm vững để chủ động bảo vệ thông tin cá nhân của chính mình.
Luật Bảo vệ dữ liệu cá nhân 2025 đã đánh dấu một bước chuyển căn bản trong tư duy quản trị xã hội số ở Việt Nam: từ chỗ coi dữ liệu cá nhân là “nguồn lực có thể khai thác”, sang xác lập dữ liệu cá nhân là quyền con người trong kỷ nguyên số, gắn trực tiếp với phẩm giá, quyền riêng tư và quyền tự quyết của mỗi công dân.
Trong nhiều năm, sự phát triển bùng nổ của Internet, mạng xã hội, ngân hàng số, thương mại điện tử đã khiến dữ liệu cá nhân trở thành “mỏ vàng mới”. Tuy nhiên, trong khi doanh nghiệp và nền tảng số liên tục mở rộng khả năng thu thập, phân tích và khai thác dữ liệu, thì người dùng lại ở vị thế yếu hơn: ít thông tin, ít quyền lựa chọn và hầu như không có khả năng kiểm soát thực chất. Việc “bấm đồng ý” với các điều khoản dài hàng chục trang đã trở thành một thủ tục hình thức, trong đó quyền riêng tư bị đánh đổi một cách vô thức để lấy sự tiện lợi.
 |
Luật Bảo vệ dữ liệu cá nhân 2025 chấm dứt cách tiếp cận đó bằng việc khẳng định rõ: dữ liệu cá nhân thuộc về chủ thể dữ liệu, không phải mặc nhiên thuộc về nền tảng hay tổ chức thu thập. Sự đồng ý xử lý dữ liệu phải là sự đồng ý thực chất, tự nguyện, rõ ràng và có thể rút lại. Im lặng không còn được phép diễn giải thành đồng ý. Đây là điểm mấu chốt, bởi nó đặt lại cán cân quyền lực trong không gian số, buộc các tổ chức phải chứng minh tính hợp pháp của mọi hành vi xử lý dữ liệu, thay vì người dùng phải tự chứng minh mình bị xâm phạm.
Quan trọng hơn, luật không dừng ở việc trao quyền trên giấy, mà thiết kế cơ chế thực thi cụ thể. Quyền yêu cầu chỉnh sửa, xóa, hủy hoặc khử nhận dạng dữ liệu cá nhân, cùng với việc cấm tuyệt đối khôi phục trái phép dữ liệu đã bị xóa, cho thấy Nhà nước đã nhìn thẳng vào thực tế: dữ liệu một khi bị thu thập và lưu trữ có xu hướng “tồn tại vĩnh viễn”, gây rủi ro lâu dài cho cá nhân. Quyền được “quên đi” trong không gian số, vì thế, trở thành một quyền thiết yếu chứ không phải ưu đãi.
Trong bối cảnh dữ liệu lớn và trí tuệ nhân tạo được triển khai sâu rộng, Nghị định 356/2025/NĐ-CP yêu cầu áp dụng xác thực đa yếu tố khi xử lý dữ liệu cá nhân quy mô lớn. Đây không chỉ là yêu cầu kỹ thuật, mà là tuyên bố rõ ràng rằng hiệu quả công nghệ không thể đánh đổi bằng an toàn dữ liệu. Việc để lộ dữ liệu cá nhân không còn được xem là “rủi ro nghề nghiệp”, mà là vi phạm pháp luật với trách nhiệm pháp lý rõ ràng.
Luật cũng đi sâu vào những quan hệ xã hội cụ thể vốn lâu nay ít được chú ý từ góc độ bảo vệ dữ liệu. Trong lĩnh vực tuyển dụng và lao động, dữ liệu cá nhân không còn là “tài sản mặc định” của doanh nghiệp. Hồ sơ ứng viên không trúng tuyển, dữ liệu người lao động khi chấm dứt hợp đồng phải được xóa hoặc hủy, trừ những trường hợp có căn cứ pháp luật hoặc thỏa thuận rõ ràng. Quy định này không chỉ bảo vệ quyền riêng tư, mà còn góp phần xây dựng quan hệ lao động minh bạch, tôn trọng lẫn nhau trong nền kinh tế số.
Đối với trẻ em và các nhóm yếu thế, luật áp dụng mức bảo vệ cao hơn, yêu cầu sự đồng ý của người đại diện theo pháp luật và, với trẻ từ đủ 7 tuổi trở lên, cả sự đồng ý của chính trẻ em. Điều này phản ánh một nhận thức tiến bộ: trẻ em không chỉ là đối tượng cần bảo vệ, mà còn là chủ thể có quyền, cần được tôn trọng trong không gian số ngay từ sớm.
Một điểm nhấn khác mang tính răn đe mạnh mẽ là nghĩa vụ thông báo sự cố lộ, mất dữ liệu cá nhân trong vòng 72 giờ. Quy định này buộc các tổ chức phải minh bạch, không thể che giấu sự cố an ninh dữ liệu, đồng thời trao cho người bị ảnh hưởng cơ hội kịp thời bảo vệ quyền và lợi ích của mình. Cùng với đó, quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường được khẳng định rõ, biến quyền dữ liệu cá nhân từ khái niệm trừu tượng thành công cụ pháp lý có thể sử dụng.
Đáng chú ý, từ năm 2026, các nền tảng mạng xã hội bị cấm yêu cầu người dùng cung cấp hình ảnh, video chứa giấy tờ tùy thân để xác thực tài khoản, trừ trường hợp pháp luật quy định. Đây là thông điệp mạnh mẽ đối với các nền tảng số: xác thực người dùng không thể là cái cớ để thu thập dữ liệu quá mức, càng không thể xâm phạm đời sống riêng tư.
Tuy nhiên, luật dù tiến bộ đến đâu cũng chỉ phát huy hiệu quả khi người dân hiểu và chủ động sử dụng quyền của mình. Bảo vệ dữ liệu cá nhân không thể chỉ là trách nhiệm của Nhà nước hay doanh nghiệp, mà đòi hỏi mỗi công dân phải thay đổi thói quen: đọc kỹ điều khoản, dám từ chối, dám yêu cầu xóa dữ liệu, dám lên tiếng khi bị xâm phạm.
Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP vì thế không chỉ là một văn bản pháp lý, mà là lời khẳng định: trong xã hội số, con người phải đứng cao hơn dữ liệu, chứ không bị dữ liệu định đoạt. Đây là nền tảng quan trọng để xây dựng niềm tin số, phát triển kinh tế số bền vững và bảo đảm quyền con người trong kỷ nguyên công nghệ.
Xem thêm:
Thu Uyên