Luật này có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026. Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các quy định về lập hồ sơ đánh giá tác động, chỉ định bộ phận, nhân sự bảo vệ DLCN trong thời hạn 05 năm kể từ ngày Luật này có hiệu lực thi hành và miễn thực hiện đối với các hộ kinh doanh, doanh nghiệp siêu nhỏ.

Phân cấp trong quản lý nhà nước; quy định trách nhiệm của các bên kiểm soát, xử lý DLCN, bên thứ ba

Theo Báo cáo tóm tắt Giải trình, tiếp thu, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân, quán triệt Nghị quyết số 27-NQ/TW, chỉ đạo của Tổng Bí thư Tô Lâm và Chủ tịch Quốc hội Trần Thanh Mẫn về đổi mới tư duy trong công tác xây dựng pháp luật, Ủy ban Thường vụ Quốc hội đã chỉ đạo rà soát toàn bộ dự thảo Luật để chỉnh lý, bảo đảm các quy định của dự thảo Luật được rõ ràng, thực chất, ngắn gọn, không quy định chung chung, chỉ quy định những nội dung thuộc thẩm quyền của Quốc hội, bám sát thực tiễn, bảo đảm tính khả thi; xây dựng, chỉnh lý các điều luật rõ ràng, thực chất, cụ thể, không trùng lặp với nội dung đã được quy định trong các dự luật khác góp phần đơn giản, gọn nhẹ nội dung của luật, bảo đảm dễ hiểu, dễ thực hiện.

Dự thảo Luật quy định rõ về phân cấp trong quản lý nhà nước; trách nhiệm của các bên kiểm soát, xử lý DLCN, bên thứ ba, lực lượng bảo vệ DLCN; cắt giảm 04 dịch vụ trong tổng số 05 dịch vụ do Chính phủ trình xuống còn 01 dịch vụ là Dịch vụ xử lý DLCN. Dự thảo Luật không còn quy định về thủ tục hành chính, trình tự, hồ sơ mà giao Chính phủ quy định; bỏ quy định về điều kiện kinh doanh dịch vụ tổ chức bảo vệ DLCN, dịch vụ chuyên gia bảo vệ DLCN; bỏ quy định về Cổng thông tin quốc gia về bảo vệ DLCN; bỏ các trình tự, thủ tục cung cấp DLCN, xếp hạng tín nhiệm bảo vệ DLCN và cấp chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ DLCN.

Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân với tỷ lệ tán thành 90,59%

Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại, Thượng tướng Lê Tấn Tới cho biết, dự thảo Luật tiếp thu, chỉnh lý có 05 chương và 39 điều (giảm 02 chương, 29 điều so với dự thảo Luật do Chính phủ trình), trong đó đã bỏ 19 điều, ghép nội dung 21 điều thành 09 điều và bổ sung 02 điều mới. Dự thảo Luật bảo đảm tính thống nhất với hệ thống pháp luật, tương thích với điều ước quốc tế có liên quan mà Việt Nam là thành viên và bảo đảm tính khả thi.

Cấm mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác

UBTVQH đã chỉ đạo nghiên cứu, tiếp thu các ý kiến của đại biểu Quốc hội; chỉnh lý quy định cấm mua, bán DLCN, trừ trường hợp luật có quy định khác và bổ sung Điều 17 quy định về chuyển giao DLCN. Theo đó, việc chuyển giao dữ liệu cá nhân được thực hiện trong các trường hợp sau đây:

a) Chuyển giao dữ liệu cá nhân khi có sự đồng ý của chủ thể dữ liệu cá nhân;

b) Chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập;

c) Chuyển giao dữ liệu cá nhân để tiếp tục xử lý dữ liệu cá nhân trong trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước; chia, tách, sáp nhập, hợp nhất, kết thúc hoạt động đơn vị, tổ chức; đơn vị, tổ chức được thành lập trên cơ sở kết thúc hoạt động của đơn vị, tổ chức khác;

d) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao dữ liệu cá nhân cho bên xử lý dữ liệu cá nhân, bên thứ ba để xử lý dữ liệu cá nhân theo quy định;

đ) Chuyển giao dữ liệu cá nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền;

e) Chuyển giao dữ liệu cá nhân trong các trường hợp quy định tại khoản 1 Điều 19 của Luật này.

Việc chuyển giao dữ liệu cá nhân trong các trường hợp nêu trên có thu phí hoặc không thu phí thì không được xác định là mua, bán dữ liệu cá nhân.

Luật Bảo vệ dữ liệu cá nhân cấm 7 hành vi sau đây:

1. Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

2. Cản trở hoạt động bảo vệ dữ liệu cá nhân.

3. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.

4. Xử lý dữ liệu cá nhân trái quy định của pháp luật.

5. Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.

6. Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.

7. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Luật quy định xử lý vi phạm pháp luật về bảo vệ DLCN (Điều 8) theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật. Cụ thể: đối với hành vi mua, bán DLCN, có thể phạt đến 10 lần khoản thu có được từ hành vi vi phạm; đối với hành vi vi phạm quy định chuyển DLCN xuyên biên giới, mức phạt tiền tối đa 5% doanh thu năm liền trước; đối với các hành vi vi phạm khác mức phạt tiền tối đa là 03 tỷ đồng; cá nhân vi phạm thì mức xử phạt bằng một phần hai đối với tổ chức.

Miễn thực hiện lập hồ sơ đánh giá tác động, chỉ định bộ phận, nhân sự bảo vệ DLCN đối với các hộ kinh doanh, doanh nghiệp siêu nhỏ

Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại, Thượng tướng Lê Tấn Tới cho biết, Luật quy định chặt chẽ cơ chế thực hiện các quyền của chủ thể dữ liệu, các hoạt động xử lý DLCN cụ thể như thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao DLCN và hoạt động khác tác động đến DLCN, các trường hợp xử lý DLCN không cần sự đồng ý của chủ thể dữ liệu; thống nhất thuật ngữ “chuyển dữ liệu cá nhân xuyên biên giới” cho phù hợp với quy định của Luật Dữ liệu và áp dụng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới và chỉ kiểm tra khi cần thiết, thay vì yêu cầu xin phép trước trong đa số trường hợp, tạo thuận lợi cho doanh nghiệp.

Về đánh giá tác động khi xử lý DLCN và khi chuyển DLCN xuyên biên giới, Luật cơ bản kế thừa các nội dung do Chính phủ trình, theo đó cơ quan, tổ chức chỉ cần lập hồ sơ này một lần cho suốt quá trình hoạt động và cập nhật khi có thay đổi và cơ quan chức năng sẽ thực hiện kiểm tra hồ sơ khi xét thấy cần thiết. Đối với cả hai loại đánh giá tác động này, nếu đã thực hiện theo quy định của Luật này thì không phải thực hiện việc đánh giá rủi ro tương tự theo quy định của Luật Dữ liệu.

Luật bổ sung bảo vệ DLCN đối với các đối tượng là người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi để bảo đảm đầy đủ, bao quát.

Luật quy định lực lượng bảo vệ DLCN gồm: Cơ quan chuyên trách bảo vệ DLCN thuộc Bộ Công an; bộ phận, nhân sự bảo vệ DLCN trong cơ quan, tổ chức; tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN; tổ chức, cá nhân được huy động tham gia bảo vệ DLCN.

“Nhằm giảm gánh nặng tuân thủ pháp luật, Ủy ban Thường vụ Quốc hội đã chỉ đạo bổ sung quy định doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các quy định về lập hồ sơ đánh giá tác động, chỉ định bộ phận, nhân sự bảo vệ DLCN trong thời hạn 05 năm kể từ ngày Luật này có hiệu lực thi hành và miễn thực hiện đối với các hộ kinh doanh, doanh nghiệp siêu nhỏ”, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại, Thượng tướng Lê Tấn Tới nhấn mạnh.

(Theo Quochoi.vn)