Luật Bảo vệ dữ liệu cá nhân đã bắt đầu có hiệu lực từ ngày đầu tiên của năm 2026, mang đến những thay đổi căn bản trong cách các nền tảng số và tổ chức tài chính xử lý thông tin người dùng.
Một trong những điểm nhấn đáng chú ý nhất của Luật Bảo vệ dữ liệu cá nhân là các quy định cứng rắn nhằm bảo vệ người dùng trên không gian mạng, đặc biệt là đối với các dịch vụ mạng xã hội và truyền thông trực tuyến.
Cấm mạng xã hội đòi ảnh căn cước công dân để xác thực
Theo quy định mới, luật nghiêm cấm các đơn vị cung cấp dịch vụ mạng xã hội, truyền thông trực tuyến yêu cầu người sử dụng phải cung cấp hình ảnh hoặc video chứa nội dung (dù là toàn bộ hay một phần) giấy tờ tùy thân như căn cước công dân là yếu tố bắt buộc để xác thực tài khoản. Quy định này nhằm ngăn chặn rủi ro lộ lọt thông tin định danh nhạy cảm của công dân.
Bên cạnh đó, ngay từ khi người dùng cài đặt và bắt đầu sử dụng dịch vụ, các nền tảng này buộc phải thông báo rõ ràng về nội dung dữ liệu cá nhân sẽ được thu thập. Việc thu thập dữ liệu trái phép hoặc vượt quá phạm vi thỏa thuận ban đầu với khách hàng là hành vi bị cấm.
Tăng quyền kiểm soát cho người dùng
Luật mới trao quyền chủ động nhiều hơn cho người sử dụng dịch vụ số. Cụ thể, các mạng xã hội phải cung cấp tùy chọn cho phép người dùng từ chối việc thu thập và chia sẻ tệp dữ liệu (cookies).
Các nền tảng cũng phải tích hợp chức năng "không theo dõi". Hoạt động theo dõi người dùng chỉ được phép thực hiện khi có sự đồng ý rõ ràng từ phía người sử dụng.
Đáng chú ý, luật nghiêm cấm hành vi nghe lén, ghi âm cuộc gọi hoặc đọc tin nhắn văn bản của người dùng khi chưa có sự đồng ý của chủ thể dữ liệu (ngoại trừ các trường hợp đặc biệt do pháp luật quy định).
Tính minh bạch cũng được đề cao khi luật yêu cầu các đơn vị phải công khai chính sách bảo mật, giải thích rõ ràng cách thức thu thập, sử dụng và chia sẻ dữ liệu. Đồng thời, phải cung cấp cơ chế để người dùng dễ dàng truy cập, chỉnh sửa, xóa dữ liệu và tự thiết lập quyền riêng tư của mình. Việc bảo vệ dữ liệu của công dân Việt Nam khi chuyển giao xuyên biên giới cũng được luật chú trọng.
Không được tự ý chấm điểm tín dụng khi khách hàng chưa đồng ý
Không chỉ giới hạn ở mạng xã hội, Luật Bảo vệ dữ liệu cá nhân cũng thiết lập hàng rào bảo vệ vững chắc trong lĩnh vực tài chính, ngân hàng và hoạt động thông tin tín dụng.
Các tổ chức hoạt động trong lĩnh vực này có trách nhiệm thực hiện nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân nhạy cảm, tuân thủ các tiêu chuẩn an toàn và bảo mật cao nhất.
Một quy định then chốt là các tổ chức không được phép sử dụng thông tin tín dụng của khách hàng để thực hiện việc chấm điểm, xếp hạng tín dụng, hoặc đánh giá mức độ tín nhiệm khi chưa nhận được sự đồng ý từ chính chủ thể dữ liệu đó.
Việc thu thập dữ liệu phục vụ hoạt động thông tin tín dụng phải giới hạn ở mức cần thiết và chỉ được lấy từ các nguồn phù hợp quy định pháp luật.
Trong trường hợp không may xảy ra sự cố lộ, mất thông tin về tài khoản ngân hàng, tài chính hay tín dụng, tổ chức liên quan phải có trách nhiệm thông báo ngay lập tức cho khách hàng.
Luật cũng yêu cầu các tổ chức này phải áp dụng các biện pháp kỹ thuật để phòng, chống truy cập, sử dụng hoặc chỉnh sửa trái phép dữ liệu; đồng thời phải có sẵn giải pháp khôi phục dữ liệu của khách hàng trong trường hợp bị mất mát.