QUYỀN BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA NGƯỜI DÙNG

Lần đầu tiên, quyền bảo vệ dữ liệu cá nhân của người dùng được xác lập đầy đủ, có hệ thống, đặt đúng vị trí là một quyền dân sự cơ bản gắn chặt với quyền con người, quyền công dân trong bối cảnh chuyển đổi số toàn diện.

Dữ liệu cá nhân là “tài sản mềm” của công dân số

Trong xã hội hiện đại, dữ liệu cá nhân không còn là những thông tin rời rạc, vô thưởng vô phạt. Họ tên, số điện thoại, địa chỉ, thói quen tiêu dùng, lịch sử di chuyển, hành vi trực tuyến… tất cả hợp lại thành “chân dung số” của mỗi con người.

Luật Bảo vệ dữ liệu cá nhân 2025 đã định danh rõ ràng: Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Điều này có ý nghĩa rất lớn khi dữ liệu cá nhân được pháp luật xác lập là đối tượng cần được bảo vệ nghiêm ngặt, thì mọi hành vi thu thập, xử lý, khai thác dữ liệu đều phải được đặt trong khuôn khổ pháp lý, chịu sự giám sát của Nhà nước và xã hội.

Nói cách khác, dữ liệu cá nhân không phải là “mỏ vàng vô chủ” để các tổ chức, doanh nghiệp tùy tiện khai thác vì lợi ích thương mại.

Một điểm tiến bộ căn bản của Luật Bảo vệ dữ liệu cá nhân 2025 là đặt người dùng (chủ thể dữ liệu) vào vị trí trung tâm. Người dùng không còn là “đối tượng bị thu thập”, mà trở thành chủ thể có đầy đủ quyền năng pháp lý đối với dữ liệu của chính mình.

Luật quy định rõ: Người dùng có quyền được biết về hoạt động xử lý dữ liệu cá nhân; quyền đồng ý hoặc không đồng ý, quyền rút lại sự đồng ý; quyền xem, chỉnh sửa, yêu cầu chỉnh sửa; quyền yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu; quyền phản đối xử lý dữ liệu; quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại. Đây là một hệ thống quyền hoàn chỉnh, tiệm cận với các chuẩn mực quốc tế về bảo vệ dữ liệu cá nhân.

Điều quan trọng hơn, các quyền này không chỉ tồn tại trên giấy. Luật đồng thời đặt ra nghĩa vụ tương ứng cho các tổ chức, doanh nghiệp phải xem xét, xử lý yêu cầu của người dùng về việc xóa dữ liệu, gỡ bỏ thông tin, hoặc rút lại sự đồng ý đã cho trước.

Mối quan hệ giữa người dùng và nhà cung cấp dịch vụ vì thế được tái cân bằng, từ thế bất đối xứng sang thế bình đẳng hơn về mặt pháp lý.

Ngoại lệ cần thiết, nhưng không thể bị lạm dụng

Luật cũng thừa nhận những trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của người dùng, như để bảo vệ tính mạng, sức khỏe, danh dự, quyền và lợi ích hợp pháp của cá nhân hoặc người khác trong tình huống cấp bách; để bảo vệ lợi ích chính đáng của Nhà nước; hoặc phục vụ nhiệm vụ bảo đảm an ninh quốc gia, trật tự an toàn xã hội.

Tuy nhiên, tinh thần xuyên suốt của luật là: Ngoại lệ chỉ là ngoại lệ. Mọi hành vi xử lý dữ liệu không cần sự đồng ý đều phải được chứng minh là “cần thiết”, “tương xứng” và “đúng mục đích”. Nếu không được kiểm soát chặt chẽ, những ngoại lệ này rất dễ trở thành kẽ hở để hợp thức hóa việc xâm phạm quyền riêng tư của công dân.

Một trong những quy định được dư luận đặc biệt quan tâm là việc cấm các nền tảng mạng xã hội yêu cầu người dùng cung cấp hình ảnh, video chứa giấy tờ tùy thân làm yếu tố xác thực tài khoản. Quy định này đánh trúng thực trạng lâu nay nhiều nền tảng nhân danh “xác thực”, “bảo mật” để thu thập quá mức dữ liệu nhạy cảm, đẩy rủi ro về phía người dùng.

Không dừng lại ở đó, luật buộc các mạng xã hội phải cho phép người dùng từ chối cookies, cung cấp lựa chọn “không theo dõi”, chỉ được theo dõi hành vi khi có sự đồng ý rõ ràng; không nghe lén, ghi âm, đọc tin nhắn khi chưa được phép; công khai minh bạch chính sách bảo mật; và đặc biệt là phải bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới.

Những quy định này, nếu được thực thi nghiêm túc, sẽ chấm dứt tư duy coi dữ liệu người dùng là “nguyên liệu miễn phí” cho mô hình kinh doanh số.

Mua bán dữ liệu cá nhân: Từ “chợ đen” đến chế tài nghiêm khắc

Luật Bảo vệ dữ liệu cá nhân 2025 liệt kê rõ hành vi mua bán dữ liệu cá nhân trái phép là hành vi bị nghiêm cấm. Đây là điểm then chốt, bởi thực tế nhiều năm qua cho thấy, lộ lọt và mua bán dữ liệu cá nhân chính là “nguồn nhiên liệu” của các đường dây lừa đảo công nghệ cao.

Theo thống kê của Hiệp hội An ninh mạng quốc gia, năm 2024 có tới hơn 66% người dùng xác nhận thông tin cá nhân từng bị sử dụng trái phép.

Dữ liệu bị lộ từ mua sắm trực tuyến, từ mạng xã hội, từ các dịch vụ thiết yếu như nhà hàng, khách sạn, siêu thị. Đáng lo ngại hơn, nhiều dữ liệu bị rao bán công khai, kéo dài trong thời gian dài, với sự tham gia không chỉ của cá nhân mà cả tổ chức, doanh nghiệp.

Trong nhiều vụ án lừa đảo lớn bị triệt phá, cơ quan chức năng chỉ rõ, mua bán dữ liệu cá nhân là mắt xích trung tâm hình thành các “chợ đen dữ liệu”. Thực tế này cho thấy, nếu không có chế tài đủ mạnh, dữ liệu cá nhân sẽ tiếp tục bị coi thường, còn người dùng tiếp tục là nạn nhân.

Luật ra đời là điều kiện cần, nhưng chưa đủ, mà thách thức lớn nhất nằm ở khâu thực thi.

Thực tế, dù đã có Nghị định 13/2023 nghiêm cấm mua bán dữ liệu cá nhân, nhưng tình trạng này vẫn diễn ra công khai. Nguyên nhân không chỉ đến từ ý thức người dùng còn hạn chế, mà còn từ việc hạ tầng bảo mật yếu kém của nhiều cơ quan, doanh nghiệp; từ sự buông lỏng quản lý và thiếu chế tài đủ sức răn đe.

Luật Bảo vệ dữ liệu cá nhân 2025 đặt ra yêu cầu cấp thiết, là phải xử phạt nghiêm, xử phạt công khai, xử phạt đến nơi đến chốn. Chỉ khi những vụ mua bán dữ liệu bị đưa ra ánh sáng, những tổ chức vi phạm phải trả giá thực sự, thì luật mới đi vào cuộc sống.

Quyền bảo vệ dữ liệu cá nhân của người dùng không phải là “đặc ân”, mà là quyền hiến định trong kỷ nguyên số. Luật Bảo vệ dữ liệu cá nhân 2025 là bước tiến quan trọng, thể hiện quyết tâm của Nhà nước trong việc đặt con người ở vị trí trung tâm của quá trình chuyển đổi số.

Khi dữ liệu cá nhân được tôn trọng, thì niềm tin xã hội mới được củng cố; và chỉ trên nền tảng niềm tin đó, không gian số Việt Nam mới có thể phát triển bền vững, an toàn và nhân văn.