Bản so sánh Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 13/2023/NĐ-CP, giúp người đọc hiểu rõ các yêu cầu về bảo vệ dữ liệu cá nhân từ 01/01/2026.
Luật Bảo vệ dữ liệu cá nhân 2025 là văn bản Luật đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân, được nâng tầm từ Nghị định lên Luật, với phạm vi điều chỉnh rộng hơn, chế tài nghiêm khắc hơn và cơ chế giám sát độc lập, một số điểm đáng chú ý có thể kể đến như:
Cá nhân được quyền yêu cầu xóa, chỉnh sửa dữ liệu cá nhân
Mức phạt lên tới 5% doanh thu với hành vi vi phạm bảo vệ dữ liệu cá nhân
Doanh nghiệp công nghệ xử lý dữ liệu lớn, AI, Blockchain chỉ được xử lý dữ liệu trong phạm vi cần thiết
Mạng xã hội không được yêu cầu hình ảnh giấy tờ tùy thân làm xác thực
Nhà tuyển dụng chỉ thu thập dữ liệu ứng viên phục vụ mục đích tuyển dụng
Doanh nghiệp phải xóa dữ liệu cá nhân người lao động sau khi chấm dứt hợp đồng
Mua bán dữ liệu cá nhân có thể bị phạt đến 10 lần khoản thu từ hành vi vi phạm
Ngân hàng, tổ chức tín dụng không được chấm điểm tín dụng nếu chưa có sự đồng ý của khách hàng
Tổ chức quảng cáo chỉ được sử dụng dữ liệu cá nhân khi có sự đồng ý
Dịch vụ mạng xã hội không được nghe lén, đọc tin nhắn người dùng nếu không được phép
Doanh nghiệp bảo hiểm phải có sự đồng ý của khách hàng khi chia sẻ dữ liệu với bên thứ ba
Trong khi đó, Nghị định 13/2023/NĐ-CP là văn bản quy định nền tảng, lần đầu tiên thiết lập khung pháp lý cụ thể về xử lý, bảo vệ dữ liệu cá nhân tại Việt Nam.
| Chủ đề | Nội dung | Luật 91/2025/QH15 | Nghị định 13/2023/NĐ‑CP |
|---|---|---|---|
| I. Quyền của chủ thể dữ liệu | Quyền được biết | Điều 4(1): Bao gồm việc biết về thu thập, xử lý, mục đích | 11 quyền tại khoản 3: bao gồm quyền được biết |
| Quyền đồng ý / rút lại | Điều 4: Đồng ý rõ ràng; có quyền rút lại | Điều 9: Có quyền đồng ý, rút lại nhưng chưa quy định rõ | |
| Quyền truy cập, chỉnh sửa, xóa | Điều 4: Xem, chỉnh sửa, xóa, hạn chế xử lý | Điều 9: Có các quyền trên nhưng chưa cụ thể hóa phản hồi | |
| Phản đối xử lý | Điều 4: Gửi yêu cầu phản đối xử lý dữ liệu | Khoản quyền hạn chế, phản đối chưa rõ ràng | |
| Khiếu nại, yêu cầu bồi thường | Điều 4: Gồm khiếu nại, tố cáo, khởi kiện | Quyền khiếu nại, bồi thường đề cập nhưng chung chung | |
| Hiệp sao dữ liệu | Không nêu riêng | Nghị định không liệt kê rõ quyền này | |
| II. Nghĩa vụ xử lý dữ liệu | Thông báo / minh bạch | Điều 15: Thực hiện trước khi xử lý, rõ mục đích | Điều 13: Bắt buộc thông báo, theo mẫu văn bản hoặc điện tử |
| Bảo mật dữ liệu | Điều 16‑17: Phải áp dụng biện pháp kỹ thuật, vật lý | Điều 26‑28: Có biện pháp nhưng chưa yêu cầu cụ thể loại bảo mật | |
| Đánh giá tác động dữ liệu | Điều 21: Bắt buộc nếu xử lý nhạy cảm hoặc chuyển ra nước ngoài | Không bắt buộc thực hiện DPIA | |
| Phản hồi yêu cầu | Điều 4(2): Phải phản hồi kịp thời theo quy định | Không quy định thời hạn phản hồi cụ thể | |
| Trách nhiệm pháp lý | Chủ động chịu trách nhiệm nếu xảy ra vi phạm | Nền tảng trách nhiệm chưa rõ ràng | |
| III. Báo cáo và xử lý vi phạm | Thời hạn báo cáo | Nghị định chưa rõ, Luật sẽ chi tiết hóa | Điều 23: Báo cáo trong 72h kể từ phát hiện |
| Nội dung báo cáo & thông báo cá nhân | Luật bổ sung quy định phải thông báo người bị ảnh hưởng | Nghị định chỉ yêu cầu báo cáo cơ quan, không thông báo cá nhân | |
| Xử phạt | Luật bổ sung chế tài hành chính, dân sự, hình sự | Chỉ xử phạt hành chính (theo luật 15/2020) | |
| Hành vi bị nghiêm cấm | Điều 7: Mua bán, xử lý trái pháp luật, xâm phạm an ninh, lợi ích quốc gia | Điều 8: Có các hành vi bị cấm tương tự | |
| IV. Chuyển dữ liệu ra nước ngoài | DPIA và hợp đồng chuyển dữ liệu | Luật quy định rõ phải thực hiện DPIA & có hợp đồng tương đương bảo vệ | Nghị định yêu cầu thông báo đơn giản, không cần DPIA |
| Kiểm soát xuyên biên giới | Cơ quan chuyên trách có quyền kiểm tra định kỳ hoặc đột xuất | Không quy định quyền đình chỉ/chặn chuyển dữ liệu | |
| Quyền đình chỉ | Có thể yêu cầu ngừng chuyển nếu vi phạm lợi ích quốc gia | Không có quy định tương ứng | |
| V. Cơ quan quản lý & giám sát | Cơ quan đầu mối | Bộ Công an + cơ quan chuyên trách thuộc Cơ quan này | Cục An ninh mạng – Bộ Công an là đầu mối chính |
| Thanh tra & phối hợp liên ngành | Luật đề cập đến cơ chế phối hợp, thanh tra độc lập | Nghị định có thanh tra, kiểm tra, truyền thông nhưng thiếu phối hợp chuyên ngành | |
| Cổng thông tin quốc gia | Luật sẽ cụ thể hóa vận hành Cổng dữ liệu cá nhân quốc gia | Nghị định 13 đã yêu cầu vận hành Cổng Thông tin quốc gia |
