Luật Bảo Vệ Dữ Liệu Cá Nhân 2025 (có hiệu lực từ 01/01/2026): Quy định giúp người dùng hiểu hơn về Quyền riêng tư của mình khi nhận yêu cầu từ các nền tảng như Zalo

Zalo có thể xem là một trong những nền tảng tiên phong lấy “Sự đồng ý” của người dùng để xử lý dữ liệu cá nhân khi cập nhật điều khoản và điều kiện ứng dụng. Tuy nhiên, cách thu thập dữ liệu của nền tảng này mang tính chất áp đặt, theo đó để duy trì sử dụng dịch vụ, người dùng “chỉ có thể” chấp thuận mà không được lựa chọn từ chối các điều khoản xâm phạm quyền riêng tư; nếu không chấp thuận, họ đối mặt với nguy cơ bị xóa tài khoản trong thời hạn 45 ngày. Cách tiếp cận theo hướng “đồng ý hoặc ngừng sử dụng” đã tạo nên một làn sóng phản đối dữ dội từ phía người dùng.

Bài viết dưới đây cung cấp những thông tin cơ bản về dữ liệu cá nhân theo Luật Bảo vệ Dữ liệu cá nhân 2025 mới nhất nhằm giúp người dùng hiểu rõ và bảo vệ được quyền riêng tư của bản thân khi nhận được những yêu cầu nêu trên từ các nền tảng mạng xã hội.

Bối cảnh thúc đẩy sự ra đời của Luật Bảo vệ dữ liệu cá nhân 2025

Trong nhiều năm qua, các vụ tranh chấp iên quan đến lạm dụng, rò rỉ dữ liệu cá nhân xảy ra ngày càng phổ biến. Người dùng thường rơi vào thế bị động, buộc phải đồng ý với các điều khoản dài dòng và phức tạp để sử dụng dịch vụ. Việc các nền tảng lớn như Zalo yêu cầu người dùng cung cấp thêm thông tin hoặc cấp quyền truy cập rộng hơn cũng là một ví dụ. Hành động này, dù được lý giải nhằm bảo mật hoặc cải thiện trải nghiệm, vẫn có thể vô tình hoặc hữu ý xâm phạm quyền riêng tư cá nhân.

Ngày 17 tháng 04 năm 2023, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP, có hiệu lực kể từ ngày 01 tháng 07 năm 2023 quy định về trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Ngày 26 tháng 06 năm 2025, Quốc hội thông qua Luật Bảo Vệ Dữ Liệu Cá Nhân 2025, luật này có hiệu lực kể từ ngày 01 tháng 01 năm 2026. Nhằm giải thích một số điều khoản trong Luật Bảo vệ dữ liệu cá nhân, một nghị định mới số 356/2025/NĐ-CP đã được ban hành thay thế Nghị định 13 nêu trên.

Những trách nhiệm từ Luật bảo vệ dữ liệu cá nhân 2025 mà Zalo và các nền tảng mạng xã hội phải tuân thủ

Điều 29 Luật bảo vệ dữ liệu cá nhân 2025 đề cập đến một số trách nhiệm mà mọi tổ chức xử lý, cung cấp dịch vụ mạng xã hội phải tôn trọng. Đây chính là cơ sở để đánh giá tính hợp pháp trong các yêu cầu của Zalo hay bất kỳ ứng dụng nào khác. Cụ thể:

• Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng;
• Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản;
• Cung cấp lựa chọn cho phép người dùng từ chối thu thập và chia sẻ tệp dữ liệu (gọi là cookies);
• Cung cấp lựa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;
• Không nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác;
• Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.

Trên cơ sở hiểu rõ các trách nhiệm này, các doanh nghiệp sẽ cần phải thiết kế lại bảng Thông báo Quyền Riêng Tư với thông tin rõ ràng hơn, theo đó cung cấp cho người dùng nhiều sự lựa chọn và đồng ý theo từng mục đích mà doanh nghiệp là bên kiểm soát dữ liệu đang muốn sử dụng dữ liệu cá nhân. 

Quyền của chủ thể dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 2025

Không chỉ đặt ra nghĩa vụ cho doanh nghiệp, Luật Bảo vệ dữ liệu cá nhân 2025 còn quy định về Quyền của chủ thể dữ liệu, tức là quyền của người dùng. Cụ thể bao gồm 06 quyền sau:

• Được biết về hoạt động xử lý dữ liệu cá nhân;
• Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;
• Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;
• Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;
• Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;
• Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.

Điều này có nghĩa, nếu một ứng dụng như Zalo đưa ra yêu cầu mà bạn cho là không phù hợp, bạn hoàn toàn có quyền yêu cầu giải thích rõ ràng, chỉnh sửa hoặc từ chối. Nếu việc từ chối dẫn đến bạn không thể sử dụng các tính năng chính, đó có thể là dấu hiệu của sự ép buộc trái pháp luật. 

Dự báo tác động của Luật bảo vệ dữ liệu cá nhân 2025 lên môi trường số Việt Nam

Sự ra đời của Luật Bảo vệ dữ liệu cá nhân 2025 cùng quy định chi tiết về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân và trong hàng loạt hoạt động như: lao động, bảo hiểm, tín dụng, quảng cáo, mạng xã hội, truyền thông…buộc các doanh nghiệp phải tái cấu trúc lại cách thức thu thập và xử lý dữ liệu. Các chính sách bảo mật sẽ phải được viết lại theo hướng minh bạch, dễ tiếp cận hơn. Cơ chế xin đồng ý sẽ phải rõ ràng, cụ thể theo từng loại dữ liệu và mục đích, cho phép người dùng từ chối thu thập hoặc đồng ý một phần… thay vì duy nhất một lựa chọn “Đồng ý”. Ngoài ra, cơ quan, tổ chức còn có trách nhiệm chỉ định nhân sự, bộ phận đủ điều kiện năng lực để bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.

Đối với người dùng, Luật Bảo vệ dữ liệu cá nhân 2025 và nghị định hướng dẫn đã xây dựng khung pháp lý toàn diện và rõ ràng về cơ chế bảo vệ chủ thể dữ liệu. Theo đó, Luật mới không chỉ quy định cơ chế bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu mà còn xây dựng cơ chế bảo vệ theo các lĩnh vực cụ thể.

Luật Bảo vệ dữ liệu cá nhân 2025 cùng nghị định hướng dẫn kỳ vọng sẽ bảo vệ toàn diện hơn về quyền riêng tư, dữ liệu cá nhân cho chủ thể dữ liệu và tăng cường trách nhiệm của các chủ thể thu thập và sử dụng chúng. Khung pháp lý mới sẽ mang lại môi trường mạng trở nên an toàn và đáng tin cậy hơn, từ đó thúc đẩy niềm tin vào thương mại điện tử, dịch vụ công trực tuyến và chuyển đổi số quốc gia.

Chuẩn bị cho kỷ nguyên mới: Lời khuyên từ chuyên gia pháp lý

Thời điểm Luật bảo vệ dữ liệu cá nhân 2025 chính thức có hiệu lực, cả người dùng và doanh nghiệp đều cần chủ động chuẩn bị. Là một người dùng, bạn nên:

1. Đọc kỹ chính sách bảo mật: Dành thời gian tìm hiểu xem dữ liệu của mình sẽ được sử dụng ra sao trước khi nhấn “Đồng ý”.
2. Sử dụng quyền từ chối một cách chọn lọc: Hãy cân nhắc và chỉ cấp quyền truy cập thực sự cần thiết cho ứng dụng. Bạn hoàn toàn có thể từ chối yêu cầu truy cập danh bạ, vị trí nếu thấy không phù hợp.
3. Thường xuyên kiểm tra và dọn dẹp cài đặt quyền riêng tư: Vào phần cài đặt của ứng dụng và mạng xã hội để thu hồi các quyền đã cấp nhưng không còn sử dụng.
4. Lên tiếng khi thấy bất thường: Nếu gặp phải yêu cầu cung cấp dữ liệu quá mức hoặc có dấu hiệu ép buộc, đừng ngần ngại phản hồi trực tiếp với nhà cung cấp dịch vụ hoặc tìm kiếm tư vấn pháp lý.

Đối với doanh nghiệp, đặc biệt là những công ty vận hành nền tảng số, việc rà soát toàn bộ quy trình xử lý dữ liệu, điều chỉnh chính sách và chỉ định bộ phận, nhân sự đủ khả năng bảo vệ dữ liệu cá nhân là vô cùng cấp thiết. Việc tuân thủ sớm không chỉ tránh được các rủi ro pháp lý, chế tài nặng nề mà còn xây dựng được lòng tin vững chắc từ khách hàng.

Mối liên hệ giữa bảo vệ quyền riêng tư và nhu cầu phát triển dịch vụ số sẽ còn tiếp tục, sự xuất hiện của Luật bảo vệ dữ liệu cá nhân 2025 chắc chắn sẽ bảo vệ quyền riêng tư và dữ liệu cá nhân của người dùng trên không gian mạng một cách toàn diện hơn.