Luật số 91/2025/QH15 và thách thức “rò rỉ dữ liệu” trong kỷ nguyên số

Luật số 91/2025/QH15 và thách thức “rò rỉ dữ liệu” trong kỷ nguyên số

Luật số 91/2025/QH15, Luật Bảo vệ dữ liệu cá nhân, đánh dấu bước ngoặt trong khung pháp lý về an toàn thông tin tại Việt Nam. Có hiệu lực từ 01/01/2026, luật đặt ra tiêu chuẩn mới trong việc thu thập và bảo vệ dữ liệu cá nhân. Trước thực trạng rò rỉ dữ liệu ngày càng nghiêm trọng, doanh nghiệp cần sớm hành động để đảm bảo tuân thủ và an toàn thông tin!

Bối cảnh ra đời của Luật số 91/2025/QH15

Trước khi đi vào các nội dung chi tiết, hãy cùng nhìn lại vì sao Việt Nam cần có Luật Bảo vệ dữ liệu cá nhân và Luật 91/2025/QH15 đã đáp ứng những nhu cầu gì mới trên mặt thực tiễn.

Việt Nam đang bước vào giai đoạn chuyển đổi số mạnh mẽ, dữ liệu cá nhân được thu thập, xử lý với quy mô chưa từng có. Tuy nhiên, cơ sở pháp lý để quản lý bảo vệ dữ liệu cá nhân còn phân tán và nhiều lỗ hổng. Bên cạnh đó, hàng loạt vụ rò rỉ dữ liệu trong vài năm gần đây (số vụ mua bán dữ liệu trái phép lên đến hơn 110 triệu bản ghi trong chỉ 6 tháng đầu năm 2025) đã cho thấy lỗ hổng an ninh thông tin trong thực tế. 

Luật số 91/2025/QH15 giúp bảo vệ dữ liệu cá nhân trong kỷ nguyên số
Luật số 91/2025/QH15 giúp bảo vệ dữ liệu cá nhân trong kỷ nguyên số

Luật 91/2025/QH15 được Quốc hội thông qua ngày 26/06/2025, hiệu lực từ 01/01/2026. Văn bản ra đời nhằm mang lại khung pháp lý toàn diện: từ quyền của cá nhân, trách nhiệm của tổ chức đến các chế tài xử phạt, để giảm thiểu rủi ro từ rò rỉ dữ liệu trong mọi hoạt động số hóa. 

Những điểm nổi bật trong Luật số 91/2025/QH15

Luật mới không chỉ quy định khái niệm và phạm vi dữ liệu cá nhân, mà còn thiết lập nguyên tắc, quyền và nghĩa vụ rõ ràng, trách nhiệm xử lý, kiểm tra định kỳ, kiểm soát chuyển dữ liệu xuyên biên giới.

Trong số các điểm mới đáng chú ý:

  • Mã hóa dữ liệu cá nhân bắt buộc trong nhiều trường hợp, bảo đảm người không có quyền giải mã không thể truy vấn thông tin cá nhân.
  • Kiểm tra chuyển dữ liệu cá nhân xuyên biên giới định kỳ hoặc đột xuất khi phát hiện rủi ro.
  • Thông báo vi phạm trong 72 giờ kể từ khi phát hiện rò rỉ, mất mát dữ liệu cá nhân.
  • Chế tài xử phạt mạnh mẽ, có thể lên đến 5% doanh thu hoặc 3 tỷ đồng (với hành vi nghiêm trọng), thậm chí “10 lần khoản thu bất hợp pháp” nếu thu lợi từ hành vi vi phạm.
Những điểm nổi bật trong Luật số 91/2025/QH15
Những điểm nổi bật trong Luật số 91/2025/QH15

Khái niệm và phạm vi điều chỉnh theo Luật 91/2025/QH15

Dưới đây là phần chi tiết về phạm vi áp dụng và các khái niệm căn bản, nhằm giúp các doanh nghiệp, tổ chức hiểu rõ giới hạn và trách nhiệm của mình.

Phạm vi điều chỉnh & đối tượng áp dụng

Luật 91/2025/QH15 điều chỉnh việc thu thập, xử lý, lưu trữ, chia sẻ, hủy dữ liệu cá nhân; bảo vệ quyền lợi của chủ thể dữ liệu; trách nhiệm của tổ chức, cá nhân liên quan.

Luật áp dụng đối với:

  • Cơ quan, tổ chức, cá nhân tại Việt Nam;
  • Cơ quan, tổ chức, cá nhân nước ngoài có hoạt động xử lý dữ liệu cá nhân liên quan đến cư dân Việt Nam;
  • Các cá nhân người gốc Việt chưa xác định quốc tịch đang cư trú tại Việt Nam.

Khái niệm “dữ liệu cá nhân”

Luật định nghĩa dữ liệu cá nhân là thông tin xác định được hoặc có thể xác định được chủ thể dữ liệu, trực tiếp hoặc gián tiếp. Dữ liệu nhạy cảm được xem xét đặc biệt nếu liên quan đến sức khỏe, bí mật riêng tư, tín dụng tài chính… 

Nguyên tắc xử lý dữ liệu cá nhân

Một số nguyên tắc cốt tử mà tổ chức, cá nhân phải tuân:

  1. Minh bạch, mục đích rõ ràng – chỉ được thu thập, xử lý phù hợp với mục đích thông báo từ đầu.
  2. Giới hạn dữ liệu cần thiết, giữ dữ liệu trong khoảng thời gian hợp lý.
  3. Tính chính xác và cập nhật – dữ liệu phải được chỉnh sửa khi có sai lệch.
  4. Bảo mật – mã hóa, kiểm soát truy cập – biện pháp kỹ thuật và tổ chức phải đảm bảo an toàn.
  5. Thông báo rủi ro, phòng ngừa, xử lý kịp thời – phát hiện và ứng phó sớm với các sự cố rò rỉ dữ liệu.

Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân

Luật số 91/2025/QH15 không chỉ quy định trách nhiệm của tổ chức, doanh nghiệp trong việc thu thập và xử lý dữ liệu, mà còn nhấn mạnh vai trò trung tâm của cá nhân, người sở hữu dữ liệu. Mỗi chủ thể dữ liệu được trao quyền kiểm soát mạnh mẽ hơn, đồng thời cũng có nghĩa vụ rõ ràng trong việc bảo vệ thông tin của chính mình.

Quyền của chủ thể dữ liệu

Luật trao khá nhiều quyền để cá nhân chủ động kiểm soát dữ liệu cá nhân của mình:

  • Được biết việc xử lý dữ liệu cá nhân;
  • Đồng ý hoặc từ chối, rút lại sự đồng ý xử lý dữ liệu;
  • Xem, chỉnh sửa, yêu cầu xóa hoặc hạn chế xử lý dữ liệu cá nhân;
  • Yêu cầu cung cấp bản sao dữ liệu cá nhân liên quan đến mình;
  • Phản đối xử lý dữ liệu;
  • Khiếu nại, khởi kiện, yêu cầu bồi thường nếu bị xâm phạm quyền lợi.

Nghĩa vụ của chủ thể dữ liệu cá nhân

 Mỗi cá nhân sử dụng dịch vụ hoặc tương tác với tổ chức xử lý dữ liệu cũng có nghĩa vụ:

  • Bảo vệ dữ liệu cá nhân của bản thân, không cung cấp thông tin sai lệch có thể gây hậu quả;
  • Tôn trọng quyền dữ liệu cá nhân của người khác;
  • Cung cấp dữ liệu trung thực và phù hợp theo quy định khi cần thiết trong hợp đồng, giao dịch hoặc theo yêu cầu pháp lý;
  • Hợp tác trong quá trình xử lý dữ liệu cá nhân nếu được yêu cầu và tuân thủ quy định pháp luật về bảo vệ dữ liệu. 

Trách nhiệm của tổ chức, giải pháp ứng với rò rỉ dữ liệu

Song song với việc bảo vệ quyền của cá nhân, Luật số 91/2025/QH15 cũng đặt ra những yêu cầu nghiêm ngặt đối với tổ chức, doanh nghiệp - những đơn vị trực tiếp thu thập và xử lý dữ liệu cá nhân. Đây chính là nhóm chịu trách nhiệm cao nhất trong việc đảm bảo tính an toàn, minh bạch và tuân thủ pháp luật khi vận hành hệ thống dữ liệu.

Trách nhiệm của bên kiểm soát và xử lý dữ liệu cá nhân

Tổ chức nào quyết định mục đích, phương tiện xử lý dữ liệu (bên kiểm soát) và tổ chức nào thực hiện xử lý dữ liệu theo chỉ định (bên xử lý) đều có trách nhiệm:

  • Lựa chọn biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân, liên tục rà soát, cập nhật.
  • Thông báo vi phạm cho cơ quan chuyên trách trong vòng 72 giờ khi phát hiện vi phạm dữ liệu cá nhân.
  • Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân; trong trường hợp chuyển dữ liệu xuyên biên giới, thực hiện đánh giá tác động chuyển dữ liệu cá nhân và cập nhật khi có thay đổi.
  • Hợp tác với cơ quan chuyên trách về bảo vệ dữ liệu cá nhân để kiểm tra hoặc ngừng việc chuyển dữ liệu khi thấy nguy cơ vi phạm luật.
  • Bồi thường thiệt hại khi vi phạm, chịu trách nhiệm trước chủ thể dữ liệu cá nhân.
  • Trong trường hợp vi phạm nghiêm trọng, có thể áp dụng hình thức xử lý hình sự.

Phòng chống rò rỉ dữ liệu - Giải pháp kỹ thuật và tổ chức

Dưới đây là các giải pháp thiết yếu để tổ chức không bị vướng vi phạm dưới chế tài mới:

  1. Xây dựng hệ thống bảo mật nhiều lớp (firewall, IDS/IPS, WAF, phân quyền truy cập)
  2. Mã hóa dữ liệu ở trạng thái nghỉ và khi truyền tải
  3. Giám sát, phát hiện xâm nhập, cảnh báo sớm
  4. Sao lưu định kỳ, kiểm tra khôi phục để giảm rủi ro mất dữ liệu
  5. Huấn luyện nhân sự, quy trình nội bộ về an ninh dữ liệu
  6. Đánh giá định kỳ rủi ro, cập nhật biện pháp bảo mật theo diễn biến mới
  7. Kế hoạch ứng phó khẩn cấp (incident response), bao gồm báo cáo, thông báo, khắc phục, kiểm tra hậu sự cố

Các doanh nghiệp đã nhiều lần bị cảnh báo về rò rỉ dữ liệu qua bài viết trên Trang thông tin điện tử tổng hợp GenKTạp chí điện tử ThanhnienViet.vnTrang Tin công nghệ…  Những cảnh báo này càng cho thấy áp lực thực tiễn mà Luật 91/2025/QH15 đặt ra cho doanh nghiệp.

Chế tài xử phạt và rủi ro khi rò rỉ dữ liệu

Luật số 91/2025/QH15 không chỉ mang tính định hướng mà còn có cơ chế chế tài rõ ràng, thể hiện sự quyết tâm của Nhà nước trong việc bảo vệ dữ liệu cá nhân. Các mức xử phạt được quy định nghiêm khắc nhằm răn đe, buộc tổ chức, doanh nghiệp phải coi bảo mật thông tin là ưu tiên hàng đầu trong mọi hoạt động vận hành.

Mức phạt và chế tài trong Luật 91/2025/QH15

  • Với hành vi vi phạm quy định về xử lý dữ liệu cá nhân, tổ chức có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự tùy mức độ.
  • Mức phạt tối đa đối với hành vi vi phạm “khác” có thể lên đến 3 tỷ đồng. Đây là mức kỷ lục được nhiều bài viết (Fanpage, bài PR) nhắc đến như cảnh báo uy tín doanh nghiệp.
  • Với hành vi mua bán hoặc thu lợi từ dữ liệu cá nhân vi phạm, mức phạt có thể lên đến 10 lần khoản thu bất hợp pháp (nếu có).
  • Trong trường hợp vi phạm chuyển dữ liệu xuyên biên giới không đúng quy định, có thể bị phạt đến 5% doanh thu của năm liền trước.
  • Trường hợp tái phạm, có thể bị xử lý bổ sung như tước giấy phép hoạt động hoặc đình chỉ kinh doanh ngành thu thập dữ liệu từ 1 – 3 tháng.

Rủi ro thực tế khi rò rỉ dữ liệu

  • Mất uy tín thương hiệu, khách hàng mất tin tưởng
  • Tranh chấp pháp lý, kiện tụng, yêu cầu bồi thường thiệt hại
  • Cản trở hoạt động kinh doanh do bị xử phạt hoặc đình chỉ
  • Rà soát, kiểm tra từ cơ quan chức năng, thậm chí truy cứu hình sự

Ví dụ: Nhiều doanh nghiệp từng bị cảnh báo sụp đổ uy tín chỉ vì để lộ thông tin khách hàng, đối mặt mức phạt lên đến 3 tỷ đồng, lời cảnh báo rằng rò rỉ dữ liệu từ chính nội bộ là một trong những rủi ro phổ biến hiện nay.

Lộ trình triển khai cho doanh nghiệp trước 01/01/2026

Để sẵn sàng tuân thủ Luật số 91/2025/QH15 khi có hiệu lực, doanh nghiệp cần bắt đầu chuẩn bị ngay từ bây giờ. Việc triển khai đúng lộ trình sẽ giúp giảm thiểu rủi ro, tránh bị động trước các yêu cầu pháp lý mới. 

Dưới đây là lộ trình 5 bước quan trọng mà mọi tổ chức nên thực hiện để đảm bảo an toàn dữ liệu và tuân thủ toàn diện.

  1. Khảo sát hệ thống dữ liệu hiện có, xác định dữ liệu cá nhân đang thu thập, xử lý, lưu trữ
  2. Đánh giá rủi ro, xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA)
  3. Xây dựng hoặc tối ưu hạ tầng bảo mật theo chuẩn mã hóa, giám sát, phân quyền
  4. Đào tạo nhân sự, xây dựng quy trình nội bộ – đảm bảo con người là tuyến phòng thủ đầu tiên
  5. Kiểm thử, kiểm tra nội bộ, chạy thử kế hoạch ứng phó, rà soát trước khi Luật có hiệu lực

Đây là lộ trình cần thực hiện càng sớm càng tốt vì càng đến gần 01/01/2026, áp lực tuân thủ càng lớn, rủi ro vi phạm càng cao.

VNETWORK - Giải pháp hạ tầng, truyền tải và bảo mật toàn diện phù hợp với Luật số 91/2025/QH15

Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) sẽ chính thức có hiệu lực từ ngày 01/01/2026, việc tuân thủ các quy định mới không chỉ là yêu cầu pháp lý mà còn là yếu tố sống còn giúp doanh nghiệp bảo vệ uy tín và niềm tin khách hàng.

Là Trung tâm Ứng cứu An ninh Mạng Toàn diện, VNETWORK đồng hành cùng doanh nghiệp Việt trên hành trình tuân thủ PDPL 2025 và xây dựng hệ thống bảo mật dữ liệu vững chắc với hệ sinh thái hạ tầng - truyền tải - an ninh mạng ứng dụng AI.

VNETWORK hiện là đơn vị cung cấp các giải pháp hạ tầng, truyền tải và bảo mật an ninh mạng hàng đầu tại Việt Nam và châu Á
VNETWORK hiện là đơn vị cung cấp các giải pháp hạ tầng, truyền tải và bảo mật an ninh mạng hàng đầu tại Việt Nam và châu Á

Ba giải pháp chủ lực của VNETWORK bao gồm:

  • VCLOUD - Nền tảng Cloud-native Tier III với hiệu suất uptime 99,997%, tích hợp CI/CD, bảo mật đạt chuẩn ISO 27001. Giải pháp cho phép doanh nghiệp mở rộng linh hoạt, “may đo” theo nhu cầu và được hỗ trợ kỹ thuật 24/7.
  • VNIS - Hệ thống bảo mật Web/App/API tích hợp AI & SOC, giúp ngăn chặn ransomware, phát hiện tấn công DDoS, khai thác lỗ hổng và phản ứng theo thời gian thực. VNIS bảo vệ toàn diện cho nền tảng trực tuyến, yếu tố cốt lõi trong mọi chiến lược chuyển đổi số.
  • EG-Platform - Giải pháp bảo mật email duy nhất trên toàn cầu đáp ứng 100% tiêu chuẩn ITU-T X.1236 của Liên minh Viễn thông quốc tế (ITU). Ứng dụng AI & Machine Learning để phát hiện và ngăn chặn các cuộc tấn công Ransomware, Phishing, APT, đảm bảo an toàn cho toàn bộ hệ thống email 2 chiều của doanh nghiệp.

Việc tuân thủ Luật Bảo vệ Dữ liệu Cá nhân 2025 không chỉ giúp doanh nghiệp tránh các mức phạt lên đến 3 tỷ đồng hoặc gấp 10 lần khoản thu bất hợp pháp, mà còn củng cố uy tín, năng lực vận hành và niềm tin khách hàng trong kỷ nguyên dữ liệu.

VNETWORK cam kết đồng hành cùng doanh nghiệp Việt xây dựng hạ tầng số an toàn, tự chủ và bền vững, sẵn sàng cho kỷ nguyên bảo mật dữ liệu toàn diện.

Đăng ký trải nghiệm các giải pháp của VNETWORK tại: https://www.vnetwork.vn/vi-VN/contact-us/

Kết luận

Luật số 91/2025/QH15, Luật Bảo vệ dữ liệu cá nhân, đánh dấu bước ngoặt trong quản lý dữ liệu cá nhân tại Việt Nam. Trong bối cảnh các vụ rò rỉ dữ liệu ngày càng gia tăng, doanh nghiệp nào chủ quan sẽ đối mặt với rủi ro pháp lý và mất uy tín.

Áp dụng các giải pháp công nghệ và tổ chức phù hợp là điều thiết yếu và VNETWORK - Trung tâm Ứng cứu An ninh Mạng Toàn diện và đơn vị cung cấp giải pháp hạ tầng, truyền tải và bảo mật hàng đầu Việt Nam và châu Á - chính là đối tác tin cậy để doanh nghiệp chuẩn bị vượt qua áp lực tuân thủ và bảo vệ dữ liệu cá nhân một cách chuyên nghiệp!

FAQ - Những câu hỏi thường gặp về Luật số 91/2025/QH15 & rò rỉ dữ liệu

1. Luật số 91/2025/QH15 có hiệu lực từ khi nào?

Luật được Quốc hội thông qua ngày 26/06/2025 và chính thức có hiệu lực từ ngày 01/01/2026.

2. Nếu bị rò rỉ dữ liệu, doanh nghiệp phải thông báo trong bao lâu?

Trong trường hợp có vi phạm dữ liệu cá nhân gây nguy cơ tổn hại, bên kiểm soát hoặc xử lý phải thông báo cho cơ quan chuyên trách trong 72 giờ kể từ khi phát hiện sự cố.

3. Mức phạt cao nhất khi vi phạm dữ liệu cá nhân theo luật mới?

Mức phạt có thể lên đến 3 tỷ đồng đối với vi phạm nghiêm trọng; nếu doanh nghiệp thu lợi từ vi phạm, mức phạt có thể là 10 lần khoản thu bất hợp pháp.

4. Doanh nghiệp nhỏ có phải thực thi tất cả điều khoản ngay từ đầu?

Có quy định ưu tiên cho doanh nghiệp nhỏ, khởi nghiệp được lựa chọn thực hiện hoặc chưa thực hiện một số quy định giai đoạn đầu trong 5 năm kể từ khi luật có hiệu lực.

5. VNETWORK hỗ trợ doanh nghiệp ứng dụng Luật 91/2025/QH15 như thế nào?

VNETWORK cung cấp giải pháp hạ tầng bảo mật, giám sát, mã hóa dữ liệu, đánh giá rủi ro, đào tạo nhân sự, ứng phó sự cố, giúp doanh nghiệp tuân thủ luật và giảm thiểu rủi ro rò rỉ dữ liệu một cách tối ưu.

CÁC BÀI VIẾT LIÊN QUAN

Sitemap HTML