Luật Bảo vệ dữ liệu cá nhân (Luật 91/2025/QH15) và Nghị định 13/2023/NĐ-CP đều là các văn bản pháp luật quan trọng về bảo vệ dữ liệu cá nhân tại Việt Nam. Tuy nhiên, hai văn bản này có nhiều điểm giống và khác nhau mà các doanh nghiệp và cá nhân cần nắm rõ để tuân thủ quy định và tránh vi phạm.
Nội dung bài viết
Tổng quan về Luật Bảo vệ dữ liệu cá nhân 2025
Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15), được Quốc hội Việt Nam thông qua ngày 26/6/2025, là văn bản pháp lý đầu tiên ở cấp luật chuyên biệt điều chỉnh toàn diện hoạt động xử lý, quản lý và bảo vệ dữ liệu cá nhân tại Việt Nam. Luật có hiệu lực từ ngày 01/01/2026 và thay thế vai trò tạm thời của Nghị định 13/2023/NĐ-CP.
Luật này không chỉ kế thừa những nguyên tắc từ nghị định trước mà còn bổ sung hàng loạt quy định mới, như:
-
Cơ chế xử phạt nghiêm minh,
-
Bảo vệ dữ liệu trong lĩnh vực AI, Big Data, Blockchain,
-
Quy định rõ về dữ liệu sinh trắc học, vị trí cá nhân,
-
Và đặc biệt mở rộng phạm vi áp dụng với cả người gốc Việt chưa xác định quốc tịch.
Với Luật 91, Việt Nam đã có bước tiến lớn trong việc xây dựng hệ sinh thái pháp lý hiện đại về quyền riêng tư dữ liệu, phù hợp xu hướng toàn cầu và yêu cầu chuyển đổi số quốc gia
Bảng so sánh Luật 91/2025/QH15 và Nghị định 13/2023/NĐ-CP
Dưới đây là bảng so sánh chi tiết giữa Luật 2025 và Nghị định 13/2023/NĐ-CP
Tiêu chí | Luật 91/2025/QH15 | Nghị định 13/2023/NĐ-CP |
---|---|---|
Cơ quan ban hành | Quốc hội | Chính phủ |
Ngày ban hành | 26/6/2025 | 17/4/2023 |
Ngày hiệu lực | 01/01/2026 | 01/07/2023 |
Tính pháp lý | Luật – có giá trị pháp lý cao hơn, là căn cứ để điều chỉnh các văn bản dưới luật | Nghị định – văn bản dưới luật, quy định chi tiết và hướng dẫn thi hành một số luật có liên quan |
Phạm vi điều chỉnh | Quy định về dữ liệu cá nhân, bảo vệ dữ liệu và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan | Quy định cụ thể về bảo vệ dữ liệu cá nhân và trách nhiệm của cơ quan, tổ chức, cá nhân trong quá trình xử lý dữ liệu cá nhân |
Đối tượng áp dụng | Mở rộng hơn: bao gồm cả người gốc Việt chưa xác định quốc tịch nhưng sinh sống tại Việt Nam và có giấy chứng nhận căn cước | Áp dụng cho cơ quan, tổ chức, cá nhân Việt Nam và nước ngoài có xử lý dữ liệu cá nhân tại Việt Nam |
Định nghĩa dữ liệu cá nhân | Gồm dữ liệu cơ bản, dữ liệu nhạy cảm. Quy định thêm dữ liệu sau khi khử nhận dạng không còn là dữ liệu cá nhân | Gồm dữ liệu cơ bản, dữ liệu nhạy cảm với danh mục cụ thể (họ tên, CMND, vị trí, sức khỏe, xu hướng tình dục…) |
Nguyên tắc bảo vệ dữ liệu | Đề cao tính toàn diện, bảo vệ lợi ích quốc gia, dân tộc, nhấn mạnh yếu tố phát triển kinh tế – xã hội, công nghệ | Tập trung vào bảo vệ quyền riêng tư và quyền lợi hợp pháp của cá nhân, quy định nguyên tắc xử lý dữ liệu cụ thể |
Quyền của chủ thể dữ liệu | Bổ sung: Chủ thể dữ liệu không được gây cản trở bên kiểm soát dữ liệu thực hiện nghĩa vụ pháp lý | Quy định 11 quyền cơ bản: được biết, đồng ý/rút lại, chỉnh sửa, xóa, hạn chế xử lý, khiếu nại, yêu cầu bồi thường… |
Xử lý dữ liệu không cần đồng ý | Chặt chẽ hơn: yêu cầu các bên thiết lập cơ chế giám sát, có biện pháp giảm thiểu rủi ro | Cho phép trong trường hợp bảo vệ tính mạng, an ninh quốc gia, phục vụ cơ quan nhà nước, nghĩa vụ hợp đồng… |
Chuyển dữ liệu ra nước ngoài | Yêu cầu lập hồ sơ đánh giá tác động và gửi cơ quan chuyên trách trong vòng 60 ngày, miễn trừ trong một số trường hợp cụ thể | Yêu cầu lập hồ sơ đánh giá tác động và gửi Bộ Công an trong vòng 60 ngày |
Xử phạt vi phạm | Quy định mức phạt tối đa: – Mua/bán dữ liệu: 10 lần khoản thu bất hợp pháp – Chuyển dữ liệu xuyên biên giới vi phạm: 5% doanh thu năm trước liền kề | Xử phạt theo quy định xử lý vi phạm hành chính và hình sự hiện hành, chưa có mức phạt cụ thể như Luật |
Điểm nổi bật | – Quy định riêng cho dữ liệu sinh trắc học, dữ liệu vị trí, mạng xã hội, AI, Blockchain, Big Data – Tăng thời gian miễn trừ cho doanh nghiệp nhỏ: 5 năm | – Miễn trừ chỉ 2 năm cho doanh nghiệp nhỏ, startup – Không quy định riêng cho AI, Blockchain… |
Điều khoản chuyển tiếp | Hoạt động xử lý dữ liệu đã được đồng ý hoặc thỏa thuận theo Nghị định 13/2023/NĐ-CP tiếp tục thực hiện, không cần xin lại sự đồng ý |
Kết luận
Luật Bảo vệ dữ liệu cá nhân 2025 ra đời đã nâng cấp và hoàn thiện khung pháp lý so với Nghị định 13/2023/NĐ-CP, với phạm vi điều chỉnh rộng hơn và các quy định xử phạt nghiêm khắc hơn. Các doanh nghiệp, tổ chức và cá nhân cần nhanh chóng cập nhật, điều chỉnh quy trình xử lý dữ liệu cá nhân để đảm bảo tuân thủ quy định mới khi Luật có hiệu lực từ 01/01/2026.
Liên hệ nếu quý khách cần tư vấn thêm: Ms Huyền Hotline/Zalo – 094 719 2091
Email: pham.thi.thu.huyen@manaboxvn.jp.
Công ty TNHH Manabox Việt Nam
Phòng 701, tầng 7, tòa nhà 3D center, số 3 Duy Tân, Phường Dịch Vọng Hậu, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam Facebook: https://www.facebook.com/ManaboxVietnam
Facebook Group: https://www.facebook.com/groups/congvanketoan
Youtube: https://www.youtube.com/@congtytnhhmanaboxvietnam6227
Tiktok: https://www.tiktok.com/@manabox.ketoanthue
Zalo: https://zalo.me/g/rittvj348