Luật bảo vệ dữ liệu cá nhân 2025: Điều cần biết khi dùng app

Một lần bấm “đồng ý” trên ứng dụng giao đồ ăn, ví điện tử, ngân hàng số hay mạng xã hội có thể kéo theo nhiều luồng dữ liệu đi cùng lúc. Danh bạ, vị trí, ảnh chân dung, lịch sử giao dịch, hành vi lướt màn hình đều có thể bị ghi nhận nếu người dùng không hiểu rõ phạm vi thu thập.

Từ ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân 2025 chính thức có hiệu lực. Điểm đáng chú ý không chỉ nằm ở việc cấm mua bán dữ liệu, mà còn ở cách luật buộc ứng dụng phải minh bạch hơn, còn người dùng có thêm quyền kiểm soát thực chất đối với dữ liệu của mình.

Luật bảo vệ dữ liệu cá nhân 2025 là gì và áp dụng với ai

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

Luật Bảo vệ dữ liệu cá nhân 2025 là khung pháp lý gốc điều chỉnh việc thu thập, lưu trữ, phân tích, chia sẻ, chuyển giao và xóa dữ liệu cá nhân trong môi trường số. Văn bản này được Quốc hội thông qua ngày 26/6/2025, mang số 91/2025/QH15 và có hiệu lực từ ngày 01/01/2026 theo thông tin công bố chính thức của Bộ Công an và Cổng thông tin văn bản Chính phủ.

Với người dùng ứng dụng, phạm vi áp dụng rất rộng. Không chỉ cơ quan, doanh nghiệp trong nước phải tuân thủ, mà cả tổ chức, cá nhân nước ngoài xử lý dữ liệu của công dân Việt Nam hoặc người gốc Việt chưa xác định quốc tịch đang sinh sống tại Việt Nam cũng phải đi theo luật này. Nghĩa là nếu một nền tảng đặt máy chủ ở nước ngoài nhưng thu thập dữ liệu người dùng Việt Nam, họ vẫn không thể đứng ngoài hệ thống bảo vệ này.

Điểm mấu chốt là luật không chỉ xử lý tình huống “bị lộ dữ liệu”, mà điều chỉnh ngay từ khâu thiết kế luồng dữ liệu. Ứng dụng càng tích hợp nhiều tính năng đăng nhập, định vị, thanh toán, nhận diện khuôn mặt, càng phải chứng minh được lý do thu thập từng loại dữ liệu và cách giữ chúng đúng mục đích.

Điều 2. Giải thích từ ngữ

Trong thực tế sử dụng app, nhiều người chỉ nghĩ dữ liệu cá nhân là số điện thoại hoặc căn cước công dân. Cách hiểu này quá hẹp, vì trên ứng dụng, dữ liệu cá nhân còn có thể là ảnh đại diện, địa chỉ giao hàng, lịch sử tìm kiếm, thiết bị đang dùng, tệp theo dõi hành vi, thậm chí là cách bạn di chuyển theo bản đồ.

Luật đặt nền tảng để phân biệt dữ liệu cá nhân với những thông tin đã được ẩn danh hoặc tổng hợp ở mức không còn nhận diện trực tiếp một người. Đây là điểm quan trọng vì nhiều ứng dụng thường gọi dữ liệu “đã được làm sạch”, nhưng nếu còn khả năng suy ra danh tính hoặc hành vi của một cá nhân thì vẫn không thể coi là vô hại.

Khi hiểu đúng thuật ngữ, người dùng sẽ thấy vì sao có những quyền tưởng nhỏ nhưng thực ra rất quan trọng. Ví dụ, quyền truy cập, chỉnh sửa, yêu cầu xóa hoặc phản đối xử lý dữ liệu không phải là khái niệm trang trí trong chính sách bảo mật, mà là cơ chế để người dùng cắt đứt vòng đời dữ liệu khi không còn muốn tiếp tục chia sẻ.

Điều 3. Nguyên tắc bảo vệ dữ liệu cá nhân

Nguyên tắc lớn nhất của luật là dữ liệu phải được xử lý đúng mục đích, đúng phạm vi, đúng căn cứ pháp lý và đủ minh bạch để người dùng biết mình đang trao gì cho ai. Điều này buộc ứng dụng không thể lấy dữ liệu theo kiểu “thu càng nhiều càng tốt rồi tính sau”, một cách làm vốn rất phổ biến trong các hệ sinh thái số trước đây.

Luật cũng nhấn mạnh tính tự chủ của chủ thể dữ liệu. Người dùng phải được biết, được đồng ý, được rút lại đồng ý, được xem, chỉnh sửa, yêu cầu cung cấp, xóa hoặc hạn chế xử lý dữ liệu tùy trường hợp, thay vì bị giam trong một màn hình cài đặt phức tạp mà không có lối ra rõ ràng.

Cơ chế này đặc biệt quan trọng trên app vì dữ liệu thường chảy qua nhiều lớp: giao diện người dùng, hệ thống phân tích hành vi, cổng thanh toán, bên cung cấp dịch vụ đám mây, và đôi khi là nhà quảng cáo hoặc đối tác tích hợp. Nếu không có nguyên tắc giới hạn từ đầu, dữ liệu rất dễ bị “trôi” khỏi mục đích ban đầu mà người dùng đã chấp thuận.

Quyền của người dùng và nghĩa vụ của ứng dụng

Điều 4. Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân

Về phía người dùng, luật xác lập một bộ quyền khá rõ. Bộ Công an cho biết người dùng có quyền được biết về hoạt động xử lý dữ liệu, đồng ý hoặc không đồng ý, rút lại sự đồng ý, xem và chỉnh sửa dữ liệu, yêu cầu cung cấp hoặc xóa dữ liệu, yêu cầu hạn chế xử lý, phản đối xử lý, khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường theo quy định pháp luật.

Điều này có ý nghĩa trực tiếp với mọi ứng dụng đang yêu cầu quyền truy cập camera, micro, danh bạ hoặc vị trí. Nếu ứng dụng nói rằng chỉ dùng một dữ liệu cho xác thực nhưng sau đó dùng tiếp cho tiếp thị, đối chiếu hồ sơ hoặc chia sẻ với bên thứ ba, người dùng có cơ sở để đặt câu hỏi về căn cứ xử lý và phạm vi đồng ý ban đầu.

Từ góc độ cơ chế, quyền dữ liệu chỉ có giá trị khi người dùng thực sự nhìn thấy dữ liệu của mình đang đi đâu và có thể dừng nó lại. Nếu không thể rút lại đồng ý, không thể xóa tài khoản, không thể chỉnh sửa thông tin sai, thì “đồng ý” chỉ là một cú nhấp chuột hình thức chứ chưa phải là kiểm soát thực chất.

Điều 5. Áp dụng pháp luật về bảo vệ dữ liệu cá nhân

Luật dữ liệu không đứng một mình. Khi dùng app, nó sẽ đi cùng với các quy định về an ninh mạng, giao dịch điện tử, bảo vệ quyền lợi người tiêu dùng, lao động, tài chính, ngân hàng và các luật chuyên ngành khác nếu có liên quan.

Điểm này rất quan trọng vì nhiều doanh nghiệp thường viện cớ “theo quy trình nội bộ” hoặc “do yêu cầu kỹ thuật” để thu thập nhiều hơn mức cần thiết. Nhưng khi đã có luật gốc, mọi quy trình nội bộ phải lùi về sau nguyên tắc pháp luật, nghĩa là cái gì không có căn cứ rõ thì không nên mặc định được phép.

Trong thực tế, ứng dụng xử lý dữ liệu của người Việt nhưng chạy hạ tầng ở nước ngoài vẫn phải tính đến luật Việt Nam. Đây là cách hệ thống pháp lý giảm khoảng trống trách nhiệm, tránh tình trạng người dùng chịu rủi ro còn đơn vị vận hành đẩy trách nhiệm sang bên cung cấp dịch vụ ở quốc gia khác.

Điều 6. Hợp tác quốc tế về bảo vệ dữ liệu cá nhân

Môi trường số không có biên giới, còn dữ liệu thì có thể đi rất nhanh qua nhiều quốc gia chỉ trong vài giây. Vì vậy, hợp tác quốc tế là phần gần như bắt buộc nếu muốn kiểm soát được các nền tảng xuyên biên giới, các dịch vụ đám mây, quảng cáo số và hệ sinh thái phân tích dữ liệu.

Với người dùng ứng dụng, điều này thể hiện ở những thao tác rất quen thuộc như đăng nhập bằng tài khoản toàn cầu, chấp nhận đồng bộ danh bạ, cho phép chia sẻ dữ liệu với đối tác hoặc đồng ý chuyển dữ liệu sang hệ thống đặt ở nước ngoài. Khi dữ liệu đi qua biên giới, rủi ro tăng lên vì người dùng phải tin không chỉ vào ứng dụng, mà còn vào chuỗi nhà cung cấp liên quan.

Cơ chế hợp tác quốc tế giúp cơ quan quản lý có thêm công cụ đàm phán, yêu cầu tuân thủ và phối hợp xử lý vi phạm. Đây cũng là lý do vì sao các ứng dụng lớn không thể chỉ dịch chính sách bảo mật sang tiếng Việt cho có, mà phải thiết kế lại chuỗi tuân thủ theo từng thị trường.

Ứng dụng được phép làm gì với dữ liệu người dùng

Khi một ứng dụng thu thập dữ liệu, câu hỏi không phải là “có thu được không” mà là “thu để làm gì, có cần thiết không, và người dùng đã được báo trước ở mức nào”. Một ứng dụng gọi xe cần vị trí để định tuyến là điều dễ hiểu, nhưng nếu tiếp tục dùng vị trí đó để xây hồ sơ hành vi mà không nói rõ thì đã chạm sang vùng rủi ro pháp lý.

Luật cho phép xử lý dữ liệu trong một số trường hợp không cần đồng ý nếu có căn cứ hợp pháp rõ ràng, chẳng hạn để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền và lợi ích hợp pháp trong tình huống cấp bách; để ứng phó tình trạng khẩn cấp; để phục vụ hoạt động của cơ quan nhà nước; hoặc để thực hiện thỏa thuận hợp pháp giữa các bên. Đây là phần rất quan trọng vì nó cho thấy đồng ý của người dùng không phải là con đường duy nhất, nhưng cũng không vì thế mà ứng dụng được tự do mở rộng quyền xử lý tùy ý.

Mechanism của luật nằm ở chỗ cân bằng giữa lợi ích vận hành và quyền riêng tư. Ứng dụng vẫn có thể hoạt động hiệu quả nếu chứng minh được mục đích xử lý, nhưng càng thu thập nhiều, càng phải gánh trách nhiệm giải trình lớn hơn về bảo mật, lưu trữ và giới hạn chia sẻ.

Bộ Công an cũng nêu rõ nhiều hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân, trong đó có mua bán dữ liệu cá nhân, chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân, hay xử lý dữ liệu trái quy định pháp luật. Với doanh nghiệp vận hành app, đây là tín hiệu rõ ràng rằng dữ liệu không còn là một tài sản tự do trao đổi như trước, mà là một đối tượng pháp lý có ranh giới rất cụ thể.

Điều người dùng nên kiểm tra trước khi bấm đồng ý

Màn hình xin quyền trên ứng dụng thường được thiết kế ngắn, trong khi chính sách bảo mật lại dài và khó đọc. Vì vậy, người dùng không nên chỉ nhìn nút “đồng ý”, mà cần kiểm tra ứng dụng đang xin loại dữ liệu nào, dùng cho mục đích gì, có chia sẻ cho bên thứ ba không và có cho phép rút lại đồng ý hay không.

Một chi tiết đáng chú ý là các ứng dụng mạng xã hội và dịch vụ truyền thông trực tuyến không được yêu cầu hình ảnh hoặc video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản, theo thông tin Bộ Công an công bố. Đây là điểm rất sát với trải nghiệm dùng app ở Việt Nam, nơi nhiều người đã từng phải chụp căn cước, quay video khuôn mặt hoặc gửi ảnh giấy tờ chỉ để qua bước đăng ký.

Cơ chế rủi ro ở đây là “thu nhập liệu vượt mức cần thiết”. Khi một nền tảng đòi nhiều dữ liệu hơn mức tối thiểu để cung cấp dịch vụ, chi phí tuân thủ của họ không chỉ tăng lên mà rủi ro rò rỉ cũng phình ra theo. Với người dùng, quy tắc thực dụng là chỉ cấp quyền đúng lúc cần dùng, và nếu app không giải thích được vì sao cần quyền đó, nên xem đó là một cảnh báo.

Một lớp kiểm tra khác là cookie, tức các tệp theo dõi giúp ghi nhớ hành vi và phiên truy cập. Theo thông tin công bố của Bộ Công an, người dùng phải có lựa chọn từ chối thu thập và chia sẻ cookie, đồng thời có lựa chọn “không theo dõi” nếu hệ thống triển khai theo dõi hoạt động sử dụng. Nói ngắn gọn, app càng nhiều tính năng phân tích quảng cáo, cá nhân hóa nội dung, đo hành vi chuyển đổi thì càng phải minh bạch hơn về cái giá dữ liệu mà người dùng đang trả.

Trường hợp dữ liệu đi ra nước ngoài và vì sao người dùng nên cẩn trọng hơn

Chuyển dữ liệu cá nhân xuyên biên giới là điểm nóng của luật mới. Bộ Công an cho biết mức phạt tiền tối đa đối với tổ chức vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới có thể lên tới 5% doanh thu của năm trước liền kề trong một số trường hợp, cho thấy nhà làm luật coi đây là rủi ro lớn chứ không phải lỗi kỹ thuật nhỏ.

Lý do phải siết chặt là vì dữ liệu đi ra ngoài lãnh thổ thường kéo theo nhiều tầng nhà cung cấp. Một ứng dụng nội địa có thể lưu dữ liệu ở hệ thống đám mây quốc tế, dùng công cụ phân tích ở nước khác và tích hợp quảng cáo từ một bên thứ ba, khiến việc xác định trách nhiệm khi có sự cố khó hơn rất nhiều nếu không có cơ chế pháp lý đủ mạnh.

Với người dùng, điều nên để ý không chỉ là tên ứng dụng, mà còn là nơi nó đặt máy chủ, có chia sẻ dữ liệu với đối tác nào, có điều khoản chuyển dữ liệu ra nước ngoài không, và có cho phép xóa dữ liệu triệt để khi ngừng sử dụng không. Đây là điểm mà nhiều người bỏ qua, nhưng lại liên quan trực tiếp đến khả năng dữ liệu của mình bị tái sử dụng cho mục đích ngoài tầm kiểm soát ban đầu.

Ở bình diện rộng hơn, sự hợp tác quốc tế về dữ liệu là điều tất yếu trong kinh tế số. Nhưng hợp tác chỉ an toàn khi người dùng, doanh nghiệp và cơ quan quản lý cùng chia sẻ một chuẩn minh bạch, thay vì đẩy trách nhiệm cho nhau mỗi khi dữ liệu bị lộ hoặc bị khai thác sai mục đích.

Câu hỏi thường gặp

Dùng ứng dụng mà không đọc chính sách bảo mật có sao không?
Có thể vẫn dùng được, nhưng rủi ro cao hơn vì bạn không biết app thu thập gì, chia sẻ với ai và giữ dữ liệu bao lâu. Trong môi trường pháp lý mới, người dùng nên ít nhất kiểm tra các mục về mục đích xử lý, chia sẻ bên thứ ba và cách xóa dữ liệu.

Ứng dụng có được tự ý yêu cầu ảnh căn cước để xác thực không?
Không nên mặc định như vậy. Theo thông tin Bộ Công an công bố, mạng xã hội và dịch vụ truyền thông trực tuyến không được yêu cầu hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản.

Tôi có quyền yêu cầu xóa dữ liệu trên app không?
Có, trong nhiều trường hợp bạn có quyền yêu cầu xóa, hạn chế xử lý hoặc rút lại sự đồng ý. Tuy nhiên, việc xóa còn phụ thuộc vào nghĩa vụ lưu trữ theo luật chuyên ngành hoặc thỏa thuận hợp pháp nếu có.

Ứng dụng nước ngoài dùng dữ liệu của người Việt có phải tuân thủ luật này không?
Có, nếu họ xử lý dữ liệu cá nhân của công dân Việt Nam hoặc các đối tượng thuộc phạm vi điều chỉnh của luật. Đây là điểm then chốt để tránh khoảng trống pháp lý với các nền tảng xuyên biên giới.

Người dùng nên làm gì trước tiên để tự bảo vệ mình?
Nên kiểm tra quyền ứng dụng đang xin, tắt các quyền không cần thiết, xem mục chia sẻ dữ liệu cho bên thứ ba và ưu tiên ứng dụng có chính sách xóa dữ liệu rõ ràng. Nếu một dịch vụ đòi quá nhiều dữ liệu mà không giải thích hợp lý, đó là dấu hiệu nên cân nhắc lại trước khi tiếp tục dùng.

Nguồn pháp lý tham khảo: Cổng thông tin văn bản Chính phủ, Bộ Công an - toàn văn luật, Bộ Công an - các quy định đáng chú ý, Bộ Công an - hiệu lực từ 01/01/2026.

Khám phá

Bảo vệ thông tin cá nhân: Những biện pháp cần áp dụng ngay

An toàn thông tin mạng là gì? Cách tự bảo vệ dữ liệu cá nhân

Vay mua nhà ở, đất ở: điều kiện, lãi suất và hồ sơ cần biết

Kinh nghiệm mua căn hộ chung cư: 8 lưu ý cần biết

Đòn bẩy tài chính là gì? 7 điều nhà đầu tư BĐS cần biết