Luật Bảo vệ dữ liệu cá nhân 2025 đã dành một số điều khoản riêng để điều chỉnh việc bảo vệ dữ liệu cá nhân trong các hoạt động có mức độ rủi ro cao hoặc phạm vi tác động rộng, bao gồm hoạt động kinh doanh dịch vụ quảng cáo, cung cấp nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến, xử lý dữ liệu trong môi trường dữ liệu lớn và công nghệ mới, xử lý dữ liệu vị trí cá nhân, dữ liệu sinh trắc học, cũng như hoạt động ghi âm, ghi hình tại nơi công cộng.
Các quy định này nhằm bảo đảm quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân và đặt ra nghĩa vụ cụ thể đối với cơ quan, tổ chức, cá nhân có liên quan.
1. Bảo vệ dữ liệu cá nhân trong kinh doanh quảng cáo
Điều 28 Luật Bảo vệ dữ liệu cá nhân quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo như sau:
(1) Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo chỉ được sử dụng dữ liệu cá nhân của khách hàng được bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao theo thỏa thuận hoặc thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ quảng cáo.
Việc thu thập, sử dụng, chuyển giao dữ liệu cá nhân phải bảo đảm quyền chủ thể dữ liệu cá nhân theo quy định tại Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025.
(2) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chỉ được chuyển dữ liệu cá nhân cho tổ chức,cá nhân kinh doanh dịch vụ quảng cáo theo quy định pháp luật.
(3) Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm; cung cấp phương thức cho khách hàng để có thể từ chối nhận các thông tin quảng cáo.
(4) Việc sử dụng dữ liệu cá nhân để quảng cáo phải phù hợp với quy định của pháp luật về phòng chống tin nhắn rác, thư điện tử rác, cuộc gọi rác và quy định của pháp luật về quảng cáo.
(5) Chủ thể dữ liệu cá nhân có quyền yêu cầu ngừng nhận thông tin từ dịch vụ quảng cáo. Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo phải cung cấp cơ chế và ngừng quảng cáo theo yêu cầu của chủ thể dữ liệu cá nhân.
(6) Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo không được thuê lại hoặc thỏa thuận để tổ chức, cá nhân khác thay mặt mình thực hiện toàn bộ dịch vụ quảng cáo có sử dụng dữ liệu cá nhân.
(7) Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng để quảng cáo; tuân thủ quy định tại các Mục (1), (2), (3), (4) và quy định của pháp luật về quảng cáo.
(8) Tổ chức, cá nhân khi sử dụng dữ liệu cá nhân để quảng cáo theo hành vi hoặc có mục tiêu cụ thể hoặc cá nhân hóa quảng cáo phải tuân thủ quy định tại Điều này và các quy định sau đây:
– Chỉ được thu thập dữ liệu cá nhân thông qua việc theo dõi trang thông tin điện tử, cổng thông tin điện tử, ứng dụng khi có sự đồng ý của chủ thể dữ liệu cá nhân;
– Phải thiết lập phương thức cho phép chủ thể dữ liệu cá nhân từ chối chia sẻ dữ liệu; xác định thời gian lưu trữ; xóa, hủy dữ liệu khi không còn cần thiết.
2. Bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến
Điều 29 Luật Bảo vệ dữ liệu cá nhân quy định về bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến như sau:
Tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến có trách nhiệm sau đây:
(1) Thông báo rõ ràng nội dung dữ liệu cá nhân thu thập khi chủ thể dữ liệu cá nhân cài đặt và sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến; không thu thập trái phép dữ liệu cá nhân và ngoài phạm vi theo thỏa thuận với khách hàng;
(2) Không được yêu cầu cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản;
(3) Cung cấp lừa chọn “không theo dõi” hoặc chỉ được theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi có sự đồng ý của người sử dụng;
(4) Không nghe lén, nghe trộn hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác;
(5) Công khai chính sách bảo mật, giải thích rõ cách thức thu thập, sử dụng và chia sẻ dữ liệu cá nhân; cung cấp cho người dùng cơ chế truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân, báo cáo các vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân nhanh chóng và hiệu quả.
3. Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây
Điều 30 Luật Bảo vệ dữ liệu cá nhân quy định về bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây như sau:
(1) Dữ liệu cá nhân trong môi trường dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải được xử lý đúng mục đích và giới hạn trong phạm vi cần thiết, bảo đảm quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.
(2) Việc xử lý dữ liệu cá nhân trong môi trường dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải tuân thủ quy định của Luật này và quy định khác của pháp luật có liên quan; phù hợp với chuẩn mực đạo đức, thuần phong mỹ tục của Việt Nam.
(3) Hệ thống và dịch vụ sử dụng dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo và điện toán đám mây phải được tích hợp các biện pháp bảo mật dữ liệu cá nhân phù hợp; phải sử dụng phương thức xác thực, định danh phù hợp và phân quyền truy cập để xử lý dữ liệu cá nhân.
(4) Việc xử lý dữ liệu cá nhân bằng trí tuệ nhân tạo phải thực hiện phân loại theo mức độ rủi ro để có biện pháp bảo vệ dữ liệu cá nhân phù hợp.
(5) Không sử dụng, phát triển hệ thống xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây có sử dụng dữ liệu cá nhân để gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của người khác.
(6) Chính phủ có quy định chi tiết các nội dung liên quan đến bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây tại Điều 9 đến Điều 12 Nghị định 356/2025/NĐ-CP.
4. Bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân, dữ liệu sinh trắc học
Điều 31 Luật Bảo vệ dữ liệu cá nhân quy định về bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân, dữ liệu sinh trắc học như sau:
(1) Dữ liệu vị trí cá nhân là dữ liệu được xác định thông qua công nghệ định vị để biết vị trí và giúp xác định con người cụ thể.
(2) Dữ liệu sinh trắc học là dữ liệu về thuộc tính vật lý, đặc điểm sinh học cá biệt và ổn định của một người để xác định người đó.
(3) Việc bảo vệ dữ liệu cá nhân đối với dữ liệu vị trí cá nhân được quy định như sau:
– Không áp dụng việc theo dõi định vị qua thẻ nhận dạng tần số vô tuyến và các công nghệ khác, trừ trường hợp có sự đồng ý của chủ thể dữ liệu cá nhân hoặc trường hợp có yêu cầu của cơ quan có thẩm quyền theo quy định của pháp luật hoặc trường hợp pháp luật có quy định khác;
– Tổ chức, cá nhân cung cấp nền tảng ứng dụng di động phải thông báo cho người sử dụng về việc sử dụng dữ liệu vị trí cá nhân; có biện pháp ngăn chặn việc thu thập dữ liệu vị trí cá nhân của tổ chức, cá nhân không liên quan; cung cấp cho người sử dụng các tùy chọn theo dõi vị trí cá nhân
(4) Việc bảo vệ dữ liệu sinh trắc học quy định như sau:
– Cơ quan, tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải dữ liệu sinh trắc học của mình; hạn chế quyền truy cập vào dữ liệu sinh trắc học; có hệ thống theo dõi để phòng ngừa, phát hiện hành vi xâm phạm dữ liệu sinh trắc học; tuân thủ quy định của pháp luật và tiêu chuẩn quốc tế có liên quan;
– Trường hợp xử lý dữ liệu sinh trắc học gây thiệt hại cho chủ thể dữ liệu cá nhân thì tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải thông báo cho chủ thể dữ liệu cá nhân đó theo quy định tại Điều 29 Nghị định 356/2025/NĐ-CP.
5. Bảo vệ dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng
Điều 32 Luật Bảo vệ dữ liệu cá nhân quy định về bảo vệ dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng như sau:
(1) Cơ quan, tổ chức, cá nhân được ghi âm, ghi hình và xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng mà không cần có sự đồng ý của chủ thể dữ liệu cá nhân trong các trường hợp sau đây:
– Để thực hiện nhiệm vụ quốc phòng, bảo vệ an ninh quốc gia, bảo đảm trật tự, an toàn xã hội, bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân;
– Âm thanh, hình ảnh, các thông tin nhận dạng khác thu được từ các hoạt động công cộng bao gồm hội nghị, hội thảo, hoạt động thi đấu thể thao, biểu diễn nghệ thuật và hoạt động công cộng khác mà không làm tổn hại đến danh dự, nhân phẩm, uy tín của chủ thể dữ liệu cá nhân;
– Trường hợp khác theo quy định của pháp luật.
(2) Trường hợp ghi âm, ghi hình theo Mục (1), cơ quan, tổ chức, cá nhân có trách nhiệm thông báo hoặc bằng hình thức thông tin khác để chủ thể dữ liệu cá nhân biết được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.
(3) Dữ liệu cá nhân thu được chỉ được xử lý, sử dụng phù hợp với mục đích xử lý, không được sử dụng vào các mục đích trái pháp luật hoặc xâm phạm đến quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.
(4) Dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng, hoạt động công cộng chỉ được lưu trữ trong khoảng thời gian cần thiết để phục vụ mục đích thu thập, trừ trường hợp pháp luật có quy định khác. Khi hết thời hạn lưu trữ, dữ liệu cá nhân phải được xóa, hủy theo quy định của Luật này.
(5) Cơ quan, tổ chức, cá nhân thực hiện ghi âm, ghi hình, xử lý dữ liệu cá nhân thu được từ ghi âm, ghi hình trong các trường hợp tại Mục (1) có trách nhiệm bảo vệ dữ liệu cá nhân theo quy định của Luật này và quy định khác của pháp luật có liên quan.
6. Kết luận
Luật Bảo vệ dữ liệu cá nhân 2025 quy định trách nhiệm tuân thủ rất cao đối với các tổ chức, cá nhân xử lý dữ liệu. Việc tuân thủ đầy đủ các quy định này là yêu cầu bắt buộc đối với cơ quan, tổ chức, cá nhân tham gia xử lý dữ liệu cá nhân để bảo đảm quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân trong hoạt động khác thác, sử dụng dữ liệu cá nhân trong thực tiễn.
Bài viết trên được Hãng Luật Bạch Tuyết biên soạn nhằm cung cấp thông tin tham khảo về chủ đề “Bảo vệ dữ liệu cá nhân trong một số hoạt động khác (Phần 2)”. Nội dung không phải là ý kiến tư vấn pháp lý cho một trường hợp cụ thể. Các quy định pháp luật được trích dẫn có hiệu lực tại thời điểm đăng tải, tuy nhiên có thể đã được sửa đổi, bổ sung hoặc thay thế sau đó. Vì vậy, Quý khách hàng nên tham khảo ý kiến chuyên gia trước khi áp dụng vào tình huống thực tế.
Nếu Quý khách hàng có thắc mắc liên quan đến chủ đề trên hoặc cần tư vấn pháp lý trong các lĩnh vực khác, vui lòng liên hệ với Hãng Luật Bạch Tuyết theo thông tin sau:
Trụ sở chính: 1132 Lê Đức Thọ, phường An Hội Đông, Thành phố Hồ Chí Minh.
Fanpage: Hãng Luật Bạch Tuyết
Tel: 0986 797 648
Chi nhánh 1: 529/122 Huỳnh Văn Bánh, phường Phú Nhuận, Thành phố Hồ Chí Minh.
Fanpage: Hãng Luật Bạch Tuyết – Chi nhánh Phú Nhuận
Tel: 0376 019 226
Chi nhánh 2: Tầng 3, 56 Bùi Thiện Ngộ, phường Nam Nha Trang, tỉnh Khánh Hòa.
Fanpage: Hãng Luật Bạch Tuyết – CN Nha Trang
Tel: 0971 926 781
Mail: luatbachtuyet@gmail.com
Website: https://hangluatbachtuyet.com/
Tik.tok: https://www.tiktok.com/@luat_su_nha_trang?lang=vi-VN