Bước ngoặt trong bảo vệ dữ liệu cá nhân

Không đơn thuần là một đạo luật mang tính kỹ thuật, Luật Bảo vệ dữ liệu cá nhân phản ánh sự thay đổi rõ rệt trong cách nhìn nhận dữ liệu, từ chỗ được coi là tài nguyên để khai thác, sang việc xác lập dữ liệu như một quyền cần được bảo vệ.

Thực tiễn cho thấy, yêu cầu này không đến sớm mà cũng không phải muộn. Thời gian qua, tình trạng thu thập, mua bán và sử dụng trái phép dữ liệu cá nhân diễn ra ngày càng phổ biến, với quy mô lớn và tính chất ngày càng tinh vi. Lực lượng chức năng đã phát hiện và xử lý 56 vụ việc mua bán trái phép dữ liệu cá nhân, liên quan tới hơn 110 triệu bản ghi dữ liệu bị thu thập và giao dịch trái phép. Những dữ liệu này nhanh chóng trở thành công cụ cho các hành vi giả danh ngân hàng, DN viễn thông, sàn thương mại điện tử hoặc cơ quan công quyền để lừa đảo, chiếm đoạt tài sản. Trong nhiều trường hợp, người dân gần như không có khả năng kiểm soát dữ liệu của chính mình…

Trong khi đó, ở phía DN, mức độ tuân thủ các quy định về bảo vệ dữ liệu cá nhân vẫn còn khoảng cách đáng kể. Hiện, hơn 1/3 DN chưa tuân thủ đầy đủ quy định với vai trò là bên kiểm soát dữ liệu, và gần 1/2 DN chưa đáp ứng yêu cầu khi trực tiếp xử lý dữ liệu cá nhân. Điều này phản ánh rằng, khi dữ liệu được khai thác ngày càng sâu, nhưng khung pháp lý chưa đủ mạnh, rủi ro sẽ dồn về phía người dùng.

Trong bối cảnh đó, Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ đầu năm 2026 với điểm nhấn là việc xác lập rõ các quyền dữ liệu cơ bản của công dân. Lần đầu tiên, các quyền như được biết, được đồng ý, được truy cập, chỉnh sửa và đặc biệt là quyền yêu cầu xóa dữ liệu cá nhân được ghi nhận ở cấp độ luật. Đây không chỉ là sự bổ sung về mặt pháp lý, mà là một sự điều chỉnh quan trọng trong mối quan hệ giữa con người và các nền tảng công nghệ.

Cụ thể, việc luật hóa quyền này đã đặt lại giới hạn, buộc các tổ chức, DN phải tôn trọng ý chí của chủ thể dữ liệu, thay vì mặc nhiên coi dữ liệu là “đi kèm” với dịch vụ. Luật cũng làm rõ trách nhiệm của các chủ thể tham gia vào quá trình xử lý dữ liệu cá nhân. Từ đơn vị trực tiếp thu thập và quyết định mục đích xử lý, bộ phận xử lý dữ liệu, cho đến các bên thứ ba tham gia theo hợp đồng, mỗi khâu đều được đặt trong một khuôn khổ trách nhiệm rõ ràng. Ở góc độ rộng hơn, Luật Bảo vệ dữ liệu cá nhân cho thấy sự thay đổi trong tư duy quản trị dữ liệu của Nhà nước.

Với người dân, luật mang lại công cụ pháp lý để bảo vệ chính mình, nhưng đồng thời cũng đặt ra yêu cầu về trách nhiệm. Quyền dữ liệu cá nhân chỉ phát huy hiệu quả nếu người dùng chủ động hiểu, sử dụng và biết bảo vệ. Với DN, luật buộc phải thay đổi cách tiếp cận, từ khai thác dữ liệu bằng mọi giá sang quản trị dữ liệu có trách nhiệm và minh bạch hơn…

Sự thay đổi lớn nhất mà Luật Bảo vệ dữ liệu cá nhân mang lại không nằm ở các điều khoản kỹ thuật, mà ở việc xác lập ranh giới pháp lý rõ ràng cho không gian số. Khi ranh giới đó được thiết lập, dữ liệu không còn là “vùng xám”, và quyền của con người được đặt ở vị trí trung tâm trong quá trình phát triển số.