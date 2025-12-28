Luật Bảo vệ dữ liệu cá nhân gồm 5 chương, 39 điều, được ban hành nhằm cụ thể hóa các quy định của Hiến pháp về quyền con người, quyền riêng tư, đồng thời thiết lập khuôn khổ pháp lý thống nhất cho hoạt động thu thập, xử lý và bảo vệ dữ liệu cá nhân trong môi trường số.

Quyền yêu cầu xóa dữ liệu cá nhân được luật hóa

Theo quy định tại điểm l khoản 1 Điều 9, chủ thể dữ liệu có quyền xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình. Quyền này được cụ thể hóa tại Điều 16 của Luật Bảo vệ dữ liệu cá nhân.

Cụ thể, chủ thể dữ liệu có thể yêu cầu bên kiểm soát dữ liệu xóa dữ liệu cá nhân trong trường hợp dữ liệu không còn cần thiết cho mục đích thu thập ban đầu; khi chủ thể dữ liệu rút lại sự đồng ý theo quy định tại Điều 12; hoặc khi chủ thể dữ liệu phản đối việc xử lý và bên kiểm soát, xử lý dữ liệu không có căn cứ pháp lý hợp pháp để tiếp tục (khoản 1 Điều 16).

So với trước đây, khi việc xóa hay gỡ bỏ thông tin chủ yếu phụ thuộc vào chính sách nội bộ của doanh nghiệp hoặc thỏa thuận dân sự, Luật Bảo vệ dữ liệu cá nhân đã xác lập đây là một quyền của chủ thể dữ liệu, đồng thời đặt ra nghĩa vụ tương ứng đối với bên kiểm soát và xử lý dữ liệu.

Ví dụ, trước đây, khi một người dùng ngừng sử dụng ứng dụng vay tiền hoặc mua sắm trực tuyến thì dữ liệu cá nhân như số điện thoại, địa chỉ, thông tin giao dịch vẫn có thể tiếp tục bị doanh nghiệp lưu trữ, thậm chí dùng cho mục đích tiếp thị, nếu điều này phù hợp với chính sách nội bộ hoặc điều khoản người dùng đã chấp thuận. Người dùng nếu muốn xóa thông tin thường chỉ có thể "đề nghị" và phụ thuộc vào thiện chí của doanh nghiệp.

Nhưng từ ngày 1/1/2026, trong trường hợp dữ liệu không còn cần thiết cho mục đích ban đầu hoặc người dùng rút lại sự đồng ý, cá nhân có quyền yêu cầu xóa dữ liệu. Và lúc này, doanh nghiệp với tư cách là bên kiểm soát, xử lý dữ liệu có nghĩa vụ xem xét và thực hiện yêu cầu này, trừ các trường hợp pháp luật cho phép tiếp tục lưu trữ.

Người dân dang giao dịch tại quầy của một ngân hàng tại TP HCM. Ảnh: Quỳnh Trần

Luật cũng quy định nguyên tắc về sự đồng ý của chủ thể dữ liệu. Theo khoản 2 và khoản 3 Điều 11, sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng hình thức phù hợp theo quy định của pháp luật; sự im lặng hoặc không phản hồi của cá nhân không được coi là sự đồng ý trong việc xử lý dữ liệu cá nhân.

Quyền xóa dữ liệu không phải là quyền tuyệt đối

Cùng với việc trao quyền cho chủ thể dữ liệu, Luật Bảo vệ dữ liệu cá nhân xác định rõ các trường hợp bên kiểm soát dữ liệu được phép từ chối yêu cầu xóa dữ liệu cá nhân.

Theo khoản 3 Điều 16, yêu cầu xóa dữ liệu có thể không được chấp nhận nếu việc lưu trữ dữ liệu là nghĩa vụ theo quy định của luật khác; phục vụ mục đích quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội; hoặc dữ liệu được xử lý bởi cơ quan nhà nước có thẩm quyền trong quá trình điều tra, truy tố, xét xử và thi hành án theo quy định của pháp luật.

Các quy định này nhằm bảo đảm sự cân bằng giữa quyền riêng tư của cá nhân với yêu cầu quản lý nhà nước, lợi ích công cộng và việc thực thi pháp luật.

Siết chặt quản lý, bảo vệ dữ liệu cá nhân

Bên cạnh quyền yêu cầu xóa dữ liệu, Luật Bảo vệ dữ liệu cá nhân thiết lập nhiều nguyên tắc quản lý mới đối với hoạt động xử lý dữ liệu. Theo khoản 4 Điều 6, hành vi mua, bán dữ liệu cá nhân trái phép là hành vi bị nghiêm cấm.

Luật đồng thời phân loại dữ liệu cá nhân thông thường và dữ liệu cá nhân nhạy cảm. Theo khoản 4 Điều 2, dữ liệu cá nhân nhạy cảm bao gồm các thông tin như tình trạng sức khỏe, tài chính, dữ liệu sinh trắc học, đời sống riêng tư, quan điểm chính trị... và việc xử lý loại dữ liệu này phải tuân thủ các yêu cầu bảo vệ nghiêm ngặt hơn theo quy định của luật.

Dữ liệu cá nhân của trẻ em được xác định là đối tượng cần được bảo vệ ở mức độ cao hơn. Theo Điều 20, việc xử lý dữ liệu cá nhân của trẻ em phải đáp ứng các điều kiện chặt chẽ về sự đồng ý và các biện pháp bảo đảm an toàn phù hợp.

Với hiệu lực từ đầu năm 2026, Luật Bảo vệ dữ liệu cá nhân được kỳ vọng sẽ góp phần tăng cường bảo vệ quyền riêng tư của người dân, đồng thời định hình rõ hơn trách nhiệm của các tổ chức, doanh nghiệp trong hoạt động thu thập và xử lý dữ liệu cá nhân