Luật mới cấm bán dữ liệu sức khỏe cá nhân cho công ty bảo hiểm; cấm mạng xã hội yêu cầu dùng giấy tờ tùy thân làm xác thực tài khoản và buộc doanh nghiệp xóa dữ liệu cá nhân của nhân viên cũ.
Đây là những nội dung mới được đưa vào Luật Bảo vệ dữ liệu cá nhân, được Quốc hội thông qua ngày 26/6/2025. Luật có hiệu lực thi hành từ 1/1/2026, là văn bản Luật đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân. Trước đó, lĩnh vực này chỉ được quy định trong Nghị định 13/2023/NĐ-CP.
Luật gồm 5 chương, 39 điều với phạm vi điều chỉnh rộng hơn, chế tài xử phạt nghiêm khắc và cơ chế giám sát độc lập. Đặc biệt, luật dành riêng một mục, quy định về bảo vệ dữ liệu cá nhân của các doanh nghiệp, ngân hàng… trong 5 hoạt động ảnh hưởng lớn đến đời sống gồm: tuyển dụng, quản lý, sử dụng người lao động; kinh doanh bảo hiểm; hoạt động tài chính, ngân hàng, thông tin tín dụng; kinh doanh dịch vụ quảng cáo, mạng xã hội, dịch vụ truyền thông trực tuyến.
Công ty phải xóa dữ liệu cá nhân của nhân viên cũ
Trong hoạt động tuyển dụng, quản lý, sử dụng người lao động, Luật Bảo vệ dữ liệu cá nhân quy định, doanh nghiệp chỉ được yêu cầu cung cấp thông tin phục vụ cho mục đích tuyển dụng phù hợp với quy định của pháp luật.
Thông tin được cung cấp chỉ được sử dụng và xử lý vào mục đích tuyển dụng và mục đích khác nếu có thỏa thuận phù hợp với quy định của pháp luật và phải được sự đồng ý của người dự tuyển.
Nếu ứng viên không được tuyển dụng, doanh nghiệp phải xóa, hủy thông tin ứng viên đã cung cấp, trừ trường hợp có thỏa thuận khác.
Công nhân làm việc tại Công ty cổ phần Dệt may 29/3, Đà Nẵng. Ảnh: Nguyễn Đông
Trong quá trình làm việc, nếu công ty muốn xử lý dữ liệu cá nhân của nhân viên được thu thập bằng biện pháp công nghệ, kỹ thuật phải thông báo để người lao động biết rõ.
Doanh nghiệp cũng buộc phải xóa, hủy dữ liệu cá nhân của nhân viên khi chấm dứt hợp đồng lao động.
Ví dụ, mức lương đề xuất của ứng viên hoặc lý lịch cá nhân, quá trình công tác trước đó… là thông tin nhạy cảm mà phần lớn người lao động luôn muốn giữ bí mật, đặc biệt ở những vị trí làm việc cấp cao. Nếu thông tin này không bị xóa bỏ một cách triệt để và bị sử dụng trái pháp luật sẽ ảnh hưởng rất nghiêm trọng đến quyền lợi của người lao động.
Với quy định của luật mới này, theo luật sư, người ứng tuyển và người lao động nói chung sẽ có quyền yêu cầu khắc phục hậu quả, bồi thường thiệt hại và thậm chí là khởi kiện vụ việc ra trước tòa nếu doanh nghiệp vi phạm nghĩa vụ bảo mật dữ liệu cá nhân.
“Luật đã nâng cao trách nhiệm của nhà tuyển dụng; góp phần nâng cao nhận thức của ứng viên khi cung cấp thông tin cá nhân cho cá nhân, tổ chức”, luật sư Vinh đánh giá.
Người dân dang giao dịch tại quầy của một ngân hàng tại TP HCM. Ảnh: Quỳnh Trần
Ngân hàng không được dùng dữ liệu cá nhân của khách để xếp hạng, chấm điểm tín dụng
Điều 27 quy định tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng, ngoài trách nhiệm thực hiện đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm còn bị cấm sử dụng thông tin tín dụng của khách để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của khách khi chưa có sự đồng ý của khách.
Họ phải áp dụng các biện pháp phòng, chống truy cập, sử dụng, tiết lộ, chỉnh sửa trái phép dữ liệu cá nhân của khách. Trong trường hợp các thông tin này bị lộ, mất, ngân hàng phải thông báo cho khách và có giải pháp khôi phục.
Cấm bán dữ liệu cá nhân về sức khỏe cho công ty bảo hiểm
Luật cũng lần đầu tiên quy định về bảo vệ dữ liệu cá nhân với các thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm.
Theo đó, quá trình thu thập, xử lý dữ liệu cá nhân về sức khỏe phải có sự đồng ý của chủ thể. Cơ quan, tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe không được cung cấp dữ liệu cá nhân cho bên thứ ba là tổ chức cung cấp dịch vụ chăm sóc sức khỏe hoặc dịch vụ bảo hiểm sức khỏe, bảo hiểm nhân thọ, trừ trường hợp người đó có yêu cầu bằng văn bản.
Trường hợp doanh nghiệp kinh doanh tái bảo hiểm, nhượng tái bảo hiểm và có chuyển dữ liệu cá nhân của khách cho đối tác, cần được nêu rõ trong hợp đồng với khách.
Với bảo hiểm y tế, cả nước có hơn 95,5 triệu người tham gia, đạt mức bao phủ trên 94% dân số; với Bảo hiểm xã hội là gần 18,6 triệu người.
Cấm mạng xã hội xác thực tài khoản bằng giấy tờ tùy thân
Với tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến, luật yêu cầu thông báo rõ ràng với người dùng rằng mình sẽ thu thập những nội dung dữ liệu cá nhân nào khi khách cài đặt và sử dụng dịch vụ, mạng xã hội.
Ngoài phạm vi các thông tin thông báo và thỏa thuận với khách, luật cấm thu thập trái phép các dữ liệu cá nhân khác.
Mỗi người Việt trung bình sở hữu 3 tài khoản mạng xã hội trong nước và nước ngoài, sử dụng khoảng 2h30 phút mỗi ngày. Ảnh: Thành Nguyễn
Đơn vị cung cấp dịch vụ mạng xã hội cũng không được yêu cầu người dùng cung cấp hình ảnh, video chứa nội dung đầy đủ hoặc một phần giấy tờ tùy thân làm yếu tố xác thực tài khoản. Luật đồng thời cấm việc nghe lén, ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của người dùng.
Trên không gian mạng, người dùng phải được quyền truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư cho dữ liệu cá nhân của mình, được báo cáo các vi phạm về bảo mật và quyền riêng tư.
Luật Bảo vệ dữ liệu cá nhân được Bộ Công an soạn theo do tính cấp thiết khi thực tế đáng báo động gần đây, nhiều đường dây buôn bán dữ liệu cá nhân quy mô lớn, thu thập, mua bán trái phép hàng nghìn GB bị xử lý, phát hiện.
Thông tin bị lộ bao gồm dữ liệu khách hàng của một số ngân hàng, thông tin phụ huynh và học sinh tại các trường học, thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, và thông tin khách hàng trong các lĩnh vực như bất động sản, điện máy, nha khoa và thẩm mỹ viện.
Hải Thư