Từ 1/1/2026, mạng xã hội không được nghe lén, ghi âm cuộc gọi và đọc tin nhắn của người dùng
(Thị trường tài chính) - Nếu vi phạm, tổ chức có thể bị phạt với số tiền lớn.
Luật Bảo vệ dữ liệu cá nhân năm 2025 sẽ chính thức có hiệu lực từ ngày 1/1/2026, tạo lập khung pháp lý thống nhất cho việc thu thập, xử lý và bảo vệ dữ liệu cá nhân trong môi trường số.
Một điểm nhấn quan trọng của luật là các quy định ràng buộc trách nhiệm đối với nền tảng mạng xã hội, dịch vụ truyền thông trực tuyến, trong đó nghiêm cấm hành vi nghe lén, ghi âm cuộc gọi và đọc tin nhắn của người dùng khi chưa có sự đồng ý hợp pháp.
Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân năm 2025 gồm 5 chương, 39 điều, quy định rõ quyền của chủ thể dữ liệu cá nhân. Theo Điều 4, người dùng có quyền được biết về hoạt động xử lý dữ liệu cá nhân; quyền đồng ý hoặc từ chối, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu; quyền xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân; quyền yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu; quyền gửi yêu cầu phản đối việc xử lý dữ liệu cá nhân.
Bên cạnh đó, chủ thể dữ liệu cá nhân có quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại theo quy định của pháp luật; quyền yêu cầu cơ quan có thẩm quyền, tổ chức, cá nhân liên quan áp dụng các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình.
Song song với các quyền, luật quy định nghĩa vụ của chủ thể dữ liệu cá nhân, gồm: tự bảo vệ dữ liệu cá nhân; tôn trọng và bảo vệ dữ liệu cá nhân của người khác; cung cấp đầy đủ, chính xác dữ liệu cá nhân theo quy định pháp luật, theo hợp đồng hoặc theo sự đồng ý cho phép xử lý dữ liệu; chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi xâm phạm dữ liệu cá nhân.
Việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân phải tuân thủ các nguyên tắc chung: thực hiện đúng quy định pháp luật và nghĩa vụ theo hợp đồng; nhằm bảo vệ quyền, lợi ích hợp pháp của chính chủ thể dữ liệu; không gây khó khăn, cản trở việc thực hiện quyền, nghĩa vụ pháp lý của bên kiểm soát dữ liệu, bên xử lý dữ liệu; không xâm phạm quyền, lợi ích hợp pháp của Nhà nước, cơ quan, tổ chức, cá nhân khác.
Nghiêm cấm mạng xã hội nghe lén, đọc tin nhắn của người dung
Điều 29 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định cụ thể về bảo vệ dữ liệu cá nhân đối với các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến. Theo đó, tổ chức, cá nhân cung cấp các dịch vụ này phải thông báo rõ ràng nội dung dữ liệu cá nhân được thu thập ngay khi người dùng cài đặt và sử dụng dịch vụ; việc thu thập dữ liệu chỉ được thực hiện trong phạm vi đã thỏa thuận, không được thu thập trái phép.
Đáng chú ý, luật nghiêm cấm hành vi nghe lén, nghe trộm, ghi âm cuộc gọi và đọc tin nhắn văn bản của người dùng khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác. Đây được xem là quy định mang tính then chốt nhằm bảo vệ quyền riêng tư trong hoạt động giao tiếp trực tuyến.
Ngoài ra, các nền tảng mạng xã hội có trách nhiệm công khai chính sách bảo mật; giải thích rõ cách thức thu thập, sử dụng, chia sẻ dữ liệu cá nhân; cung cấp cơ chế để người dùng truy cập, chỉnh sửa, xóa dữ liệu và thiết lập quyền riêng tư; tiếp nhận, xử lý phản ánh, báo cáo vi phạm về bảo mật và quyền riêng tư; bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển dữ liệu xuyên biên giới; xây dựng quy trình xử lý vi phạm về bảo vệ dữ liệu cá nhân theo hướng nhanh chóng, hiệu quả.
Luật Bảo vệ dữ liệu cá nhân năm 2025 cũng thiết lập khung xử phạt hành chính với mức cao đối với các hành vi vi phạm. Cụ thể, hành vi mua, bán dữ liệu cá nhân có thể bị phạt tiền tối đa gấp 10 lần khoản thu có được từ hành vi vi phạm. Trường hợp không phát sinh khoản thu hoặc mức phạt tính theo khoản thu thấp hơn mức phạt chung, mức phạt tối đa áp dụng là 3 tỷ đồng.
Đối với vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa đối với tổ chức là 5% doanh thu của năm trước liền kề. Nếu tổ chức không có doanh thu năm trước hoặc mức phạt tính theo doanh thu thấp hơn mức phạt chung, mức phạt tối đa là 3 tỷ đồng.
Các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân, như không cung cấp lựa chọn “không theo dõi”, nghe lén cuộc gọi, đọc tin nhắn trái phép, có thể bị phạt tiền tối đa 3 tỷ đồng đối với tổ chức. Trường hợp cá nhân thực hiện cùng hành vi vi phạm, mức phạt tiền tối đa bằng một nửa mức phạt áp dụng cho tổ chức.
Ngoài xử phạt hành chính, cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an có thẩm quyền quyết định yêu cầu ngừng chuyển dữ liệu cá nhân xuyên biên giới đối với cơ quan, tổ chức, cá nhân khi phát hiện dữ liệu được chuyển để sử dụng vào hoạt động có nguy cơ gây tổn hại đến quốc phòng, an ninh quốc gia.
