Từ 1/1/2026, mạng xã hội không được yêu cầu người dùng cung cấp ảnh CCCD
(Thị trường tài chính) - Các hành vi thu thập trái phép hoặc vượt quá phạm vi cho phép đều bị nghiêm cấm.
Từ ngày 1/1/2026, các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến hoạt động tại Việt Nam sẽ không được yêu cầu người dùng cung cấp hình ảnh, video giấy tờ tùy thân như căn cước công dân, chứng minh nhân dân, giấy phép lái xe để làm yếu tố xác thực tài khoản. Quy định này được nêu trong Luật Bảo vệ dữ liệu cá nhân đã được Quốc hội thông qua và chính thức có hiệu lực từ thời điểm nêu trên.
Đây là hành lang pháp lý quan trọng và toàn diện nhất từ trước đến nay trong lĩnh vực bảo vệ quyền riêng tư tại Việt Nam, trong bối cảnh môi trường số phát triển nhanh, tiềm ẩn nhiều rủi ro về lộ lọt, lạm dụng dữ liệu cá nhân.
Theo Điều 29 của Luật, tổ chức, cá nhân cung cấp dịch vụ mạng xã hội, dịch vụ truyền thông trực tuyến hoạt động tại Việt Nam có trách nhiệm thông báo rõ ràng cho người dùng về các loại dữ liệu cá nhân được thu thập khi cài đặt và sử dụng dịch vụ. Việc thu thập dữ liệu phải đúng mục đích, đúng phạm vi đã thỏa thuận với người dùng và tuân thủ quy định của pháp luật. Các hành vi thu thập trái phép hoặc vượt quá phạm vi cho phép đều bị nghiêm cấm.
Đáng chú ý, Luật quy định các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến không được phép yêu cầu người dùng cung cấp hình ảnh, video chứa toàn bộ hoặc một phần giấy tờ tùy thân như căn cước công dân, giấy phép lái xe để phục vụ việc xác thực tài khoản. Đây là nhóm dữ liệu có mức độ nhạy cảm cao, tiềm ẩn nguy cơ bị lợi dụng nếu bị thu thập, lưu trữ hoặc sử dụng không đúng mục đích.
Bên cạnh đó, các nền tảng có trách nhiệm cung cấp cho người dùng lựa chọn từ chối việc thu thập và chia sẻ các tệp dữ liệu, thường được gọi là cookies. Người dùng cũng phải được cung cấp lựa chọn “không theo dõi”, hoặc chỉ bị theo dõi hoạt động sử dụng mạng xã hội, dịch vụ truyền thông trực tuyến khi đã có sự đồng ý hợp lệ.
Luật quy định chế tài xử phạt nghiêm khắc đối với các hành vi vi phạm. Cụ thể, đối với hành vi mua, bán dữ liệu cá nhân, mức phạt tiền tối đa bằng 10 lần khoản thu có được từ hành vi vi phạm. Trường hợp không phát sinh khoản thu hoặc mức phạt tính theo khoản thu thấp hơn khung phạt chung, mức phạt tiền tối đa áp dụng là 3 tỷ đồng.
Đối với vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa đối với tổ chức là 5% doanh thu của năm liền kề trước đó. Nếu không có doanh thu của năm trước hoặc mức phạt tính theo doanh thu thấp hơn khung phạt chung, mức phạt tối đa vẫn là 3 tỷ đồng.
Bên cạnh xử phạt hành chính, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an có thể quyết định yêu cầu ngừng việc chuyển dữ liệu cá nhân xuyên biên giới của cơ quan, tổ chức, cá nhân khi phát hiện dữ liệu được chuyển nhằm phục vụ hoạt động có khả năng gây phương hại đến quốc phòng, an ninh quốc gia.
Các mức phạt này áp dụng đối với tổ chức. Cá nhân thực hiện cùng hành vi vi phạm sẽ chịu mức phạt tiền tối đa bằng một nửa so với tổ chức.
