Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 có hiệu lực từ ngày 1/1/2026, lần đầu đặt ra khung pháp lý ở cấp luật cho quyền dữ liệu của người dân, cùng cơ chế xử phạt đáng chú ý với hành vi mua bán dữ liệu và vi phạm chuyển dữ liệu ra nước ngoài. Ở mảng lao động, Nghị định 372/2025/NĐ-CP (31/12/2025) sửa đổi Nghị định 112/2021/NĐ-CP cũng bắt đầu có hiệu lực từ 1/1/2026, đẩy mạnh quản lý qua hệ thống dữ liệu, siết điều kiện nhân sự, cơ sở đào tạo, đồng thời “định danh” rõ hơn trách nhiệm cập nhật thông tin, thông báo danh sách người lao động dự kiến xuất cảnh.
Luật hoá quyền dữ liệu: im lặng không còn là đồng ý, mua bán dữ liệu bị “đánh thẳng”
Luật Bảo vệ dữ liệu cá nhân xác lập các quyền cơ bản của “chủ thể dữ liệu” trong suốt vòng đời xử lý dữ liệu: được biết hoạt động xử lý, đồng ý hoặc rút lại đồng ý; được truy cập, chỉnh sửa; yêu cầu cung cấp, xoá dữ liệu; hạn chế xử lý, phản đối; khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại (Điều 4).
Một điểm đáng chú ý là chuẩn mực về “đồng ý” được đặt khá chặt. Luật nêu rõ đồng ý chỉ có hiệu lực khi dựa trên sự tự nguyện và được “biết rõ” các thông tin tối thiểu như loại dữ liệu được xử lý, mục đích xử lý, chủ thể kiểm soát/kiểm soát và xử lý dữ liệu, cùng các quyền và nghĩa vụ liên quan. Đặc biệt, “sự im lặng hoặc không phản hồi không được coi là sự đồng ý” (Điều 9). Đây là thay đổi lớn đối với thói quen “mặc định đồng ý” trong nhiều quy trình thu thập dữ liệu trước đây.
Ở nhóm hành vi bị nghiêm cấm, luật liệt kê rõ các hành vi như mua, bán dữ liệu cá nhân; chiếm đoạt, cố ý làm lộ, làm mất dữ liệu; xử lý trái pháp luật; sử dụng dữ liệu cá nhân của người khác để vi phạm pháp luật… (Điều 7). Đi kèm là cơ chế chế tài có “trần” cao, tạo sức răn đe trực diện với hành vi trục lợi từ dữ liệu.
Chế tài theo doanh thu và lợi nhuận bất hợp pháp: thông điệp “không coi dữ liệu là hàng hoá”
Điều 8 của Luật Bảo vệ dữ liệu cá nhân quy định hướng xử lý vi phạm theo 3 nhánh: kỷ luật, xử phạt hành chính hoặc truy cứu trách nhiệm hình sự; đồng thời phải bồi thường theo quy định nếu gây thiệt hại.
Đáng chú ý, luật đưa ra các mức trần xử phạt theo hướng “đánh vào động cơ kiếm tiền”:
• Hành vi mua, bán dữ liệu cá nhân: mức phạt tối đa 10 lần khoản thu có được từ hành vi vi phạm.
• Vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài: mức phạt tối đa 5% doanh thu của năm liền trước.
• Các hành vi vi phạm khác: mức phạt tối đa 3 tỷ đồng.
• Với cá nhân, mức tối đa bằng 1/2 mức phạt tối đa của tổ chức.
Bên cạnh đó, luật cũng thiết kế “độ trễ” để thị trường có thời gian thích nghi. Điều 38 nêu luật có hiệu lực từ 1/1/2026, đồng thời cho phép doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện một số yêu cầu nhất định trong 5 năm kể từ ngày luật có hiệu lực (ngoại lệ áp dụng với trường hợp xử lý dữ liệu nhạy cảm hoặc xử lý dữ liệu của số lượng lớn chủ thể dữ liệu).
Về chuyển tiếp, Điều 39 cho phép các hoạt động xử lý dữ liệu đã được đồng ý hoặc thoả thuận theo Nghị định 13/2023/NĐ-CP trước ngày luật có hiệu lực thì tiếp tục thực hiện, không phải “xin lại” đồng ý; hồ sơ đánh giá tác động/hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài đã nộp cũng tiếp tục được sử dụng, và việc cập nhật sau ngày luật có hiệu lực sẽ theo quy định của luật.
Quản lý lao động ngoài nước: siết điều kiện và số hoá quy trình, dữ liệu người lao động đi kèm trách nhiệm bảo vệ
Ở lĩnh vực đưa người lao động Việt Nam đi làm việc ở nước ngoài theo hợp đồng, Nghị định 372/2025/NĐ-CP sửa đổi, bổ sung nhiều nội dung của Nghị định 112/2021/NĐ-CP và cũng có hiệu lực từ 1/1/2026 (Điều 2 của Nghị định 372).
Một loạt yêu cầu mới tập trung vào hai trục: chuẩn hoá điều kiện hoạt động và đẩy mạnh quản lý qua hệ thống thông tin.
Về nhân sự và cơ sở đào tạo/định hướng
• Doanh nghiệp phải bố trí nhân viên nghiệp vụ có trình độ từ cao đẳng trở lên để thực hiện các nội dung hoạt động theo quy định của Luật Người lao động Việt Nam đi làm việc ở nước ngoài theo hợp đồng; chi nhánh được giao nhiệm vụ cũng phải đáp ứng yêu cầu tương tự.
• Điều kiện phòng nội trú cho học viên được quy định cụ thể hơn: diện tích tối thiểu 3,5 m²/học viên, không quá 12 học viên/phòng, bố trí khu riêng cho học viên nam và nữ (nếu có học viên nữ), bảo đảm buồng tắm và nhà vệ sinh.
Về minh bạch thông tin và cập nhật dữ liệu
• Trang thông tin điện tử của doanh nghiệp dịch vụ phải dùng tên miền quốc gia “.vn”, đăng tải hình ảnh của giấy phép được cấp và cập nhật theo quy định; khi có thay đổi các thông tin nhất định thì trong 7 ngày phải cập nhật lên trang và cập nhật trên hệ thống cơ sở dữ liệu/đồng thời thông báo theo yêu cầu.
Về liên thông dữ liệu để cấp phép
Nghị định bổ sung quy định liên thông cấp giấy phép qua mạng: Bộ Tài chính chia sẻ thông tin đăng ký doanh nghiệp để Bộ Nội vụ tra cứu phục vụ cấp phép; Bộ Công an chia sẻ thông tin về phiếu lý lịch tư pháp của người đại diện theo pháp luật đề nghị cấp phép. Trường hợp dữ liệu chưa liên thông, có thể xác minh hoặc sử dụng bản điện tử được cấp trên ứng dụng VNeID.
Siết điều kiện theo thị trường, ngành nghề (Đài Loan, Nhật Bản)
Nghị định sửa đổi điều kiện hoạt động đưa người lao động sang Đài Loan (Trung Quốc) và Nhật Bản theo hướng “định lượng” hơn, như yêu cầu nhân sự nghiệp vụ có năng lực ngoại ngữ tối thiểu (ví dụ tiếng Trung mức HSK5; tiếng Nhật mức N2 hoặc tương đương), yêu cầu kinh nghiệm trong lĩnh vực; với nghề hộ lý tại Nhật Bản, bổ sung yêu cầu về giáo viên bồi dưỡng kỹ năng và cơ sở đào tạo có trang thiết bị thực hành cơ bản.
Thông báo danh sách người lao động dự kiến đi làm việc ở nước ngoài (Điều 15b)
Một điểm “đụng” trực tiếp tới dữ liệu cá nhân là quy định về thông báo danh sách người lao động dự kiến xuất cảnh theo yêu cầu của quốc gia/vùng lãnh thổ tiếp nhận lao động, thực hiện trực tuyến trên hệ thống cơ sở dữ liệu. Thông tin khai báo gồm nhiều trường dữ liệu định danh và liên hệ như họ tên, ngày sinh, giới tính, quê quán, nơi thường trú, số định danh cá nhân, số hộ chiếu, số điện thoại liên hệ, ngày dự kiến xuất cảnh, số điện thoại người thân tại Việt Nam…
Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân đồng thời có hiệu lực từ 1/1/2026, các yêu cầu số hoá và chia sẻ dữ liệu trong Nghị định 372 đặt ra bài toán “đi kèm”: tổ chức, doanh nghiệp phải rà soát quy trình thu thập, lưu trữ, truy cập, chia sẻ dữ liệu người lao động để bảo đảm phù hợp các nguyên tắc và nghĩa vụ bảo vệ dữ liệu, nhất là với dữ liệu định danh và thông tin liên hệ. Nói cách khác, quản lý hiện đại không chỉ là “đưa lên hệ thống”, mà còn là quản trị vòng đời dữ liệu để tránh rủi ro lộ lọt và vi phạm.