Luật Bảo Vệ Dữ Liệu Cá Nhân 2026: Luật 91/2025 Thay NĐ 13

TL;DR: Luật bảo vệ dữ liệu cá nhân của Việt Nam vừa đổi khung: từ ngày 1/1/2026, Luật 91/2025/QH15 (gọi tắt PDPL) cùng Nghị định 356/2025 thay thế Nghị định 13/2023. Nếu site hoặc app của bạn vẫn trích “Nghị định 13” như luật hiện hành, bạn đang dạy sai luật. PDPL siết consent (im lặng không phải đồng ý), thêm quyền cho chủ thể dữ liệu và nghĩa vụ báo vi phạm.

Đây là bài giải thích kỹ thuật cho dev và chủ website, không phải tư vấn pháp lý. Mục tiêu là giúp bạn hiểu cái gì đã đổi từ đầu 2026 và cần rà lại gì trên sản phẩm. Với các quyết định pháp lý cụ thể, hãy hỏi luật sư.

PDPL là gì và vì sao Nghị định 13 không còn hiệu lực?

PDPL là cách gọi tắt Luật Bảo vệ dữ liệu cá nhân, tức Luật 91/2025/QH15, có hiệu lực từ ngày 1/1/2026 và thay thế Nghị định 13/2023, mốc này ghi ngay trên văn bản gốc tại Cổng TTĐT Chính phủ (ban hành 26/6/2025, hiệu lực 01/01/2026). Theo DFDL, Luật 91/2025 cùng Nghị định hướng dẫn 356/2025 trở thành khung pháp lý chính, nâng quy định bảo vệ dữ liệu cá nhân từ cấp nghị định lên cấp luật. Toàn văn luật gồm 5 chương và 39 điều, áp dụng cho cả tổ chức trong nước lẫn tổ chức nước ngoài xử lý dữ liệu của người dùng tại Việt Nam.

Đây là điểm nhiều nội dung tiếng Việt chưa cập nhật. Rất nhiều bài hướng dẫn, điều khoản website và chính sách quyền riêng tư vẫn viết “theo Nghị định 13”. Từ đầu 2026, dẫn như vậy là sai căn cứ. Baker McKenzie xác nhận Luật 91/2025/QH15 được thông qua ngày 26/6/2025 và đặt ra các nghĩa vụ kiểu GDPR.

🟢 Yên tâm nếu bạn mới bắt đầu: không cần đọc hết văn bản luật. Việc đầu tiên là tìm trong site và chính sách của bạn mọi chỗ ghi “Nghị định 13” và cập nhật thành “Luật 91/2025”. Phần còn lại của bài chỉ ra những thay đổi thực tế cần để ý.

PDPL phân loại dữ liệu cá nhân thế nào?

PDPL chia dữ liệu cá nhân thành hai nhóm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, với nhóm nhạy cảm được bảo vệ chặt hơn. Cách phân loại này tương tự tinh thần GDPR và quyết định mức độ cẩn trọng bạn cần khi xử lý từng loại.

• Dữ liệu cơ bản: họ tên, ngày sinh, số điện thoại, email, định danh thiết bị và những thông tin nhận dạng thông thường.
• Dữ liệu nhạy cảm: tình trạng sức khỏe, dữ liệu sinh trắc, quan điểm chính trị, đời sống riêng tư và các nhóm cần bảo vệ đặc biệt.

Với dev, ý nghĩa thực tế là phải biết chính xác sản phẩm đang thu thập loại nào. Một form đăng ký lấy email là dữ liệu cơ bản, nhưng một app sức khỏe lưu chỉ số cơ thể là dữ liệu nhạy cảm, kéo theo yêu cầu chặt hơn về consent và lưu trữ.

Căn cứ pháp lý và consent: im lặng không phải đồng ý

Theo PDPL, consent vẫn là căn cứ pháp lý chính để xử lý dữ liệu cá nhân, và sự im lặng hoặc không phản hồi không được tính là đồng ý hợp lệ. DFDL nhấn mạnh consent phải rõ ràng, chủ động, không suy diễn từ việc người dùng không làm gì.

Với website, điều này nghĩa là checkbox đồng ý phải để trống mặc định, không tick sẵn. Cookie banner phải cho người dùng từ chối dễ như chấp nhận. Và bạn cần lưu lại bằng chứng consent: ai đồng ý, lúc nào, cho mục đích gì.

Quyền của chủ thể dữ liệu và nghĩa vụ báo vi phạm

PDPL trao cho chủ thể dữ liệu một bộ quyền kiểu GDPR và đặt nghĩa vụ báo cáo vi phạm cho doanh nghiệp. Đây là phần dev hay phải dựng tính năng để đáp ứng, không dừng ở chuyện pháp lý trên giấy.

Các quyền chính của chủ thể dữ liệu (DSR, data subject rights):

• Quyền được biết dữ liệu nào đang được xử lý và vì mục đích gì.
• Quyền truy cập, chỉnh sửa dữ liệu của mình.
• Quyền rút lại consent và yêu cầu xóa dữ liệu.
• Quyền phản đối hoặc hạn chế việc xử lý.

Về vi phạm, theo DFDL, doanh nghiệp phải báo cáo cho cơ quan chức năng (A05) trong vòng 72 giờ, và nhanh hơn với một số loại tấn công. PDPL cũng yêu cầu chỉ định người phụ trách bảo vệ dữ liệu và nộp hồ sơ đánh giá tác động trong thời hạn quy định, chặt hơn Nghị định 13 cũ. Với dev, hãy đảm bảo có sẵn quy trình kỹ thuật để trích xuất, sửa và xóa dữ liệu một người dùng khi họ yêu cầu.

Consent Mode v2: dev cần làm gì?

Consent Mode v2 là cơ chế của Google yêu cầu truyền tín hiệu đồng ý của người dùng trước khi chạy đo lường và quảng cáo. Theo Google Ads Help, từ năm 2024 advertiser phục vụ người dùng khu vực EEA và Anh phải tích hợp Consent Mode v2, truyền hai tín hiệu ad_user_data và ad_personalization qua một CMP được chứng nhận.

Dù PDPL là luật Việt Nam, Consent Mode v2 vẫn liên quan nếu bạn có người dùng châu Âu hoặc chạy Google Ads quốc tế. Việc dev cần làm:

1. Cài một CMP (nền tảng quản lý consent) được chứng nhận.
2. Bật Consent Mode trong Google Tag Manager, đặt trạng thái consent mặc định là từ chối.
3. Cập nhật trạng thái khi người dùng bấm đồng ý trên banner.
4. Đảm bảo tag đo lường chỉ chạy đầy đủ sau khi có consent.

Cách làm này phục vụ cả hai mục tiêu: đáp ứng yêu cầu consent rõ ràng của PDPL trong nước, và tuân thủ Consent Mode v2 cho người dùng quốc tế.

Checklist tuân thủ PDPL cho website

Để rà nhanh một website theo PDPL, hãy đi qua sáu điểm dưới đây. Đây là mức tối thiểu cho một blog hoặc app phổ thông, không thay thế tư vấn pháp lý.

• Thay mọi tham chiếu “Nghị định 13” thành “Luật 91/2025” trong điều khoản và chính sách.
• Cookie banner cho phép từ chối dễ như chấp nhận, không tick sẵn.
• Lưu bằng chứng consent: ai, khi nào, mục đích gì.
• Có trang chính sách quyền riêng tư mô tả loại dữ liệu, mục đích và quyền của người dùng.
• Có quy trình kỹ thuật để xuất, sửa, xóa dữ liệu khi chủ thể yêu cầu.
• Nếu có người dùng EEA hoặc UK, tích hợp CMP và Consent Mode v2.

Việc rà soát này thuộc nhóm kiểm tra tuân thủ trong một lượt audit website tổng thể, nơi compliance là 1 trong 9 yếu tố mình chấm. Khi đã cập nhật xong, đừng quên kiểm tra trang chính sách mới của bạn có được Google index không.

Câu hỏi thường gặp

Nghị định 13 còn hiệu lực không?

Không. Từ ngày 1/1/2026, Nghị định 13/2023 đã được thay thế bởi Luật 91/2025/QH15 (PDPL) cùng Nghị định 356/2025. Mọi nội dung dẫn “Nghị định 13” như luật bảo vệ dữ liệu hiện hành đều đã lỗi thời và cần cập nhật.

PDPL phạt vi phạm bao nhiêu?

Theo DFDL, mức phạt có thể lên tới khoảng 3 tỷ đồng cho phần lớn vi phạm và tới 5% doanh thu năm trước với vi phạm chuyển dữ liệu xuyên biên giới. Tuy nhiên đến đầu 2026 Việt Nam chưa ban hành nghị định xử phạt hành chính riêng, nên con số cụ thể vẫn còn chờ, đừng coi là đã chốt.

Consent theo PDPL phải như thế nào?

Consent phải rõ ràng và chủ động. Sự im lặng hoặc không phản hồi không được tính là đồng ý hợp lệ. Trên website, nghĩa là checkbox không được tick sẵn, cookie banner phải cho từ chối dễ như chấp nhận, và bạn phải lưu bằng chứng ai đồng ý cho mục đích gì.

Consent Mode v2 có bắt buộc với site Việt Nam không?

Consent Mode v2 bắt buộc khi bạn phục vụ người dùng khu vực EEA và Anh hoặc chạy Google Ads cho họ. Với site thuần nội địa thì không bắt buộc về phía Google, nhưng tinh thần consent rõ ràng của PDPL vẫn yêu cầu cơ chế đồng ý tương tự.

Đọc toàn văn Luật Bảo vệ dữ liệu cá nhân ở đâu?

Bản chính thức (kèm PDF tải về) nằm trên Cổng Thông tin điện tử Chính phủ, số ký hiệu 91/2025/QH15, ban hành 26/6/2025, hiệu lực 01/01/2026. Bài này chỉ tóm phần liên quan tới website và dev; làm việc nghiêm túc với điều khoản cụ thể thì đọc văn bản gốc.

Tôi cần chỉ định người phụ trách bảo vệ dữ liệu không?

PDPL yêu cầu nhiều tổ chức chỉ định người phụ trách bảo vệ dữ liệu và nộp hồ sơ đánh giá tác động trong thời hạn quy định, chặt hơn Nghị định 13 trước đây. Mức độ áp dụng tùy quy mô và loại dữ liệu bạn xử lý, nên hãy xác nhận với luật sư cho trường hợp cụ thể.

Kết: cập nhật căn cứ trước, dựng quy trình sau

Điểm cốt lõi: từ 1/1/2026, căn cứ pháp lý của bạn là Luật 91/2025, không còn là Nghị định 13. Việc gấp nhất là rà và sửa mọi tham chiếu cũ trong điều khoản và chính sách, rồi mới tới dựng quy trình consent và xử lý quyền chủ thể dữ liệu. Mức phạt cụ thể còn chờ nghị định riêng, nên theo dõi tiếp thay vì hoảng.

Hành động ngay: tìm trong site của bạn mọi chỗ ghi “Nghị định 13” và cập nhật. Đây là việc rẻ nhất nhưng quan trọng nhất để không dạy sai luật.